Вирус Recycler - Страница 5

Hider · 28.02.2009, 14:12

Цитата:

Сообщение от Чекуртаб

Сразу же по закрытии вроде все в порядке, но при попытке окрыть диск С через "Мой компьютер" вылетает ошибка о невозможности доступа к какому-то "s-0-9-44..." и т.д. При этом проводником диск открывается и прекрасно выглядит.
Папка RECYCLER присутствует на всех логических дисках. Папка "recyleD" тоже.

Скачал обновление cureit, и моментально он прибил содержимое всех папок RECYCLER на всех логическим дисках, определив скрытые папочки "s-тра-та-та..." как "Trojan.Packed.2344"...
И все пришло в норму!

Недолго мучалась старушка

Схожая ситуация:

1. При попытке открыть диск (но не каждый) выдает сообщение:
---------------------------
RECYCLER\S-2-6-56-100021014-100016111-100015241-1314.com
---------------------------
Windows не удалось найти 'RECYCLER\S-2-6-56-100021014-100016111-100015241-1314.com'. Проверьте, что имя было введено правильно, и повторите попытку. Чтобы выполнить поиск файла, нажмите кнопку "Пуск", а затем выберите команду "Найти".
---------------------------
ОК
---------------------------

2. Запуск cureit выявил на дисках autorun.inf (сообщив о нем, что это возможно Win32.HLW.Autorunner.corrupter)

3. Папки RECYCLER и их содержимое cureit не чистит.

В чем проблема и как зачистить виря?

Eli · 28.02.2009, 14:25

попробуй AVZ
зайди в мой дневник и там Ссылка на скачивание

Hider · 28.02.2009, 15:32

Цитата:

Сообщение от Black Rose

попробуй AVZ
зайди в мой дневник и там Ссылка на скачивание

1. Весьма благодарен за подсказку. AVZ - нашел и скачал через яндекс.

2. Зайти в Дневник не смог. Выдается сообщение:

Вы не авторизованы на форуме или не имеете доступа к этой странице. Это могло произойти по одной из нескольких причин:
Вы не авторизованы на форуме. Введите имя пользователя и пароль и попробуйте ещё раз.
У вас недостаточно прав для обращения к этой странице.
Возможно, вы пытаетесь обратиться к функциям администратора или к другим привилегированным функциям.
Возможно, администратор отключил вашу учётную запись, или вы не активированы на форуме.

Eli · 28.02.2009, 16:13

Цитата:

Сообщение от Hider

1. Весьма благодарен за подсказку. AVZ - нашел и скачал через яндекс.

2. Зайти в Дневник не смог. Выдается сообщение:

Вы не авторизованы на форуме или не имеете доступа к этой странице. Это могло произойти по одной из нескольких причин:
Вы не авторизованы на форуме. Введите имя пользователя и пароль и попробуйте ещё раз.
У вас недостаточно прав для обращения к этой странице.
Возможно, вы пытаетесь обратиться к функциям администратора или к другим привилегированным функциям.
Возможно, администратор отключил вашу учётную запись, или вы не активированы на форуме.

исправил

Hider · 01.03.2009, 01:47

AVZ при запуске ни чего толком не нашел.

Через яндекс на сайте http://www.spyware-ru.com/flash_disinfector/
обнаружил небольшую программу чистки - Flash_Disinfector.exe, которая позволила удалить с дисков autorun.inf файлы.

В результате доступ к дискам разблокировался.

Удалось вручную удалить некотрые папки RECYCLER с их содержимым.

Однако, на двух дисках удаление оказалось не возможным с сообщением:
---------------------------
Ошибка при удалении файла или папки
---------------------------
Не удается удалить RECYCLER. Нет доступа.

Диск может быть переполнен или защищен от записи,
либо файл занят другим приложением.
---------------------------
ОК
---------------------------

Вирус блокирует?

Или ложная паника?

7ubor6 · 01.03.2009, 16:02

Ну и мученья, даже наипримитивнейший аваст уже умеет этот вирус удалять

Hider · 01.03.2009, 20:24

Цитата:

Сообщение от 7ubor6

Ну и мученья, даже наипримитивнейший аваст уже умеет этот вирус удалять

"Наипримитивнийший" оправдал свое определение ... авст не смог поймать вирус ... папки RECYCLER плодятся ... проблема не снимается.

Diman · 01.03.2009, 21:03

Да если одна папка RECYCLER и там много корзин и даже папки бывают под видом корзины это нормально.А вот если много это нет.Я думаю вам надо отформотировать диски.Потомучто по другому вроде бы нельзя.Ну а то что бы написали что из за этого контакт взломался я думаю вряд ли из за этого....

Hider · 02.03.2009, 01:01

Прошелся поисковиком по инету.

Народ рекомендует:

1. Программа unlocker

http://ccollomb.free.fr/unlocker/unlocker1.8.7.exe

Это небольшая бесплатная программа позволяет вручную удалять папки блокированные папки и определять процессы связанные с ограничениями удаления.

2. Не плохо справляется с подобными папками комбинация кнопок Shift + Del

Папки вновь рождаются, но уже содержат только скрытую папку под именем
S-1-5-21-1078081533-1482476501-682003330-1003
размером 83 байта.

