NANO Antivirus > Forum :: Просмотр темы

NANO Antivirus > Forum http://www.nanoav.pro/forum/

Проблемка... http://www.nanoav.pro/forum/viewtopic.php?f=15&t=568	Страница 1 из 2

Автор:

Nixon [ 09 июн 2011 20:45 ]

Заголовок сообщения:

Проблемка...

То ли вирус подцепил то ли еще че...Nano вирусов не видит, другими сканерами пробывал тоже понулям...Проблема вот в чем: Некоторые папки, а началось это со флешки, показываются как ярлыки и ссылаются тут же на оригенальную папку(только она скрытая), на компьютерах с ограниченным доступам те папки оригенальные не видны, а ярлыки не запускаются. Откуда взялись эти ярлыки не пойму...сегодня всю флешку форматнул. Заметил на своем ноуте такую проблему, новая папка(скинул сегодня) на рабочем столе при запуске показала вот такой конфуз...странно как то....

Вложения:

1.jpg [ 26.19 КБ | Просмотров: 16341 ]

Автор:	Viha [ 09 июн 2011 22:36 ]
Заголовок сообщения:	Re: Проблемка...
Не помню точно что за вирус, но распространяется он с Офисными документами. Работает только через стандартный проводник. Суть его сводится к следующему - при попытке открыть папку или файл, вирус открываемый объект удаляет. Прописывает туда себя точно с таким же именем, какое было у объекта(если это был файл, то даже расширение), только внешний вид получается, как будто это папка. Судя по Вашему описанию, очень похоже на действия этого вируса. Когда был бум на этот вирус, я с ним боролся с помощью утилит Касперского, правда не помню точно каких именно. Лечение у Касперского сводилось к обыкновенному удалению файлов и папок (оно и понятно, ведь вместо нужных данных там уже сидел только вирус). Данные при этом безвозвратно были потеряны. Не знаю как НаноАВ относится к данному вирусу, мне он давненько не встречался, да и лично у меня с таким вирусом дома проблем быть не должно - старая привычка с файлами работать только через коммандеры - любимый ФАР, при необходимости Тотал Коммандер.

Автор:	Nixon [ 09 июн 2011 23:10 ]
Заголовок сообщения:	Re: Проблемка...
Да я такой вирус тоже помню...но вот еще что...оригиналы он не удалял(в данном случии), а делал скрытыми, и можно было напрямую их открывать и свободно работать(если включена опция "видеть скртые файлы"). А вот что насчяет той папки со скриншотом указаным??? и есть ли сейчас вирус у меня...на вид ничего подозрительного нет...хм

Автор:	Viha [ 09 июн 2011 23:41 ]
Заголовок сообщения:	Re: Проблемка...
Судя по скрину стоит ВИН7. Возможно, что под ней вирус по другому отрабатывает. Но скорее всего я ошибаюсь(ковырять ВИН7 на предмет досконального изучения я только начал, на ХП у меня ушло порядка года на изучения и ковыряния, чтобы я смог сказать что могу найти и сдлать с ней практически что угодно и где угодно. С семеркой, с ее наследственностью от Висты, да еще и с параноидальными замашками по безопасностит, боюсь что у меня срок ее изучения растянется поболее). По поводу ошибки на скрине - все такое подозрительное... и папка и название файла... Когда ошибка выскакивает? Если при включении компьютера, то поискать в msconfig запуск и отключить. Если во время работы, то попытаться найти эту гадость в реестре.

Автор:	Rodger [ 10 июн 2011 13:00 ]
Заголовок сообщения:	Re: Проблемка...
Здравствуйте, Nixon. Сложно что-то конкретное сказать. Рекомендуем вам собрать на ноутбуке логи и отправить в службу поддержки (если есть живая зараза, велика вероятность, что мы увидим конкретные файлы). Для отправки логов воспользуйтесь, пожалуйста, соотв. ярлыком в "Пуск\Все программы\NANO Антивирус". Кроме того, вы также можете выслать нам эту подозрительную папку (поместите ее в архив с паролем "123" и отправьте на support@nanoav.ru).

Автор:	Nixon [ 10 июн 2011 13:14 ]
Заголовок сообщения:	Re: Проблемка...
Viha, эта надпись появляется только когда хочешь откруть эту папку(проблема только с этой папкой в данном случии, сестра эту паку принесла откуда то...), а все остальное норм работает. Rodger, логи отправил, папку тоже(сори забыл поставить на нее пароль)!

Автор:	Rodger [ 10 июн 2011 13:52 ]
Заголовок сообщения:	Re: Проблемка...
Спасибо, все получили. Это действительно ярлык, при запуске ярлыка происходит вот что: запускается файл "RECYCLER\11afb2c9.exe", а затем открывается целевая папка. Так как скопировали только ярлык, файл 11afb2c9.exe запуститься не может, т.к. он остался вместе с папкой RECYCLER на флешке. Другие пользователи также описывали нам подобную ситуацию, удалось получить образцы - они попадут в базу ориентировочно завтра. По логам подозрение вызвали два файла - будем благодарны, если вы пришлете нам образцы для последующего анализа: C:\Windows\System32\Drivers\a8vz2cnd.SYS C:\Users\Nixon\AppData\Local\Temp\m678kU6C.sys Файлы могут быть скрыты. Файлы поместите, пожалуйста в архив с паролем "123", отправляйте также на support@nanoav.ru.

Автор:	Nixon [ 10 июн 2011 15:20 ]
Заголовок сообщения:	Re: Проблемка...
Как то странно, я не смог найти указанные вами файлы, как скрытами так и открытами..смотрел вручную и через поиск, нету.

Автор:	Nixon [ 13 июн 2011 14:36 ]
Заголовок сообщения:	Re: Проблемка...
Флешки с вирусом я отформатировал, но когда повторно вставляешь их, вирус откуда то вновь там появляется H:\RECYCLER\11afb2c9.exe - нашел там вирус, но NANO его вообще не видит, поместил в карантин в ручную. Проверил сканером Dr.Web CureIt! ноут, нашел один вирус shyoyg.exe - BackDoor.Butter.23 находился C:\users\nixon\appdata\roaming До проверки в эту папку заглядывал, его я не увидел, как скрытым так и открытым. P.S. Проблему решил сам. Но обязательно вы вложите данное исправление в NANO.

Автор:	Rodger [ 14 июн 2011 13:13 ]
Заголовок сообщения:	Re: Проблемка...
Здравствуйте, Nixon. Спасибо за образец, файл начнет определяться ориентировочно с завтрашним обновлением баз.

Страница 1 из 2	Часовой пояс: UTC + 3 часа
Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/