20.04.2009, 09:55 | #1 |
Новичок
Регистрация: 29.03.2009
Сообщений: 10
Вы сказали Спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
|
NTUSER.dat + новый вирус. Как быть?
Здравствуйте, обращаюсь к знающим.
Описание ситуации. Словил интересный вирус. При перезапуске винды, происходит запуск вируса. Черный экран, белым текстом, меня информируют, что Винда заблокирована. Для разблокировки необходимо отправить смс на номер. Ниже таймер обратного отсчёта 3.00 минуты. На команды, комбинации клавиш и т.д. винда под вирусом отвечать отказалась. С резервной системы, касперским удалил тело вируса. Были найдены следующие угрозы: удалено: троянская программа Exploit.JS.Agent.afh Файл: C:\Program Files\OperaAC\profile\cache4\opr04WJT.htm удалено: троянская программа Exploit.Win32.Pidief.arh Файл: C:\Program Files\OperaAC\profile\cache4\opr04WK4.pdf удалено: троянская программа Backdoor.Win32.Agent.tzl Файл: C:\WINDOWS\system32\AE3739232Du.dll удалено: троянская программа Trojan-Downloader.Win32.Agent.brlc Файл: C:\WINDOWS\system32\crypts.dll//PE_Patch.UPX//UPX удалено: троянская программа Trojan.Win32.Agent.cbub Файл: C:\WINDOWS\system32\reader_s.exe удалено: вирус Virus.Win32.Protector.a Файл: C:\WINDOWS\system32\dllcache\ndis.sys удалено: вирус Virus.Win32.Protector.a Файл: C:\WINDOWS\system32\drivers\ndis.sys удалено: троянская программа Trojan.Win32.Inject.sph Файл: C:\WINDOWS\Temp\wpv461239013964.exe Последствия: После удаления вируса, из резервной системы, находящейся на диске E, было отказано в доступе к папке C:\Documents and Settings\Admin. Admin - название профиля системы, в которой произошло заражение. Ни FAR, ни Total Commander доступа к данной папке также не получили. Загрузил 1 родную систему, профиль Admin. Так вот из заражённой системы доступ к папке C:\Documents and Settings\Admin имеется. В ней мною было найдено несколько новых файлов. Два readier.exe (могу ошибаться в написании), и три файла с корнем в названии NTUSER и разными расштрениеями. Первые 2 файла удалил без проблем. NTUSER в доступе отказал. Далее, создал второй профиль в зараженной системе. Но при перезагрузке, автоматом загрузился именно этот новый профиль, профиль Admin, как буд-то исчез. Из нового профиля к папке C:\Documents and Settings\Admin доступ также не был получен. Из безопасного режима, мною была предпринята ещё одна попытка удалить NTUSER при помощи программы unloker. Которая сообщила, что попытаеться удалить его при перезагрузке Винды. После перезагрузки в безопасном режиме, профиль Admin, после ввода пароля так и остался с сообщением о загрузке личных параметров, появление рабочего стола не произошло. Проблема: Как вылечить систему? Так как на рабочем столе профиля Admin, находиться крайне необходимая и ценная информация. Надеюсь на вашу помощь и советы. |
01.01.2007, 12:00 | |
Яndex
Спонсор
Регистрация: 01.01.2007
Сообщения: 500
Реклама показывается изредка по случайному принципу |
РЕКЛАМА
|
20.04.2009, 10:14 | #2 |
Матёрый пользователь
Регистрация: 15.08.2007
Адрес: Дом на набережной, нехорошая квартира
Сообщений: 1,791
Вы сказали Спасибо: 1,964
Поблагодарили 599 раз(а) в 225 сообщениях
|
На позапрошлой неделе столкнулся с таким же, судя по описанию, вирусом. Та же активация вируса после презапуска, чёрный экран, номер для смс. Поскольку ничего важного у меня на диске С кроме мстс не было, сразу всё форматнул.
|
20.04.2009, 10:21 | #3 |
Матёрый пользователь
Регистрация: 11.05.2007
Адрес: Москва
Сообщений: 3,808
Вы сказали Спасибо: 505
Поблагодарили 1,472 раз(а) в 873 сообщениях
|
В безопасности папки, назначте себя её владельцем, тогда восстановится возможность редактировать права доступа, ну и далее ...ставим себе полные права и вперёд
вирус тут не причём... это заморочки с безопасностью NTFS
__________________
!!Russian Railways Forever!! МТЖДТ им. Ф.Э. Дзержинского, ПС12->ПС42 (1999-2003), Славное депо Николаевка ЛВЧД-4 (2003-2006) |
20.04.2009, 10:31 | #4 |
Новичок
Регистрация: 29.03.2009
Сообщений: 10
Вы сказали Спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
|
Извините меня, наверняка туплю сейчас. Но как в данной ситуации это сделать? Так как профиль Admin не доступен. А из другой Винды в свойствах папки присутсвуют только вкладки: Общие; Доступ; Настройка. Размер папки указан 0 байт.
|
20.04.2009, 10:44 | #5 | |
Матёрый пользователь
Регистрация: 11.05.2007
Адрес: Москва
Сообщений: 3,808
Вы сказали Спасибо: 505
Поблагодарили 1,472 раз(а) в 873 сообщениях
|
Цитата:
диск через chkdsk проверялся? WinXP Prof? "Использовать простой общий доступ" отключено?
