Здравствуйте!
По моему какойто крутой вирус подцепил:
Сначала комп вылетал в синий экран 2-3 раза в течение 3 дней, потом при запуске просто стал перегружатся или пытаться загрузится с диска А, но не всегда. Через раз Востанавливает диск С.
После пропали папки Корзина и Мои документы
Недоступен поиск из меню пуск - просто не открывается
ПУСК > ПРОГРАМЫ > ПУСТО, хотя программы на диске С все остались
Исчезли папки из Панели Управления: Свойства папки и еще штук 11 (названия не помню - пустые места от них остались)
Я проверил 6-м Каспером в безопасном режиме - ничего не видит
Проверил DrWeb - CureIT в безопасном - тоже 0
Далее все сделал по Вашей инструкции НО НЕ СМОГ ОТКЛЮЧИТЬ ВОСТАНОВЛЕНИЕ СИСТЕМЫ!!!! Просто не дает!
Помогите, пожалуйста!
Последний раз редактировалось PEGAS; 09.05.2007 в 22:19.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\Outlook Express\setup50.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\Winlognotif.dll','');
RebootWindows(false);
end.
После перезагрузки пришлите файлы карантина по правилам раздела "Помогите".
Код:
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://$admin/
O13 - DefaultPrefix:
O13 - WWW Prefix:
O13 - Home Prefix:
O13 - Mosaic Prefix:
O13 - FTP Prefix:
O13 - Gopher Prefix:
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone (HKLM)
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone (HKLM)
Это Вы сами прописывали?
Диск D это Ваш второй логический диск?
D:\autorun.inf он уже в карантине ,тоже пришлите его по правилам .
Можно попробовать починить , если то что предложил махим не поможет , выполнив скрипт :
Код:
begin
ExecuteRepair(1);
ExecuteRepair(2);
ExecuteRepair(3);
ExecuteRepair(4);
ExecuteRepair(8);
RebootWindows(true);
end.
Последний раз редактировалось drongo; 09.05.2007 в 20:46.
Я пока только закарантинил троян для дальнейшего изучения. К лечению пока не приступал, так что очень может что после восстановления с помощью AVZ троян восстановит все как было.
1. Диск D у меня DVD - ROM физический, вообще у меня два физических диска. Диск C не разбит на логические.
2. Запустил первый скрипт и второй скрипт - как вы и сказали никаких изменений, только значек Эксплорера вернул свой первоначальный вид - ранее он был темно синий ( на каком этапе он стал таким - не знаю - это давно уже).
3. Высылаю файлы с карантина по правилам. Перечитайте ещё раз правила! По правилам Ваш карантин загрузил я.
Последний раз редактировалось Макcим; 09.05.2007 в 22:02.
Вы не ответили на мой вопрос из поста №2.
Один файл из карантина очень похож на троян, но его ни один антивирус пока не детектит. Подождем ответ из вир. лаба.
Это Вы сами прописывали?
Диск D это Ваш второй логический диск?
Извините, если вопрос по поводу "сам прописывал" - нет сам ничего не прописывал - т.к. в этом деле LAMER.
Перечитайте ещё раз правила! По правилам Ваш карантин загрузил я.
Вроде все сделал как написанно в ПРАВИЛАХ... Сархивировал что было в карантине и прикрепил к посту... Вы не получили? Или я что- то не понял в правилах?
Последний раз редактировалось PEGAS; 09.05.2007 в 22:23.
Не открывайте малоинформативные темы с заголовком "Помогите", "Спасите" и т.д.
Не постите и не прикрепляйте никакие другие файлы, логи, кроме логов HijackThis и AVZ (virusinfo_syscure.zip ,virusinfo_syscheck.zip),
если Вас об этом не просили.
************************************************** ****************************
Приложение 3. Как прислать запрошенные файлы.
1. Запустите AVZ, выберите из меню "Файл" - >"Просмотр карантина".
2. Справа в списке файлов отметьте те файлы которые нужно выслать.
3. Нажмите на кнопку "Архивировать" и укажите место на диске где будет сохранён архив.
4. Загрузите полученный архив используя ссылку на станичку загрузки (Прислать запрошенные файлы) в шапке Вашей темы (тогда поле "Ссылка на тему" заполнится автоматически) или по адресу http://virusinfo.info/upload_virus.php , указав в поле "Ссылка на тему" ссылку на открытую Вами тему (ссылка должна быть вида httр://virusinfo.info/showthread.php?t=ХХХХ).
Загружать только один (1) раз, если вам кажется что не получилось- спросите об этом в теме.
Может я ТУПОЙ но я не понимаю смысла фразы "Ваш карантин загрузил я" поскольку я понимаю так что я должен отправить вам сархивированный файл карантина (без сарказма). Я уже сказал что плохо разбираюсь в данной сфере.
