-
Junior Member
- Вес репутации
- 57
После вирусной атаки не запускается explorer
Есть проблема...Вирус что-то сделал с файлами в итоге при загрузке системы не включается explorer. При попытке запустить его вручную выдает что не может найти файл (хотя он в папке лежит). Если переименовать - открывается, но всего лишь открываются Мои документы. Отображение рабочего стола и строки снизу не включается.
Что можно сделать, чтобы исправить ситуацию?
Можно ли как-то восстановить системные файлы с помощью какой-нить проги или копания в реестре?
З.Ы.: Не может ли собранная прогами инфа, которую требуется прикреплять к посту, использоваться в дальнейшем для атаки на мой комп? Я вижу, что она слишком уж подробная...Может имеет смысл несколько изменить правила и делать так, чтобы файлы бфли видны (и могли быть скачанными) только админом и юзерами, имеющими статус Советчиков?
Последний раз редактировалось Алексей Дёменко; 10.11.2008 в 14:35.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{AA58ED58-01DD-4d91-8333-CF10577473F7}');
DelBHO('{D0A7AE29-5A9D-419D-84CD-233098D57135}');
QuarantineFile('C:\WINDOWS\system32\tvsm.dll','');
QuarantineFile('csrss5.dll','');
QuarantineFile('C:\WINDOWS\System32\rs32net.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\csrss.exe','');
DeleteService('Tcj53');
QuarantineFile('C:\WINDOWS\System32\drivers\Tcj53.sys','');
DeleteService('Jra64');
QuarantineFile('C:\WINDOWS\System32\drivers\Jra64.sys','');
DeleteService('Bjq20');
QuarantineFile('C:\WINDOWS\System32\drivers\Bjq20.sys','');
DeleteService('ati5aixx');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati5aixx.sys','');
DeleteService('Ahp76');
QuarantineFile('C:\WINDOWS\System32\drivers\Ahp76.sys','');
QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe',' ');
DeleteFile('C:\WINDOWS\System32\drivers\Ahp76.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati5aixx.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Bjq20.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Jra64.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Tcj53.sys');
DeleteFile('C:\Documents and Settings\All Users\Application Data\csrss.exe');
DeleteFile('C:\WINDOWS\System32\rs32net.exe');
DeleteFile('csrss5.dll');
DeleteFile('C:\WINDOWS\system32\tvsm.dll');
DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(9);
RebootWindows(true);
end.
Пришлите карантин по правилам и повторите логи...
P.S. в логах нет секурной инфы, боятся вам нечего 
-
-
Junior Member
- Вес репутации
- 57
Пришлите карантин по правилам и повторите логи...
Не понял. То есть выполнить скрипт и еще раз пройти карантин по правилам с нуля? Скрипт выполнять в защищенном режиме?
в логах нет секурной инфы, боятся вам нечего
Есть инфа о прогах, что стоят, их версиях (а значит и о уязвимостях). Имея такие данные, что прога собирает умелый клхацкер найдет ключик к компу))) Да и ОБЭП может порадоваться (хотя и не в моем случае) нелиц. ПО)
-
Выполнить скрипт в обычном режиме, прислать карантин согласно приложению 3 правил, сделать заного логи и прикрепить их к сообщению...
"Умелые" здесь помогают
-
-
Junior Member
- Вес репутации
- 57
После выполнения скрипта появилась строка и запустился explorer. Большое спасибо! Можно узнать что это было то вообще????
З.Ы.: После того как проведу проверку прикреплю логи. Старые вам больше не нужны или для сравнения?)
-
Делаете как я написал, потом все скажу что интересует, старые логи можете удалить, они не нужны...
-
-
Junior Member
- Вес репутации
- 57
логи
Сегодня, во время и после лечения, столкнулся вот еще с какой проблемой...
Не могу напрямую открыть некоторые сайты, в частности http://kavicom.ru. Пишет:
Firefox определил, что сервер перенаправляет запрос на этот адрес таким образом, что он никогда не завершится.
Эта проблема может возникать при отключении или запрещении принятия cookies.
Кукисы включены, на всякий случай их чистил даже.
Пользуюсь мозиллой. Ноутбук рабочий, винда лицензионная
Дополнения отключал, комп перезагружал, не помогло.
Через анонимный прокси заходит нормально.
Фаервола на компе не стоит, но траф вроде идет через сервак
Возможно что это не связанно с вирусом, но кто его знает.
З.Ы.: Логи прикрепляю.
Последний раз редактировалось Алексей Дёменко; 11.11.2008 в 12:28.
-
-
-
Junior Member
- Вес репутации
- 57
Ясно...Значит проблема в чем-то другом..Благодарю за помощь.