__________________
!!Russian Railways Forever!! МТЖДТ им. Ф.Э. Дзержинского, ПС12->ПС42 (1999-2003), Славное депо Николаевка ЛВЧД-4 (2003-2006) |
|
20.04.2009, 11:12 | #6 |
Матёрый пользователь
Регистрация: 27.07.2007
Сообщений: 540
Вы сказали Спасибо: 4
Поблагодарили 22 раз(а) в 16 сообщениях
|
а зачем Вы нтузер.дат удалили-то? В файле Ntuser.dat хранятся пользовательские профили.
Garikk ну, в винде-то он владельцем чего-либо вряд ли станет А вот общий доступ попробовать поставить на папку можно. Вирус Вы, скорее всего не убили. Попробуйте через АВЗ поискать файлы, которые были удалены каспером -если найдете снова - червяк еще сидит. Насчет рабочего стола: диспетчер задач - новая задача - explorer.exe . Может сработает, а может и нет. Кстати, сервис пак какой? |
20.04.2009, 21:44 | #7 |
Матёрый пользователь
|
В "свойства папки" отключаете "Простой общий доступ". После этого (если система prof, а не HE) в свойствах нужной папки появится вкладка "Безопасность". Там можно рулить правами на данную папку.
__________________
битые писькели - (c)Yolkin |
20.04.2009, 21:45 | #8 |
Матёрый пользователь
|
И вообще - ни в коем случае не храните документы на системном диске. Если что - format C.
А ещё лучше Linux)))
__________________
битые писькели - (c)Yolkin |
21.04.2009, 01:26 | #9 |
Матёрый пользователь
|
Это WinXP SP3 хрен знает какая сборка?
|
21.04.2009, 01:27 | #10 |
Матёрый пользователь
|
Это к кому относится?
__________________
Когда тоскливо на душе и "Neskafe" не лезет в глотку, ты позвони скорее мне, МЫ ВМЕСТЕ НАСКРЕБЕМ НА ВОДКУ!!! |
21.04.2009, 02:18 | #11 |
Матёрый пользователь
Регистрация: 10.05.2007
Адрес: Default city
Сообщений: 4,704
Вы сказали Спасибо: 3,123
Поблагодарили 4,092 раз(а) в 1,213 сообщениях
|
А у меня такая вот проблема.
Собственно, с некоторого времени у меня на компьютере наблюдается такое вот явление. Во время работы компьютера происходит какой-то процесс, после которого отрубается интернет. Точнее говоря, подключение есть, а вот ни страницы не открывает, ничего, т.е., инета нет. Локальная сеть работает открывает без проблем. Помогает перезагрузка компьютера. Но потом все повторяется через некоторое время. Сделал вот скрин: Просканил НОДом и, на всякий пожарный, поставил Авиру и ей тоже просканил. Ну да, были червяки, удалил. Но проблема осталась. Форматнул полностью, ибо ничего особо ценного на ноуте не было. Поставил снова систему, но вот проблема осталась. Что это - понять никак не могу. Еще вот, при установке винды, вылетало сие: С какой-то там попытки поставилось таки. Вот голову ломаю, что на компе глючит или это винда такая кривая? Если же следовать логике "синего экрана", что-то с оперативной памятью, тогда в чем же дело, если она нормально и без проблем в биосе отображается? Система XP SP2
__________________
- Валико, если большой самолет и твой вертолет цепью связать, кто победит? - Цепь. Последний раз редактировалось Digger; 21.04.2009 в 02:25. |
21.04.2009, 04:48 | #12 |
Комендант-администратор
Регистрация: 10.04.2007
Адрес: Иркутск, ст.Кая ВСибЖД
Сообщений: 16,491
Вы сказали Спасибо: 6,328
Поблагодарили 15,514 раз(а) в 3,785 сообщениях
|
|
21.04.2009, 09:07 | #13 | |
Матёрый пользователь
Регистрация: 27.07.2007
Сообщений: 540
Вы сказали Спасибо: 4
Поблагодарили 22 раз(а) в 16 сообщениях
|
Цитата:
|
|
21.04.2009, 14:00 | #14 |
Матёрый пользователь
Регистрация: 10.05.2007
Адрес: Default city
Сообщений: 4,704
Вы сказали Спасибо: 3,123
Поблагодарили 4,092 раз(а) в 1,213 сообщениях
|
Просканил весь хард - нетути.
А скрин вот. До ошибки: После нее(инфиум.ехе - это квип) Повторяюсь, система - XP SP2, а не Виста. Просто такая система со встроенными темами оформления.
__________________
- Валико, если большой самолет и твой вертолет цепью связать, кто победит? - Цепь. Последний раз редактировалось Digger; 21.04.2009 в 14:05. |
21.04.2009, 14:49 | #15 |
Матёрый пользователь
Регистрация: 27.07.2007
Сообщений: 540
Вы сказали Спасибо: 4
Поблагодарили 22 раз(а) в 16 сообщениях
|
не то Выкл. все посторонние проги, вкл. инет эксплорер, в диспетчере поставь галку "отображать процессы всех пользователей" и потом скринь. Из того что есть вызывает сомнения keyhook.exe - это что? Файлы ищи через авз (http://www.z-oleg.com/secur/avz/ - качаешь, обновляешь базы, сканишь С на предмет всякой заразы, ищешь этот sysdrv32.sys, на всякий). Неплохо было бы жесткий проверить на наличие ошибок.
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Что это? |