Вирус (в теме подробнее)

Попробую описать подробно
Поймал вирус в виде высплывающего окна блокирующего весь экран "отправьте смс на номер или через 12 часов система будет стерта".
Вылечилось восстановлением системы. Но, потом обнаружил, что в диске C все папки невидимы. В настройках системы скрытые системные файлы у меня помечены как "отображаются" - галки стоят. Через тотал командер папки видно.
Немного покопавшись нашел кажется в чем дело - вирус настроил управление через удаленные службы и прописал удаленному админу все права,
Я отключил что нашел, но общий доступ к дискам все равно возвращается после перезагрузки.
Самое главное, больше не работает восстановление системы. См скрин отчета проверки диска С Нодом.

Система при попытке востановления пишет "не удалось защитить компьютер перезагрузитесь и попробуйте снова"

Любые реальные советы приветствуются. Заранее спасибо.

http://s005.radikal.ru/i212/1201/34/1f43766f28c0.gif

 

Запусти regedit и проверь:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

 

Birm, Вероятнее всего, что вирус заразил кучу исполняемых файлов. Тогда в автозапуске ты его не найдешь. Но запускаться он будет при запуске любого исполняемого файла. Единственный адекватный метод - загрузка из-под чистой операционки и лечение каспером. Правда, после этого может перестать грузиться explorer (вири этого типа подменяют файл explorer.exe на криптованый загрузчик себя). Но это лечиться копированием чистого файла с установочного диска винды.

 

Birm > Много нужных данных?
Возможно, будет проще: format c
И новая винда.

 

INHELLER, Тогда уж копирование нужных данных на резервный винт / флэшку (если достаточно большая), формат, установка чистой винды, установка антивиря, проверка архивного винта / флэшки с чистой системы с антивирем.

 

Интересно. При запуске "мой компьютер" система бесконечно долго думает. Через командер все так же работает. Эксплорер намертво подвисает если подвести курсор к "отправить" в контекстном меню.

Папки есть, файлы и проги работают.

Чего у меня и нет. Разве что сборку из сети качать, но видимо придется.

 

Helmut > Примерно это я и имел в виду. Единственное, антивирь бы справился.
Ах да. Ещё было бы неплохо, если бы он эту флешку с осторожностью открыл (так, чтобы ничего не запустить ненароком).

 

http://www.freedrweb.com/download+cureit/?nc=t&lng=ru для начала хотя бы прогони, NOD — это несерьёзно.
Также вот очень полезная вещь (особенно в таких случаях): http://www.malwarebytes.org/products/malwarebytes_free

 

CureIt уже качаю, спасибо.

 

Проверился Вебом, много интересного нашло. По крайней мере хуже не стало. Но проблема с удаленным доступом к компу и не рабочее восстановление системы остались. Так же проводник работает с большим скрипом и постоянно подвисает.





http://s018.radikal.ru/i503/1201/58/b58b86b232cd.gif
Снимаю доступ, при перезагрузке возвращается

 

MBAM (по второй ссылке) тоже запусти, он после CureIt многое находит.

 

Уже качаю. Но все это похоже кончится банальным реинсталом системы.

 

Birm, ты мне какую-то ерунду ответил. Оттуда нужно удалять подозрительные ветки.

 

Я увы в реестре не разбираюсь. Как их определить?

 

AVZ ?

---------- Сообщение добавлено в 21:10 ---------- Предыдущее сообщение размещено в 21:10 ----------

Ну так скажи, что у тебя там, тебе ответят.

 

hijackthis.
= PROFIT

 

Резидентный вирус(под этим словом имею ввиду сейчас и троян-червь-руткит) , как показывает опыт не удается вычистить ничем, даже каспером при полностью загруженной системе. Единственный шанс запустить что-то, что сканирует и лечит систему при загрузке. В этом случае даже бесплатная версия аваста спасает бывало. Но если все так запущено, то конечно нет гарантии, что и более мощное лекарство поможет. Я бы не стал так заморачиваться. Может и правда сделать бекап нужных файлов, загрузившись с LiveCD, а потом format c: и систему заново?
Переуставливать систему всегда полезно, хотя бы из профилактики.

 

И желательно каждую неделю!

 

Отчитываюсь.

При попытке запустить службу востановоления
http://s018.radikal.ru/i501/1201/d9/a364da6a8db0.gif

Установить hijackthis не дает, при запуске службы виндовс инсталера пишет
http://s018.radikal.ru/i507/1201/b1/084ca5eabcf5.gif

В реестре
http://s018.radikal.ru/i520/1201/4e/9df1f11d9641.gif
В локал юзер только C:\WINDOWS\system32\ctfmon.exe


Вобщем. Система похоже подохла, но еще притворяется живой.

 

Birm, проверь еще HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon.
должно быть так: