-
Junior Member
- Вес репутации
- 52
Вирус полностью заблокировал компьютер
Уважаемые специалисты, помогите!
Несколько дней назад поймала вирус в виде порнокартинки на рабочем столе. Сделал откат системы, картинка пропала, начала проверять антивирусом, но компьютер зажил своей жизнью, отключился, перезагрузился и ... ничего. Рабочий стол пустой, диспетчер задач: "отключён администратором", попробовала через win+U попасть в интернет, но инет тоже вырубился, ничего не грузится. В безопасном режиме - не грузится, внизу появляется надпись "нажмите esc для отключения d347bus.sys " и ничего не происходит.
К сожалению, именно поэтому я не смогу предоставить вам требуемые логи AVZ и др. программ, т.к. сделать их у меня нет никакой возможности.
Мои действия: 1. Создала загрузочный диск доктора Веба, диск запустился (ура!), стал сканировать всю систему (очень долго), по окончании выдал следующие вирусы:
C:/Windows/system32/sfcfiles.dll - Trojan.WinSpy.527
C:/Windows/system32/netprotdrvss- Trojan.Packed.19647
C:/Windows/system32/user32.exe - Trojan.Winlock.179
C:/Windows/system32/jriw.eao - Trojan.Ofisla.11
C:/Documents and settings/1/Local Settings/Temp/641C.tmp - Trojan.Ofisla.11
C:/Documents and settings/1/Local Settings/Temp/6AC4.tmp - Trojan.Packed.19647
C:/Documents and settings/1/Local Settings/Temp/BEom.tmp - Trojan.Packed.19647
C:/Documents and settings/1/Local Settings/Temp/IqVe.tmp - Trojan.Winlock.179
C:/Documents and settings/1/Local Settings/Temporary Internet Files/Content.IE5/6XSWMSOG/z0021............... - Trojan.Winlock.179
Нажала кнопку лечить, пролечилось, система перезагрузилась - всё тоже самое. Ничего нет на рабочем столе, ДЗ отключён. Попробовала в аварийном режиме - не работает.
Сделала загрузочный диск ERD Commander - хотела попробовать через него почистить реестр - но он никак не хочет загружаться.
Итог: система загружается только с загр.диском Доктора Веба. Интернет не работает. При загрузке системы работает Midnight commander и консольный сканер (Terminal). Как с ними работать и что делать не имею ни малейшего представления
Пожалуйста, помогите вылечить вирусы и спасти ноутбук. У меня там диссертация
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Загрузитесь c livecd, скопируйте все критичные для вас материалы(диссертация) на флэшку.
Попробуйте пролечиться этим LiveCD http://narod.ru/disk/17361440000/rescuecd.iso.html
Отпишитесь о результатах.
-
-
Junior Member
- Вес репутации
- 52
Попробовала загрузиться с данного по ссылке диска - не грузится он Через F8 пробовала - ничего, обычный режим безопасности виндоуса выскакивает Может через F2 или F12 можно что-то сделать?
-
-
-
Junior Member
- Вес репутации
- 52
Спасибо, загрузился! О результатах отпишусь.
Добавление: Диск начал загружаться, выбрала язык, дальше пошли загрузки, на секунду появился консольный сканер, а потом черный экран и ничего...
Добавление 2: Всё запустилось, поставила на проверку.
Добавлено через 2 часа 25 минут
Результаты: запустила Сканер, началась проверка, после 50 минут и проверки всего 1% сканер вырубается...
Последний раз редактировалось Aquarelle; 06.02.2010 в 14:41.
Причина: Добавлено
-
Какие нибудь сообщения выводятся при этом?
-
-
Junior Member
- Вес репутации
- 52
Нет, просто пустой рабочий стол, можно запускать сканер ещё раз (запустила, но результат тот же), можно запускать файл менеджер и терминал.
-
Файловый менеджер запустите, зайдите и очистите все темпы:
C:/Documents and settings/1/Local Settings/Temporary Internet Files/
C:/Documents and settings/1/Local Settings/Temp/
C:/Windows/Temp/
Попробуйте снова сделать полное сканирование. Возможно диск (CD) поврежден, тогда нужно новый будет сделать и просканироваться с него.
-
-
Junior Member
- Вес репутации
- 52
Добрый вечер, уважаемый Миднайт!
