Решена Отказано в доступе - нет доступа

Тема в разделе "Лечение компьютерных вирусов", создана пользователем MotherBoard, 23 дек 2009.

Статус темы:
Закрыта.
  1. MotherBoard
    Оффлайн

    MotherBoard Гость

    После установки НЕРО9 вроде всё было нормально...ЕНО на следующий день решила побаловаться скриптами АВЗ,когда инета не было...ПОэт ому сейчас обновила базы и выложила ЛОГи..
    Настораживает туча прямых чтений файлов...к которым нет доступа,плюс к системным папкам,таким как: мои документы,мои рисунки,моя музыка - тоже нет доступа! Ещё какие-то непонятные изменени я в Хостс...Кроме норы,ещё одна непонятная мне строка имеется...Скажите если что не так...
    А конкретно по подозрительным файлам у утилиты отчёт пуст...Процессы не пробивала - инет недавно только дали...
    Посмотреть вложение 1541

    Посмотреть вложение 1542

    Посмотреть вложение 1543
     
  2. edde
    Оффлайн

    edde Ассоциация VN/VIP VIP

    Сообщения:
    1.828
    Симпатии:
    2.034
    NFORCE4,

    C:\Windows\PLFSetI.exe

    Проверьте карантин на вирустотал
    Удалите AskToolbar через установку и удаление программ
     
    2 пользователям это понравилось.
  3. Drongo
    Оффлайн

    Drongo Ассоциация VN/VIP Разработчик

    Сообщения:
    7.902
    Симпатии:
    8.221
    Здравствуйте. :)

    Отключите интернет и локальную сеть если таковая имеется.

    1. Очистите временные файлы.

      Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
      - скачайте ATF Cleaner или с зеркала, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
      - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
      - нажмите No, если вы хотите оставить ваши сохраненные пароли
      - если вы используете Opera, нажмите Opera - Select All - Empty Selected
      - нажмите No, если вы хотите оставить ваши сохраненные пароли.

    2. Восстановление системы. Создание новой контрольной точки восстановления и очистка предыдущих.
      • Создание новой точки восстановления: Нажмите Пуск => Программы => Стандартные => Служебные => Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать
      • Очистка всех предыдущих точек восстановления: Нажмите Пуск => Программы => Стандартные => Служебные => Очистка диска, выберите системный диск, на вкладке Дополнительно => Восстановление системы нажмите Очистить, нажмите Да для очистки всех точек восстановления, кроме последней.

    * Как это сделать, подробно можно прочитать в этой теме.


    HiJackThis Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis
    Код (Text):

    R3 - URLSearchHook: UrlSearchHook Class - {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files\Ask.com\GenericAskToolbar.dll
    O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
    O3 - Toolbar: Nero Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
     
    Скрипт AVZ.
    Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
    Код (Text):

    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Program Files\Ask.com\GenericAskToolbar.dll','');
     DeleteFile('C:\Program Files\Ask.com\GenericAskToolbar.dll');
     DelBHO('{00000000-6E41-4FD3-8538-502F5495E5FC}');
     DelBHO('{D4027C7F-154A-4066-A1AD-4243D8127440}');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
     
    После всех процедур выполните скрипт
    Код (Text):

    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
     
    В результате выполнения скрипта будет сформирован карантин quarantine.zip Вышлите полученный файл quarantine.zip на newvirus@kaspersky.com. Результаты ответа, сообщите здесь, в теме.


    Кто владелец папок?
    Как сменить владельца папки или файла

    Здесь всё нормально. Это в Vista так и должно быть.

    К сожалению это сленг мне не понятен. :( Пожалуйста, не используйте сленг - он может быть непонятен участникам.
     
  4. MotherBoard
    Оффлайн

    MotherBoard Гость

    Карантин проверять это который? Это тот из трёх ЛОГов АВЗ,который мы не выкладываем???
     
  5. iskander-k
    Оффлайн

    iskander-k Команда форума Супер-Модератор Ассоциация VN/VIP Преподаватель

    Сообщения:
    3.733
    Симпатии:
    3.260
    До применения скрипта это единственный карантин.
    Наверное он и имеется ввиду. :)
     
  6. MotherBoard
    Оффлайн

    MotherBoard Гость

    ПРоверила все три файла АВЗ на вирустотал...подозрений никаких нет

    Добавлено через 29 минут 39 секунд
    Фикса не нашла при новом запуске...может - это последствия того.что я удалила эту программу???Поэтому не могу после данной процедуры и перезагрузки найти соответствующих строк в хиджаке?
    А карантин отправила....
     
  7. Drongo
    Оффлайн

    Drongo Ассоциация VN/VIP Разработчик

    Сообщения:
    7.902
    Симпатии:
    8.221
    Если скрипт выполнялся первым, то строки из HJT удалились раньше.
     
