-
Winlock 2742, javadownolds, а так же целое приключение...
История
Запороли виндовс, полная блокировка, life cd от др. веба нашел и вылечил лишь джава-загрузчик, и архив, через который он попал ко мне.Винлок он не обнаружил.
Был диск с 7 виндой, пишу через неё.Диск разбит на два логических, с и д(в моей помершей системе это I:H), почему то видит только С(это I старый), а D(=H в старой системе) 7ка не видит(300гигов памяти куда-то ушло), хотя при установке винды был выбор между дисками.Причина в логическом диске, типо только один лог диск, другой лог. диск не показывает?В Хр не было таких проблем.
Проблема в следующем.
Провёл диагностику авз, перезагружал комп.Результат не обнадеживает: вылетает синий экран только(!) при загрузке windows xp(моя помершая система, она же первозараженная), логи все находятся на логическом диске windows xp(он же D, он же H), соответственно, ничего достать я не могу.Более того, 7ка абсолютно не защищена, и я уже не могу зайти на сайт dr web.Но смысл не в этом, 7ку я поставил на время реанимации Хр.
Вопрос, что мне делать, как поднять систему?Диск C, он же I, не зараженн, во всяком случае был.Могу переустановить заного систему, и с чистой системы записать лайф сд, но я не представляю как теперь поднять систему.
Скриншот блу скрина прилагается.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Вам нужно восстановить систему, которая вылетает в синий экран, который показан на скрине? Ошибка вылетела после проверки AVZ?
chkdsk /r делали? Вряд ли поможет, но попробуйте.
-
-
Мне нужно восстановить зараженную систему, которая после проверки авз(1 и 2 пункт) и последующей перезагрузки стала вылетать в бсод.
Я не могу зайти на рабочий стол, вылет происходит сразу после загрузки windows.
Или это можно сделать с моей рабочей оси?(Сомневаюсь, что получится.Она не видит мой 2ой диск, на котором находится зараженная система)
зы
Надо было убегать, я не проверял возможности "апа" системы.В общем, безопасный режим работает, я могу войти туда без бсода.Обычный режим так и не запускается.Логи прилагаю(без хайджека, в безопасном режиме его бесмысленно вроде делать, логи авз сделаны в обычном режиме windows(сделал до бсода)
зыы
Чудеса.Только я собрался из безопасного режима проверку и восстановление диска ставить, система тут же спокойно загрузилась.А до этого 6 таких бсодов!
Хайджек прилагается.Винлокер остался, хвосты в виде файла на "W"(он в карантине и в логе авз указан), который находится в двух местах, больше странностей не видно.
Результат загрузки
Файл сохранён как 110112_203149_virus_4d2de585902b2.zip
Размер файла 3035521
MD5 e616dab6e96e6d01f1790fe10b80fb5c
Файл закачан, спасибо!
Последний раз редактировалось Энмер; 12.01.2011 в 21:10.
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('h:\documents and settings\admin\wuaucldt.exe','');
QuarantineFile('H:\DOCUME~1\Admin\LOCALS~1\Temp\d1V48GOU.sys','');
QuarantineFile('H:\DOCUME~1\Admin\LOCALS~1\Temp\cdfss','');
QuarantineFile('h:\windows\system32\wuaucldt.exe','');
TerminateProcessByName('h:\windows\system32\wuaucldt.exe');
DeleteFile('h:\windows\system32\wuaucldt.exe');
DeleteFile('H:\DOCUME~1\Admin\LOCALS~1\Temp\cdfss');
DeleteFile('H:\DOCUME~1\Admin\LOCALS~1\Temp\d1V48GOU.sys');
DeleteFile('h:\documents and settings\admin\wuaucldt.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','wuaucldt');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wuaucldt');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
-
-
ps
Скачал январские заплатки.Одна из них - средство удаления вредоносных программ.Вот что нашло:
http://s2.ipicture.ru/uploads/20110112/B5p3nZCc.bmp
Логи новые завтра выложу!
-
-
-
Результат загрузки
Файл сохранён как 110113_165325_virus_4d2f03d5762d7.zip
Размер файла 339238
MD5 3416273ad95ff1de73ad8d70a52f3612
Файл закачан, спасибо!
Тут единственный файл, попавший в карантин в авз, который я не признаю, хотя догадываюсь кто он такой - от driver genius.Но он не "попадался" в предыдущий карантин.
Антивирус молчит, глюков больше не видел.Интернет подлагивал только, но было до выполнения скрипта, после него ещё не проверял.
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('H:\RECYCLER\S-1-5-21-448539723-1604221776-1801674531-500\Dh855.exe','');
DeleteFile('H:\RECYCLER\S-1-5-21-448539723-1604221776-1801674531-500\Dh855.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторный лог virusinfo_syscheck.zip;
-
-
Результат загрузки
Файл сохранён как 110113_200055_quarantine_4d2f2fc7ea4eb.zip
Размер файла 339221
MD5 b96691e1bf828c6a12686e8904629761
Файл закачан, спасибо!
При выполнении скрипта, вылезла ошибка виндовса, где был код ошибки 0х00...13е, он никак не пропадал, я перезагрузил компьютер, в процессе выключения скрипт продолжился, конкретно, он выполнил какую-то функцию,связанную с путём документы и настройки.Т.к. перезагрузка было выполнена до функции "перезагрузка виндоувса", выполнился не весь алгоритм скрипта, но где он остановился я не знаю.
Странно исследование прошло.В этот раз он вообще ничего из файлов не нашел, даже подозрительных(кейлогер logitech, который является средством управления комплектом клавиатура+мышь и др)(таких файлов, которые являются безопасными, но ведут себя подозрительно.Их хватает у меня).Так и должно было быть?
-
подозрительного нет.
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
-
-
Сделал.Что за живность у меня была?
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 8
- В ходе лечения вредоносные программы в карантинах не обнаружены
-