16 ответов в этой теме

[hunter999111]

жесткий диск с зараженного компа подключил к своему вторым диском,(на зараженном как обьяснил хозяин был баннер просящий 2000 р.за не лицензию  windows xp ,но после нескольких перезагрузок выдал ошибку что поврежден файл c:/windows/system32/config/system)после замены поврежденных файлов на копии из папки repair

получаем error download operating system

произведена проверка curelt-обнаружен trojan pws stealer 3000-какой-то ,перемещен,система по прежнему мертва

 hijackthis.log   5К   2 Скачано раз

 HUNTER999111-ПК_hunter999111_100114_225914.zip   6,38Мб   3 Скачано раз

 cureit.rar   898,79К   1 Скачано раз

[VVS]

System Restore не отключен?

[hunter999111]

понятия не имею

[VVS]

Если отключен, то с системой можете попрощаться.

В каталоге System Volume Information есть подкаталоги с точками восстановления?

 

PS

Речь идёт про System Restore и SVI на диске с того компьютера.

Сообщение было изменено VVS: 10 Январь 2014 - 23:11

[hunter999111]

судя по всему отключен потому как не наблюдаю такой папки

[hunter999111]

отображение скрытых файлов включено но папки  нет

[hunter999111]

единственно что непонятно почему не начинается даже загрузка windows?хотя все файлы на месте

[VVS]

Повреждён улей реестра System.
К вирусу это отношения не имеет.
В этом улье хранится информация о драйверах, сервисах и т.п.
System Restore периодически создаёт копии и этого улья в том числе.
Если бы System Restore на том компе был включен, то восстановление такой системы заняло бы у меня 3-5 минут (у Вас несколько больше )
Без копий этого улья восстановить работу этой системы практически невозможно.

[hunter999111]

есть копии битых файлов и файлов из репайр

[l.e.e.]

Так логи с вашего ПК мало о чём скажут и загружать не надо на своей.. Как вариант, можно загрузить среду восстановления с дска установки (R - Consol Recovery) и запустить проверку chkdsk C: /r на искомой машине.

[hunter999111]

сделано ,ошибки исправлены результат ноль

[l.e.e.]

сделано ,ошибки исправлены результат ноль

Вы раньше делали ? Эта проверка не быстрая..

 

 Trojan.PWS.Stealer.3128 он пароли ворует, надо сменить во всех сервисах.

[hunter999111]

я с нее начал 

[hunter999111]

сейчас заходил с лех лайв сд на тот винт- в system volyme information только логи chkdsk,и еще лабуда какая-то но очень мелкая по кб,точек восстановления нет

[hunter999111]

еще в систем волюме нашел файл с расширением .isw размер 560 кб(скрытый)

[hunter999111]

и это откуда,даты глючат

 

 Безымянный.png   1,65Мб   0 Скачано раз

[mrbelyash]

D:\Documents and Settings\ADMIN\Local Settings\Temp\1SKKKKKKK.exe -винлок (как обычно ошибочно обозвали стилером)

 

----

Логи собраные на другой машине в принципе не нужны вообще (ну кроме проверки сканером подключенного диска).

На будущее- есть такая фишка как загрузка куста http://drw.sh/bsiy

Сообщение было изменено mrbelyash: 11 Январь 2014 - 03:47