Popsułem windowsa

[Gość odyniec15]

Mam ogromny problem. Ściągnąłem sobie program do nagrywania filmików z pulpitu, coś ala fraps, ale zamiast programu jakiś [ciach] wrzucił wirusa dzięki któremu komp się wyłączył i przy każdym momencie ładowania systemu się restartował. Nie chcę robić formata ponieważ, mam wiele cennych plików których nie chciałbym stracić. Aktualnie podłączyłem stary dysk twardy z zapasowym windowsem. I teraz mi pomóżcie jakoś to naprawić. Czy można zrobić wykonać "przywracanie systemu" tamtego windowsa z poziomu tego? Ratujcie.!

Nie klnij, nawet używając gwiazdek - Gofer

[Gofer]

1. Próbowałeś przywracania systemu?

2. Możesz spróbować użyć tego, albo przez tryb awaryjny użyć tego a potem tego. Oczywiście jeśli masz pewność, że to wirus.

[xandi]

Na początkuj to przeskanuj ten zainfekowany dysk programami Malwarebytes' Anti-Malware i Dr.Web CureIt!.

A próbowałeś odpalić tamten system w trybie awaryjnym?

ehh...

2 min się spóźniłem xD

Różowy Jednorożec +666 do szybkości ;] - Gofer

[Gość odyniec15]

1. Właśnie nie wiem jak to zrobić. Bo mam zainstalowane dwa windowsy. Tego popsutego i teraz zainstalowałem na starym dysku żeby do was napisać.

2. Tryb awaryjny w tym popsutym też nie działa.

[xandi]

To na tym starym windowsie odpal te programy, o których Gofer i ja pisaliśmy i przeskanuj system. I zrób pełne skanowanie bo szybkie może nie znaleźć wszystkich wirusów.

[Sevard]

Po skanie Dr.Web (obojętnie czy CureIt!, czy LiveCD) napisz co znalazł. Malwarebytes' niestety raczej nie pomoże.

Rejestr można przywrócić ręcznie, tylko jest z tym trochę roboty. Wszystko jest opisane tu, ale zanim przystąpisz do robienia opisanych tam rzeczy podaj na forum nazwę szkodnika oraz upewnij się, że nie ma go już na dysku.

[Gość odyniec15]

zrobiłem skanowanie, usunąłem zainfekowane plik, a system nadal sie nie uruchamia

poniżej log ze skanowania

mbam_log_2009_10_31__16_08_36_.txt

[Sevard]

Koniecznie napisz co i w jakich ilościach znalazł Dr.Web, Jeśli Virut, którego znalazł Malwarebytes' zaczął działać, to jest źle, ale być może jeszcze coś z tym da się zrobić.

[Gość odyniec15]

Kochani, dzięki za wszystko, ale mnie szlag bierze. W poniedziałek kupię czyste płyty i sobie zgram wszystko i porządnego formata zrobię. Jeszcze przed zamknięciem tematu mógłby powiedzieć ktoś w jakim folderze znajdę zakładki do firefoxa?

[Gofer]

I razem z danymi nagrasz na płyty wirusa. A zakładki są w documents&settings/dane aplikacji/mozilla albo coś w tym stylu.

[Sevard]

OK, widzę, że nie wiesz z czym masz do czynienia, więc wyjaśnię.

Jeśli Virut zapoczątkował swoje dzieło, to format ze zgraniem danych jest złym pomysłem, bo ten wirus zaatakuje znowu. Mało jest antywirusów, które potrafią go zatrzymać, z darmowych ja znam jeden (Comodo Internet Security z włączonym Defense+), z płatnych też znam jeden i też jest to produkt Comodo.

Jeśli już koniecznie chcesz zgrywać jakieś pliki nie pozbywając się wcześniej tego wirusa, to nie zgrywaj plików o rozszerzeniu exe. Virut infekuje tylko pliki wykonywalne, ale robi to bardzo szybko i nie oszczędza żadnych plików. Ponieważ w wirusie jest błąd, to zainfekowanych plików zazwyczaj nie da się wyleczyć, trzeba je zastąpić nową kopią. Więc moja rada jest taka, żebyś zrobił ten nieszczęsny skan Dr.Web-em i napisał co i w ilu egzemplarzach znalazł. Virut jest co prawda wirusem polimorficznym, ale Dr.Web całkiem nieźle sobie z nim radzi.

[Gość odyniec15]

Dobra rozpoczynam skanowanie, może do jutra się zeskanuje, bo idzie to strasznie wolno. Do nagrania mam 2 obrazy .iso moich zagubionych płyt z CDA, kilka .mp3, fotki i wideo z sylwestra. Na wszelki wypadek nie będę zgrywał trainerów bo wszystkie mają .exe a nie są mi niezbędne do życia.

