Здравствуйте, обращаюсь к знающим.

Описание ситуации. Словил интересный вирус. При перезапуске винды, происходит запуск вируса. Черный экран, белым текстом, меня информируют, что Винда заблокирована. Для разблокировки необходимо отправить смс на номер. Ниже таймер обратного отсчёта 3.00 минуты. На команды, комбинации клавиш и т.д. винда под вирусом отвечать отказалась. С резервной системы, касперским удалил тело вируса.
Были найдены следующие угрозы:

удалено: троянская программа Exploit.JS.Agent.afh
Файл: C:\Program Files\OperaAC\profile\cache4\opr04WJT.htm

удалено: троянская программа Exploit.Win32.Pidief.arh
Файл: C:\Program Files\OperaAC\profile\cache4\opr04WK4.pdf

удалено: троянская программа Backdoor.Win32.Agent.tzl
Файл: C:\WINDOWS\system32\AE3739232Du.dll

удалено: троянская программа Trojan-Downloader.Win32.Agent.brlc
Файл: C:\WINDOWS\system32\crypts.dll//PE_Patch.UPX//UPX

удалено: троянская программа Trojan.Win32.Agent.cbub
Файл: C:\WINDOWS\system32\reader_s.exe

удалено: вирус Virus.Win32.Protector.a
Файл: C:\WINDOWS\system32\dllcache\ndis.sys

удалено: вирус Virus.Win32.Protector.a
Файл: C:\WINDOWS\system32\drivers\ndis.sys

удалено: троянская программа Trojan.Win32.Inject.sph
Файл: C:\WINDOWS\Temp\wpv461239013964.exe


Последствия: После удаления вируса, из резервной системы, находящейся на диске E, было отказано в доступе к папке C:\Documents and Settings\Admin. Admin - название профиля системы, в которой произошло заражение. Ни FAR, ни Total Commander доступа к данной папке также не получили. Загрузил 1 родную систему, профиль Admin. Так вот из заражённой системы доступ к папке C:\Documents and Settings\Admin имеется. В ней мною было найдено несколько новых файлов. Два readier.exe (могу ошибаться в написании), и три файла с корнем в названии NTUSER и разными расштрениеями. Первые 2 файла удалил без проблем. NTUSER в доступе отказал.

Далее, создал второй профиль в зараженной системе. Но при перезагрузке, автоматом загрузился именно этот новый профиль, профиль Admin, как буд-то исчез. Из нового профиля к папке C:\Documents and Settings\Admin доступ также не был получен. Из безопасного режима, мною была предпринята ещё одна попытка удалить NTUSER при помощи программы unloker. Которая сообщила, что попытаеться удалить его при перезагрузке Винды. После перезагрузки в безопасном режиме, профиль Admin, после ввода пароля так и остался с сообщением о загрузке личных параметров, появление рабочего стола не произошло.

Проблема: Как вылечить систему? Так как на рабочем столе профиля Admin, находиться крайне необходимая и ценная информация. Надеюсь на вашу помощь и советы.

На позапрошлой неделе столкнулся с таким же, судя по описанию, вирусом. Та же активация вируса после презапуска, чёрный экран, номер для смс. Поскольку ничего важного у меня на диске С кроме мстс не было, сразу всё форматнул.

В безопасности папки, назначте себя её владельцем, тогда восстановится возможность редактировать права доступа, ну и далее ...ставим себе полные права и вперёд

вирус тут не причём... это заморочки с безопасностью NTFS

В безопасности папки, назначте себя её владельцем, тогда восстановится возможность редактировать права доступа, ну и далее ...ставим себе полные права и вперёд

вирус тут не причём... это заморочки с безопасностью NTFS

Извините меня, наверняка туплю сейчас. Но как в данной ситуации это сделать? Так как профиль Admin не доступен. А из другой Винды в свойствах папки присутсвуют только вкладки: Общие; Доступ; Настройка. Размер папки указан 0 байт.

