[Rezor666]

Вам в раздел в лечения.

[yurfed]

Цитата Rezor666:

Вам в раздел в лечения. »

Это файлам уже не поможет.
totaleclypse@vk, поковыряюсь, но ни чего не обещаю.

[Sphinx114]

totaleclypse@vk, посмотрел я твои файлы хекс редактором. Они не зашифрованы, они грубо испорчены. Далее запустил в sandboxie твой вирус, также чисто в виртуалке запускал. Внутри него 2 экзешника, они распаковались в C:\Program Files\WinRaR.inc\Архив WinRaR и запустились. В C:\Documents and Settings\<user>\Главное меню\Программы\Автозагрузка добавлено напоминание.txt. И это всё. Системные файлы вроде не модифицированы. Информации для восстановления файлов нигде нет (маловероятно что она внутри файла). Пораскидал по системе jpg, но вирус почемуто ничего не испортил

Как вы эти вирусы цепляете? Уж сколько времени система и браузер не обновляется, антивиря нет, флеш, скрипты, всё включено, сижу под админом... и ни одного виря.

Цитата totaleclypse@vk:

mmm.bat »

Нету такого. Вот какие изменения в реестре показала песочница:

читать дальше »

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\123]

[HKEY_LOCAL_MACHINE\123\machine]

[HKEY_LOCAL_MACHINE\123\machine\software]

[HKEY_LOCAL_MACHINE\123\machine\software\Classes]

[HKEY_LOCAL_MACHINE\123\machine\software\Classes\AppID]

[HKEY_LOCAL_MACHINE\123\machine\software\Classes\CLSID]

[HKEY_LOCAL_MACHINE\123\machine\software\Classes\CompressedFolder]

[HKEY_LOCAL_MACHINE\123\machine\software\Classes\CompressedFolder\shell]

[HKEY_LOCAL_MACHINE\123\machine\software\Classes\CompressedFolder\shell\open]

[HKEY_LOCAL_MACHINE\123\machine\software\Classes\CompressedFolder\shell\open\ddeexec]

[HKEY_LOCAL_MACHINE\123\machine\software\microsoft]

[HKEY_LOCAL_MACHINE\123\machine\software\microsoft\COM3]

[HKEY_LOCAL_MACHINE\123\machine\software\microsoft\ole]
"EnableDCOM"="N"

[HKEY_LOCAL_MACHINE\123\machine\software\microsoft\Windows]

[HKEY_LOCAL_MACHINE\123\machine\software\microsoft\Windows\CurrentVersion]

[HKEY_LOCAL_MACHINE\123\machine\software\microsoft\Windows\CurrentVersion\Explorer]

[HKEY_LOCAL_MACHINE\123\machine\software\microsoft\Windows\CurrentVersion\Explorer\BitBucket]
"NukeOnDelete"=dword:00000001
"UseGlobalSettings"=dword:00000001

[HKEY_LOCAL_MACHINE\123\machine\software\microsoft\Windows\CurrentVersion\Explorer\Shell Folders]
"Common Start Menu"="C:\\Documents and Settings\\All Users\\Главное меню"
"Common Desktop"="C:\\Documents and Settings\\All Users\\Рабочий стол"
"Common Documents"="C:\\Documents and Settings\\All Users\\Документы"

[HKEY_LOCAL_MACHINE\123\machine\software\microsoft\Windows\CurrentVersion\Explorer\User Shell Folders]

[HKEY_LOCAL_MACHINE\123\machine\software\microsoft\Windows\CurrentVersion\Uninstall]

[HKEY_LOCAL_MACHINE\123\machine\software\microsoft\Windows\CurrentVersion\Uninstall\Архив WinRaR 3.5]
"DisplayName"="Архив WinRaR 3.5"
"DisplayVersion"="3.5"
"VersionMajor"=dword:00000003
"VersionMinor"=dword:00000005
"Publisher"="WinRaR.inc"
"DisplayIcon"="C:\\Program Files\\WinRaR.inc\\Архив WinRaR\\Uninstall.exe"
"UninstallString"="C:\\Program Files\\WinRaR.inc\\Архив WinRaR\\Uninstall.exe"
"InstallLocation"="C:\\Program Files\\WinRaR.inc\\Архив WinRaR\\"
"InstallSource"="C:\\Documents and Settings\\Win XP\\Рабочий стол\\"
"InstallDate"="20121008"
"Language"=dword:00000419
"EstimatedSize"=dword:00000478
"NoModify"=dword:00000001
"NoRepair"=dword:00000001

[HKEY_LOCAL_MACHINE\123\machine\software\Policies]

[HKEY_LOCAL_MACHINE\123\machine\system]

