B1ohazarD 1 Опубликовано 23 января, 2010 Share Опубликовано 23 января, 2010 Вообщем дело такое... Оставил на ночь обновление Lineage, с офф сервера Утром проверял - всё было хорошо. Пришел из школы, компьютер оказывается перезагрузился. Ну я ввел пароль на администратора, он почти 10 секунд загружался ( обычно секунду, не больше ). И что я увидел? Рабочего стола не было!Открыл диспетчер, запустил explorer.exe, он открыл Проводник. В процессе иследования "Да что это такое блин" увидел, что Диск D почему то стал съемным, и не запускался двойным щелчком, писал ошибку "Не найдем файл md.exe". Вообщем, ужас. Я не знаю что делать. Может как то восстановить систему?Если да, то как это сделать без Пуска и Панели Управления? Логи прилагаю. hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip Цитата Ссылка на сообщение Поделиться на другие сайты
snifer67 120 Опубликовано 23 января, 2010 Share Опубликовано 23 января, 2010 Пофиксить в HijackThis F2 - REG:system.ini: Shell=%SystemRoot%\system32\user32.exe F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe, ПК перезагрузите. Выполните скрипт в avz begin DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('D:\autorun.inf',''); QuarantineFile('C:\WINDOWS\system32\sdra64.exe',''); QuarantineFile('%SystemRoot%\system32\user32.exe',''); DeleteFile('%SystemRoot%\system32\user32.exe'); DeleteFile('C:\WINDOWS\system32\sdra64.exe'); DeleteFile('D:\autorun.inf'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. ПК перезагрузится. Выполнить скрипт в AVZ. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com,в письме укажите пароль на архив virus. Полученный ответ сообщите здесь. Сделайте новые логи. Цитата Ссылка на сообщение Поделиться на другие сайты
B1ohazarD 1 Опубликовано 23 января, 2010 Автор Share Опубликовано 23 января, 2010 Ответ от касперских пока еще не пришел. Все ошибки после выполнения скрипта вроде бы устранены. Спасибо вам Очень хорошо, что есть знающие люди, такие как вы. virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log Цитата Ссылка на сообщение Поделиться на другие сайты
snifer67 120 Опубликовано 23 января, 2010 Share Опубликовано 23 января, 2010 C:\WINDOWS\wt\updater\wcmdmgrl.exe проверьте на http://www.virustotal.com/ru/ Цитата Ссылка на сообщение Поделиться на другие сайты
B1ohazarD 1 Опубликовано 23 января, 2010 Автор Share Опубликовано 23 января, 2010 MD5: 448a26937b65e4a1a1a7d5194a66edd2 First received: 2007.01.22 20:24:21 UTC Дата: 2009.08.10 21:04:50 UTC [>165D] Результаты: 1/41 Permalink: analisis/b4e37ce1ef7efcee5086091d861dfb40772b2259bc0aef026134d0459d4d1cf8-1249938290 Цитата Ссылка на сообщение Поделиться на другие сайты
snifer67 120 Опубликовано 23 января, 2010 Share Опубликовано 23 января, 2010 Чисто Установите IE8 1 Цитата Ссылка на сообщение Поделиться на другие сайты
B1ohazarD 1 Опубликовано 23 января, 2010 Автор Share Опубликовано 23 января, 2010 (изменено) Еще раз спасибо. А можно узнать, что это было? Изменено 23 января, 2010 пользователем B1ohazarD Цитата Ссылка на сообщение Поделиться на другие сайты
snifer67 120 Опубликовано 23 января, 2010 Share Опубликовано 23 января, 2010 А можно узнать, что это было? c:\windows\system32\sdra64.exe - Trojan-Spy.Win32.Zbot c:\windows\system32\user32.exe - Trojan-Ransom.Win32.SMSer Предположительно... Цитата Ссылка на сообщение Поделиться на другие сайты
B1ohazarD 1 Опубликовано 23 января, 2010 Автор Share Опубликовано 23 января, 2010 c:\windows\system32\sdra64.exe - Trojan-Spy.Win32.Zbotc:\windows\system32\user32.exe - Trojan-Ransom.Win32.SMSer Предположительно... Странно...И ни один не обнаружен...Ни одним антивирусом... Цитата Ссылка на сообщение Поделиться на другие сайты
vit9696 415 Опубликовано 23 января, 2010 Share Опубликовано 23 января, 2010 Да, ничего странного, все пропускают понемногу... Цитата Ссылка на сообщение Поделиться на другие сайты
B1ohazarD 1 Опубликовано 23 января, 2010 Автор Share Опубликовано 23 января, 2010 Всё. Обновил с microsoft сайта. Цитата Ссылка на сообщение Поделиться на другие сайты
vit9696 415 Опубликовано 23 января, 2010 Share Опубликовано 23 января, 2010 Всё. Обновил с microsoft сайта. Для добавки поставьте все обновления www.update.microsoft.com Цитата Ссылка на сообщение Поделиться на другие сайты
B1ohazarD 1 Опубликовано 23 января, 2010 Автор Share Опубликовано 23 января, 2010 (изменено) Пришел ответ от Касперских. "Вредоносный код в файле не обнаружен". Еще раз всем спасибо, тему можно closed. Изменено 23 января, 2010 пользователем B1ohazarD Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.