Объявление


Форум находится в режиме только для чтения, для комментариев есть блог.

#76 15.05.2010 20:47:02

Waterclo
Пø}{@бь)4
Откуда: Лампа Аллавбздина
Зарегистрирован: 24.09.2008
Сообщений: 1918

Re: Лечение системы после заражения вирусом

Saten
Итого: aws0u2ke.sys - такой в дистрибутиве отсутствует, как класс и скопирован быть не может. Особенно если, каждый раз с "токо с другим названием файла". Sergikaz тебе всё правильно сказал - проверяйся на вирусы.
Одного не пойму - зачем обновлять систему установкой "поверху"? Это делается в случае крайней необходимости, в остальных случаях есть Microsoft Update.
А что касается:

почему при установки операционки на диск "С"  boot.ini, ntldr и тэдэ и тэпэ файлы записываются на диск "D" хотя должны наоборот

Они записываются на активный диск или активный раздел диска. При автоматической установке системы и одновременном наличии "старой", она будет устанавливаться не поверху, а на следующий раздел жесткого диска, даже если он неактивный.

 

#77 23.10.2010 09:35:47

Abret
New member
Зарегистрирован: 12.03.2009
Сообщений: 1

Re: Лечение системы после заражения вирусом

у кого проблемы с окнами типа "отправте SMS" ВСЁ очень просто вот 3 официальных сайта добавте себе в избранное
http://support.kaspersky.ru/viruses/deblocker
http://www.drweb.com/unlocker/index
http://www.esetnod32.ru/.support/winlock/
и не надо изобретать велосипедdrinks

 

#78 13.11.2010 21:47:35

happywanderer
Чудом осчастливленный Миха
Зарегистрирован: 16.02.2010
Сообщений: 904

Re: Лечение системы после заражения вирусом

Появилась вот такая хрень, Process Explorer отображает два процесса:safesurf.exe и surfguard.exe от "производителя" JetSwap. "Ноги растут" из c:\Program Files\config\. Убиваю процессы и удаляю всё с помощью Revo Uninstaller, через минуту или две всё восстанавливается, и папка и процессы. Пытался заблокировать выход бредмауэром, но после перезагрузки она стоит опять в исключениях. По сети нашёл скрипт AVZ для удаления этой шняги, после его выполнения и  перезагрузки - таже история. Кто что посоветует? Заранее спасибо.


"Ни один человек не богат настолько, чтобы искупить свое прошлое."

 

#79 13.11.2010 23:45:44

svoit
Advanced Member
Зарегистрирован: 28.04.2009
Сообщений: 172

Re: Лечение системы после заражения вирусом

ну может если сборка симплекса будет проще восстановить реестр 2-3 -х дневной давности, когда вируса не было ещё.

 

#80 14.11.2010 00:02:24

Waterclo
Пø}{@бь)4
Откуда: Лампа Аллавбздина
Зарегистрирован: 24.09.2008
Сообщений: 1918

Re: Лечение системы после заражения вирусом

svoit
rolleyes Разумная мысль, но этого мало.

happywanderer
1. Убедительная просьба, внимательно прочитать комментарий под плакатиком, во избежание недоразумений.
2. Это Trojan.safesurf - Stubborn (неподдатливое) malware.
С помощью Unlocker-а  удаляем из C:\Windows\system32\drivers\safesurf.exe, surfguard.exe и up.exe, а из C:\Program Files\Common Files\ удаляем каталог Surf со всем его содержимым, удаляем из реестра каталог JetSwap в ветке HKEY_LOCAL_MACHINE\SOFTWARE\, а в каталогах реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run и HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run удаляем ключи "jsafesurf"=C:\Program Files\Common Files\Surf\safesurf.exe.
3. Проверимся с помощью Malwarebytes Anti-Malware.
4. Относительно скрипта для AVZ - подробности от Каспера. shockcrazy

 

#81 14.11.2010 20:30:31

happywanderer
Чудом осчастливленный Миха
Зарегистрирован: 16.02.2010
Сообщений: 904

