Очень пафосное название , потому что ситуация действительно на мой взгляд и по моему опыту общения с вирусней тупиковая.
Младший брат ползал по интернету , где-то увидел ссылку на файл , скачал , запустил в IE. Как оказалось - скрипт , который покопался в настройках и после издевательских щелканий мной по окошкам исчез.
После скрипта заблокированы Task Manager , Восстановление системы , брэндмауер и ВСЕ попытки запустить любое приложение (в т.ч. установщики через .exe , .msi работает) кроме IE и проводника. Никаких логов avz , никакого Хайджека , никакого CureIt.
После ребута также на учетной записи , откуда запустили скрипт , полностью стерто старт-меню.
Единственное что нашлось после перфоманса - сам скрипт.
Windows XP Home SP3
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Перегрузился из сейф мода на зараженную учетку , отлипли екзешники. Могу собирать логи и карантин с нее (на административной в сейф моде проблема с разрешениям экрана)?
АПД: Спустя минуту-2 после запуска основной учетку выпала "Ошибка передачи данных с ядром". Полной разрухи за этим не последовало.
АПД 2: Поторопился , старт-меню все так же пусто , залезть в проводник с папок на раб. столе не дает (Операция отменена вследствие действующих для компьютера ограничений. обратитесь к администратору сети).
voi la
Последний раз редактировалось Rene-gad; 26.08.2009 в 10:47.
Компьютермо пользуются 3 человека , судя по расположению - материал для рассмотрения отцом.
Нормальный режим - т.е. без сейф-мода? Невозможно , не могу запустить проводник , на любые попытки что-то записать на диск пишет что нет прав.
Сейчас раздаю права пользователю.
Добавлено через 11 минут
Телодвижения ничего не дали , даже с розданными правами на диск не могу не открыть , не записать.
Последний раз редактировалось XBocT; 26.08.2009 в 15:41.
Причина: Добавлено
Быструю проверку МБАМ удалось сделать и в нормальном режиме , отчет тоже сохранился.
Пока результаты быстрой проверки , запускаю полную.
П.С. Да , все что засветилось в результатах быстрой проверки сношу.
Вернулся контроль за рабочим столом и проводник , но Мой Компьютер в проводнике пуст.
Пока идет проверка твикером поправлю что увижу ^^
Последний раз редактировалось Rene-gad; 26.08.2009 в 19:00.
Пока идет проверка решил пока составить список проблем которые остались после легкой проверки (большая работает уже 3 часа , нашла еще 8 заражений):
Одна проблема - разрушенное старт меню. После чистки реестра почти все встало на места , корзину переименовал сам , остался только Пуск - его можно как-то вернуть к прежнему состоянию? Сейчас там только недавно запускаемые . панель управления , программы по умолчанию , справка-поиск-выполнить и выключение.
готово
Попробовал в свойствах меню - поставил Мой компьютер , но в меню он все равно ен отображается , попробую ребутнуться пока.
АПД после ребута все также нехватает только ссылки на мой компьютер в пуске и самой папки Мой компьютер в проводнике (она просто пустая , но в навигации проводника слева все отображается)
Последний раз редактировалось XBocT; 26.08.2009 в 21:13.
наличие параметра NoStartMenuMorePrograms. Если он есть, удалите
Вот эти строки нужно в MBAM удалить
Код:
F:\System Volume Information\_restore{6902BB27-9D06-47FE-BAD8-F075CA9A62D8}\RP67\A0131804.exe (Password.Stealer) -> No action taken.
F:\System Volume Information\_restore{6902BB27-9D06-47FE-BAD8-F075CA9A62D8}\RP77\A0141716.exe (Trojan.Srizbi) -> No action taken.
F:\WINDOWS\erqjuhwz.exe (Trojan.FakeAlert) -> No action taken.
F:\WINDOWS\system32\mmmsztsz.dll (Trojan.Agent) -> No action taken.
Запустите программу, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите Remove Selected (удалить выделенные, внимание - проверьте то, что удаляете). После удаления откройте лог и скопируйте в сообщение.
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Удалил строку в реестре. Пока никаких изменений , может после ребута сменил еще пару строк с 1 на 0 и добавил Мои документы , Музыка и Рисунки после ребута експлорера , а следовательно после полного ребута моего компьютера строка NoStartMenuMorePrograms не даст обратно Мой компьютер)
То , что на диске F - Старая винда , видимо и вирусы ее еще остались (папка 666 и карантин в ней - старый авз , тогда не создавались логи и поэтому на все забил )
Стер все - мне эти кейгены и тем более подозрительный зверек в библиотеке онлайн игры не нужны.
Еще раз перепроверить и сдать отчет?)
Последний раз редактировалось Rene-gad; 27.08.2009 в 14:52.
Причина: overquoting removed
Перегрузитесь, вдруг меню Программы появилось
Потом лог MBAM еще сделайте
Никаких изменений после ребута пока что.
Запускаю проверку и пока роюсь в реестре и шляюсь по айти форумам , может где еще варианты есть)
АПД: Нашел как вернуть Мой компьютер (сработало)
Чтобы удалить пункт Мой компьютер и заблокировать соответствующий флажок в диалоговом окне настройки, добавьте параметр типа
Код:
DWORD {20D04FE0-3AEA-1069-A2D8-08002B30309D}
со значением, равным 1 в разделе
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\NonEnum
Удаление вышеприведенного параметра или установка в 0 возвращает прежнее поведение
теперь нехватает только стандартных программ навроде браузера и почтовика по умолчанию
Добавлено через 13 минут
...Которые управлялись HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer NoStartMenuPinnedList.
У меня все , осталось только проблема со списком всех программ (их явно было больше раз в 5 и стандартные программы неполные (в реестре нашел полный их список на HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MenuOrder\Start Menu2) и делается полная проверка.
Последний раз редактировалось XBocT; 26.08.2009 в 22:05.
Причина: Добавлено
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: