Показать полную графическую версию : Доктор WEB запорол мне файлы!
Mavlyudov
18-11-2004, 15:52
Как починить файлы, испорченные доктором вебом???
Короче, поставил Я на комп триальную версию Dr.Web4.27,
нашел к ней крак, взломал.
Сделал "проверить диски".(у меня диск разбит на три
диска C,D,E, и на двух из них стоят винды: 98 на C и XP
на D и проги на E)На каждом диске он нашел по 600-700
зараженных файлов, и вылечил их. После этого при попытке
вызова программы, появлялась ошибка(в винд. XP): "ошибка
при инициализации приложения (0xc0000005). Для выхода
нажмите OK."
После перезагрузки ,комп вообще не запустился: та же
ошибка, но уже на приложение, отвечающее за вход в
виндовс.
win 98 тоже не запустился, выдав ошибку перед входом:
"программа MPREXE вызвала сбой при обр. к стр. памяти в
модуле KERNEL 32.DLL по адрусу 016:bff84ba0"
Короче, я форматнул диски, поставил заново винды, а
файлы(которые в это время хранились на третьем диске-Е)
все равно не работают(восновном это егзешники и архивы).
После долгх попыток, я все же нашел работающие exe
файлы.
Т.е. др.веб испортил не все файлы, а часть их(как я уже
сказал).
Доктор Веб обнаружил при этом вирус Win32.Parite.2
Вопрос в том КАК ВЫЛЕЧИТЬ ЭТИ ФАЙЛЫ ОБРАТНО? ЧТО НУЖНО
СДЕЛАТЬ, ЧТОБЫ ПРОГИ И ФАЙЛЫ ОПЯТЬ ФУНКЦИОНИРОВАЛИ???
Теперь уже ничем не помочь...
Виндовые файлы можешь добыть из дистрибутива винды/инсталляги, а с остальными совсем плохо... Придется добывать их заново. :(
Интересно. Вроде этот вирус никаких деструктивных функций в себе не несет.
Вирус состоит из "носителя", написанного на ассемблере, и собственно вирусной компоненты, написанной на Borland C++.
При запуске заражённого файла первым получает управление вирусный "носитель", он записывает во временную папку вирусный компонент и вызывает процедуру заражения.
Вирус ищет Win32 PE EXE файлы с расширениями .exe и .scr на логических дисках компьютера, а также в ресурсах локальной сети, и заражает их.
Вирус никак не проявляет своего присутствия в системе.
Получается, что это антивирус некорректно его удалил? Интересно...
Mavlyudov
Я так подозреваю что IRV прав, "вылечить" исполняемые файлы уже не удастся, поможет только переустановка поверх, либо замена всех побитых исполняемых файлов на оригинальные.
Mavlyudov
19-11-2004, 14:14
Но можно ли проверить комп на этот вирус(Win32.Parite.2) с помощь какой-либо проги типа fixklez ?????
<b>IRV</b> и <b>Blast</b> предлагают удалить мне все данные.
Но я думаю, что есть все-таки какой-то способ устранить этот вирус и вылечить испорченные файлы.
Может стоит полазеть в реестре или еще что-то сделать.
Получается, что этот вирус сидит в системе.
Подскажите как от него избавиться?
Mavlyudov
А вот будь у тебя легальная версия, то:
1) У тебя была бы более свежая версия, к-ая возможно более корректно вырезала бы вирус из файла, да к тому же скорее всего вылечила бы и еще другие вирусы, которых просто не было в базах 4.27 и наличие к-ых и привело к неработоспособности "вылеченных" файлов.
2) Ты мог бы обратиться к ним с официальной притензией со всеми вытекающими.
В уже создавшейся ситуации могу предложить поставить свежую версию 4.32b и пройтись еще и ей. Возможно вычистив другие вирусы (а они есть - 100%, если смотреть на их уже обнаруженой количество и срок баз - декабрь 2001 года...) работоспособность оригинальных файлов восстановиться (к/г - "надежда умирает последней").
Ну а на будущее - не пользуйся старыми версиями (тем более если стоимость новой и старой - для тебя абсолютно одинаковая)...
Ну а если вообще по ситуации, то тебе надо взять свой винч и проверить его загрузившись с загружаемого компакта или дискеты (без использования файлов с винта) или подключив его вторым к другому компу, конечно новой версией ПО АВЗИ с новыми базами... Только учти, что возможность восстановления работоспособности уже "вылеченных" файлов более вероятна при использовании новой версии именно Доктора, т.к. алгоритмы работы у разных производителей АВЗИ - тоже разные...
Во первых никто тебе не предлагал ничего удалять, если слово
"переустановка" у тебя ассоциируется только с удалением, то ни я ни
IRV в этом не виноваты.
Во вторых, как ты себе представляешь лазанием в реестр исправить
контрольные суммы всех исполняемых файлов?
В третьих, с чего ты взял что вирус сидит в системе? То что у тебя ни
один исп. файл не запускается свидетельствует, в данном случае, лишь о
том, что антивирус убрал из них добавленное вирусом и, как следствие,
изменилась контрольная сумма файлов, а может и в принципе они пришли в
негодность. (если я не прав в последнем предположении, то поправьте
меня)
По моему мнению начать тебе стоит с установки винды поверх
существующей, затем так же переустановить (не удалить) программы
которые не запускаются. Либо вытащить из дистрибутива винды все
ехе-файлы и заменить ими существующие. К стати можно попробовать
вытащить sfc.exe и попробовать запустить, возможно таким способом
можно будет исправить системные файлы винды.
Полностью согласен с рекомендациями IRV, Blast & Georgevich.
Только хотел добавить, что прежде всего нажно почистить диск от вируса - http://www.softodrom.ru/win/p45.shtml McAfee AVERT Stinger 2.4.5 поможет тебе. Меня он выручал.
Последняя версия Dr.Web www.drweb.ru (http://www.drweb.ru) Проблем не замечено:)
Тут дам два простых совета:
1. Лечить вирусы можно только из НЕЗАРАЖЕННОЙ системы.
2. Вся ценная инфа должна иметь бэкапы.
второй совет прост, но требует еще одного винта или резак.
с первым хитрее. Я пользую такие варианты:
а) Kасперский под DOS. / загрузка с дискеты/CD-RW - чистой, без вирей, на всех файлах
должен быть просчитан MD5. Я юзаю собственный мультизагрузочник.
б) в касперском (3.5 - точно) есть диски аварийного восстановления.
По сути - на первую пишется микро-линукс+ антивирь, на остальные - базы.
создаем 4 таким дискеты, грузимся с них и лечим винт.
с) Надо для виндов сделать маленький диск С - примерно гиг, не более, и ничего кроме винды и программ (включая антивирь) туда не ставить. Чуть что - format C: , затем Norton Ghost 2003
© OSzone.net 2001-2012
vBulletin v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.