старую систему восстановили, переходим к убитой новой.
Здравствуйте, Rene-gad, thyrex - спасибо вам за помощь, полдела сделали :старую систему восстановили, переходим к убитой новой.
Вообщем, я рассказал одному знакомому админу что у меня случилось, он сказал что судя по симптомам что сразу же BSOD, то на повреждение реестра это не похоже. Скорее всего - это было повреждение каких-либо главных системных файлов. И предложил он сделать поиск файлов в папке \windows\system32 по дате изменения и посмотреть, какие файлы были изменены в день вирусной атаки.
И вы знаете, их было достаточно немного. И одним из них был файл ntfs.sys, который даже я знаю что меняется раз в миллион лет и то при установке обновлений винды. И он как раз был изменен именно в тот день и в то время, когда я зашел на треклятый сайт.
Я посмотрел виндовские Properties на этот файл - пусто.
Иду смотреть на этот же файл на "старой" исправной (той которую только что пролечили) системе и вижу:
1. файлы имеют разный размер!
2. у файла в исправной системе присутствуют Properties и там написано и про версию файла и про производителя, вообщем много информации, которой в первом случае не было вообще.
Вообщем, копирую этот "исправный" файл поверх неисправного - и вуаля - винда сразу же запустилась!!! Походу этот вирус какой-то дряни напихал в этот файл, винда стартовала и пытаясь "вкурить" поврежденный файл, впадала в ступор-BSOD.
Причем я уверен, что если бы банально этот файл был просто удален - то система так бы и сказала, что не могу мол загрузиться т.к. нету файла такого-то. А так как файл, но неудобоваримый, то интеллекта у операционки понять и сообщить что "file corrupt" и "отрыгнуть" его у нее не хватало... Ну да ладно пусть это останется на совести Билла Гейтса.
Интересно еще, что вирус раскидал этот мусорный файл по всей директории: оригинальный файл должен быть только один и находиться только в папке \windows\system32\drivers, а мусорный файл был еще и дополнительно в корне папки \windows\system32, да еще и в \windows\system32\dllcache. Это расположение его аж в трех местах видимо уже чтобы убить систему "наверняка", да еще и запутать глупого юзера который вздумает ее чинить .
Правда я не понимаю, какой смысл вирусу заражать систему и при этом тут же ее вырубать напрочь, полностью лишая себя способности к дальнейшему размножению? Только чтоб нагадить пользователю ПК?
Вообщем, чтобы убедиться что теперь уже всё излечено, я снял стандартные логи с новой (свежевосстановленной) системы. Посмотрите их пожалуйста - есть ли что подозрительное в системе? Все ли в ней чисто?
Поставленный Avast! ничего криминального не находит, но доверия к беспплатным антивирусам у меня уже больше нет (Avira была отправлена в Корзину первым делом после запуска ОС).
Заранее благодарен.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Rene-gad,
есть некие у меня подозрения... С момента "воскрешения" стала часто вываливаться ошибка на файл scvhost (не может прочитать память по какому-то адресу и пр.), после чего комп зависает с песочными часами и даже перезагрузиться не может, приходится использовать кнопку reset.
Меня смущает то, что в диспетчере задач этих процессов одновременно запущено аж семь штук, и в моменты зависаний один из этих процессов загружает ЦП почти на 100%.
Раньше такого не было...
Может еще разок логи снять?
- Скачайте GMER по одной из указанных ссылок: Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
- Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
Sections
IAT/EAT
Show all
Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
- Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
в логе ничего плохого ....
я так полагаю "винда" не видела обновлений после сп3 ?
Ну был установлен ZverCd достаточно нестарый (включающий в себя часть обновлений и более поздних чем SP3), после чего автоматическое обновление было выключено.
Думаете стоит сделать?
Меня смущает то, что до заражения вирусом и без обновлений ошибка на scvhost никогда не вылезала...
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: