Saten
Итого: aws0u2ke.sys - такой в дистрибутиве отсутствует, как класс и скопирован быть не может. Особенно если, каждый раз с "токо с другим названием файла". Sergikaz тебе всё правильно сказал - проверяйся на вирусы.
Одного не пойму - зачем обновлять систему установкой "поверху"? Это делается в случае крайней необходимости, в остальных случаях есть Microsoft Update.
А что касается:
почему при установки операционки на диск "С" boot.ini, ntldr и тэдэ и тэпэ файлы записываются на диск "D" хотя должны наоборот
Они записываются на активный диск или активный раздел диска. При автоматической установке системы и одновременном наличии "старой", она будет устанавливаться не поверху, а на следующий раздел жесткого диска, даже если он неактивный.
у кого проблемы с окнами типа "отправте SMS" ВСЁ очень просто вот 3 официальных сайта добавте себе в избранное
http://support.kaspersky.ru/viruses/deblocker
http://www.drweb.com/unlocker/index
http://www.esetnod32.ru/.support/winlock/
и не надо изобретать велосипед
Появилась вот такая хрень, Process Explorer отображает два процесса:safesurf.exe и surfguard.exe от "производителя" JetSwap. "Ноги растут" из c:\Program Files\config\. Убиваю процессы и удаляю всё с помощью Revo Uninstaller, через минуту или две всё восстанавливается, и папка и процессы. Пытался заблокировать выход бредмауэром, но после перезагрузки она стоит опять в исключениях. По сети нашёл скрипт AVZ для удаления этой шняги, после его выполнения и перезагрузки - таже история. Кто что посоветует? Заранее спасибо.
ну может если сборка симплекса будет проще восстановить реестр 2-3 -х дневной давности, когда вируса не было ещё.
svoit
Разумная мысль, но этого мало.
happywanderer
1. Убедительная просьба, внимательно прочитать комментарий под плакатиком, во избежание недоразумений.
2. Это Trojan.safesurf - Stubborn (неподдатливое) malware.
С помощью Unlocker-а удаляем из C:\Windows\system32\drivers\safesurf.exe, surfguard.exe и up.exe, а из C:\Program Files\Common Files\ удаляем каталог Surf со всем его содержимым, удаляем из реестра каталог JetSwap в ветке HKEY_LOCAL_MACHINE\SOFTWARE\, а в каталогах реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run и HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run удаляем ключи "jsafesurf"=C:\Program Files\Common Files\Surf\safesurf.exe.
3. Проверимся с помощью Malwarebytes Anti-Malware.
4. Относительно скрипта для AVZ - подробности от Каспера.
Waterclo, спасибо за то, что так всё подробно описал, но к сожелению эти советы не прокатили. Опишу как было и как действовал, может кому поможет. Перво наперво эта хрень устанавливалась в: c:\Program Files\config\, в C:\Program Files\Common Files\ каталога Surf не было. Каталог JetSwap в ветке реестра HKEY_LOCAL_MACHINE\SOFTWARE\ существовал(удалил, больше не появлялся). В каталогах реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run и HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run ключей "jsafesurf"=C:\Program Files\Common Files\Surf\safesurf.exe. и чтото похожего небыло. Удалял и Unlockerом и Revo Uninstaller Pro папку: c:\Program Files\config\ с этой заразой, после перезагрузки всё появлялось вновь, включая исключения в бредмауэре: Updater Service и Updater Service Tools. Проверка, попытка лечения и удаления с помощью Malwarebytes, DrWeb и AVZ тоже не дала не каких результатов. После всех этих танцев, меня привлёк процесс отображаемый в ProcessExplorer как: Radeon.exe.-графический ускоритель т.д и т. п., точно не помню, "домашний" путь этого exe-шника:C:\Windows\system32\drivers\Radeon.exe, в автозагрузке он тоже сидел. После удаления с автозагрузки и переименованием этого exe-шника, убийством процессов:safesurf.exe. и surfguard.exe. c последующим удалением папки c:\Program Files\config\ всё чисто, даже при перезагрузке и дальнейшей работе. По возвращению истенного имени exe-шнику-Radeon.exe. всё повторяется заново. Отсылал его на Virustotal.com. ответ один на всех-found nothing. Так что вот как получилось, может это кому-нибудь поможет.
happywanderer
Суть этого трояна в том, что подцепивший его помогает зарабатывать распространителю на просмотре рекламы. Троян втихую лазит на ранее просмотренные сайты, но уже под логином распространителя и зарабатывает пойнты у SafeSurf. У меня дочка знакомого летом такую гадость подхватила на каком-то сайте, по ссылке "скачать с высокой скоростью".
Не помнишь, откуда подцепил это хозяйство? Тут что-то усовершенствованное. А что было в каталогах C:\Program Files\config\ и C:\Program Files\Common Files\? Возможно, этот Radeon.exe - контейнер, упакованный таким образом, чтобы затруднить обнаружение антивирусами его активность (разновидность rootkit-а). После запуска он должен распаковывать куда-то своё содержимое, а установки в реестр. Хитрость в том, что его содержимое не считают вирусом, а относят к категории трудноустранимых вредоносных программ.
Подцеплять есть кому(супруга и двое детей) да и себя безгрешным не считаю, поэтому-Х.З. Специально ради Вас:
1. Переименовал обратно exe-шник в Radeon.exe
2. Перезагружаться не стал, в ручную запустил.
3. Через полминуты запускается процесс-safesurf.exe, следом процесс-up.exe, следом-jet.exe. потом-surfguard.exe. В конечном итоге всё выглядит вот так:
Скрытый текст (раскрыть):
, при этом в брадмауэре прописываются два пункта в исключения:
Скрытый текст (раскрыть):
Прописывается в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ключём, как - ATI Radeon., и каталог JetSwap в ветке HKEY_LOCAL_MACHINE\SOFTWARE\:
Скрытый текст (раскрыть):
C:\Program Files\Common Files\ - по этому пути ничего нет.
Содержание c:\Program Files\config\ и C:\Windows\system32\drivers\:
Скрытый текст (раскрыть):
Кому ради экспериментов надо, могу прислать этот exe-шничек.
happywanderer
Страмота! Контейнер замаскирован яко-бы под ATI-шные дрова. Можешь прислать, попробую распаковать контейнер на досуге, для общего развития. Вообще-то, его надо не переименовывать, а безжалостно сносить, где бы оно не находилось. Кстати, для большей защищённости могу порекомендовать вместо виндового фаера установить полноценный (если понадобится ДП - в РМ).
Waterclo Мне не жалко: http://narod.ru/disk/27485569000/Radeon.xexex.html, расширение переименовано.
Случай с happywanderer весьма поучителен. Хорошо, что человек грамотный и сам быстро разобрался, а вот подавляющее большинство пользователей, так бы и не поняло в чем дело. Бродить по интернету , все равно , что босиком в грязной луже, никогда не знаешь на что наступишь или какая пиявка к тебе присосется. Броузеры тоже лукавы и доверия им, даже в портативном варианте, на чем настаивает модератор, особого нету. Статьи, приведенные в заголовке темы , весьма хороши , но постоянно держать в памяти все эти подробности , просто невозможно. Хотя на эту тему много чего писалось и у каждого есть свои предпочтения, предлагаю сформулировать основные правила безопасной работы в сети. Кому есть ,что сказать отпишитесь.
happywanderer
Контейнер скомпилирован в Borland Delphi и упакован PE, что я и подозревал. Какой-то хахер очень неплохо поработал.
af_pro
...на чем настаивает модератор...
Я ни на чём не настаиваю, всё что советую каждый волен пропустить между ушей. Портативками пользоваться проще только по причине их независимости друг от друга и от встроенного в систему IE. А тема о безопасной работе в сети на форуме присутствует и о безопасности обозревателей я говорил здесь и в бестолковом FAQ, с к-рым не знаю что делать. Что-нибудь изменишь и получишь в очередной раз абзац (пароксизм) неудовлетворения. Планировалось перетащить FAQ на wiki, но тот движок очень тормозной. Вот возьми и посоветуй как FAQ преобразовать для удобства использования, да ещё с таким "лёгким" форумным движком (PunBB).
Предупреждаю ВСЕХ!!! Доведите до тех, кто пользуется вашим агрегатом!!!
Не покупайтесь на ссылки - "скачать с высокой скоростью" и подобное. Отуда скачивается контейнер (ящик Пандоры) -
*.exe файл, после запуска которого, вместо скоростной закачки рискуете получить неприятностей под завязку, в т.ч. и проблемы с окнами типа "отправьте SMS"...
