Проблемы с компьютером после вируса вымогателя.

**Shultz** · 02.02.2010, 15:26

Компьютер был поражен вирусом вымогателем. После этого перестал запускаться виндоус на этапе ввода пароля пользователя. Доктор веб ливсиди нашел трояны и удалил их. После чего виндоус загрузилось один раз, а потом опять перестало. Тогда с загрузочного диска была запущена программа AVPTool, которая нашла множество dll файлов, инфицировнных PACKED.WIN32.KRAP.w/, которые были удалены.
После лечения AVPTool виндоус загружается, но компьютер работает некорректно, тормозит, при запуске виндоус появляются окна с сообщениями об ошибке, невозможно изменить способ входа пользователей в систему.

Прошу помощи уважаемых экспертов, прилагаю файлы с диагностикой системы.

Не знаю, важно это или нет, но это ноутбук сони вайо со специфичной функцией введения пароля по отпечатку пальца.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Шапельский Александр** · 02.02.2010, 15:49

Пофиксить в Hijack

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,

Закройте/выгрузите все программы кроме AVZ .
Отключите:
- ПК от интернета/локалки;
- антивирус и файрвол;
- восстановление системы;
- выполните скрипт

Код:

begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\msgsm32.acm:A5O','');
 QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
 DeleteFile('C:\WINDOWS\system32\sdra64.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

затем следующий

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

После выполнить:
- включите антивирус и файрволл;
- подключите ПК к интернету/локалке;
- файл quarantine.zip закачайте по ссылке Прислать запрошенный карантин
в шапке Вашей темы
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.

**Shultz** · 02.02.2010, 16:27

Результат загрузки
Ошибка загрузки. Данный файл уже был загружен.

Но я файл не загружал.

Добавлено через 19 минут

Архив карантина занимает 1 байт и по видимому пуст.

**Шапельский Александр** · 02.02.2010, 16:30

Сообщение от Shultz

Архив карантина занимает 1 байт и по видимому пуст.

Похоже, что пуст. Сделайте новые логи.

**Shultz** · 02.02.2010, 16:41

Щас поставил в безопасном режиме AVP, стоит продолжать или отключить, загрузицца в нормальном режиме и сделать логи?

Добавлено через 4 минуты

Забыл еще сказать, что после первого лечения доктором вебом (в первом посте описал) компьтер отключился при попыткезапустить AVZ и после этого снова виндоус перестало запускаться.

**Шапельский Александр** · 02.02.2010, 16:43

Сообщение от Shultz

загрузицца в нормальном режиме и сделать логи?

Да.

**Shultz** · 02.02.2010, 17:25

Новые логи.

**Шапельский Александр** · 02.02.2010, 17:48

Пофиксить в Hijack

Код:

O20 - AppInit_DLLs: C:\WINDOWS\system32\msgsm32.acm:A5O

Выполнить скрипт

Код:

begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\msgsm32.acm:A5O','');
DeleteFile('C:\WINDOWS\system32\msgsm32.acm:A5O');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.

**Shultz** · 02.02.2010, 17:58

Пришол карантин?

**Шапельский Александр** · 02.02.2010, 18:01

Сообщение от Shultz

Пришол карантин?

Нет

**Shultz** · 02.02.2010, 18:06

Премного извиняюсь за собственный идиотизм, прочитал приложение 3 к правилам. Я отсылал файл карантин.зип из директории авз.
Но дело в том, что AVZ показывает, что карантин пустой, нет файлов.

**Шапельский Александр** · 02.02.2010, 18:13

Сообщение от Shultz

Но дело в том, что AVZ показывает, что карантин пустой, нет файлов.

Такое бывает. Сделайте логи.

**Shultz** · 02.02.2010, 18:53

Новые логи.

**Шапельский Александр** · 02.02.2010, 19:04

В логах чисто, что с проблемой?
Рекомендую:
- удалите Bonjour--http://virusinfo.info/showthread.php?t=27923
- обновить Windows XP SP2 до Windows XP SP3, возможно потребуется активация;
- обновить Internet Explorer v6.00 SP2 до Internet Explorer v6.00 SP3;
- установить последние обновления на ОС.

**Shultz** · 02.02.2010, 20:01

Вроде все нормально.

**Shultz** · 04.02.2010, 14:01

Нормально, но не все. Теперь вордовсие файлы, находящиеся в моих документах, не открываются и не копируются. Виндоус пишет, что пользователь не имеет прав на эти файлы. Хотя захожу под единственным администратором, тем что и раньше был.

**Шапельский Александр** · 04.02.2010, 14:19

Сообщение от Shultz

Нормально, но не все. Теперь вордовсие файлы, находящиеся в моих документах, не открываются и не копируются. Виндоус пишет, что пользователь не имеет прав на эти файлы. Хотя захожу под единственным администратором, тем что и раньше был.

Проблема только с вордовскими файлами? А с файлами Excel?

**Shultz** · 04.02.2010, 14:23

Там только вордовсие. Программы запускаются нормально, Виндоус была полностью обновлена, лицензию прошла без переактивации.

**Шапельский Александр** · 04.02.2010, 14:25

Сообщение от shapel

А с файлами Excel?

А как с этими файлами?

**Shultz** · 04.02.2010, 14:29

Со всеми походу. Нету прав на мои документы и десктоп.

Проблемы с компьютером после вируса вымогателя. (заявка № 69992)

Опции темы

Проблемы с компьютером после вируса вымогателя.

Похожие темы

Не осталось ли хвостов после лечения вируса вымогателя

проблемы после вируса

После удаления вируса-вымогателя.

Проблемы с компьютером псле удаления вымогателя

Проблемы после вируса

Ваши права в разделе