Я под огнём, нужна поддержка!

[B1ohazarD]

Вообщем дело такое...

Оставил на ночь обновление Lineage, с офф сервера

Утром проверял - всё было хорошо.

Пришел из школы, компьютер оказывается перезагрузился.

Ну я ввел пароль на администратора, он почти 10 секунд загружался ( обычно секунду, не больше ).

И что я увидел?

Рабочего стола не было!Открыл диспетчер, запустил explorer.exe, он открыл Проводник.

В процессе иследования "Да что это такое блин" увидел, что Диск D почему то стал съемным, и не запускался двойным щелчком, писал ошибку "Не найдем файл md.exe".

Вообщем, ужас.

Я не знаю что делать.

Может как то восстановить систему?Если да, то как это сделать без Пуска и Панели Управления?

Логи прилагаю.

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

[snifer67]

Пофиксить в HijackThis

F2 - REG:system.ini: Shell=%SystemRoot%\system32\user32.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,

ПК перезагрузите.

 

 

Выполните скрипт в avz

begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('%SystemRoot%\system32\user32.exe','');
DeleteFile('%SystemRoot%\system32\user32.exe');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('D:\autorun.inf');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com,в письме укажите пароль на архив virus. Полученный ответ сообщите здесь.

 

Сделайте новые логи.

[B1ohazarD]

Ответ от касперских пока еще не пришел.

Все ошибки после выполнения скрипта вроде бы устранены.

Спасибо вам

Очень хорошо, что есть знающие люди, такие как вы.

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

[snifer67]

C:\WINDOWS\wt\updater\wcmdmgrl.exe проверьте на http://www.virustotal.com/ru/

[B1ohazarD]

MD5: 448a26937b65e4a1a1a7d5194a66edd2

First received: 2007.01.22 20:24:21 UTC

Дата: 2009.08.10 21:04:50 UTC [>165D]

Результаты: 1/41

Permalink: analisis/b4e37ce1ef7efcee5086091d861dfb40772b2259bc0aef026134d0459d4d1cf8-1249938290

[snifer67]

Чисто

 

Установите IE8

[B1ohazarD]

Еще раз спасибо.

А можно узнать, что это было?

Изменено 23 января, 2010 пользователем B1ohazarD

[snifer67]

А можно узнать, что это было?

c:\windows\system32\sdra64.exe - Trojan-Spy.Win32.Zbot

c:\windows\system32\user32.exe - Trojan-Ransom.Win32.SMSer

Предположительно...

[B1ohazarD]

c:\windows\system32\sdra64.exe - Trojan-Spy.Win32.Zbot

c:\windows\system32\user32.exe - Trojan-Ransom.Win32.SMSer

Предположительно...

 

Странно...И ни один не обнаружен...Ни одним антивирусом...

[vit9696]

Да, ничего странного, все пропускают понемногу...

[B1ohazarD]

Всё. Обновил с microsoft сайта.

[vit9696]

Всё. Обновил с microsoft сайта.

Для добавки поставьте все обновления www.update.microsoft.com

[B1ohazarD]

Пришел ответ от Касперских.

"Вредоносный код в файле не обнаружен".

Еще раз всем спасибо, тему можно closed.

Изменено 23 января, 2010 пользователем B1ohazarD