Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Пропали папки Мои документы и Рабочий стол (http://forum.oszone.net/showthread.php?t=162966)

Wolf.bris 10-01-2010 05:53 1315941
Пропали папки Мои документы и Рабочий стол
 
Доброго времени суток...
случилась такая история, была скачана прога с инета, вместе с краком , ну человечек и запустил крак, заблокировался диспечер задач, назначение клавиш на миши поменялось...исчезли папки (мои документы, рабочий стол) и все их содержимое, в моем компьютере не отображаются диски...
Диспечер задач восстановил при помощи АVZ, назначение клавиш изменил в панеле управления, но при перезагрузке клавиши опять меняются...
Подскажите как тут быть...и возможно ли восстановить потеряные данные...

Analyzer 10-01-2010 07:02 1315951
Отключить антивирус/фаервол, интернет;

Выполните скрипт в AVZ. Меню Файл - Выполнить скрипт, вставляем написаный ниже скрипт - кнопка Запустить.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\DREAM\PIANO\xor.exe','');
 QuarantineFile('C:\Zolander\Polanda\box.exe','');
 QuarantineFile('C:\WINDOWS\SYSTEM\Gigabyte.vbs','');
 QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\X1H50kv8.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\amsw6hqe.SYS','');
 QuarantineFile('user32.exe','');
 QuarantineFile('user.exe','');
 QuarantineFile('mouse.exe','');
 QuarantineFile('keyboard.exe','');
 DeleteFile('keyboard.exe');
 DeleteFile('mouse.exe');
 DeleteFile('user32.exe');
 DeleteFile('user.exe');
 DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\X1H50kv8.sys');
 DeleteFile('C:\WINDOWS\SYSTEM\Gigabyte.vbs');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован файл карантина quarantine.zip в папки с AVZ Вышлите полученный quarantine.zip на newvirus@kaspersky.com Результаты ответа, сообщите здесь, в теме.

Пофиксить в HijackThis следующие строчки:
Код:
F2 - REG:system.ini: UserInit=\\.\globalroot\systemroot\system32\userinit.exe,
Скачайте и запустите. Компьютер перезагрузится

Если в папке с утилитой появился файл drv.sys, запакуйте его и прикрепите к своему сообщению

Сделайте новые логи.

Wolf.bris 10-01-2010 08:15 1315956
все выполнил...
Результат с newvirus@kaspersky.com
"Здравствуйте,


quarantine.zip

Вредоносный код в файле не обнаружен."

Новые логи прикрепляю...

Analyzer 10-01-2010 09:49 1315982
что с проблемой ?

Wolf.bris 10-01-2010 09:50 1315984
осталась...
в моем компьютере не отображаются диски, при попытке зайти в любую папку на рабочем столе, выдает что заблакировано, обратитесь к администратору сети...правда на мыши клавиши теперь не меняются...

и возможно ли восстановить данные, которые исчезли?

Analyzer 10-01-2010 10:01 1315995
Отключить антивирус/фаервол, интернет;

Выполните скрипт в AVZ. Меню Файл - Выполнить скрипт, вставляем написанный ниже скрипт - кнопка Запустить.
Код:
begin
 ExecuteRepair(5);
 ExecuteRepair(6);
 ExecuteRepair(8);
 ExecuteRepair(16);
 ExecuteRepair(19);
 RebootWindows(true);
end.
есть ли изменения ?

Wolf.bris 10-01-2010 10:17 1316001
выполнил скрипт, теперь папки открываются, диски в моем компьютере отображаются...
как быть с потерянными данными?возможно ли их вернуть?

кстати из меню пуск\все программы тоже все ярлыки исчезли...

okshef 10-01-2010 10:23 1316006
Wolf.bris, откройте отображение скрытых и системных файлов, может просто атрибуты изменились.

Analyzer 10-01-2010 10:26 1316008
Цитата:
Цитата Wolf.bris
как быть с потерянными данными?возможно ли их вернуть? »
что были за данные что сейчас вместо них ?

Wolf.bris 10-01-2010 10:27 1316009
в свойстве диска показывает пустое место

Цитата:
Цитата Analyzer
что были за данные что сейчас вместо них ? »
В место них пустое место...вроде как удалены:( фотографии, документы...

полностью папка "Мои документы" и все что было на рабочем столе

я так думаю теперь нужно программами для восстановления удаленных данных жесткий чесать?

Analyzer 10-01-2010 10:38 1316018
Цитата:
Цитата Wolf.bris
я так думаю теперь нужно программами для восстановления удаленных данных жесткий чесать? »
скорее всего да, если всё так как вы говорите.

Wolf.bris 10-01-2010 10:44 1316026
А можно узнать что за гадость была?

Analyzer 10-01-2010 10:54 1316031
Email-Worm.VBS.Small.e

т.к. эти файлы на системном диске то вероятность их восстановления очень мала

Wolf.bris 10-01-2010 11:02 1316034
спасибо за помощь:) дальше будем елозить жесткий:) главное от заразы избавился:)
а возможно ли восстановить ярлыки из пуска?

Analyzer 10-01-2010 12:23 1316089
Цитата:
Цитата Wolf.bris
а возможно ли восстановить ярлыки из пуска? »
насчет этого не знаю такого не делал но думаю что нет.

Отметьте тему решенной в настройках темы


Код:
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
что из этого нужно ?

это лучше сделайте после восстановление файлов.

обновите Java, Flash player.

Очистить и создать новую контрольную точку восстановления:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить.
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска.

Рекомендую для уменьшения риска заражения:
- Не работать за компьютером с правами администратора.
- Не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (Рекомендую использовать Firefox c плагином NoScript).
- Регулярно устанавливать обновления windows и обновлять антивирусные базы.

Wolf.bris 10-01-2010 12:48 1316111
Цитата:
Цитата Analyzer
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику »
Цитата:
Цитата Analyzer
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) »
Думаю это ничего не нужно...

Analyzer 11-01-2010 01:06 1316818
Выполните скрипт в AVZ. Меню Файл - Выполнить скрипт, вставляем написанный ниже скрипт - кнопка Запустить.
Код:
begin
SetServiceStart('Schedule', 4);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
RebootWindows(true);
end.


Время: 03:40.

Время: 03:40.
© OSzone.net 2001-