Исправить последствие вируса

[De7c3L]

Случайно запустил вирус. теперь ниче не открывается. vbs, exe, bat, cmd и т.д и т.п недоступно, только jpg и gif можно открыть. Через Vpn тоже не могу соедин к инету. Предложения как открыть реестр или cmd, ну или че-нить другое....

[De7c3L]

Есть возможность загрузиться с этой-же машины под Win Server 2003

[Dune]

Вытаскиваешь винт,вставляешь пасивным винтом на любой чистый комп,качаешь прогу Dr web CureIT чистишь комп,если вирус под названием Sector5,7.... не особо повезло т.к сожрёт половину прог.

После чего ставишь винт обратно,заходишь в безопастный режим ставишь каспера и в безопасном ещё раз проходишься.

 

 

З.Ы. Если вирь Sektor5,7 ругое название Win32.Sality - напишешь мне скажу как удалить его полностью )))

[XirаYOki Takei]

Ммм, а по-моему сектор безопасный режим убивает... в нём не загрузишьсо. Надо с здорового компа копировать из реестра... Вот описание с сайта доктора веба. У самого такая проблема была...

 

Win32.Sector.5

 

Тип вируса: Файловый вирус

 

Уязвимые ОС: Windows

 

�*азмер: 57 344 байт

 

Упакован: -

 

 

Техническая информация

 

 

При своём запуске переводит Internet Explorer в режим online:

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Internet Settings\

GlobalUserOffline=0

 

Отключает User Access Control в Windows Vista:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\policies\system

EnableLUA=0

 

Прописывает себя в список разрешенных для доступа в сеть в WindowsFirewall

 

SYSTEM\CurrentControlSet\Services\SharedAccess\Par ameters\FirewallPolicy\StandardProfile\AuthorizedA pplications\List

"c:\virus.exe"="c:\virus.exe:*:Enabled:ipsec"

 

Для хранение своих настроек создаёт ключ в реестре:

HKEY_CURRENT_USER\Software\<имя пользователя>914

 

Добавляет в system.ini случайное значение

 

[MCIDRV_VER]

DEVICEMB=116402342188

 

Внедряет свой код в память всех активных процессов.

 

Удаляет ветки реестра

 

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Contro l\SafeBoot

HKEY_CURRENT_USER\System\CurrentControlSet\Control \SafeBoot

 

после этого загрузка в Безопасный режим невозможна.

 

Заражает файлы с расширением .exe и .scr на всех доступных дисках, и сетевых ресурсах для ускорения распространения заражает файлы прописаные в автозагрузку и файлы наиболее часто запускаемые в системе.

 

Не заражает системные файлы и файлы в папках содержащих в имени "SYSTEM" или "AHEAD".

 

В процессе сканирования дисков удаляет файлы *.vdb, *.avc, drw*.key.

Кроме того, удаляет файлы и процессы с именами содержащими:

 

"_AVPM."

"A2GUARD."

"AAVSHIELD."

"AVAST"

"ADVCHK."

"AHNSD."

"AIRDEFENSE"

"ALERTSVC"

"ALMON."

"ALOGSERV"

"ALSVC."

"AMON."

"ANTI-TROJAN."

"AVZ."

"ANTIVIR"

"ANTS."

"APVXDWIN."

"ARMOR2NET."

"ASHAVAST."

"ASHDISP."

"ASHENHCD."

"ASHMAISV."

"ASHPOPWZ."

"ASHSERV."

"ASHSIMPL."

"ASHSKPCK."

"ASHWEBSV."

"ASWUPDSV."

"ATCON."

"ATUPDATER."

"ATWATCH."

"AUPDATE."

"AUTODOWN."

"AUTOTRACE."

"AUTOUPDATE."

"AVCIMAN."

"AVCONSOL."

"AVENGINE."

"AVGAMSVR."

"AVGCC."

"AVGCC32."

"AVGCTRL."

"AVGEMC."

"AVGFWSRV."

"AVGNT."

"AVGNTDD"

"AVGNTMGR"

"AVGSERV."