Причина регинерации папки RECYCLER не понятна.

Прочесал диски почти всеми антивирусами и кое-что зачистил.

Обнаружилась любопытная деталь при одновременной работе Аваста и NODD.

Аваст просматривает файл из папки System Volume Information, щупает его и не видит виря. Следом идущий NODD ловит виря, хотя до этого самостоятельно в данном файле ни чего не находил.

Hider · 03.03.2009, 01:57

Полагаю, проблема разрешена.

В данном случае информация хранилась в разделе реестра MountPoints2 для текущей учетной записи диска I:

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2\I\Shell\AutoRun\co mmand

HKEY_USERS\S-1-5-21-1078081533-1482476501-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Exp lorer\MountPoints2\I\Shell\Open\command

где значение содержало:

D:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RECYCLER\S-2-6-56-100021014-100016111-100015241-1314.com i:\

После удаления подраздела Shell в указанных разделах реестра проблема разрешилась.

Более подробно: http://netler.ru/pc/ravmon.htm

Весьма признателен всем откликнувшимся.

02.03.2009, 01:01	#49 (permalink)
Hider Новичок Регистрация: 28.02.2009 Сообщений: 6 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 10	Прошелся поисковиком по инету. Народ рекомендует: 1. Программа unlocker http://ccollomb.free.fr/unlocker/unlocker1.8.7.exe Это небольшая бесплатная программа позволяет вручную удалять папки блокированные папки и определять процессы связанные с ограничениями удаления. 2. Не плохо справляется с подобными папками комбинация кнопок Shift + Del Папки вновь рождаются, но уже содержат только скрытую папку под именем S-1-5-21-1078081533-1482476501-682003330-1003 размером 83 байта. Причина регинерации папки RECYCLER не понятна. Прочесал диски почти всеми антивирусами и кое-что зачистил. Обнаружилась любопытная деталь при одновременной работе Аваста и NODD. Аваст просматривает файл из папки System Volume Information, щупает его и не видит виря. Следом идущий NODD ловит виря, хотя до этого самостоятельно в данном файле ни чего не находил. Последний раз редактировалось Hider; 02.03.2009 в 03:44

Опции темы
Версия для печати Отправить по электронной почте
Опции просмотра
Линейный вид Комбинированный вид Древовидный вид

28.02.2009, 14:25	#42 (permalink)
Eli TEHNARI.RU Регистрация: 31.03.2008 Адрес: Израиль Сообщений: 18,407 Записей в дневнике: 7 Сказал(а) спасибо: 10 Поблагодарили 1 раз в 1 сообщении Репутация: 14157	попробуй AVZ зайди в мой дневник и там Ссылка на скачивание

01.03.2009, 01:47	#45 (permalink)
Hider Новичок Регистрация: 28.02.2009 Сообщений: 6 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 10	AVZ при запуске ни чего толком не нашел. Через яндекс на сайте http://www.spyware-ru.com/flash_disinfector/ обнаружил небольшую программу чистки - Flash_Disinfector.exe, которая позволила удалить с дисков autorun.inf файлы. В результате доступ к дискам разблокировался. Удалось вручную удалить некотрые папки RECYCLER с их содержимым. Однако, на двух дисках удаление оказалось не возможным с сообщением: --------------------------- Ошибка при удалении файла или папки --------------------------- Не удается удалить RECYCLER. Нет доступа. Диск может быть переполнен или защищен от записи, либо файл занят другим приложением. --------------------------- ОК --------------------------- Вирус блокирует? Или ложная паника?

Ads
Яндекс Member Регистрация: 31.10.2006 Сообщений: 40200 Записей в дневнике: 0 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 55070

01.03.2009, 16:02	#46 (permalink)
7ubor6 Member Регистрация: 25.10.2008 Сообщений: 164 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 10	Ну и мученья, даже наипримитивнейший аваст уже умеет этот вирус удалять

01.03.2009, 21:03	#48 (permalink)
Diman Member Регистрация: 26.01.2009 Сообщений: 721 Сказал(а) спасибо: 0 Поблагодарили 2 раз(а) в 2 сообщениях Репутация: 741	Да если одна папка RECYCLER и там много корзин и даже папки бывают под видом корзины это нормально.А вот если много это нет.Я думаю вам надо отформотировать диски.Потомучто по другому вроде бы нельзя.Ну а то что бы написали что из за этого контакт взломался я думаю вряд ли из за этого....

03.03.2009, 01:57	#50 (permalink)
Hider Новичок Регистрация: 28.02.2009 Сообщений: 6 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 10	Полагаю, проблема разрешена. В данном случае информация хранилась в разделе реестра MountPoints2 для текущей учетной записи диска I: HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2\I\Shell\AutoRun\co mmand HKEY_USERS\S-1-5-21-1078081533-1482476501-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Exp lorer\MountPoints2\I\Shell\Open\command где значение содержало: D:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RECYCLER\S-2-6-56-100021014-100016111-100015241-1314.com i:\ После удаления подраздела Shell в указанных разделах реестра проблема разрешилась. Более подробно: http://netler.ru/pc/ravmon.htm Весьма признателен всем откликнувшимся.