1. Запустите AVZ, выберите из меню "Файл" - >"Просмотр карантина".
2. Справа в списке файлов отметьте те файлы которые нужно выслать.
3. Нажмите на кнопку "Архивировать" и укажите место на диске где будет сохранён архив.
4. Загрузите полученный архив используя ссылку на станичку загрузки (Прислать запрошенные файлы) в шапке Вашей темы (тогда поле "Ссылка на тему" заполнится автоматически) или по адресу http://virusinfo.info/upload_virus.php
Вы его в первый раз загрузили не правильно и вместо вас по правилам это сделал модератор, а вы загрузили правильно загруженный модератором архив повторно.
Вот теперь все понятно, т.е. мне уже не нужно было 2-й раз отправлять карантин т.к. MaXim уже перенес его куда надо (на препарирование гы-гы). Sorry ребята Короче теперь только жду от вас волшебных действий...
По-моему у Вас с железом проблемы. Хорошо было бы узнать, что на синеве написано было. Попробуйте:
1. Очистить диск от мусора (Очистка Диска + читать http://support.microsoft.com/?scid=k...248&x=18&y=14). Там же выберите опцию Удалить старые пункты системного восстановления.
2. Провести дефрагментацию и проверку диска chkdisk : http://www.microsoft.com/resources/d....mspx?mfr=true
3. При наступлении синевы обяэательно эаписать STOP: <код ошибки>, туо ошибки - написан БОЛЬШИМИ_БУКВАМИ и в нижней части БСОДА - информацию о драйвере.
Чтобы устранить эту неполадку, выполните следующие действия. 1. Нажмите кнопку Пуск и выберите команду Выполнить.
2. В поле Открыть введите regedit и нажмите клавишу ВВОД.
3. Выберите следующий раздел реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\VolumeCaches
4. В меню Файл выберите команду Экспорт, нажмите кнопку Рабочий стол, в поле Имя файла введите VolumeCaches и нажмите кнопку Сохранить.
Примечание. В файле VolumeCaches будет храниться резервная копия раздела реестра VolumeCaches. Если после выполнения данной процедуры возникнут проблемы, восстановите информацию в реестре, используя данную резервную копию. Чтобы восстановить раздел реестра VolumeCaches, дважды щелкните файл VolumeCaches.reg, находящийся на рабочем столе, и нажмите кнопку Да.
5. Разверните следующий раздел реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\VolumeCaches
6. Удалите раздел Compress old files.
7. Закройте редактор реестра.
НО у меня в реестре по этому пути просто нет Compress old file (вообще что такое Compress old file??? - может я опать что-то не понимаю)
...извините с английским туго - русской ссылки нет? + дефрагментацию провести не могу т.к. исчезло все всплывающее меню: ПУСК >ПРОГРАММЫ > ПУСТОТА
3. При наступлении синевы обяэательно эаписать STOP: <код ошибки>, туо ошибки - написан БОЛЬШИМИ_БУКВАМИ и в нижней части БСОДА - информацию о драйвере.
... ну это когда только вывалится в синий экран - а я даже что бы он рестарт сразу не делал не могу настроить т.к. исчезли папки в панели управления
жду помощи...
Последний раз редактировалось PEGAS; 10.05.2007 в 00:45.
... ну это когда только вывалится в синий экран - а я даже что бы он рестарт сразу не делал не могу настроить т.к. исчезли папки в панели управления
Правым мышем кликнуть на символ Мой компьютер/Свойства/Дальнейшие.../Пуск и воостановление/Установки и уберите крючок против Автоматически стартовать....
[HIDE]Просьба перевести на русский... [/HIDE]
Последний раз редактировалось Rene-gad; 10.05.2007 в 11:07.
Причина: Написал глупость
MaXim - спасибо (и всем остальным ребятам команды)! А не мог кто то удаленно (теоретически) все эти вышеперечисленные вещи так настроить - уж больно логично все пропало: как будто настроены изменения так что-бы их невозможно было восстановить в исходное состояние. Как мне кажется если валится железо то не работают какие-то вещи в хаотическом порядке или просто ничего не работает.
Ну, а вообще, какие рекомендации если все чисто и вирусняка нет? Может не морочится и Винды просто снести и заново поставить???
И еще вопрос (sorry за offtop): кто может помочь с настройкой файервола роутера D Link DI - 524 (как закрыть порты и настраивать правила для програм - NET перерыл толкового русcкоязычного ничего не нашел... а с "англицким" как я уже говорил у меня туго)? Если не трудно, направьте плз.
Последний раз редактировалось PEGAS; 10.05.2007 в 11:10.
Уважаемый(ая) PEGAS, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: