|
комсомольск-на-амуре |
|
|
|
|||||||
 |
|
|
|
|||||||
|
|
||||||||||
|
|
|
|
|||||||
|
|
|
|
|
||||||||||||
| ФОРУМ / КОМПЬЮТЕРЫ И МОБИЛЬНЫЕ ТЕХНОЛОГИИ / Как вылечить данные от последствий чудовируса пенертратор? | ||||||||||||||
| создать новую тему • написать сообщение | ||||||||||||||
| 14:47 6 января 2009 |
|
|||||||||||||
|
Заболел комп,фотографии реально вылечить?Чем пользоваться?
|
|||||||||||||
| 17:02 6 января 2009 |
|
|||||||||||||
|
Да, можно сделать так: удалить испорченные файлы и восстановить их с помощью программы Recover My files или подобным, можно также отформатировать тот диск где были файлы и запустить программу восстановления файлов.
|
|||||||||||||
| 00:52 7 января 2009 |
|
|||||||||||||
|
На счет фото, скорее всего, нет. Все остальное я вытащил благодаря программе "GetDataBack for NTFS(Fat - их две одинаковые). После того случая, все фото я храню на нескольких дисках.
|
|||||||||||||
| 13:18 7 января 2009 |
|
|||||||||||||
|
Какой-нибудь антивирус его лечит?
|
|||||||||||||
| 15:45 7 января 2009 |
|
|||||||||||||
|
|
|||||||||||||
| 18:34 7 января 2009 |
|
|||||||||||||
|
Как распротраняется вирус? Каков алгоритм заражения?
|
|||||||||||||
| 18:55 7 января 2009 |
|
|||||||||||||
|
|
|||||||||||||
| 16:44 13 января 2009 |
|
|||||||||||||
|
От пенетратора можно избавиться без антивируса. Увы, я не помню, с какого форума я это брал - просто остался текстовый файлик, поэтому - идея не моя, но мне помогло. Итак, общие данные: 1) Вирус гуляет преимущественно на флешках и обзывается Flash.scr., а ещё данный вирь в загрузочной области флэш-диска создает запись хитрую (что то типа autorun)...и когда происходит автозапуск (при всовывании флэшки) , он благополучно запускается в системе и начинает,своё чёрное дело 2) Уродует файлы со следующими расширениями - "r a r R A R z i p Z I P d o c D O C x l s X L S j p g J P G m p 3 M P 3 w m a W M A w m v W M V a v i A V I m p g M P G v o b V O B p d f P D F p p t P P T" 3) Изменяет конфигурацию настроек NOD32, AVP, AgnitumOutpost... А по-сему на собственных машинах избавиться от него проблематично.AVP на свое изменение говорит: Попытка процесса с PID 1508 получения доступа к процессу Антивирус Касперского с PID 1464 заблокирована. Это результат срабатывания механизма самозащиты. 4) На виртуальной машине вирус и не будет запускаться. Научились они понимать ту среду, где они находятся.... 5) Этот вирус не видит скрытые картинки, доки, видео ------- Вирус создает для своей работы Шесть файлов размера 117248 байт C:\WINNT\system32\deter177\lsass.exe C:\WINNT\system32\deter177\smss.exe C:\WINNT\system32\deter177\svсhоst.exe C:\WINNT\system32\АHTОMSYS19.exe C:\WINNT\system32\сtfmon.exe C:\WINNT\system32\рsаdоr18.dll (в названия встречаются русские буквы) а тут C:\WINNT\system32\рsagоr18.sys находится вот это : ot01_88@mail.ru*ot02_88@mail.ru* прописывает себя вот тут [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "lsass"="C:\\WINNT\\system32\\DETER177\\lsass.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="Explorer.exe C:\\WINNT\\system32\\АHTОMSYS19.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "сtfmоn.exe"="C:\\WINNT\\system32\\сtfmon.exe" [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "сtfmоn.exe"="C:\\WINNT\\system32\\сtfmon.exe" --------- Поэтому избавиться можно и без антивиря: Используя утилиту ProcXP от Марка Руссиновича, нужно сначала приостановить(suspend), чужеродные процессы: АHTОMSYS19.exe, svсhоst.exe,smss.exe,lsass.exe. И,только после приостановки ВСЕХ, их можно убивать, иначе один убьем, а другой активный процесс запустит вновь только что убитый... Удалить вышеуказанные 6 файлов и "C:\WINDOWS\system32\DETER177 где-то видел, что этим файлам тоже не хорошо, на всякий случай удалил 
C:\WINDOWS\system32\рsаdоr18.dll C:\WINDOWS\system32\sysrotdmo.sys C:\WINDOWS\system32\schmvi" Затем нужно провести поиск файлов *.src размером 117248 байт и убить. Далее можно ручками убрать из реестра, а проще утилитой autoruns из того же комплекта, что и ProcXP, убрать все лишнее из автозагрузки.... В реестре правим [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] изменяем параметр "Shell"="Explorer.exe C:\\WINDOWS\\system32\\АHTОMSYS19.exe" на "Shell"="Explorer.exe" (чтобы не появлялось сообщение об ошибке при загрузке системы) и в [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] изменяем параметр "NoFolderOptions"=dword:00000001 на "NoFolderOptions"=dword:00000000 (чтобы в проводнике опять появился пункт "свойства папки") Повторюсь еще раз - это не мое, где брал - точно не помню 
, поэтому выразить респекты не могу. |
|||||||||||||
| 11:53 21 января 2009 |
|
|||||||||||||
|
Главного пенетраторщика поймали
|
|||||||||||||
| 14:24 29 января 2009 |
|
|||||||||||||
|
А все-таки реально ли вернуть убитые файлы которые даже не видно т.е. были в папке а после этого виря исчезли- мп3, wma, doc-где одни маты??????????????????????? винду уже поправил а доки с музыкой жалкоооооо и чем это сделать? |
|||||||||||||
| 16:27 29 января 2009 |
|
|||||||||||||
|
Вирус мочит данные очень быстро - буквально в течение нескольких минут. Из этого следует вывод, что файлы он не затирает, а только удаляет и создает новые с таким же названием. Отсюда вывод, что файлы можно попытаться восстановит при помощи, например, программы Easy Recovery. Но шансы тем больше, чем меньше операций записи было на диске после этого. Если вы активно работали с диском после этого, то шансы малы. Спустя три недели заниматься этим уже поздно обычно. Про музыку вообще забудьте, да и не страшно это - еще накачать можно. А вот личные данные (а именно - личные фотографии, рабочие\учебные доки) - только уповать на программу. Шансов очень мало. Восстановить получается обычно крохи. С сегодняшнего дня идите в магазин и купить стопочку DVD+R болванку и каждый месяц записывайте свои документы на эти болванки. Тогда, вам не будет страшен ни вирус, ни смерть винта. |
|||||||||||||
| 15:07 30 января 2009 |
|
|||||||||||||
|
Приносили мне комп с "Пенетратором", Касперский быстро его нашёл, но повреждённые файлы удалось восстановить только частично, путём восстановления всех файлов на жёстком диске программой Recover My Files. Видимо этот вирус не видит удалённых или перемещённых и удалённых файлов.
|
|||||||||||||
| 19:53 31 января 2009 |
|
|||||||||||||
|
|
|||||||||||||
| 21:03 31 января 2009 |
|
|||||||||||||
|
а кто-нибудь более детально знает принцип работы вируса. В частности почему данные удаляются именно после нового года? музыку и видео востановить можно любой программой элементарно если, как уже говорилось, не было записи на диск в ближайшее время. А jpg-ги и вордовские документы маловероятно, хотя по форумам много разговоров про программу winhex и т.п., якобы можно поработать с секторами и чего-нибудь получится. |
|||||||||||||
| 11:41 1 февраля 2009 |
|
|||||||||||||
|
Вывод - соблюдать элементарные правила компьютерной гигиены: 1) Не ставить на комп все подряд, особенно из интернета 2) Сделать видимыми скрытые файлы и расширения файлов 3) Флешки открывать только путем ввода ее адреса в адресную строку - например F:\ (и при этом сразу будет видно если показ скрытых файлов и расширений включен, что на флешке вирус) 4) Поставить наконец антивирус и обновлять его 5) Важные файлы (важные - это ваши фотографии из отпуска и документы по работе и учебе, а не коллекция игр и музыки) переодически сливать на DVD |
|||||||||||||
| 13:22 1 февраля 2009 |
|
|||||||||||||
|
Добавлю к п.3): не помешает предварительно отключить в системе опцию автозагрузки cd/dvd/флэш.
|
|||||||||||||
| 18:38 2 февраля 2009 |
|
|||||||||||||
|
Открывать флешку можно из cmd.exe, далее делаем attrib -H /S del *.scr /S |
|||||||||||||
| создать новую тему • написать сообщение | ||||||||||||||
Шустрик
|
|
|
|
||
|
Сервер развивается и
поддерживается редакцией еженедельника «Наш город»
Отдел рекламы: (4217) 20-10-07; adver@komcity.ru Правила использования материалов |
|
Программирование: 2002—2004 —
Технодизайн
2005—2013 — "Наш город" |