Удалила все папки как вы написали выше, но сканер опять вырубился. Отдельно просканировала
Загрузочные сектора - ок
Windows - ок, вирусов нет,
C:/Documents and settings/1/Local Settings - 2 трояна Trojan-Downloader.Win32.Bagle.h (1 вылечен, 1 удалён)
C:/Documents and settings/1/Application Data - 2 Trojan-Downloader.JS.Remora.dk (оба вылечены)
C:/Documents and settings/1/Cookies
Не знаю, конечно, сколько так будет всё проверяться, но хоть не отключается. Может быть мне надо какие-то конкретные папки просканировать?
-
Добрый вечер.
Сами папки Temp/ удалять не следует, нужно удалять только их содержимое.
Файлы в C:/Documents and settings/1/Cookies/ - тоже можно удалить, дабы не терять время на проверку. Но проверить желательно всё.
-
-
Junior Member
- Вес репутации
- 52
Да, удалила не сами папки, а содержимое. Начала удалять кукисы, в папке кроме кукисов есть исполняемый файл index.dat (80kb) Его тоже можно удалить?
Нашла причину выпадения сканера: он выпадает при проверке C:/Documents and settings/1/Мои документы. Сейчас проверяю каждую папку, надеюсь, удастся найти тот файл, который вырубает проверку.
Добавлено: Касперский ругается на папку Deamon. Обнаружено: not-a-virus:WebToolbar.Win32.WhenU.a 4 штуки, удалила.
Нашла причину выпадения: в одной из папок диссертации обнаружила папку "FALSE_copypast.ru.zip" и её же уже разпакованную, удалила + в этой же папке нашла Desktop.ini 699 байт, Configuration file, на всякий случай тоже удалила. Проверила каждый файл в отдельности - всё в порядке. Но если проверять целой папкой, то даже после удаления вышеуказанных файлов сканер всё равно выпадает.
Добавлено через 6 часов 3 минуты
Доброй ночи, это снова я.
Итак, я просканировала всю систему, еще раз, перезагрузилалась.... и опять ничего Пустой рабочий стол, ДЗ отключен администратором и т.д. и т.п. Подумала, что всё, прощай мой ноутбук. Попробовала еще раз загрузочный диск ERD-Commander, и он-таки загрузился!
Начитавшись за 5 дней всевозможной информации, зашла в регистр и изменила на explorer.exe значение Shell в HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Winlogon
Потом включила Диспетчер задач в HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System, изменив в 2-ух строках значение 1 на 0.
Перезагрузилась - и всё заработало.
Установила с диска программы AVZ и KVRTool, начала сканировать. Утром выложу все логи.
Добавлено через 17 минут
Да, Диспетчер задач так и не работает, попробую после проверки включить его с помощью AVZ
Последний раз редактировалось Aquarelle; 07.02.2010 в 03:47.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 52
Как и обещала, выкладываю сделанные логи.
Посмотрите, не осталось ли вирусов и может мне что-то надо ещё почистить?
-
Кое что осталось.
В HiJackThis пофиксите:
Код:
O4 - HKLM\..\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.ExE
O4 - HKCU\..\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.ExE
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
В AVZ выполните скрипт:
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\servises.ExE','');
QuarantineFile('C:\WINDOWS\fsc-scr.scr','');
DeleteFile('C:\WINDOWS\system32\servises.ExE');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','servises');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','servises');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.
После перезагрузки
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы
Обновите базы AVZ, логи повторите.
-
-
Junior Member
- Вес репутации
- 52
Сделала скрипты, перезагрузила, отправила карантин, но теперь у меня появилась другая проблема - папки и программы не открываются, в том числе и avz - отказано в доступе.
-
Junior Member
- Вес репутации
- 52
Повторно высылаю логи. После перезагрузки права восстановились, но всё равно при работе наблюдаются некоторые глюки: в частности, не всегда срабатывает громкость (как бы зависает со странным звуком), а иногда просто пропадает значок громкости в панели инструментов, система подвисает.
-
- Выполните скрипт в AVZ
Код:
begin
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
-
-
-
-
Junior Member
- Вес репутации
- 52
Уважаемые Миднайт и polword! Огромное вам спасибо за помощь, вроде бы всё функционирует. Антивирусник вирусы больше не находит.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 5
- В ходе лечения вредоносные программы в карантинах не обнаружены
-