-
Junior Member
- Вес репутации
- 47
ХЕЛП МИ ПЛИЗ !!!!
беда товарищи... беда!!!
дал другу ноут на время! в итоге зацепил он вирусняка!!
1_) как понял неладное, сразу обновил каспера и проверил все! каспер даже намека на вирусы не дал!
2_) после перезагрузки появились странные процессы! такие как
guardguard.exe
smss.exe
lsass.exe
Снять процесс не получается! они мгновенно запускаются вновь!
от имени админа запущен только процесс - taskmgr.exe
3_) появилась папка C:\\WINDOWS\Prefetch со странными файлами расширения *.pf
4_) вирус за считанные секунды сожрал большинство системных файлов (или может спрятал их куда)! у меня нет половины файлов в папке WINDOWS и system32
отсутствует explorer.exe
5_) не могу открывать папки!!! при открытии любой папки открывается поиск!
не могу открывать файлы!!! при попытки открытия дает выбор программ!
при попытки удаления папки запускается установка Promt8 Editor
6_) папка c каспером в ProgramFiles пропала!!!
7_) не запускается ни одно приложение! работать могу только через cmd.exe и через проводник по папкам лажу
8_) хотел плюнуть на все - форматнуть жесткий и поставить заново винду! не тут то было!!! с установочного диска пытался запустить norton. не смог! пишит - "Device driver not found: 'MSCD001' "
хотел ставить винду поверх старой - получил синий экран смерти! с надписью
"Check for virus on your comruter. Remove any newly installed hard drivers controllers. Check your hard drive to make sure it is configured and terminated. Run CHKDSK /F to check for hard drive corruption, and then restart your computer.
*** STOP: 0x0000007B (0xF78D2524,0xC0000034,0x00000000,0x00000000)"
пробовал форматнуть диск через Acronis! и тут неудача!!! получил в ответ "Acronis Loader fatal error: Boot drive (partition) not found."
9_) еще заметил, что появился новый пользователь в числе администраторов пк!
ВЫ СТАЛКИВАЛИСЬ С ТАКИМ???
такое чувство, что уже не я владею этим ноутом, а это вирусяк!
может есть мысли, как с ним расквитаться?
или хотя бы подскажите, как мне винд форматнуть???
плиииииииииииз!!!
Поживу-увижу. Доживу-узнаю. Выживу-учту
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Belzzz, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Junior Member
- Вес репутации
- 47
Спасибо бот!!!
жду помощи с нетерпением )
и еще небольшая поправочка! в безопасном режиме абсолютно тоже самое (((((
Поживу-увижу. Доживу-узнаю. Выживу-учту
-
Сообщение от
Belzzz
работать могу только через cmd.exe и через проводник по папкам лажу
А запустить AVZ и сделать логи не удается?
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 47
не могу запустить ни одну прогу!!!!
не установить не удалить!! ваще ничего (((
провал просто!
Добавлено через 3 минуты
Только системные команды!!! файлы не запускаются!!
avz на том ноуте не установлен!!! каспер исчез!
Последний раз редактировалось Belzzz; 18.06.2011 в 08:12.
Причина: Добавлено
Поживу-увижу. Доживу-узнаю. Выживу-учту
-
Сообщение от
Belzzz
avz на том ноуте не установлен!!!
AVZ не требует установки.
Как вариант попробуйте такую версию AVZ:
http://gjf.hotbox.ru/svchost.pif.
Добавлено через 2 минуты
В BIOS Setup переключите SATA-контроллер из AHCI в IDE-совместимый режим.
Последний раз редактировалось Bratez; 18.06.2011 в 08:48.
Причина: Добавлено
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 47
проверил!!! скинуть полностью лог не могу! так как сохранить не имею возможности!
красный выделено следующее!
Функция kernel32.dll: GetProcAddress (409) перехвачена, метод ProcAddressHijack.GetProcAddress -> 7C80AE40 -> 7C884FEC
Функция kernel32.dll: LoadLibraryA (581) перехвачена, метод ProcAddressHijack.GetProcAddress -> 7C801D7B -> 7C884F9C
Функция kernel32.dll: LoadLibraryExA (582) перехвачена, метод ProcAddressHijack.GetProcAddress -> 7C801D53 -> 7C884FB0
Функция kernel32.dll: LoadLibraryExW (583) перехвачена, метод ProcAddressHijack.GetProcAddress -> 7C801AF5 -> 7C884FD8
Функция kernel32.dll: LoadLibraryW (584) перехвачена, метод ProcAddressHijack.GetProcAddress -> 7C80AEEB -> 7C884FC4
Детектирована модивикация IAT: LoadLibraryA - 7C884F9C <> 7C801D7B
Детектирована модивикация IAT: GetProcAddress - 7C884FEC <> 7C80AE40
Там потом очень много про файлы
C:\WINDOWS\system32\drivers\klif.sys
C:\WINDOWS\system32\Drivers\kl1.sys
потом еще
\FileSystem\ntfs[...]
\FileSystem\FastFat[...]
>>> C:\WINDOWS\system32\explorer.exe ЭПС: подозрения на файл с подозрительным именем (высокая степень вероятности)
>> разрешен автозапуск с HDD
>> разрешен автозапуск с сетевых дисков
>> разрешен автозапуск со сменных носителей
Поживу-увижу. Доживу-узнаю. Выживу-учту