![]() |
XP заблокирована вирусом, вход в систему через безопасный режим невозможен
Доброго времени! Помогите решением проблемы:
Не могу войти в систему, после окна приветствия (Добро пожаловать) выскакивает окно, в котором предлагается отправить смс-сообщения для вставки ответного в окошко (и мнимого решения якобы имеющихся вирусов). Через восстановление последней удачной конфигурации, режим отладки, безопасный режим, безопасный режим с загрузкой сетевых драйверов войти не могу. Безопасный режим с поддержкой командой строки загружается. Ноутбук: HP Pavilion dv7 2130 er. 1 ОС: Windows Vista SP2, 2 ОС: Windows XP SP3 (проблемная). С Висты проверил весь компьютер через KAV 2010 - чисто. Также было замечено, что на 4 разделах диска появились скрытые файлы: md.exe и при его запуске Касперский выдаёт сообщение про работу вируса, а отчётах читаю: "легальная программа, которая может быть использована злоумышленником для нанесения вреда компьютеру или данным пользователя PDM.Trojan.generic критичность высокая, на карантине" Также были изменены значки на 3 из 4 разделов, на классические жёлтые. Заражение произошло ровно во время посещения сайта с пиратским софтом. |
kaban-keb, в папке windows\system32 (в разделе с XP) найдите скрытый системный файл user.exe (или user32.exe) и удалите. Файлы md.exe и autorun.ini (если есть в корнях разделов) удалите и ни в коем случае не запускайте.
|
okshef, спасибо за ответ. Перед выполнением операций хочу уточнить несколько моментов:
В проблемном разделе с XP/WINDOWS/system32 имеются несколько файлов: user.exe, user32.dll и user32.exe. Файлы user.exe, user32.dll были созданы в апреле и сентябре прошлого года (соответственно), и лишь файл user32.exe имеет дату создания на день заражения (т.е. сегодня), причём все 3 - нескрытые. Удалять все? Также хочу уточнить: файлы, необходимые к удалению, точно с названием autorun.ini? (в некоторых разделах имеются файлы: autorun.inf (скрытый)(в 3 из 4 разделах, включая проблемный), boot.ini (на непроблемной Висте, скрытый) и Desktop.ini (на разделе для восстановления, скрытый); что делать с ними? Также прошу помощи в замене значков разделов (или всё поменяется после удаления?) Ну и разъясни мне, незнающему, что значит "корнях разделов". Спасибо. |
Цитата:
Цитата:
Цитата:
Цитата:
Если будете удалять через корзину - корзину очистите. После удаления - перезагрузка и логи по правилам. |
okshef, продолжаю благодарить за помощь.
С userами понял: на проблемной ХР удаляем файл user32.exe (созданный сегодня, на момент заражения), файлы user.exe, user32.dll не трогаем. Но уточни, пожалуйста, кто ошибся с расширением я или ты. Предполагаю, что ты. Значит нужно удалить все файлы autorun.inf (в корнях всех разделов), а файлы boot.ini (на непроблемной Висте, скрытый) и Desktop.ini (на разделе для восстановления Висты, скрытый) не трогаем. Так? |
Все правильно!
|
okshef, после выполнения удаления файлов и очистки корзины, ХР запустился, но кроме фона на рабочем столе ничего нет. Запуск диспетчера задач ничего не дал - выдаётся сообщение "диспетчер задач отключен администратором".
Загрузившись с Висты в компьютере вижу появление подлинных значков разделов - гуд :). Прошу помощи восстановления значков рабочего стола, панели и проводника. Также поясни, что значит "перезагрузка и логи по правилам", может я что не так сделал. И, раз это раздел по обсуждению вирусов/антивирусов, подскажи, что будет с файлом PDM.Trojan.generic, который находится на карантине в случае сноса Касперского? |
Цитата:
|
Подскажите, как запустить утилиты. В безопасном режиме, как и в обычном, отсутствует что-либо на экране. Или можно проверить на второй непроблемной ОС?
|
Цитата:
Или нажать на кнопку winwows кнопка с флажком и в поиск ввести имя программы ( AVZ ) если программа на диске CD вставить диск в привод и тоже самое с куреитом . Когда прога найдётся запустить. |
А можно с утилитами CureIt, AVZ и HijackThis поработать на второй, непроблемной ОС?
|
С HJT для воздействия на проблемную ОС - нельзя, эта утилита работает с реестром активной системы, c CureIt и AVZ - можно в режиме выборочного сканирования. Естественно, применить их на непроблемной ОС можно, только зачем?
|
okshef, но ведь без HijackThis не получится сделать логи :(. Как быть? Может как нибудь через безопасный режим с поддержкой командой строки? (он на проблемной ОС вроде как загружается). Внимательно выслушаю последовательность действий :type:
|
kaban-keb, если вы зловреда удалили, то проблем со входом быть не должно. Или проблемы есть? Вы можете с помощью CureIt сделать проверку раздела с проблемной системой, а потом в нее загрузиться и там уже сделать логи.
|
okshef, после выполнения удаления файлов и очистки корзины, ХР запустился, но кроме фона на рабочем столе ничего нет. Запуск диспетчера задач ничего не дал - выдаётся сообщение "диспетчер задач отключен администратором".
Загрузившись с Висты в компьютере вижу появление подлинных значков разделов - гуд :). Прошу помощи восстановления значков рабочего стола, панели и проводника. |
kaban-keb, делайте логи по правилам, лечение - по логам
|
Цитата:
|
Цитата:
|
Цитата:
|
Цитата:
|
Цитата:
|
kaban-keb, какие сочетания приводят к положительному результату (появлению какого-нибудь окна)? Что в безопасном режиме?
|
okshef, к положительному результату не приводят точно следующие комбинации: "Ctrl+Alt+Del", "Win+R", "Win+E" (и в обычном, и в безопасном режимах), только выдаётся сообщение "диспетчер задач отключён администратором" при команде "Ctrl+Alt+Del". Окна рабочего стола в обоих режимах пустые, на запросы мыши не реагирует.
|
На Vista скачайте Regedit PE 1.1.0.0, запустите с правами администратора. Запустите поиск по "Run" (по имени раздела, имя - целиком) в реестре и экспортируйте разделы реестра RUN проблемной системы. Также произведите поиск по "userinit.exe" и так же экспортируйте файлы реестра. Экспортированные файлы прикрепите к сообщению
|
okshef, тут всё в куче.
|
kaban-keb, неплохо, найдите таким же способом все упоминания user32.exe (так же: поиск, значения параметров, имя целиком) и удалите значения параметров с участием этой программы.
Цитата:
Но если будет упоминание user32.exe в нижней строчке: "Userinit"="D:\\WINDOWS\\system32\\userinit.exe," - то ее нужно не удалять, а править (двойным щелчком по значению) - и приводить к такому виду - с запятой в конце. |
Цитата:
"Shell"="Explorer.exe" Потом можно снять все ограничения с помощю АВЗ или утилитой Dial-a-fix , при запуске утилиты, если есть ограничения, выскочит окно : ![]() |
Цитата:
|
Господа модераторы, действия выполнил; после "Shell" стоит "Explorer.exe"; пишу с проблемной ХР :). Мои действия? Выполнить рекомендации и прикрепить к следующему сообщению полученные логи?
|
kaban-keb, да, все по правилам
|
Прикрепил
|
Выполните скрипт:
Код:
begin Код:
begin Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение. |
После незапланированой командировки хотелось бы продолжить лечение. Выкладываю заново логи, т.к. в моё отсутствие на машине работали, и к тому же утилита CureIt нашла зловреда. Спасибо.
|
По логам заражения не вижу, может кто что скажет дополнительно
выполните скрипт AVZ Код:
begin Скачайте MBAM, перейдите на вкладку Обновление, выполните обновление, выполните полное сканирование, лог сканирования сохраните и прикрепите к сообщению. По проблемам: Цитата:
|
Скрипт выполнил, через AVZ устранил проблемы. Прикрепляю отчёт работы MBAM.
|
Цитата:
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. Всё что удаляете в МБАМ можно восстановить. для удаления нужно повторить проверку и отметить нужное или наоборот снять галки. |
Всё , кроме указанных веток реестра удалено. Предполагаю, что лечение завершено, если так, ещё несколько вопросов:
- Будет ли утилита Malwarebytes Anti-Malware 1.44 работать на Висте и 7? - Цитата:
- На второй, непроблемной Висте появились следующие папки: "$WINDOWS.~BT", "PerfLogs", "SWSetup", а также 2 файла: "msdia80.dll", и "PDOXUSRS.NET". Кажется их не было, что делать с ними? |
Судя по вашему сообщению, проблем больше нет? Ответы на ваши вопросы
|
Могу удалить "$WINDOWS.~BT" "SWSetup"?
|
Насчет второй - не уверен, первую - можете.
|
Считаю тему завершённой, огромное спасибо автору и модераторам: Drongo, iskander-k, E-mpty. Отдельное спасибо okshef.
|
Время: 17:01. |
Время: 17:01.
© OSzone.net 2001-