Компьютерный форум
Страница 1 из 2 1 2
Показывать 40 сообщений этой темы на одной странице

Компьютерный форум (http://pchelpforum.ru/index.php)
-   Безопасность (http://pchelpforum.ru/forumdisplay.php?f=26)
-   -   Каспер стёр системные файлы (http://pchelpforum.ru/showthread.php?t=28337)

Next 20.05.2010 19:16
Каспер стёр системные файлы
 
Сегодня подцепил трояна, из тех что деньги за SMS вымогают: "наша компания определила, что ваш комп заражён опасным вирусом... бла-бла-бла, дайте бабки!" И написано название вируса: Trojan-Spy.Win32.Zbot.ikn. Ещё какая-то приколка: внимание: не переустанавливайте систему, т.к. это приведёт к потере данных, поскольку троян проник в БИОС". :D При отказе заплатить, через 30 сек шёл на перезагрузку. Подобные трояны ранее ловил уже неоднократно: проблему решал просто - загружался с другой учётки, копировал файлы из старой учётки в новую, а предыдущюю косил нах и всё! А тут вдруг не одна не запускается! Чего не ткни: везде эта хрень вылазит. Думал хоть Каспер поможет. Благо была вторая система. Запустил Кампера, он мне всё отсканировал, вроде как всё удалил, перезагружаюсь... пишет: "идёт загрузка личных параметров"... Бах!!! "идёт завершение сеанса"... нажимаю вторую - тоже самое! И так постоянно! И что теперь: косить систему? КАК МНЕ ЗАПУСТИТЬ РАБОЧИЙ СТОЛ? Может Каспер какие файлы стёр? Или Вирус отключил рабочий стол? ХЕЛП!!!

romul781 20.05.2010 19:26
Next, в Безопасный режим можете зайти?

Next 20.05.2010 20:50
Можно, только бесполезно. Заменил папку System32 - ЗАРАБОТАЛО!!! Правда не без глюков: разрешение экрана 640 на 480 и 16 Цветов! Давно таких марсианских пейзажей не видал!! :D Ща, скачиваю дрова! Интернет работает (правда не один из браузеров ничего не грузит). Звук вроде бы имеется... с остальным ещё не разобрался. Но главное, что у меня теперь есть рабочий стол - это КРУТО!!!

romul781 20.05.2010 20:59
рад за вас :)

Next 20.05.2010 21:28
Цитата:
Сообщение от romul781 (Сообщение 229998)
рад за вас :)
Пасибо. :)

Next 21.05.2010 17:18
Мда, праздновал победу не долго. Система работает и работает стабильно, но остаются проблемы, например с сетью. Может не слишком удачной была идея заменить системные файлы, хотя есть ещё шанс вернуть всё на место (все копии у меня есть).:rolleyes: Не знаю надо ли мне создавать новую тему, поскольку, поскольку все вопросы будут по Винде, а мою тему уже перенесли в раздел безопасность… Но я всё же выложу их здесь, если што, напишу ещё раз в теме ХР: если админы будут не против?
1. Интернет. Сообщение сетевухи (Marvell Yukon): «подключение ограниченно или отсутствует». Кнопочка исправить не помогает, отсылает по что-то к TCP\Ip. Пробовал забить в ручную – ни какой реакции. Всё как было так и осталось. Странно, что в «деталях сетевого подключения» не отображается даже её физический адрес, хотя в диспетчере всё норм. Переустановка дров и устройства результатов так же не принесло. Что можно ещё сделать?
2 Не включается диспетчер устройств. Сообщение: диспетчер отключён администратором! Странно, я то всегда думал что это я. Где можно его включить?
3. Что за файл portmap.exe? Папка sys32. При включение винда ссылалась на него и как вариант предложила удалить упоминания из реемтра. Я так и сделал, поскольку в моих копиях его почему-то не оказалось…

01pump 21.05.2010 17:20
Next,

Без вопросов делайте логи http://pchelpforum.ru/f26/t6442/ и присылайте их

Next 21.05.2010 19:00
Щаз зделаю, спасибо.