ИА из другой Винды в свойствах папки присутсвуют только вкладки: Общие; Доступ; Настройка. Размер папки указан 0 байт.

Значит в предыдущей папке, во вкладке безопасность поставте галочку замены разрешений во вложенных папках

диск через chkdsk проверялся?
WinXP Prof?
"Использовать простой общий доступ" отключено?

а зачем Вы нтузер.дат удалили-то? :) В файле Ntuser.dat хранятся пользовательские профили.
Garikk ну, в винде-то он владельцем чего-либо вряд ли станет :) А вот общий доступ попробовать поставить на папку можно.
Вирус Вы, скорее всего не убили. Попробуйте через АВЗ поискать файлы, которые были удалены каспером -если найдете снова - червяк еще сидит.
Насчет рабочего стола: диспетчер задач - новая задача - explorer.exe . Может сработает, а может и нет. Кстати, сервис пак какой?

В "свойства папки" отключаете "Простой общий доступ". После этого (если система prof, а не HE) в свойствах нужной папки появится вкладка "Безопасность". Там можно рулить правами на данную папку.

И вообще - ни в коем случае не храните документы на системном диске. Если что - format C.

А ещё лучше Linux)))

Это WinXP SP3 хрен знает какая сборка?

Это WinXP SP3 хрен знает какая сборка?

Это к кому относится?

А у меня такая вот проблема.

Собственно, с некоторого времени у меня на компьютере наблюдается такое вот явление. Во время работы компьютера происходит какой-то процесс, после которого отрубается интернет. Точнее говоря, подключение есть, а вот ни страницы не открывает, ничего, т.е., инета нет. Локальная сеть работает открывает без проблем. Помогает перезагрузка компьютера. Но потом все повторяется через некоторое время. Сделал вот скрин:

http://s39.radikal.ru/i086/0904/9d/eaa937c87023t.jpg (http://radikal.ru/F/s39.radikal.ru/i086/0904/9d/eaa937c87023.jpg.html)

Просканил НОДом и, на всякий пожарный, поставил Авиру и ей тоже просканил. Ну да, были червяки, удалил. Но проблема осталась. Форматнул полностью, ибо ничего особо ценного на ноуте не было. Поставил снова систему, но вот проблема осталась. Что это - понять никак не могу. Еще вот, при установке винды, вылетало сие:

http://i043.radikal.ru/0904/8a/c8bb50027f41t.jpg (http://radikal.ru/F/i043.radikal.ru/0904/8a/c8bb50027f41.jpg.html)

С какой-то там попытки поставилось таки. Вот голову ломаю, что на компе глючит или это винда такая кривая? Если же следовать логике "синего экрана", что-то с оперативной памятью, тогда в чем же дело, если она нормально и без проблем в биосе отображается?

Система XP SP2

И вообще - ни в коем случае не храните документы на системном диске.
И уж тем более на рабочем столе.

А у меня такая вот проблема.

Собственно, с некоторого времени у меня на компьютере наблюдается такое вот явление. Во время работы компьютера происходит какой-то процесс, после которого отрубается интернет. Точнее говоря, подключение есть, а вот ни страницы не открывает, ничего, т.е., инета нет. Локальная сеть работает открывает без проблем. Помогает перезагрузка компьютера. Но потом все повторяется через некоторое время.

Система XP SP2
Сделай скрин диспетчера. Поищи на компе файл sysdrv32.sys

Поищи на компе файл sysdrv32.sys
Просканил весь хард - нетути.

А скрин вот. До ошибки:

http://s47.radikal.ru/i115/0904/b4/0298abcc7115t.jpg (http://radikal.ru/F/s47.radikal.ru/i115/0904/b4/0298abcc7115.jpg.html)

После нее(инфиум.ехе - это квип)

http://s53.radikal.ru/i141/0904/55/5f1381eb1fdbt.jpg (http://radikal.ru/F/s53.radikal.ru/i141/0904/55/5f1381eb1fdb.jpg.html)


Повторяюсь, система - XP SP2, а не Виста. Просто такая система со встроенными темами оформления.