"AVGUARD."

"AVGUPSVC."

"AVINITNT."

"AVKSERV."

"AVKSERVICE."

"AVKWCTL."

"AVP."

"AVP32."

"AVPCC."

"AVPM."

"AVAST"

"AVSCHED32."

"AVSYNMGR."

"AVWUPD32."

"AVWUPSRV."

"AVXMONITOR9X."

"AVXMONITORNT."

"AVXQUAR."

"BACKWEB-4476822."

"BDMCON."

"BDNEWS."

"BDOESRV."

"BDSS."

"BDSUBMIT."

"BDSWITCH."

"BLACKD."

"BLACKICE."

"CAFIX."

"CCAPP."

"CCEVTMGR."

"CCPROXY."

"CCSETMGR."

"CFIAUDIT."

"CLAMTRAY."

"CLAMWIN."

"CLAW95."

"CLAW95CF."

"CLEANER."

"CLEANER3."

"CLISVC."

"CMGRDIAN."

"CUREIT"

"DEFWATCH."

"DOORS."

"DRVIRUS."

"DRWADINS."

"DRWEB32W."

"DRWEBSCD."

"DRWEBUPW."

"ESCANH95."

"ESCANHNT."

"EWIDOCTRL."

"EZANTIVIRUSREGISTRATIONCHECK."

"F-AGNT95."

"FAMEH32."

"FAST."

"FCH32."

"FILEMON"

"FIRESVC."

"FIRETRAY."

"FIREWALL."

"FPAVUPDM."

"F-PROT95."

"FRESHCLAM."

"FRW."

"FSAV32."

"FSAVGUI."

"FSBWSYS."

"F-SCHED."

"FSDFWD."

"FSGK32."

"FSGK32ST."

"FSGUIEXE."

"FSM32."

"FSMA32."

"FSMB32."

"FSPEX."

"FSSM32."

"F-STOPW."

"GCASDTSERV."

"GCASSERV."

"GIANTANTISPYWAREMAIN."

"GIANTANTISPYWAREUPDATER."

"GUARDGUI."

"GUARDNT."

"HREGMON."

"HRRES."

"HSOCKPE."

"HUPDATE."

"IAMAPP."

"IAMSERV."

"ICLOAD95."

"ICLOADNT."

"ICMON."

"ICSSUPPNT."

"ICSUPP95."

"ICSUPPNT."

"IFACE."

"INETUPD."

"INOCIT."

"INORPC."

"INORT."

"INOTASK."

"INOUPTNG."

"IOMON98."

"ISAFE."

"ISATRAY."

"ISRV95."

"ISSVC."

"KAV."

"KAVMM."

"KAVPF."

"KAVPFW."

"KAVSTART."

"KAVSVC."

"KAVSVCUI."

"KMAILMON."

"KPFWSVC."

"KWATCH."

"LOCKDOWN2000."

"LOGWATNT."

"LUALL."

"LUCOMSERVER."

"LUUPDATE."

"MCAGENT."

"MCMNHDLR."

"MCREGWIZ."

"MCUPDATE."

"MCVSSHLD."

"MINILOG."

"MYAGTSVC."

"MYAGTTRY."

"NAVAPSVC."

"NAVAPW32."

"NAVLU32."

"NAVW32."

"NOD32."

"NEOWATCHLOG."

"NEOWATCHTRAY."

"NISSERV"

"NISUM."

"NMAIN."

"NOD32"

"NORMIST."

"NOTSTART."

"NPAVTRAY."

"NPFMNTOR."

"NPFMSG."

"NPROTECT."

"NSCHED32."

"NSMDTR."

"NSSSERV."

"NSSTRAY."

"NTRTSCAN."

"NTXCONFIG."

"NUPGRADE."

"NVC95."

"NVCOD."

"NVCTE."

"NVCUT."

"NWSERVICE."

"OFCPFWSVC."

"OUTPOST."

"PAV."

"PAVFIRES."

"PAVFNSVR."

"PAVKRE."

