none
Помогите вылечить от вируса RRS feed

  • Вопрос

  • Добрый вечер! С универа принесла на флэшке вирус, название не запомнила, но попытаюсь объяснить. В данное время мой антивирусник был отключен, так как не успела продлить лицензию. Вирус увидела сразу при открытии флэшки - был посторонний файл, который хотела удалить. к моему горю он сработал. Его работа отразилась и на флэшке- там были мои папки, в которых вирус изменил содержание, поменяв их между собой и сделал для них ярлыки. Но проблема в системе. При входе в систему под своим именем (я являюсь как пользователь с правами админа) вместо привычного рабочего стола на весь экран осталась моя заставка и открытая папка "мои документы". Мои действия: до этого я скачивала лечащую утилиту Доктора Вэба. С СД-диска (Infra) запустила эту утилиту. Она нашла 25 вирусов. Но при запуске Windows проблема не исчезла. Я скачала снова свежую утилиту с другого компа и повторила эту же процедуру. Вирусов было уже 21. Затем тут же (с запущенной опер.системы с СD) с командной строки запустила chkdsk. Он нашел немного повреждений и все исправил. Но проблема осталась...Помогите, что ещё можно сделать. Я вижу, что в моих файлах содержание другое. Он как бы их изменил что-ли между собою...У меня операционная система Windows XP SP3. Да, такой ньюанс: когда ввожу свой пароль, при запуске личных параметров, система дольше обычного работает и такое чувство, как будто тот файл, который должен запустить мой рабочий стол заменен другим. Пробовала зайти под гостем, там все нормально - рабочий стол как положено...

    Пожалуйста помогите добрым советом!!!

    16 июня 2011 г. 12:04

Ответы

  • Я сделала все, как вы написали. Я запустила в командной строке:sfc /scannow. Система проверила с установочным диском, но ничего подозрительного не написала. Думаю, ошибок не было. Но далее здесь же в командной строке написала все команды с ваших пунктов на что получила один ответ- не удается найти указанный путь. Затем запустила regedit.exe. Открылась папка "Мой компьютер" там все это было. Я стала в ручную открывать идя по указанному вами пути и обнаружила следующее:

    а) explorer.exe, C:\RECYCLER\S-1-5..и т.д цифры(как я поняла номер и типа лицензии?)..\syitm.exe, Explorer.exe

    б) после Winlogon есть только (перечисляю) Credentials, GPExtensions, Notify, SpecialAccounts

    в) нет \shell

    г) в \Run  находиться папка \OptionalComponents, в которой находиться ещё 3 папки\ IMAIL, MAPI, MSFS

    Кстати в командной строке пыталась даже просто указать часть пути (например в пункте в), где нет shell я написала до shell и все равно он на нашёл путь.

    вот и всё. уже безнадежно?


    Пункты а-г в моём посте выполняются с помощью редактора реестра regedit.exe, который вы назвали " папкой Мой компьютер".

    а) Shell в пункте а - это параметр, он отображается в правом окне редактора. По указанному пути в этом пункте его может и не быть, ничего страшного.

    б) Userinit - также параметр и также в окне редактора справа. В нем должна быть только строка C:\WINDOWS\system32\userinit.exe,

    Всё остальное удалите.

    в) в пункте "в" параметр Shell обязателен и здесь должно быть только Explorer.exe, остальное удалите.

    г) в Run опять же ищите параметры в окне справа. Здесь должно быть пусто. Остальные "папки" не трогайте.

    Как Вам правильно сказал,  Security Trusted Advisor, нужны некоторые вполне простые правила работы с компьютером, например использование Ограниченных учётных записей. Хотя использование Software Restriction Policies в домашних условиях, я думаю, не имеет смысла для обычных пользователей.  Но систему в любом случае можно спасти и без радикальных способов переустановки/форматирования.


    Давайте начнем считать ИТ точной наукой, а не ремеслом, когда каждый делает так, как у него получается. (c)


    • Помечено в качестве ответа Hellen_B 17 июня 2011 г. 8:10
    16 июня 2011 г. 18:48

Все ответы

  • Нужно проверить, что не повреждены системные файлы sfc /scannow. Далее нужно проверить следующие параметры реестра:

    а) HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell должен быть Explorer.exe

    б) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit должно быть только C:\WINDOWS\system32\userinit.exe,

    в) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell должен быть Explorer.exe

    г) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run должны быть пустыми.