Re: Лечение системы после заражения вирусом

Waterclo, спасибо за то, что так всё подробно описал, но к сожелению эти советы не прокатили. Опишу как было и как действовал, может кому поможет. Перво наперво эта хрень устанавливалась в: c:\Program Files\config\, в C:\Program Files\Common Files\ каталога Surf не было. Каталог JetSwap в ветке реестра HKEY_LOCAL_MACHINE\SOFTWARE\ существовал(удалил, больше не появлялся). В каталогах реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run и HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run ключей "jsafesurf"=C:\Program Files\Common Files\Surf\safesurf.exe. и чтото похожего небыло. Удалял и  Unlockerом и Revo Uninstaller Pro папку: c:\Program Files\config\ с этой заразой, после перезагрузки всё появлялось вновь, включая исключения в бредмауэре: Updater Service и Updater Service Tools. Проверка, попытка лечения и удаления с помощью  Malwarebytes, DrWeb и AVZ тоже не дала не каких результатов. После всех этих танцев, меня привлёк процесс отображаемый в ProcessExplorer как: Radeon.exe.-графический ускоритель т.д и т. п., точно не помню, "домашний" путь этого exe-шника:C:\Windows\system32\drivers\Radeon.exe, в автозагрузке он тоже сидел. После удаления с автозагрузки и переименованием этого exe-шника, убийством процессов:safesurf.exe.  и surfguard.exe. c последующим удалением папки c:\Program Files\config\ всё чисто, даже при перезагрузке и дальнейшей работе. По возвращению истенного имени exe-шнику-Radeon.exe. всё повторяется заново. Отсылал его на Virustotal.com. ответ один на всех-found nothing. Так что вот как получилось, может это кому-нибудь поможет.


"Ни один человек не богат настолько, чтобы искупить свое прошлое."

 

#82 14.11.2010 21:13:02

Waterclo
Пø}{@бь)4
Откуда: Лампа Аллавбздина
Зарегистрирован: 24.09.2008
Сообщений: 1918

Re: Лечение системы после заражения вирусом

happywanderer
Суть этого трояна в том, что подцепивший его помогает зарабатывать распространителю на просмотре рекламы. Троян втихую лазит на ранее просмотренные сайты, но уже под логином распространителя и зарабатывает пойнты у SafeSurf. У меня дочка знакомого летом такую гадость подхватила на каком-то сайте, по ссылке "скачать с высокой скоростью".
Не помнишь, откуда подцепил это хозяйство? Тут что-то усовершенствованное. А что было в каталогах C:\Program Files\config\ и C:\Program Files\Common Files\? Возможно, этот Radeon.exe - контейнер, упакованный таким образом, чтобы затруднить обнаружение антивирусами его активность (разновидность rootkit-а). После запуска он должен распаковывать куда-то своё содержимое, а установки в реестр. Хитрость в том, что его содержимое не считают вирусом, а относят к категории трудноустранимых вредоносных программ.

 

#83 14.11.2010 23:56:52

happywanderer
Чудом осчастливленный Миха
Зарегистрирован: 16.02.2010
Сообщений: 904

Re: Лечение системы после заражения вирусом

Подцеплять есть кому(супруга и двое детей) да и себя безгрешным не считаю, поэтому-Х.З. Специально ради Вас:
1. Переименовал обратно exe-шник в Radeon.exe
2. Перезагружаться не стал, в ручную запустил.
3. Через полминуты запускается процесс-safesurf.exe, следом процесс-up.exe, следом-jet.exe. потом-surfguard.exe. В конечном итоге всё выглядит вот так:
Скрытый текст (раскрыть):

http://i12.fastpic.ru/thumb/2010/1115/f7/d95015c474684fa2092336e7745b73f7.jpeg

, при этом в брадмауэре прописываются два пункта в исключения:
Скрытый текст (раскрыть):
http://i12.fastpic.ru/thumb/2010/1114/fc/38e5dcbb771382da04da31bee59e5dfc.jpeg

Прописывается в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ключём, как - ATI Radeon., и каталог JetSwap в ветке HKEY_LOCAL_MACHINE\SOFTWARE\:
Скрытый текст (раскрыть):
http://i12.fastpic.ru/thumb/2010/1115/7c/b93020b311830f6bb7dfae86bb1e417c.jpeg

C:\Program Files\Common Files\ - по этому пути ничего нет.
Содержание  c:\Program Files\config\ и C:\Windows\system32\drivers\:
Скрытый текст (раскрыть):
http://i12.fastpic.ru/thumb/2010/1115/45/e4f350acb1dc9a240db44aaf04506845.jpeg

Кому ради экспериментов надо, могу прислать этот exe-шничек.biggrin


"Ни один человек не богат настолько, чтобы искупить свое прошлое."

 

#84 15.11.2010 00:41:41

Waterclo
Пø}{@бь)4
Откуда: Лампа Аллавбздина
Зарегистрирован: 24.09.2008
Сообщений: 1918

Re: Лечение системы после заражения вирусом

happywanderer
Страмота! Контейнер замаскирован яко-бы под ATI-шные дрова. Можешь прислать, попробую распаковать контейнер на досуге, для общего развития. Вообще-то, его надо не переименовывать, а безжалостно сносить, где бы оно не находилось. Кстати, для большей защищённости могу порекомендовать вместо виндового фаера установить полноценный (если понадобится ДП - в РМ).

 

#85 15.11.2010 09:16:42

happywanderer
Чудом осчастливленный Миха
Зарегистрирован: 16.02.2010
Сообщений: 904

Re: Лечение системы после заражения вирусом

Waterclo Мне не жалко: http://narod.ru/disk/27485569000/Radeon.xexex.html, расширение переименовано.


"Ни один человек не богат настолько, чтобы искупить свое прошлое."

 

#86 15.11.2010 15:47:04

af_pro
Advanced Member
Зарегистрирован: 23.03.2009
Сообщений: 455

Re: Лечение системы после заражения вирусом

Случай с happywanderer весьма поучителен. Хорошо, что  человек грамотный и сам быстро разобрался, а вот подавляющее большинство пользователей, так бы и не поняло в чем дело. Бродить по интернету , все равно , что босиком в грязной луже, никогда не знаешь на что наступишь или какая пиявка к тебе присосется. Броузеры тоже лукавы и доверия им, даже в портативном варианте, на чем настаивает модератор, особого нету. Статьи, приведенные в заголовке темы , весьма хороши , но постоянно держать в памяти все эти подробности , просто невозможно. Хотя на эту тему много чего писалось и у каждого есть свои предпочтения, предлагаю сформулировать основные правила безопасной работы в сети. Кому есть ,что сказать отпишитесь.


#

 

#87 15.11.2010 19:20:48

Waterclo
Пø}{@бь)4
Откуда: Лампа Аллавбздина
Зарегистрирован: 24.09.2008
Сообщений: 1918

Re: Лечение системы после заражения вирусом

happywanderer
Контейнер скомпилирован в Borland Delphi и упакован PE, что я и подозревал. Какой-то хахер очень неплохо поработал. shockcrazycrazy

af_pro

...на чем настаивает модератор...

Я ни на чём не настаиваю, всё что советую каждый волен пропустить между ушей. Портативками пользоваться проще только по причине их независимости друг от друга и от встроенного в систему IE. А тема о безопасной работе в сети на форуме присутствует и о безопасности обозревателей я говорил здесь и в бестолковом FAQ, с к-рым не знаю что делать. Что-нибудь изменишь и получишь в очередной раз абзац (пароксизм) неудовлетворения. Планировалось перетащить FAQ на wiki, но тот движок очень тормозной. Вот возьми и посоветуй как FAQ преобразовать для удобства использования, да ещё с таким "лёгким" форумным движком (PunBB).

Предупреждаю ВСЕХ!!! Доведите до тех, кто пользуется вашим агрегатом!!!
Не покупайтесь на ссылки - "скачать с высокой скоростью" и подобное. Отуда скачивается контейнер (ящик Пандоры) -
*.exe файл, после запуска которого, вместо скоростной закачки рискуете получить неприятностей под завязку, в т.ч. и проблемы с окнами типа "отправьте SMS"...

