Вложений: 3
старую систему восстановили, переходим к убитой новой.
Здравствуйте,
[B]Rene-gad[/B], [B]thyrex[/B] - спасибо вам за помощь, полдела сделали ;) :старую систему восстановили, переходим к убитой новой.
Вообщем, я рассказал одному знакомому админу что у меня случилось, он сказал что судя по симптомам что сразу же BSOD, то на повреждение реестра это не похоже. Скорее всего - это было повреждение каких-либо главных системных файлов. И предложил он сделать поиск файлов в папке \windows\system32 по дате изменения и посмотреть, какие файлы были изменены в день вирусной атаки.
И вы знаете, их было достаточно немного. И одним из них был файл ntfs.sys, который даже я знаю что меняется раз в миллион лет и то при установке обновлений винды. И он как раз был изменен именно в тот день и в то время, когда я зашел на треклятый сайт.
Я посмотрел виндовские Properties на этот файл - пусто.
Иду смотреть на этот же файл на "старой" исправной (той которую только что пролечили) системе и вижу:
1. файлы имеют разный размер!
2. у файла в исправной системе присутствуют Properties и там написано и про версию файла и про производителя, вообщем много информации, которой в первом случае не было вообще.
Вообщем, копирую этот "исправный" файл поверх неисправного - и вуаля - винда сразу же запустилась!!! Походу этот вирус какой-то дряни напихал в этот файл, винда стартовала и пытаясь "вкурить" поврежденный файл, впадала в ступор-BSOD.
Причем я уверен, что если бы банально этот файл был просто удален - то система так бы и сказала, что не могу мол загрузиться т.к. нету файла такого-то. А так как файл, но неудобоваримый, то интеллекта у операционки понять и сообщить что "file corrupt" и "отрыгнуть" его у нее не хватало... Ну да ладно пусть это останется на совести Билла Гейтса.
Интересно еще, что вирус раскидал этот мусорный файл по всей директории: оригинальный файл должен быть только один и находиться только в папке \windows\system32\drivers, а мусорный файл был еще и дополнительно в корне папки \windows\system32, да еще и в \windows\system32\dllcache. Это расположение его аж в трех местах видимо уже чтобы убить систему "наверняка", да еще и запутать глупого юзера который вздумает ее чинить :O.
Правда я не понимаю, какой смысл вирусу заражать систему и при этом тут же ее вырубать напрочь, полностью лишая себя способности к дальнейшему размножению? Только чтоб нагадить пользователю ПК?
Вообщем, чтобы убедиться что теперь уже всё излечено, я снял стандартные логи с новой (свежевосстановленной) системы. Посмотрите их пожалуйста - есть ли что подозрительное в системе? Все ли в ней чисто?
Поставленный Avast! ничего криминального не находит, но доверия к беспплатным антивирусам у меня уже больше нет (Avira была отправлена в Корзину первым делом после запуска ОС).
Заранее благодарен.