    Всё это проще всего сделать с помощью ERD Commander. Если это проблематично, то при появлении окна с "мои документы" попробуйте нажать Ctrl-Shift-Esc. Если Диспетчер задач не заменен вирусом, то он запустится и вы сможете создать новую задачу cmd.exe и проверить системные файлы указанной выше командой, а затем с помощью regedit.exe просмотреть реестр.


    Давайте начнем считать ИТ точной наукой, а не ремеслом, когда каждый делает так, как у него получается. (c)
    16 июня 2011 г. 13:44
  • 1. Скомпрометированную систему следует уничтожить и переустановить с нуля. Бороться будете до посинения, но в большинстве случаев без смысла.

    2. Работать в системе с привилегиями Администратора - самое страшное зло, от которого и берутся все вирусы. Переустановив систему, больше так не делайте никогда.

    3. Для защиты от вирусов с флешек следует применять действительно надёжные методы, антивирусные программы надёжным методом не являются. Пример работоспособного решения: http://blog.windowsnt.lv/2011/05/30/preventing-malware-with-srp-russian/


    MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor; CCNA
    16 июня 2011 г. 15:35
    Отвечающий
  • Я сделала все, как вы написали. Я запустила в командной строке:sfc /scannow. Система проверила с установочным диском, но ничего подозрительного не написала. Думаю, ошибок не было. Но далее здесь же в командной строке написала все команды с ваших пунктов на что получила один ответ- не удается найти указанный путь. Затем запустила regedit.exe. Открылась папка "Мой компьютер" там все это было. Я стала в ручную открывать идя по указанному вами пути и обнаружила следующее:

    а) explorer.exe, C:\RECYCLER\S-1-5..и т.д цифры(как я поняла номер и типа лицензии?)..\syitm.exe, Explorer.exe

    б) после Winlogon есть только (перечисляю) Credentials, GPExtensions, Notify, SpecialAccounts

    в) нет \shell

    г) в \Run  находиться папка \OptionalComponents, в которой находиться ещё 3 папки\ IMAIL, MAPI, MSFS

    Кстати в командной строке пыталась даже просто указать часть пути (например в пункте в), где нет shell я написала до shell и все равно он на нашёл путь.

    вот и всё. уже безнадежно?

     


    16 июня 2011 г. 16:21
  • Спасибо за ваши советы. Только я получила ваш ответ уже после того, как проделал все процедуры первого ответа (думаю мне это только на пользу). Прочитала статью по ссылке, мне она очень понравилась, я постараюсь обязательно воспользоваться вашими советами. И если придется переустановить систему, то я обязательно воспользуюсь вашими советами. Большое спасибо!
    16 июня 2011 г. 16:23
  • Скачайте любой альтернативный файл-менеджер (Total Commander, FAR и т.п.), включите в нём отображение скрытых файлов и папок и скорее всего увидите ваши папки и файлы целыми и невредимыми. А то, что вам показывается сейчас с именами ваших файлов - это вероятно либо сама вирусня, либо ярлыки на её запуск, а настоящие файлы скрыты.

    P.S: А для лечения компьютера кроме DrWeb Live CD попробуйте ещё Kaspersky Rescue Disk (http://rescuedisk.kaspersky-labs.com/rescuedisk/updatable/)


    16 июня 2011 г. 16:49
  • Я сделала все, как вы написали. Я запустила в командной строке:sfc /scannow. Система проверила с установочным диском, но ничего подозрительного не написала. Думаю, ошибок не было. Но далее здесь же в командной строке написала все команды с ваших пунктов на что получила один ответ- не удается найти указанный путь. Затем запустила regedit.exe. Открылась папка "Мой компьютер" там все это было. Я стала в ручную открывать идя по указанному вами пути и обнаружила следующее:

    а) explorer.exe, C:\RECYCLER\S-1-5..и т.д цифры(как я поняла номер и типа лицензии?)..\syitm.exe, Explorer.exe

    б) после Winlogon есть только (перечисляю) Credentials, GPExtensions, Notify, SpecialAccounts

    в) нет \shell

    г) в \Run  находиться папка \OptionalComponents, в которой находиться ещё 3 папки\ IMAIL, MAPI, MSFS

    Кстати в командной строке пыталась даже просто указать часть пути (например в пункте в), где нет shell я написала до shell и все равно он на нашёл путь.