"PAVPROT."

"PAVPROXY."

"PAVPRSRV."

"PAVSRV51."

"PAVSS."

"PCCGUIDE."

"PCCIOMON."

"PCCNTMON."

"PCCPFW."

"PCCTLCOM."

"PCTAV."

"PERSFW."

"PERTSK."

"PERVAC."

"PNMSRV."

"POP3TRAP."

"POPROXY."

"PREVSRV."

"PSIMSVC."

"QHM32."

"QHONLINE."

"QHONSVC."

"QHPF."

"QHWSCSVC."

"RAVMON."

"RAVTIMER."

"REALMON."

"REALMON95."

"RFWMAIN."

"RTVSCAN."

"RTVSCN95."

"RULAUNCH."

"SAVADMINSERVICE."

"SAVMAIN."

"SAVPROGRESS."

"SAVSCAN."

"SCAN32."

"SCANNINGPROCESS."

"CUREIT."

"SDHELP."

"SHSTAT."

"SITECLI."

"SPBBCSVC."

"SPHINX."

"SPIDERML."

"SPIDERNT."

"SPIDERUI."

"SPYBOTSD."

"SPYXX."

"SS3EDIT."

"STOPSIGNAV."

"SWAGENT."

"SWDOCTOR."

"SWNETSUP."

"SYMLCSVC."

"SYMPROXYSVC."

"SYMSPORT."

"SYMWSC."

"SYNMGR."

"TAUMON."

"TBMON."

"AVAST"

"TCA."

"TCM."

"TDS-3."

"TEATIMER."

"TFAK."

"THAV."

"THSM."

"TMAS."

"TMLISTEN."

"TMNTSRV."

"TMPFW."

"TMPROXY."

"TNBUTIL."

"TRJSCAN."

"UP2DATE."

"VBA32ECM."

"VBA32IFS."

"VBA32LDR."

"VBA32PP3."

"VBSNTW."

"VCHK."

"VCRMON."

"VETTRAY."

"VIRUSKEEPER."

"VPTRAY."

"VRFWSVC."

"VRMONNT."

"VRMONSVC."

"VRRW32."

"VSECOMR."

"VSHWIN32."

"VSMON."

"VSSERV."

"VSSTAT."

"WATCHDOG."

"WEBPROXY."

"WEBSCANX."

"WEBTRAP."

"WGFE95."

"WINAW32."

"WINROUTE."

"WINSS."

"WINSSNOTIFY."

"WRADMIN."

"WRCTRL."

"XCOMMSVR."

"ZATUTOR."

"ZAUINST."

"ZLCLIENT."

"ZONEALARM."

 

Завершает приложения, окна которых содержат подстроки "dr.web" и "cureit".

 

Cкачивает и запускает другие вредоносные программы из сети.

 

В зависимости от модификации может при помощи своего драйвера блокировать доступ к сайтам содержащим в названии:

 

"kaspersky"

"eset.com"

"f-secure."

"mcafee."

"symantec."

"etrust.com"

"trendmicro."

"sophos."

"virustotal."

"agnmitum."

"pandasoftware."

"bitdefender."

"spywareguide."

"windowsecurity."

"virusscan."

"ewido."

"spywareinfo."

"onlinescan."

"drweb."

"cureit."

 

 

Информация по восстановлению системы

 

1. Отключить инфицированный компьютер от локальной сети и\или Интернета и отключить службу Восстановления системы.

2. С заведомо неинфицированного компьютера скачать бесплатную лечащую утилиту Dr.Web CureIt! и записать её на внешний носитель.

3. Просканировать инфицированный компьютер Dr.Web CureIt!. Для найденных объектов применить действие "Лечить".

4. Восстановить Безопасный режим с использованием файлов экспорта соответствующих ветвей реестра, взятых с заведомо неинфицированного компьютера

[T1ER]

да и каспера в безопаснике не воткнеш)

[Skald]

"Нод" решение всех проблем...