---------- Добавлено в 18:00 ---------- Предыдущее сообщение было написано в 16:30 ----------

Лог: Скачать virusinfo_syscure.zip с exfile.ru

snifer67 21.05.2010 20:18
Выполните скрипт в avz
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 QuarantineFile('D:\WINDOWS\system32\sdra64.exe','');
 QuarantineFile('D:\WINDOWS\system32\7ca6500a.exe','');
 DeleteFile('D:\WINDOWS\system32\7ca6500a.exe');
 DeleteFile('D:\WINDOWS\system32\sdra64.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(13);
RebootWindows(true);
end.
ПК перезагрузится.

Выполнить скрипт в AVZ.
Код:
var
  qfolder: string;
  qname: string;
begin
  qname := GetAVZDirectory + '..\Quarantine\quarantine.zip';
  qfolder := ExtractFilePath(qname);
  if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder);
  CreateQurantineArchive(qname);
  ExecuteFile('explorer.exe', qfolder, 1, 0, false);
end.
Вы увидите папку с архивом. Это - карантин.
Карантин отправьте на newvirus@tut.by (размер карантина должен быть больше 5кб)
Сделайте новые логи.

01pump 21.05.2010 22:55
Next,
В добавок к предыдущему посту snifer67 выполните следующий скрипт
Код:

begin
ExecuteRepair(15);
RebootWindows(true);
end.
После перезагрузки создайте заново сетевое подключение.

Next 21.05.2010 23:15
01pump,
Цитата:
Сообщение от 01pump (Сообщение 230634)
Next,
В добавок к предыдущему посту snifer67 выполните следующий скрипт
Ок.

Цитата:
Сообщение от snifer67 (Сообщение 230559)
Выполните скрипт
файл в карантине занимал 1 кб


Цитата:
Сообщение от snifer67 (Сообщение 230559)
Сделайте новые логи
hijackthis
Скачать hijackthis.log с exfile.ru
Скачать startuplist.txt с exfile.ru
hijackthis шпионов обнаружено не было.
Ещё какой-то файл не знаю к кому:
Скачать hs_err_pid3588.log с exfile.ru
Rist
Скачать info.txt с exfile.ru
Скачать log.txt с exfile.ru
ADS-Spy
Муть какая-то: одни ссылки, курсоры и файлы Каспера... файл 1 кб
Скачать ADS-Spy.Scan.txt с exfile.ru
Утилитой DSS просканировать не получилось: требует, чтобы я немедленно завершил работу hijackthis... Я даже деинсталировал hijackthis, чтоб ей не думалось, удалил куски, снёс папку Deckard, со всем, что она там насоздавала, перезагрузился, облом...
GMER не работает.
Начнется экспресс-проверка, затем окно программы исчезает и больше ничего не происходит. При повторном запуске комп превращается в 386, помогает лишь Reset. Может я мало ждал? Запуск от имени администратора не помогает.
ComboFix
Скачать ComboFix.txt с exfile.ru

01pump 21.05.2010 23:21
Next,

Вы зачем кучу дополнительных логов наделали? :)

Вот это сделайте обязательно:
выполните в avz стандартный скрипт №2 и пришлите архив virusinfo_syscheck.zip

Next 21.05.2010 23:59
01pump А, поприкалываться над вами над всеми захотелось! :)
Вот: Скачать virusinfo_syscheck.zip с exfile.ru, больше ничего не буду делать, а то опять скажешь "зачем так много"? :cool:

01pump 22.05.2010 00:01
Next,
Сеть проверяли? Заработала?

Next 22.05.2010 00:02
Цитата:
Сообщение от 01pump (Сообщение 230634)
Next,
В добавок к предыдущему посту snifer67
Инет Заработал!!!!! :)


Текущее время: 04:56. Часовой пояс GMT +4.
Страница 1 из 2 1 2
Показывать 40 сообщений этой темы на одной странице

Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2026, vBulletin Solutions, Inc. Перевод: zCarot
Copyright ©2007-2016, PCHelpForum.ru.