    вот и всё. уже безнадежно?


    Пункты а-г в моём посте выполняются с помощью редактора реестра regedit.exe, который вы назвали " папкой Мой компьютер".

    а) Shell в пункте а - это параметр, он отображается в правом окне редактора. По указанному пути в этом пункте его может и не быть, ничего страшного.

    б) Userinit - также параметр и также в окне редактора справа. В нем должна быть только строка C:\WINDOWS\system32\userinit.exe,

    Всё остальное удалите.

    в) в пункте "в" параметр Shell обязателен и здесь должно быть только Explorer.exe, остальное удалите.

    г) в Run опять же ищите параметры в окне справа. Здесь должно быть пусто. Остальные "папки" не трогайте.

    Как Вам правильно сказал,  Security Trusted Advisor, нужны некоторые вполне простые правила работы с компьютером, например использование Ограниченных учётных записей. Хотя использование Software Restriction Policies в домашних условиях, я думаю, не имеет смысла для обычных пользователей.  Но систему в любом случае можно спасти и без радикальных способов переустановки/форматирования.


    Давайте начнем считать ИТ точной наукой, а не ремеслом, когда каждый делает так, как у него получается. (c)


    • Помечено в качестве ответа Hellen_B 17 июня 2011 г. 8:10
    16 июня 2011 г. 18:48
  • спасибо я скачала, как  я поняла это образ-его надо на СD диск записать или можно так запустить? просто я с Касперским знакома только на работе. Дома был другой антивирус.
    17 июня 2011 г. 6:10
  • ОООО!!! Спасибо огромнейшее!!!Смотрите что у меня получилось:

    Начну с того, что Диспетчер задач в порядке. Далее по вашим пунктам:

    а)все исправила (удалила) оставила только Explorer.exe

    б) и В) было все нормально, как Вы и описали - я ничего не делала

    г) в параметрах справа Run не было. Он находиться как подкаталог CurrentVersion. При нажатии на Run справа куча параметров. Привожу скриншот

    Здесь я ничего не делала. Затем сделал перезагрузку: и чудо- Мой рабочий стол стал как обычно...Больше я не работала, может есть ещё какие-нибудь неполадки, т.к. спешу ответить Вам. Только разрешение экрана надо сделать каким был у меня до этого и вроде со шрифтами не очень...А так большое спасибо! Если у Вас будут ещё какие предложения жду с нетерпением и если найду ещё какие-нибудь неполадки - напишу. Ещё раз СПАСИБО!

    17 июня 2011 г. 8:09
  • Пока что появление рабочего стола ещё не говорит о том, что ваша система работоспособна и не содержит зловреда. Сканируйте DrWeb CureIT, удалите старый антивирус у которого закончилась лицензия, поставьте Microsoft Security Essentials
    Давайте начнем считать ИТ точной наукой, а не ремеслом, когда каждый делает так, как у него получается. (c)
    17 июня 2011 г. 8:54
  • Да конечно я сделаю, только немного позже, сейчас нет времени. А как насчет Run о котором вы писали, там у меня все по другому?

     


    17 июня 2011 г. 9:05
  • Я не увидел скриншот, но как я говорил - в "папке" Run в окне справа не должно быть параметров, как я понял у вас там что-то есть...
    Давайте начнем считать ИТ точной наукой, а не ремеслом, когда каждый делает так, как у него получается. (c)
    17 июня 2011 г. 9:19
  • да есть куча параметров, почему-то не получается вставить скриншот
    17 июня 2011 г. 9:26
  • и ещё, как правильно сделать изменения в реестре, а именно для пункта а) после нескольких перезагрузок там тоже самое..возможно действительно не до конца вылечила
    17 июня 2011 г. 9:28
  • Удалите параметры в Run и сканируйте DrWeb. Есть вирусы, заменяющие загрузочные драйверы, против которых действительно нет смысла бороться антивирусами, т.к. возможны повреждения и полный отказ системы. Если после очистки Run и сканирования DrWeb CureIT проблема останется, то вам, действительно проще будет сохранить свои данные и переустановить ОС.
    Давайте начнем считать ИТ точной наукой, а не ремеслом, когда каждый делает так, как у него получается. (c)
    17 июня 2011 г. 9:41