  8. edde
    Оффлайн

    edde Ассоциация VN/VIP VIP

    Сообщения:
    1.828
    Симпатии:
    2.034
    Это очепятка, форум чуть чуть глючит сегодня и сообщение ушло неотредактированным.
    C:\Windows\PLFSetI.exe запихните в карантин авз и проверьте. Вот вам и практическое задание :)
     
  9. MotherBoard
    Оффлайн

    MotherBoard Гость

    C:\Windows\PLFSetI.exe запихните в карантин авз и проверьте. Вот вам и практическое задание
    Заархивировала...а как его сделать в карантин АВЗ???
     
  10. edde
    Оффлайн

    edde Ассоциация VN/VIP VIP

    Сообщения:
    1.828
    Симпатии:
    2.034
    Таак :) доучились до того, что решая задачи средней сложности спрашиваем как добавить файл в карантин.
    Ищем решение поставленной задачи.
     
    2 пользователям это понравилось.
  11. MotherBoard
    Оффлайн

    MotherBoard Гость

    [​IMG]
    Всё что со стрелочками...отказано в доступе...
    Это норма для Висты или нет?
    главное меню папка недоступна...мои документы(благо там ничего нет) тоже недоступна...
    А папка Recent повторяет весь список закачек программ плюс какие-то рисунки,которые я знать не знаю...я картинки не качала с нета...а там список такой большой,только непонятно,откуда столько файлов

    Добавлено через 11 минут 3 секунды
    Я понимаю заарохивировать и отправить на вирустотал...зачем носильно пихать в подозревания утилиты,чтобф файл был как от АВЗ....Смысл? Что изменится от этого???
     
    Последнее редактирование модератором: 23 дек 2009
  12. edde
    Оффлайн

    edde Ассоциация VN/VIP VIP

    Сообщения:
    1.828
    Симпатии:
    2.034
    Это системные ссылки в висте для обратной совместимости с программами которые были написаны в эпоху хр это нормально. Что бы они вас не смущали в свойствах папки поставьте галку скрывать защищенные системные папки.
     
    4 пользователям это понравилось.
  13. MotherBoard
    Оффлайн

    MotherBoard Гость

    Вирустотал проверила архив той папки,что вы указывали путь...всё нормально..
    А папки эти у меня не высвечивались...а тут такое...можете точно дать путь команды - как это убрать? А то я уже перепугалась,что что-то с системой...тем более что я с Вистой впервые....
    вот и не поняла юмора и пошла в раздел безопасности:sorry:
    И при чём тут ХР...Я разве что сначала НЕРО скачала,а он оказался несовместим с Вистой...пришлось удалить его через панель управления и искать в нете прогу именно для Висты....

    Добавлено через 12 часов 9 минут 34 секунды
    Прверка карантина - вредоносный код в файле не обнаружен

    Добавлено через 5 часов 14 минут 58 секунд
    Что-то я не поняла...вроде удалила прогу Ask,из ВНО - она убралась,а справа от строки поиска в Мазилле осталась..что-то я сделала не так???
     
  14. edde
    Оффлайн

    edde Ассоциация VN/VIP VIP

    Сообщения:
    1.828
    Симпатии:
    2.034
    NFORCE4,
    В мозилле удалите плагин + сделайте лог авз, посмотрите не осталось ли ключей. Это вам практическая лабораторная работа на дом с возможностью отслеживать изменения :)
     
  15. MotherBoard
    Оффлайн

    MotherBoard Гость

    Не нашла среди плагинов Ask.com
    сейчас пробую сделать ЛОГи
    Посмотреть вложение 1559

    Посмотреть вложение 1560
    Не нашла или плохо ищу....
    Ещё вопрос..так и не поняла...у меня сдаётся впечатления.что утилита одни и те же файлы (строки) читала несколько раз подряд одно и то же!
    Как так могло получиться? Или у меня действительно повтор папок?
     
    Последнее редактирование модератором: 24 дек 2009
  16. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.452
    Симпатии:
    13.952
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
     ExecuteStdScr(6);
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные.... смотрите, что удаляете). Откройте лог и скопируйте в сообщение.
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
     
    2 пользователям это понравилось.
  17. MotherBoard
    Оффлайн

    MotherBoard Гость

    Поняла...скорее всего это и есть папки из под ХР,тогда что они делают в Висте???
    свои то папки юзера,что в Висте,все доступны и нет проблем...
    так что всё нормально..тему можно закрыть,МВАМ - ничего не нашёл..
     
  18. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.452
    Симпатии:
    13.952
    Значит, зря беспокоились.

    Это ссылки. Сделаны, чтоб пользователи не "терялись" и могли работать как в XP
     
    2 пользователям это понравилось.
  19. MotherBoard
    Оффлайн

    MotherBoard Гость

    Называется,плохо знаем Windows Vista:)
     
Статус темы:
Закрыта.

Поделиться этой страницей