[skyrage]

НОД тоже в безопаснике не воткнешь

[XirаYOki Takei]

Ммм... Нод иногда пропускает этот вирус... и ещё некоторые... такие как Gavir.ini

[Kidding]

Не ну я понимаю что уже поздновато пишу)) А тупо откатить систему (если енто ХР конечно), а затем установить какой-нить антивирус с последними обновлениями и пролопатить весь винт, не пробовал?)))

[ДДТ]

Решил новую тему не создавать. Тоже вопрос по последствиям от вируса.

На работе одна машина оказалась заражена вирусом, предположительно "autorun.inf"

Касперский все вычистил, но после вируса остался маленький "косяк": если открыть "Мой компьютер" а потом в нем попробывать открыть "Диск С" то появляется виндовая менюшка "С помощью чего отрыть..." то есть получается что где-то в реестре затерлись ключи привязки к "проводнику". Галочку "выполнять всегда" поставить не получается - не активна. Если из списка выбрать "Internet Explorer" то диск С открывается нормально. Но это уже запарило.

Кстати через "проводник" (Win+E) все работает нормально.

Но хотелось бы устранить эту мелкую багу.

[ДДТ]

Модератерам: Можно эту тему переименовать в "Лечим последствия комп.вирусов" - думаю эта тема ещё не раз всплывет.

[Слава Росси]

ДДТ, с помощью, к примеру, Total Commander'a удали скрытые файлы в корне логического диска.

[ДДТ]

Лохматый

Уже все давно удалено А последствия остались, как решить проблему?

[Слава Росси]

ДДТ, с помощью чего удалял?

[ДДТ]

Ну сначала Касперский удалил, потом FAR' ом ещё прошел, а что?

[Kidding]

Ну сначала Касперский удалил, потом FAR' ом ещё прошел, а что?

Полную проверку диска Каспером проводил?

[ДДТ]

Kidding

Проводил, говорю же привязка должна быть в реестре к открытию определенных программ, это решается на уровне реестра. Сейчас уже просто не помню в какой вкладке это находится. Лан, спасибо за ответы, есть у меня глобальный хелп по веткам реестра Винь ХР - сам дойду, что где править

[Serious]

кто может сказать, что это за вирус такой, из-за которого не отображаются скрытые файлы и диски открываются в новых окнах, когда залазишь на них через "Мой комрьютер"? каспером всё чистил - вторая проблема исчезла, а первая так и осталась(

[Слава Росси]

Serious, ты когда Каспером проверял, тебе он должен был сказать название виря.

[Serious]

Лохматый

понимаешь, он вроде удалил вирусы, которые нашёл, а скрытые файлы так и не отображаются

[Слава Росси]

Serious, _http://forum.astrakhan.ru/index.php?s=&showtopic=30001&view=findpost&p=714559 в настройках установи флажки, чтобы отображались скрытые файлы.

[Serious]

Лохматый

ты имеешь ввиду Сервис\Свойства папки\отобпажать скрытые файлы? - бесполезно.

всё равно не отображает. Если туда потом сразу же залезть, то флажки там не стоят

[Слава Росси]

Serious, нет, я совсем не это имел ввиду. Используй TC, чтобы увидеть скрытые файлы.

[Дэвид Блэйн]

Решил новую тему не создавать. Тоже вопрос по последствиям от вируса.

На работе одна машина оказалась заражена вирусом, предположительно "autorun.inf"

Касперский все вычистил, но после вируса остался маленький "косяк": если открыть "Мой компьютер" а потом в нем попробывать открыть "Диск С" то появляется виндовая менюшка "С помощью чего отрыть..." то есть получается что где-то в реестре затерлись ключи привязки к "проводнику". Галочку "выполнять всегда" поставить не получается - не активна. Если из списка выбрать "Internet Explorer" то диск С открывается нормально. Но это уже запарило.

Кстати через "проводник" (Win+E) все работает нормально.

Но хотелось бы устранить эту мелкую багу.

смени букву Локального диска на другую...

[De7c3L]

Нельзя меня букву диска на системном диске. Потом будешь везде пути переписывать