Показано с 1 по 14 из 14.

Система не восстанавливается полностью (заявка № 38701)

  1. #1
    Junior Member Репутация
    Регистрация
    01.02.2009
    Сообщений
    7
    Вес репутации
    58

    Thumbs up Система не восстанавливается полностью

    Родственник подхватил вирус, который полностью заблокировал систему. Сразу после запуска открывалось окнос эксплорера с предложением активировать виндоус отправкой смс и вводом кода. Диспетчер задач и все что только возможно заблокированы, запуск программ невозможен даже в безопасном режиме.
    Подцепил винт к другой машине, ручками нашел несколько "вредных" файлов, но приниципиально ничего не изменилось, только окно эксплорера с предложением активации удалось убрать. Проводник запускался только через вин+Е, но в нем все диски были спрятаны, отображалось только содержимое рабочего стола, причем только в проводнике, на рабочем столе было пусто.
    Короче, путем хитрых махинаций удалось закинуть на рабочий стол АВЗ и запустить его с помощью "запустить от имени..." Вроде много что почистилось и пофиксилось, система стала загружаться, но остался ряд проблем.
    Запущенный проводник кликом по крестику не закрывается, говорит запрещено администратором, усб не работает, т.е. флэшку не подключить. Это то, что сразу удалось увидеть, возможно будут еще проблемы.
    Логи прилагаю, что посоветуете?

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1810
    Где логи?

  4. #3
    Junior Member Репутация
    Регистрация
    01.02.2009
    Сообщений
    7
    Вес репутации
    58

    Прикрепил логи

    Сорри, в первый раз втупил, не нажал кнопку загрузить.
    Вложения Вложения

  5. #4
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1810
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\user32dll.exe','');
     QuarantineFile('C:\WINDOWS\Cursors\sdd.cmd','');
     QuarantineFile('C:\WINDOWS\Cursors\SMS.htm','');
     DeleteFile('C:\WINDOWS\system32\user32dll.exe');
    BC_ImportALL;  
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(5);    
    ExecuteRepair(6);
    ExecuteRepair(8);    
    RebootWindows(true);
    end.
    Пришлите карантин по правилам и повторите логи...

  6. #5
    Junior Member Репутация
    Регистрация
    01.02.2009
    Сообщений
    7
    Вес репутации
    58

    Карантин отправил, новые логи прикрепил

    Карантин отправил, новые логи прикрепил.
    Окна эксплорера стали закрываться нормально. Усб по-прежнему не пашет. Вернее пашет своеобразно - при подтыкании флэшки выдает сообщение, что быстрое устройство подключено к медленному порту и все...самой флэшки нигде нет. В диспетчере устройств на порт, к которому подключена флэшка, вешается восклицательный знак (до подключения флэшки восклицательных значков нет).
    Вложения Вложения

  7. #6
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1810
    Вот эти файлики поищите ручками:

    Код:
    C:\WINDOWS\Cursors\SMS.htm
    C:\WINDOWS\Cursors\sdd.cmd
    Найдете, в архив с паролем "virus" и прислать, очень любопытно на них посмотреть...

    Скажите какое значение в этом ключе стоит у параметра "Start":

    Код:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR

  8. #7
    Junior Member Репутация
    Регистрация
    01.02.2009
    Сообщений
    7
    Вес репутации
    58
    Эти файлики и батник, которым они запускались, я и почистил ручками с самого начала, так как кое-какой опыт борьбы с вирусами имеется. Для "истории" сохранил, выслал Вам в карантин все, что тогда почистил ручками (обычно сразу ищу файлы по дате изменения, так ловил 90% всех вирусов).
    Ключик в реестре сейчас гляну, не успеваю "прыгать" по трем компам и перетыкать винты-мониторы-клавы.

    Добавлено через 6 минут

    Значение параметра в реестре равно "4"
    Последний раз редактировалось DenVik; 02.02.2009 в 12:30. Причина: Добавлено

  9. #8
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1810
    Установите значение "3" и перезагрузитесь, сообщите что с USB...

  10. #9
    Junior Member Репутация
    Регистрация
    01.02.2009
    Сообщений
    7
    Вес репутации
    58
    Ура! Заработало!
    Спасибо огромное за точную и, немаловажно, быструю помощь!
    Второй карантин с файликами дошел? Подозреваю, что этот sdd.cmd ни что иное, как виндовый скрипт (я не программист, компьютер у меня просто хобби), установивший политики ограничения. Если не трудно, то может глянете, что он еще порушил, чего не видно сразу после загрузки системы?
    ps Все забываю, в правом нижнем углу возле трея появилась надпись с версией виндоус, ее можно убрать? Наверное, это тоже ключик в реестре?

  11. #10
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1810
    sdd.cmd- Trojan.Win32.VB.jnd

    Детектирование файла будет добавлено в следующее обновление.

    Насчет надписи ничего не обещаю, файл криптованный, разбирать его нет времени...

  12. #11
    Junior Member Репутация
    Регистрация
    01.02.2009
    Сообщений
    7
    Вес репутации
    58
    Понятно, я его тоже попытался посмотреть, так и подумал, что закриптован. У нас эту дрянь какой-то нехороший человек выложил в местную файлообменную сеть, куча народа скачало самораспаковывающийся архивчик с завлекательным названием ХХХ и влипло на переустановку системы. Ни один антивирус не обнаруживал. Родственник прибежал со слезами, что инфа нужна. Я решил побороться на выходных врукопашную, но не очень успешно. Только благодаря Вам вроде как оживил систему.
    Ладно, пусть родственник попробует поработать, там будет видно, остались ли глюки.

  13. #12
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1810
    Надпись у меня тоже появилась, сейчас гляну, ждите...

    В этом ключе HKEY_CURRENT_USER\Control Panel\Desktop в параметре "PaintDesktopVersion" поставьте значение "0" и перезагрузитесь, должна пропасть надпись...
    Последний раз редактировалось Гриша; 02.02.2009 в 13:27.

  14. #13
    Junior Member Репутация
    Регистрация
    01.02.2009
    Сообщений
    7
    Вес репутации
    58
    Все отлично! Спасибо огромное еще раз!

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    979

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 15
    • В ходе лечения обнаружены вредоносные программы:
      1. \sdd.cmd - Trojan.Win32.VB.jnd (DrWEB: Trojan.Luzya)
      2. \user32dll.exe - Trojan.Win32.VB.jnd (DrWEB: Trojan.Luzya)


  • Уважаемый(ая) DenVik, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 4
      Последнее сообщение: 30.12.2010, 01:58
    2. Ответов: 1
      Последнее сообщение: 22.12.2010, 19:36
    3. Ответов: 7
      Последнее сообщение: 02.06.2010, 10:05
    4. Ответов: 2
      Последнее сообщение: 26.11.2009, 23:27

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01376 seconds with 17 queries