Сегодня родня притащила нетбук, с "голыми титьками" на весь экран и требованием отправить через платёжный терминал на номер или 360 или 390(не обратил на это пристального внимания, но то что денег хотят - это точно) "деревянных", в чеке будет указан код для разблокировки. Эта "вафля" мало того что на весь экран, но и блокирует ДЗ и меню Пуск. Загрузился в WinPE, поискал в реестре ничего не нашёл, проверил сканером DrWeb-глухо, AVZ из под WinPE с флехи не arbeiten , начал рыть руками: в корне диска С. имелся файлик по названием temp_sys.exe - сначала переименовал - в систему защел без "эротики", переименовал обратно в exe. проверил Webом и AVZом - тишина(другими средствами - времени не было проверять - торопился из дома) - удалил окончательно с машины - система работает.
Может кому эта инфа поможет.
AVZ из под WinPE с флехи не arbeiten(не работает)
Кто подскажет в чём причина и как его запустить? Очень нужно! Знакомые подхватили СМС-вымогатель, пришёл, нашел, удалил, но он гад, отключил и ДЗ и Explorer и RegEdit, правка реестра из под WinPE не дала никаких результатов. С работой уже голова не варит в этом направление, завтра после работы опять переключу извилины на этот гемморой, но если кому не в лом - прошу совета.
Отредактировано happywanderer (12.07.2011 22:00:34)
happywanderer
AVZ из под WinPE с установленной на винт системой работать не будет - оно мониторит рабочую систему из-под к-рой запускается, т.е. будет анализировать уязвимости и процессы самой WinPE, а на разделах винта оно отслеживает только активность их уже обнаруженых, типа: "поднимите мне веки".
Waterclo спасибо.
Вчера "воевал" с "хреновиной"-на заблокированном Р.С. экран голубого фона, с
белым текстом - что-то типа: комп заблокирован за распространение порно-материалов, Вам надо заплатить штраф, номер телефона не запоминал. "Вкусняшку" нашёл в c:\Documents and Settings\All Users\Application Data\22сс6с32.exe в реестре Shell вместо Explorer прописывает на себя. Удалил, исправил реестр - после перезагрузки всё без изменений. Из под WinPE стал проверять сканером DrWeb - нашёл "заражённые" userinit.exe в \WINDOWS\system32\ и в\WINDOWS\system32\dllcache\, после заменил на "чистый" userinit.exe, опять поправил Shell в реестре, удалил 22сс6с32.exe, пререзагрузился - всё заработало, но!!! при вызове Д.З. всё опять встало "на свои места". Опять пришлось грузится из по WinPE, но теперь заменил не только userinit.exe, но и taskmgr.exe, исправлял в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Shell на Explorer вместо 22сс6с32.exe, и опять удалял 22сс6с32.exe из \Documents and Settings\All Users\Application Data\. Только после этих манипуляций машина заработала, после проверял DrWeb - показал чисто! Так что будте внимательны!
Угу, в последнее время именно с этим сталкиваюсь - помимо левых exe файлов в автозагрузке, еще подменяются taskmgr и userinit, уже таскаю их в отдельной папке, чтобы далеко не ходить
А вместо AVZ под WinPE использую UVS, шикарная утилитка, настоятельно рекомендую.
http://dsrt.dyndns.org/
Отредактировано hal (08.09.2011 17:35:04)
happywanderer
Однако твой способ помог, да и у hal полезное предложение.
Спасибо.
Есть брендовый комп Fujitsu Siemens Scaleo P
На ём стояла виста. Её сожрал вирус. Восстановить из систем-ресторе не удалось. Нужно переставлять систему, но не с чего. На винте есть скрытый раздел Конфигурация EISA. Нутром чую, что там образ винды, но как с его помощью восстановить систему не понимаю.
Пааамааагииитеееее!
XaHyMaH
Какой размер раздела ?
Если где-то 200-500мб, то этот раздел создает винда для своих потребностей ( как в Win 7 ), там загрузочные данные и все такое.
А если попробовать загрузится с дистрибутива и выполнить не установку а восстановление ?