 

#88 06.12.2010 22:58:34

happywanderer
Чудом осчастливленный Миха
Зарегистрирован: 16.02.2010
Сообщений: 904

Re: Лечение системы после заражения вирусом

Сегодня родня притащила нетбук, с "голыми титьками" на весь экран и требованием отправить через платёжный терминал на номер или 360 или 390(не обратил на это пристального внимания, но то что денег хотят - это точно) "деревянных", в чеке будет указан код для разблокировки. Эта "вафля" мало того что на весь экран, но и блокирует ДЗ и меню Пуск. Загрузился в WinPE, поискал в реестре ничего не нашёл, проверил сканером DrWeb-глухо, AVZ из под WinPE  с флехи не arbeiten unknown , начал рыть руками: в корне диска С. имелся файлик по названием temp_sys.exe - сначала переименовал - в систему защел без "эротики", переименовал обратно в exe. проверил Webом и AVZом - тишина(другими средствами - времени не было проверять - торопился из дома) - удалил окончательно с машины - система работает.
Может кому эта инфа поможет.

AVZ из под WinPE  с флехи не arbeiten(не работает)

Кто подскажет в чём причина и как его запустить? Очень нужно! Знакомые подхватили СМС-вымогатель, пришёл, нашел, удалил, но он гад, отключил и ДЗ и Explorer и RegEdit, правка реестра из под WinPE не дала никаких результатов. С работой уже голова не варит в этом направление, завтра после работы опять переключу извилины на этот гемморой, но если кому не в лом - прошу совета. oops

Отредактировано happywanderer (12.07.2011 22:00:34)


"Ни один человек не богат настолько, чтобы искупить свое прошлое."

 

#89 08.09.2011 02:26:08

Waterclo
Пø}{@бь)4
Откуда: Лампа Аллавбздина
Зарегистрирован: 24.09.2008
Сообщений: 1918

Re: Лечение системы после заражения вирусом

happywanderer
AVZ из под WinPE с установленной на винт системой работать не будет - оно мониторит рабочую систему из-под к-рой запускается, т.е. будет анализировать уязвимости и процессы самой WinPE, а на разделах винта оно отслеживает только активность их уже обнаруженых, типа: "поднимите мне веки".

 

#90 08.09.2011 15:20:04

happywanderer
Чудом осчастливленный Миха
Зарегистрирован: 16.02.2010
Сообщений: 904

Re: Лечение системы после заражения вирусом

Waterclo спасибо.
Вчера "воевал" с "хреновиной"-на заблокированном Р.С. экран голубого фона, с
белым текстом - что-то типа: комп заблокирован за распространение порно-материалов, Вам надо заплатить штраф, номер телефона не запоминал. "Вкусняшку" нашёл в c:\Documents and Settings\All Users\Application Data\22сс6с32.exe в реестре Shell вместо Explorer прописывает на себя. Удалил, исправил реестр - после перезагрузки всё без изменений. Из под WinPE стал проверять сканером DrWeb - нашёл "заражённые" userinit.exe в \WINDOWS\system32\ и в\WINDOWS\system32\dllcache\, после заменил на "чистый" userinit.exe, опять поправил Shell в реестре, удалил 22сс6с32.exe, пререзагрузился - всё заработало, но!!! при вызове Д.З. всё опять встало "на свои места". Опять пришлось грузится из по WinPE, но теперь заменил не только userinit.exe, но и taskmgr.exe, исправлял  в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Shell на Explorer вместо 22сс6с32.exe, и опять удалял 22сс6с32.exe из \Documents and Settings\All Users\Application Data\. Только после этих манипуляций машина заработала, после проверял DrWeb - показал чисто!  Так что будте внимательны!


"Ни один человек не богат настолько, чтобы искупить свое прошлое."

