Elektroda.pl
Elektroda.pl
X
Servizza
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Windows XP - Brak plików w folderze po usunięciu złośliwego oprogramowania

q3d 04 Lut 2013 13:45 1437 7
  • #1 04 Lut 2013 13:45
    q3d
    Poziom 8  

    W systemie Windows XP znajduje się udostępniony w sieci folder. Z pewnością doszło w nim do jakiejś infekcji, kŧóry objawiała się między innymi tym, że w przypadku wyświetlenia zawrtości tego folderu z komputera zdalnego następowało jego zawieszenie.

    Komputer z windows XP przeskanowałem skanerem online NOD32, który wykrył w udostępnionym folderze złośliwe oprogramowanie w plikach o rozszerzeniu .lnk (skróty).

    Obecnie sytuacja wygląda tak, że folder jest pust ale wyświetlając jego właściwości pojawia się informacja o objętości kilku GB oraz o liczbie plików.

    Jakieś sugestie co do przywrócenia zawartości tego folderu?

    LOG OTL:

    Kod: text
    Zaloguj się, aby zobaczyć kod

    0 7
  • Servizza
  • #2 04 Lut 2013 14:23
    DriverMSG
    Admin grupy komputery

    q3d napisał:
    Obecnie sytuacja wygląda tak, że folder jest pust ale wyświetlając jego właściwości pojawia się informacja o objętości kilku GB oraz o liczbie plików.
    Masz włączony widok plików ukrytych i systemowych w opcjach folderu?

    0
  • Servizza
  • #3 04 Lut 2013 14:35
    q3d
    Poziom 8  

    Zeskanowalem jeszcze system programem Malwarebytes Anti-Malware, który usunal dodatkowo dwa zagrozenia i obecnie widze zawartosc tego folderu ale wszystkie pliki i katalogi maja atrybut ukryty, ktorego nie da sie odznaczyc we wlasciwosciach folderu (szary chackbox).

    Ponizej log z programu:

    Code:

    Malwarebytes Anti-Malware (Okres testowy) 1.70.0.1100
    www.malwarebytes.org

    Wersja bazy: v2013.02.04.05

    Windows XP Service Pack 3 x86 NTFS
    Internet Explorer 8.0.6001.18702
    admin :: SERWER [administrator]

    Ochrona: Włączona

    2013-02-04 13:59:53
    mbam-log-2013-02-04 (13-59-53).txt

    Typ skanowania: Szybkie skanowanie
    Zaznaczone opcje skanowania: Pamięć | Rozruch | Rejestr | System plików | Heurystyka/Dodatkowe | Heuristyka/Shuriken | PUP | PUM
    Odznaczone opcje skanowania: P2P
    Przeskanowano obiektów: 211052
    Upłynęło: 2 minut(y), 17 sekund(y)

    Wykrytych procesów w pamięci: 0
    (Nie znaleziono zagrożeń)

    Wykrytych modułów w pamięci: 0
    (Nie znaleziono zagrożeń)

    Wykrytych kluczy rejestru: 1
    HKLM\System\CurrentControlSet\Services\svchost (Backdoor.Bot) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.

    Wykrytych wartości rejestru: 1
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|spoolsv (Backdoor.Bot) -> Data: "C:\Windows\temp\spoolsv\spoolsv.exe" -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.

    Wykryte wpisy rejestru systemowego: 0
    (Nie znaleziono zagrożeń)

    wykrytych folderów: 0
    (Nie znaleziono zagrożeń)

    Wykrytych plików: 0
    (Nie znaleziono zagrożeń)

    (zakończone)

    0
  • #5 04 Lut 2013 14:49
    q3d
    Poziom 8  

    W trybie awaryjnym sytuacja jest dokładnie taka sama: pliki i foldery są w lokalizacji ale maja status ukryty, którego nie można zmienić. Od skanera onlinie ESET zacząłem cała "procedurę".

    Wygląda na to że w chwili obecnej problem polega na zmianie atrybutu ukryty dla wszystkich plików i katalogów. Można to zrobić jakoś z wiersza poleceń lub jakis inny pomysł?

    0
  • #6 04 Lut 2013 16:11
    Kolobos
    Spec od komputerów

    Wykonaj skrypt w OTL:

    :OTL
    O4 - HKLM..\Run: [spoolsv] "C:\Windows\temp\spoolsv\spoolsv.exe" File not found


    Na komputerze na ktorym masz ten folder wpisz w uruchom:
    attrib -S -H X:\FOLDER\*.* /S /D

    Za X:\FOLDER\ wstaw litere dysku oraz lokalizacje plikow.

    Daj tez logi z OTL z tego komputera.

    0
  • #7 04 Lut 2013 20:59
    q3d
    Poziom 8  

    Po wykonaniu obu czynnosci pliki i katalogi wyswietlaja sie poprawnie. Dzikuje.

    Poniezj log OTL:

    Kod: text
    Zaloguj się, aby zobaczyć kod


    Brak polskich znaków chyba wynika z polaczenia przez VNC.

    0
  • Pomocny post
    #8 04 Lut 2013 21:04
    Kolobos
    Spec od komputerów

    Wyglada ok. Wybierz w OTL Sprzatanie i to wszystko.

    0
  Szukaj w 5mln produktów