XaHyMaH
Обычно при загрузке нажатие F4 приводит к загрузке с таких вот скрытых разделов и там уже раскатка образа происходит. Тока же система не восстановится, а установится заново. Тоесть все документы и личные файлы потрутся нафиг. Об этом стоит помнить. Может не F4 ну чаще она, а там может быть и какая то своя комбинация. Отключай в биосе логотип производителя при загрузке ПК и гляди, что тебе пк на момент включения/поиска HDD/проверка RAM пишет внизу экрана. Должна же быть подсказулька
Размер - 12 гиг, занято 6.
Дистрибутива нет :`-(
Попробовал сделать его активным, не помогло. Предлагает вставить диск.
Подсказулек не нашел. Попробовал все кнопки Ф — пусто.
Если попробовать качнуть установочный диск висты и "восстановить" с него?
XaHyMaH сообщает:
Если попробовать качнуть установочный диск висты и "восстановить" с него?
Так я про это и написал в последнем предложении. Только редакции ОС не перепутай.
С этими "recovery" разделами не всё так просто. Если он есть и его не "портили", то это уже хорошо. Как там устроено на Fujitsu, я не знаю. Не сталкивался. Расскажу про своё нетбук Acer. Сейчас никакой производитель не делает восстановление из простого образа системного раздела. Это не выгодно, делать под каждый аппарат отдельный образ. Всё там уже давно унифицировано. Образа конкретного раздела нет. Есть очень много разных файлов и папок, которые дают возможность восстанавливать на начальное состояние, согласно спецификации и его серийного номера, для конкретного аппарата. Если на моём нетбуке запустить BOOTICE и посмотреть состояние разделов, то видно, что раздел "PQSERVICE" является "скрытым". Смело делаю в этой утилите раздел "нескрытым" и тут же получаю новый доступный раздел с кучей папок и файлов. Очень примечательно, что в корне этого раздела есть файл BOOTMGR. У вас может быть состояние разделов другое. У меня не эталон и разделы, уже возможно, давно потеряли первоначальное состояние из-за моих экспериментов. Теперь почему не загружается "recovery" по нажатию F4 или другой клавиши. Раздел для восстановления скрытый и не является "активным", переход на его загрузчик BOOTMGR прописан в MBR винта. Очень часто, люди пытаются самостоятельно переустановить систему с загрузочного диска, установить ХР второй системой и этими действиями они переписывают MBR винта на стандартный.
XaHyMaH
Мой тебе совет. Загрузись с WinPE, убедись в целости раздела восстановления, посмотри где на винте он располагается физически. Потом создай загрузочную флешку утилитой MBTY (образ можно использовать любой, он нужен только для создания флешки) и в файле MENU.LST добавь строку загрузки с раздела "recovery". Что написать в эту строку конкретно для твоего случая, зависит от физического расположения раздела "recovery". Здесь я уже не очень силён. Здест уже больше сможет подсказать MBTY.
Подсказываю. Если была 7ка то всё вообще просто.
Допустим ты нашел свои файлики скрытого раздела этого (Открыть или скриыть разделы можно с помощью Acronis Disk Director из Simplix Wnpe). Создаешь моей DirecGrub-утилиткой загрузочную флешку. Образ правда можно взять любой - нам он нафиг не понадобится - нам нужна загрузочная GRUB флешка.
Сделал ты ее.
СТИРАЕШЬ С НЕЕ ВСЁ
То, что валяется на разделе Recovery копируешь на эту флешку.
Если ты там нашел файл bootmgr, то его переименуй в файл MBTY - флешки сделаные моим DirectGrubом ищут любой файл с таким именем на флешке и загружают его. Там хоть груб, хоть линуксовый загрузчки - флешке всё равно.
Скопировал, переименовал ты значит файл Bootmgr -> MBTY
В биосе укажи загрзку с флешки и грузись. Получишь свой аналог запуска восстановления ОС. И восстанавливай наздоровье, но думаю как всё скопируешь - лучше этот Recovery раздел опять запрятать. Ловлю себя на мысли, что всё это можно сделать одним шагом из Wnpe simplix. Скачал своим компом Direct Grub - сделал флешку. Затер. Потом уже из Wnpe, открыл раздел, скопировал, закрыл.
Отредактировано MBTY (18.11.2011 13:36:36)
MBTY
Идея, сделать такую резервную флешку, просто С учётом того, что на моём нетбуке нет CDRomа, то обязательно опробую и, в случае положительного результата, я его (нетбук) тогда вообще "заэкспериментирую".