NTUSER.dat + новый вирус. Как быть?

KID999 · 20.04.2009, 09:55

Здравствуйте, обращаюсь к знающим.

Описание ситуации. Словил интересный вирус. При перезапуске винды, происходит запуск вируса. Черный экран, белым текстом, меня информируют, что Винда заблокирована. Для разблокировки необходимо отправить смс на номер. Ниже таймер обратного отсчёта 3.00 минуты. На команды, комбинации клавиш и т.д. винда под вирусом отвечать отказалась. С резервной системы, касперским удалил тело вируса.
Были найдены следующие угрозы:

удалено: троянская программа Exploit.JS.Agent.afh
Файл: C:\Program Files\OperaAC\profile\cache4\opr04WJT.htm

удалено: троянская программа Exploit.Win32.Pidief.arh
Файл: C:\Program Files\OperaAC\profile\cache4\opr04WK4.pdf

удалено: троянская программа Backdoor.Win32.Agent.tzl
Файл: C:\WINDOWS\system32\AE3739232Du.dll

удалено: троянская программа Trojan-Downloader.Win32.Agent.brlc
Файл: C:\WINDOWS\system32\crypts.dll//PE_Patch.UPX//UPX

удалено: троянская программа Trojan.Win32.Agent.cbub
Файл: C:\WINDOWS\system32\reader_s.exe

удалено: вирус Virus.Win32.Protector.a
Файл: C:\WINDOWS\system32\dllcache\ndis.sys

удалено: вирус Virus.Win32.Protector.a
Файл: C:\WINDOWS\system32\drivers\ndis.sys

удалено: троянская программа Trojan.Win32.Inject.sph
Файл: C:\WINDOWS\Temp\wpv461239013964.exe

Последствия: После удаления вируса, из резервной системы, находящейся на диске E, было отказано в доступе к папке C:\Documents and Settings\Admin. Admin - название профиля системы, в которой произошло заражение. Ни FAR, ни Total Commander доступа к данной папке также не получили. Загрузил 1 родную систему, профиль Admin. Так вот из заражённой системы доступ к папке C:\Documents and Settings\Admin имеется. В ней мною было найдено несколько новых файлов. Два readier.exe (могу ошибаться в написании), и три файла с корнем в названии NTUSER и разными расштрениеями. Первые 2 файла удалил без проблем. NTUSER в доступе отказал.

Далее, создал второй профиль в зараженной системе. Но при перезагрузке, автоматом загрузился именно этот новый профиль, профиль Admin, как буд-то исчез. Из нового профиля к папке C:\Documents and Settings\Admin доступ также не был получен. Из безопасного режима, мною была предпринята ещё одна попытка удалить NTUSER при помощи программы unloker. Которая сообщила, что попытаеться удалить его при перезагрузке Винды. После перезагрузки в безопасном режиме, профиль Admin, после ввода пароля так и остался с сообщением о загрузке личных параметров, появление рабочего стола не произошло.

Проблема: Как вылечить систему? Так как на рабочем столе профиля Admin, находиться крайне необходимая и ценная информация. Надеюсь на вашу помощь и советы.

20.04.2009, 09:55	#1
KID999 Новичок Регистрация: 29.03.2009 Сообщений: 10 Вы сказали Спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях	NTUSER.dat + новый вирус. Как быть? Здравствуйте, обращаюсь к знающим. Описание ситуации. Словил интересный вирус. При перезапуске винды, происходит запуск вируса. Черный экран, белым текстом, меня информируют, что Винда заблокирована. Для разблокировки необходимо отправить смс на номер. Ниже таймер обратного отсчёта 3.00 минуты. На команды, комбинации клавиш и т.д. винда под вирусом отвечать отказалась. С резервной системы, касперским удалил тело вируса. Были найдены следующие угрозы: удалено: троянская программа Exploit.JS.Agent.afh Файл: C:\Program Files\OperaAC\profile\cache4\opr04WJT.htm удалено: троянская программа Exploit.Win32.Pidief.arh Файл: C:\Program Files\OperaAC\profile\cache4\opr04WK4.pdf удалено: троянская программа Backdoor.Win32.Agent.tzl Файл: C:\WINDOWS\system32\AE3739232Du.dll удалено: троянская программа Trojan-Downloader.Win32.Agent.brlc Файл: C:\WINDOWS\system32\crypts.dll//PE_Patch.UPX//UPX удалено: троянская программа Trojan.Win32.Agent.cbub Файл: C:\WINDOWS\system32\reader_s.exe удалено: вирус Virus.Win32.Protector.a Файл: C:\WINDOWS\system32\dllcache\ndis.sys удалено: вирус Virus.Win32.Protector.a Файл: C:\WINDOWS\system32\drivers\ndis.sys удалено: троянская программа Trojan.Win32.Inject.sph Файл: C:\WINDOWS\Temp\wpv461239013964.exe Последствия: После удаления вируса, из резервной системы, находящейся на диске E, было отказано в доступе к папке C:\Documents and Settings\Admin. Admin - название профиля системы, в которой произошло заражение. Ни FAR, ни Total Commander доступа к данной папке также не получили. Загрузил 1 родную систему, профиль Admin. Так вот из заражённой системы доступ к папке C:\Documents and Settings\Admin имеется. В ней мною было найдено несколько новых файлов. Два readier.exe (могу ошибаться в написании), и три файла с корнем в названии NTUSER и разными расштрениеями. Первые 2 файла удалил без проблем. NTUSER в доступе отказал. Далее, создал второй профиль в зараженной системе. Но при перезагрузке, автоматом загрузился именно этот новый профиль, профиль Admin, как буд-то исчез. Из нового профиля к папке C:\Documents and Settings\Admin доступ также не был получен. Из безопасного режима, мною была предпринята ещё одна попытка удалить NTUSER при помощи программы unloker. Которая сообщила, что попытаеться удалить его при перезагрузке Винды. После перезагрузки в безопасном режиме, профиль Admin, после ввода пароля так и остался с сообщением о загрузке личных параметров, появление рабочего стола не произошло. Проблема: Как вылечить систему? Так как на рабочем столе профиля Admin, находиться крайне необходимая и ценная информация. Надеюсь на вашу помощь и советы.

Яндекс:

Google:

Встроенный поиск:

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)