 

#91 08.09.2011 17:34:05

hal
Advanced Member
Зарегистрирован: 02.12.2008
Сообщений: 418

Re: Лечение системы после заражения вирусом

Угу, в последнее время именно с этим сталкиваюсь - помимо левых exe файлов в автозагрузке, еще подменяются taskmgr и userinit, уже таскаю их в отдельной папке, чтобы далеко не ходитьsmile
А вместо AVZ под WinPE использую UVS, шикарная утилитка, настоятельно рекомендую.

http://dsrt.dyndns.org/

Отредактировано hal (08.09.2011 17:35:04)

 

#92 08.09.2011 18:20:05

af_pro
Advanced Member
Зарегистрирован: 23.03.2009
Сообщений: 455

Re: Лечение системы после заражения вирусом

happywanderer
Однако твой способ помог, да и у hal полезное предложение.
Спасибо. good


#

 

#93 18.11.2011 07:25:49

XaHyMaH
Member
Зарегистрирован: 02.09.2008
Сообщений: 79

Re: Лечение системы после заражения вирусом

Есть брендовый комп Fujitsu Siemens Scaleo P
На ём стояла виста. Её сожрал вирус. Восстановить из систем-ресторе не удалось. Нужно переставлять систему, но не с чего. На винте есть скрытый раздел Конфигурация EISA. Нутром чую, что там образ винды, но как с его помощью восстановить систему не понимаю.

Пааамааагииитеееее!shock

 

#94 18.11.2011 09:35:07

Shpuntic
Advanced Member
Зарегистрирован: 27.01.2009
Сообщений: 201

Re: Лечение системы после заражения вирусом

XaHyMaH

Какой размер раздела ?
Если где-то 200-500мб, то этот раздел создает винда для своих потребностей ( как в Win 7 ), там загрузочные данные и все такое.
А если попробовать загрузится с дистрибутива и выполнить не установку а восстановление ?


Это невозможно-сказала Причина. Это безрассудно-заметил Опыт. Это бесполезно-отрезала Гордость."Попробуй..."-шепнула Мечта ...

 

#95 18.11.2011 10:18:05

MBTY
Профессиональный соучастник
Откуда: ЮФО
Зарегистрирован: 30.04.2009
Сообщений: 1612
Вебсайт

Re: Лечение системы после заражения вирусом

XaHyMaH
Обычно при загрузке нажатие F4 приводит к загрузке с таких вот скрытых разделов и там уже раскатка образа происходит. Тока же система не восстановится, а установится заново. Тоесть все документы и личные файлы потрутся нафиг. Об этом стоит помнить. Может не F4 ну чаще она, а там может быть и какая то своя комбинация. Отключай в биосе логотип производителя при загрузке ПК и гляди, что тебе пк на момент включения/поиска HDD/проверка RAM пишет внизу экрана. Должна же быть подсказулька

 

#96 18.11.2011 10:39:38

XaHyMaH
Member
Зарегистрирован: 02.09.2008
Сообщений: 79

Re: Лечение системы после заражения вирусом

Размер - 12 гиг, занято 6.
Дистрибутива нет :`-(
Попробовал сделать его активным, не помогло. Предлагает вставить диск.
Подсказулек не нашел. Попробовал все кнопки Ф — пусто.

Если попробовать качнуть установочный диск висты и "восстановить" с него?

 

#97 18.11.2011 11:46:24

Shpuntic
Advanced Member
Зарегистрирован: 27.01.2009
Сообщений: 201

Re: Лечение системы после заражения вирусом

XaHyMaH сообщает:

Если попробовать качнуть установочный диск висты и "восстановить" с него?

Так я про это и написал в последнем предложении. wink  Только редакции ОС не перепутай. biggrin


Это невозможно-сказала Причина. Это безрассудно-заметил Опыт. Это бесполезно-отрезала Гордость."Попробуй..."-шепнула Мечта ...