[Sevard]

Dopóki się nie upewnisz, że Virut nie rozpoczął swojej działalności, to nie wolno Ci zgrywać tylko plików exe oraz scr, inne są bezpieczne. Tak czy owak jeśli chcesz, to można się go pozbyć, choć jest to trochę kłopotliwe. Jakby się okazało, że to on jest przyczyną i jednak chciałbyś naprawić system, to napisz, to Ci wyjaśnię co i w jakiej kolejności musisz zrobić.

Jeśli to nie on, to najprawdopodobniej wystarczy przywrócić rejestr do jakiejś wcześniejszej wersji, żeby wszystko działało. Link do opisu jak to zrobić masz w jednym z moich wcześniejszych postów w tym temacie.

[PiEcIA_17]

Przeczytać także możesz to.

[Gość odyniec15]

dr web skończył skanować oto logi

DrWeb.txt

[Sevard]

Nie wygląda to źle w takim razie, Virut nie rozpoczął swojego dzieła. Próbowałeś przywracać rejestr metodą, którą Ci podałem? Jeśli nie, to to zrób. Jeśli tak, to możesz jeszcze próbować opcji typu "Ostatnia znana działająca konfiguracja". Jeśli i to nie pomoże, to pozostaje naprawa za pomocą płyty z Windowsem.

[Gość odyniec15]

Przywracanie rejestru jest zbyt rudne, a ja nie mam nawet jak tego wydrukować. Ostatnia dobra konfiguracja nie działa i naprawa za pomocą płyty windowsa również. Ale ustawiłem opcje żeby nie restartował się po awarii i zobaczyłem takie o to cudo!

[Gość Frashoot]

To tak zwany BSOD (Blue screen of dead).

Nie masz w okolicy jakiegoś znajomego który się zna na kompach? Ew. pozostaje oddać kompa do informatyka.

[Sevard]

OK, to możesz spróbować jeszcze takich rzeczy:

1. Wejdź na stronę http://www.gmer.net/ i pobierz z niej program mbr.exe. Postępuj zgodnie z jego zaleceniami, jeśi masz wirusa w MBR, to ten programik powinien go usunąć.

2. Sprawdź dysk twardy za pomocą chkdsk-a. Start>Uruchom..., tam wpisujesz cmd, to otworzy linię komend. W niej wpisz komendę

chkdsk /f X:

gdzie X: oznacza literę przypisaną do partycji, którą chcesz sprawdzić.

3. Daj screena z zakładki Health programu HD Tune z wybranym dyskiem, na którym jest Windows, który nie działa.

[Gość odyniec15]

To tak zwany BSOD (Blue screen of dead).

Nie masz w okolicy jakiegoś znajomego który się zna na kompach? Ew. pozostaje oddać kompa do informatyka.

Bardziej mi się format opłaci niż wydawanie pieniędzy na informatyków.

Sevard, 1. Ściągłem, uruchomiłem i nić się nie stało.

LOG:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net


device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

user & kernel MBR OK 

2.

3.

[Sevard]

3. Masz 2 uszkodzone sektory, które czekają na realokację. Zgraj wszystkie istotne dane, bo mogą pojawiać się nowe błędy. Jeśli dysk jest na gwarancji, to do serwisu go (przed oddaniem spisz numer seryjny), jeśli nie to monitoruj jego stan co jakiś czas. Jeśli nie będą pojawiać się nowe błędy, to ok, ale jeśli będą, to dysk jest do wyrzucenia.

2. Zgódź się (ale najpierw zgraj dane).

1. Nie masz wirusa w MBR, czyli jedna rzecz wykluczona.

[Gość]

Mało jest antywirusów, które potrafią go zatrzymać, z darmowych ja znam jeden (Comodo Internet Security z włączonym Defense+), z płatnych też znam jeden i też jest to produkt Comodo.

Czyżby? Kaspersky tego nie wyleczy? Od ładnych paru lat korzystam tylko z niego i mimo wszystko żadnych infekcji i problemów...

Edit:

Generalnie nie jest to istotne, pytam z czystej ciekawości, bo przeglądam temat.

[Sevard]

No właśnie nie za bardzo. Virut oraz Sality mają to do siebie, że atakują szybko, zanim jeszcze antywirus zdoła zareagować (antywirus Comodo też nie powstrzyma infekcji, ale Defense+ już tak). Potem jak się już dostaną do systemu, to infekują wszystkie pliki .exe po kolei. Kaspersky (podobnie jak Dr.Web) zdoła usunąć te wirusy, ale zainfekowane wcześniej pliki .exe i tak będzie trzeba odtworzyć z jakiejś kopii zapasowej, lub po prostu przeinstalować program z nimi związany, bo te pliki najprawdopodobniej będą uszkodzone.

Pewnym pocieszeniem jest to, że tylko pliki wykonywalne są zarażane tymi wirusami.