не то :) Выкл. все посторонние проги, вкл. инет эксплорер, в диспетчере поставь галку "отображать процессы всех пользователей" и потом скринь. Из того что есть вызывает сомнения keyhook.exe - это что? Файлы ищи через авз (http://www.z-oleg.com/secur/avz/ - качаешь, обновляешь базы, сканишь С на предмет всякой заразы, ищешь этот sysdrv32.sys, на всякий). Неплохо было бы жесткий проверить на наличие ошибок.

Из того что есть вызывает сомнения keyhook.exe - это что?

Вот что говорит интернет

А еще этот процесс ставится при установке драйверов на m/b с чипсетом от SIS и в данном случае не является вредоносной программой.


Выводи ipconfig /all когда инет отваливается. Интересно посмотреть.

да я пробовал, 100% потерь вроде было)))

да я пробовал, 100% потерь вроде было)))

Что ты пробовал? ping?

Да, пинг. А вот то, что ты просил:
http://s39.radikal.ru/i086/0904/05/43fe4653def8t.jpg (http://radikal.ru/F/s39.radikal.ru/i086/0904/05/43fe4653def8.jpg.html)

Как подключаешься к инету? На твоём скрине у тебя не присвоена внешняя IP - соответственно инета и нет((

Как подключаешься к инету? На твоём скрине у тебя не присвоена внешняя IP - соответственно инета и нет((

Наличие внешнего IP для работы инета совершенно необязательно, у провайдера с вероятностью 99.9% стоит NAT

Наличие внешнего IP для работы инета совершенно необязательно, у провайдера с вероятностью 99.9% стоит NAT

IP вида 0.0.0.0 это, извините, localhost =) Его-то мы и видим на скрине.

У меня в квартире тоже стоит NAT в составе Wi-Fi роутера. И ничего, провайдер моему роутеру отдаёт внешнюю ip. Авторизация - PPPoE.

IP вида 0.0.0.0 это, извините, localhost =) Его-то мы и видим на скрине.

Ой...я чтото не так понял ;) сорри

Я тут прочел внимательно сообщение. И ниче не понял. Вирус я этот я в сети тоже как то находил (что висяк и 3 минуты дает), но касп его прибил с ходу, а потом я вирус расколупал и не понял че там он делает? Он просто дает висяк на три минуты и всячески пугает усеров. Начнем с того что к сети до запуска сетевых протоколов комп еще не подключен и даже по дибилке снять висяк не возможно, разве что магическим действием. Далее вирус не полиморфный, классический эгэгэшник. Причем внедряется настока тупо. Что потом я его сам видел вживую без каспа. Это относится к протектору. А вот зверинец остальной это настоящий выводок.

1) Trojan-Downloader.Win32.Agent.brlc вроде бы не опасен. Более того при наличии хорошего роутера (файрвол не нужен, он не защищает совсем. а вот роутер просто делает стеночку) он даже и не пашет, т.к. ищет зверей тока в локалке.
2) Backdoor.Win32.Agent.tzl это уже взлом файрвола. Он делает черный ход в комп. Видно даже по названию. Достаточно сложно описать как. Но файр не замечает данный порт и запросы идущие по нему, даже пожет взреветь на запрос и типа отбить.
3) Exploit.Win32.Pidief.arh Exploit.JS.Agent.afh Эти два видел где лежали? Кстати это не вирусы. Это Эксплоиты от вирусов. Отделившиеся части без генного кода и разрушаюших аспектов но с метками вируса.
4) Trojan.Win32.Inject.sph очень интересная бяка. я бы хотел ее поколупать. НАпример у меня она есть но ее касп не может никак отловить. собственно вирус. Хотя он еще не сама та зараза. Но например он позволяет заразить любым вредоносным кодом без ДНК любой файл. Без ДНК означает что антибиотик не будет его видеть.