-
Junior Member
- Вес репутации
- 54
поймал "вымогателя", который полностью заблокировал винду
Здравствуйте!
поймал зверского вируса-вымогателя, который жестоко заблокировал систему ХР, требовал денег на телефон мобильный (номер не запомнил) и угрожал проблемами с компом и с биусом при попытке переустановить винду. Вирус при этом не позволял ничего делать - стрелка мыши была прихвачена к окну сообщения вируса, диспетчер задач не вызывался.
Попытался восстановить систему с установочного диска, но загрузка "застряла" на полпути, в режиме установки, когда оставалось 32 минуты.
В конце концов с установочного диска отформатил раздел С и установил все по новой, пока работает.
Но: практически сразу после установки система нашла новое устройство sistem, стала просить ПО. я поставил диск к материнке с драйверами, но там ничего не нашлось, на установочном винды тоже.
В диспетчере устройств нашол 5 неизвестных устройств, где в свойствах и сведениях указано:
ROOT\SISTEM\0004
ROOT\SISTEM\0005
ROOT\SISTEM\0006
ROOT\SISTEM\0007
ROOT\SISTEM\0008
у всех В общих сведениях:
тип устройства - системное устройство,
изготовитель - нет данных,
размещение - нет данных.
код оборудования root\DTSoftBus01
перечислитель ROOT
флаги Devnode DN_ROOT_ENVERATED
DN_HAS_PROBLEM
DN_DISABLEABLE
DN-NT_ENUMERATOR
DN_NT_DRIVER
ConfigFlags: CONFIGFLAG_FAILEDINSTALL
CsconFigflags: CSCONFIGFLAG_DISABLED
соустановщики классов: SysSetyp.Dll,CriticalDeviseConstaller
текущее состояние эл питания: D3
возможности эл питания: PDCAP_D0_SUPPORTED
PDCAP_D3_SUPPORTED
сопоставления энергосбережения: S0->D0
S1->D3
S2->D3
S3->D3
S4->D3
S5->D3
Вроде так, если не ошибся при переписывании.
Все остальное в сведениях пусто.
В системном реестре есть:
HKEY_CURRENT_CONFIG\System\CurrentControlSet\Enum\ ROOT\SYSTEM\0004, 0005, 0006, 0007, 0008 и еще
...ROOT\ESET_EPFWNDISMP\0000, 0001, 0002
...ROOT\MS_L2TPMINIPORT\0000,
...ROOT\MS_NDISWANIP\0000,
...ROOT\MS_PPPOEMINIPORT\0000,
...ROOT\MS_PPTPMINIPORT\0000,
...ROOT\MS_PSCHEDMP\0000, 0001, 0002
...ROOT\MS_PTIMINIPORT\0000.
Что это или кто это такие???
мне знакомые предположили, что это могут быть типа "виртуальные" диски, созданные вирусом-вымогателем.
Можно просто удалить в реестре этот раздел?
Я попробовал по вашим рекомендациям после загрузки инструментов зайти в безопасный режим и запустить AVPTool, но после F8 комп предложил загрузку Select Boot Devise с флоппи, винта или DVD привода.
Там нет вариантов загрузки нужных режимов! Как туда войти? получается, что F8 у меня вызывает другое меню (винда ХР).
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
Владимир Олейник
после F8 комп предложил загрузку Select Boot Devise с флоппи, винта или DVD привода.
Выберите загрузку с винчестера, нажмите Enter и продолжайте дальше долбить F8.
-
-
Junior Member
- Вес репутации
- 54
3 раза так проходил, все равно нужной менюшки нет. Сейчас, в данный момент AVPTool в обычном режиме шерстит комп, уже кучу вирусов нашел удалил.
Кстати, у меня Нод32 антивирус, я ево не выгружал, сейчас одновременно работают.
А эти ROOT\SISTEM\000.. все таки кто такие?
-
Сообщение от
Владимир Олейник
А эти ROOT\SISTEM\000.. все таки кто такие?
Их удалять не надо.
Когда AVPTool закончит, сделайте раздел "Диагностика" правил:
http://virusinfo.info/showthread.php?t=1235
и приложите логи в этой теме.
-
-
Junior Member
- Вес репутации
- 54
я не смог запустить безопасный режим, F8 выдает менюшку загрузки винды с имеющихся приводов и винта.
Диагностику в обычном режиме можно сделать?
-
-
-
Junior Member
- Вес репутации
- 54
хорошо, дождусь когда AVPTool закончит. Я накачал гиганский объем к SAS планете, 40% всех файлов программа смогла проверить почти за 8 (!) часов. Хорошо, что она позволяет продолжить с места остановки.
Диагностику надеюсь провести в понедельник-вторник, там и приложу логи
-
Junior Member
- Вес репутации
- 54
пришлось делать диагностику сегодня. Пока AVPTool докапывал остатки, монитор вышел в сберегающий режим потух, ребенок подошел и нажал кнопку сети-комп вырубился. После запуска AVPTool собрался по новой копать, но уже не хотелось ждать еще 8 часов чтобы половину просмотрел.
прикрепил логи:
-
Junior Member
- Вес репутации
- 54
по результатам проверки попробую по безопасностям полазить, чтобы повыключать в менюшках разрешения удаленных доступов, обнаруженные программой AVZ. После AVPToolа вроде попался обычный Store volum information, значит AVPTool поудалял много
-
В AVZ выполните скрипт:
Код:
begin
DelBHO('{710EB7A1-45ED-11D0-924A-0020AFC7AC4D}');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 54
вставил, увидел-скрипт выполнен без ошибок.
вот карантин из AVZ, если я правильно понял. просто я не дождался, когда AVPTool доработает до конца
Последний раз редактировалось миднайт; 17.01.2011 в 02:07.
Причина: убрал карантин
-
Давайте так.
В AVZ выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\System Volume Information\_restore{A86F6AC5-4960-475D-B0AE-7E01994B274C}\RP140\A0047840.exe','');
BC_ImportAll;
ExecuteWizard('TSW',2,2,true);
SetAVZPMStatus(True);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.
Логи повторите.
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 54
прошу прощения, :-).... красная строка такая незаметная сверху, что сразу рвусь смотреть вниз...
-
Ничего плохого в логах не видно.
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 54
то есть все плохое AVPTool смог поудалять, сейчас все работает нормально.
Благодарю за помощь!
Р. S. только не пойму- 5 раз просматривал раздел "помогите", искал свою тему, НЕ БЫЛО!!! вдруг появилось...
-
Сообщение от
Владимир Олейник
Р. S. только не пойму- 5 раз просматривал раздел "помогите", искал свою тему, НЕ БЫЛО!!! вдруг появилось...
Вверху справа есть ссылка - "Найти темы с вашими ответами"
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения вредоносные программы в карантинах не обнаружены
-