 

#98 18.11.2011 12:26:05

Sergikaz
Advanced Member
Откуда: Караганда
Зарегистрирован: 01.04.2009
Сообщений: 532

Re: Лечение системы после заражения вирусом

С этими "recovery" разделами не всё так просто. Если он есть и его не "портили", то это уже хорошо. Как там устроено на Fujitsu, я не знаю. Не сталкивался. Расскажу про своё нетбук Acer. Сейчас никакой производитель не делает восстановление из простого образа системного раздела. Это не выгодно, делать под каждый аппарат отдельный образ. Всё там уже давно унифицировано. Образа конкретного раздела нет. Есть очень много разных файлов и папок, которые дают возможность восстанавливать на начальное состояние, согласно спецификации и его серийного номера, для конкретного аппарата. Если на моём нетбуке запустить BOOTICE и посмотреть состояние разделов, то видно, что раздел "PQSERVICE" является "скрытым". Смело делаю в этой утилите раздел "нескрытым" и тут же получаю новый доступный раздел с кучей папок и файлов. Очень примечательно, что в корне этого раздела есть файл BOOTMGR. У вас может быть состояние разделов другое. У меня не эталон и разделы, уже возможно, давно потеряли первоначальное состояние из-за моих экспериментов. Теперь почему не загружается "recovery" по нажатию F4 или другой клавиши. Раздел для восстановления скрытый и не является "активным", переход на его загрузчик BOOTMGR прописан в MBR винта. Очень часто, люди пытаются самостоятельно переустановить систему с загрузочного диска, установить ХР второй системой и этими действиями они переписывают MBR винта на стандартный.
XaHyMaH
Мой тебе совет. Загрузись с WinPE, убедись в целости раздела восстановления, посмотри где на винте он располагается физически. Потом создай загрузочную флешку утилитой MBTY (образ можно использовать любой, он нужен только для создания флешки) и в файле MENU.LST добавь строку загрузки с раздела "recovery". Что написать в эту строку конкретно для твоего случая, зависит от физического расположения раздела "recovery". Здесь я уже не очень силён. Здест уже больше сможет подсказать MBTY.

 

#99 18.11.2011 13:33:39

MBTY
Профессиональный соучастник
Откуда: ЮФО
Зарегистрирован: 30.04.2009
Сообщений: 1612
Вебсайт

Re: Лечение системы после заражения вирусом

Подсказываю. Если была 7ка то всё вообще просто.
Допустим ты нашел свои файлики скрытого раздела этого (Открыть или скриыть разделы можно с помощью Acronis Disk Director из Simplix Wnpe). Создаешь моей DirecGrub-утилиткой загрузочную флешку. Образ правда можно взять любой - нам он нафиг не понадобится - нам нужна загрузочная GRUB флешка.
Сделал ты ее.
СТИРАЕШЬ С НЕЕ ВСЁ
То, что валяется на разделе Recovery копируешь на эту флешку.
Если ты там нашел файл bootmgr, то его переименуй в файл MBTY - флешки сделаные моим DirectGrubом ищут любой файл с таким именем на флешке и загружают его. Там хоть груб, хоть линуксовый загрузчки - флешке всё равно.
Скопировал, переименовал ты значит файл Bootmgr -> MBTY
В биосе укажи загрзку с флешки и грузись. Получишь свой аналог запуска восстановления ОС. И восстанавливай наздоровье, но думаю как всё скопируешь - лучше этот Recovery раздел опять запрятать. Ловлю себя на мысли, что всё это можно сделать одним шагом из Wnpe simplix. Скачал своим компом Direct Grub - сделал флешку. Затер. Потом уже из Wnpe, открыл раздел, скопировал, закрыл.

Отредактировано MBTY (18.11.2011 13:36:36)

 

#100 18.11.2011 14:41:19

Sergikaz
Advanced Member
Откуда: Караганда
Зарегистрирован: 01.04.2009
Сообщений: 532

Re: Лечение системы после заражения вирусом

MBTY
Идея, сделать такую резервную флешку, просто goodgood С учётом того, что на моём нетбуке нет CDRomа, то обязательно опробую и, в случае положительного результата, я его (нетбук) тогда вообще "заэкспериментирую". biggrin

 

Board footer


© simplix