[HKEY_LOCAL_MACHINE\123\machine\system\CurrentControlSet]

[HKEY_LOCAL_MACHINE\123\machine\system\CurrentControlSet\Control]

[HKEY_LOCAL_MACHINE\123\machine\system\CurrentControlSet\Control\MediaProperties]

[HKEY_LOCAL_MACHINE\123\machine\system\CurrentControlSet\Control\MediaProperties\PrivateProperties]

[HKEY_LOCAL_MACHINE\123\machine\system\CurrentControlSet\Control\MediaProperties\PrivateProperties\Jo ystick]

[HKEY_LOCAL_MACHINE\123\machine\system\CurrentControlSet\Control\MediaProperties\PrivateProperties\Jo ystick\Winmm]

[HKEY_LOCAL_MACHINE\123\machine\system\CurrentControlSet\Services]

[HKEY_LOCAL_MACHINE\123\machine\system\CurrentControlSet\Services\WinSock2]

[HKEY_LOCAL_MACHINE\123\machine\system\CurrentControlSet\Services\WinSock2\Parameters]

[HKEY_LOCAL_MACHINE\123\machine\system\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catal og5]

[HKEY_LOCAL_MACHINE\123\machine\system\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalo g9]

[HKEY_LOCAL_MACHINE\123\user]

[HKEY_LOCAL_MACHINE\123\user\current]

[HKEY_LOCAL_MACHINE\123\user\current\software]

[HKEY_LOCAL_MACHINE\123\user\current\software\Microsoft]

[HKEY_LOCAL_MACHINE\123\user\current\software\Microsoft\Windows]

[HKEY_LOCAL_MACHINE\123\user\current\software\Microsoft\Windows\CurrentVersion]

[HKEY_LOCAL_MACHINE\123\user\current\software\Microsoft\Windows\CurrentVersion\Explorer]

[HKEY_LOCAL_MACHINE\123\user\current\software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket]

[HKEY_LOCAL_MACHINE\123\user\current\software\Microsoft\Windows\CurrentVersion\Explorer\BrowseNewProc ess]
"BrowseNewProcess"="yes"

[HKEY_LOCAL_MACHINE\123\user\current\software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2]

[HKEY_LOCAL_MACHINE\123\user\current\software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\ {2ccb6de0-b2c7-11e0-8fd9-806d6172696f}]
"BaseClass"="Drive"

[HKEY_LOCAL_MACHINE\123\user\current\software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\ {2ccb6de5-b2c7-11e0-8fd9-806d6172696f}]
"BaseClass"="Drive"

[HKEY_LOCAL_MACHINE\123\user\current\software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\ {49dc63e0-b2ad-11e0-8ded-0003ffbf1230}]
"BaseClass"="Drive"

[HKEY_LOCAL_MACHINE\123\user\current\software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\ {e315c8b0-0612-11e2-814b-806d6172696f}]
"BaseClass"="Drive"

[HKEY_LOCAL_MACHINE\123\user\current\software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\ {e315c8b1-0612-11e2-814b-806d6172696f}]
"BaseClass"="Drive"

[HKEY_LOCAL_MACHINE\123\user\current\software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders]
"Desktop"="C:\\Documents and Settings\\Win XP\\Рабочий стол"
"Start Menu"="C:\\Documents and Settings\\Win XP\\Главное меню"
"Personal"="C:\\Documents and Settings\\Win XP\\Мои документы"
"Startup"="C:\\Documents and Settings\\Win XP\\Главное меню\\Программы\\Автозагрузка"
"Cache"="C:\\Documents and Settings\\Win XP\\Local Settings\\Temporary Internet Files"
"Cookies"="C:\\Documents and Settings\\Win XP\\Cookies"

[HKEY_LOCAL_MACHINE\123\user\current\software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders]

[HKEY_LOCAL_MACHINE\123\user\current\software\Microsoft\Windows\CurrentVersion\Internet Settings]

[HKEY_LOCAL_MACHINE\123\user\current\software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap]
"ProxyBypass"=dword:00000001
"IntranetName"=dword:00000001
"UNCAsIntranet"=dword:00000001
"AutoDetect"=dword:00000001

[HKEY_LOCAL_MACHINE\123\user\current\software\Microsoft\Windows\ShellNoRoam]

[HKEY_LOCAL_MACHINE\123\user\current\software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\Documents and Settings\\Win XP\\Рабочий стол\\mhp_ruscolclientid54.scr"="Архив WinRaR 3.5 Installation "
"C:\\Program Files\\WinRaR.inc\\Архив WinRaR\\svchost.exe"="svchost"
"C:\\Program Files\\WinRaR.inc\\Архив WinRaR\\free_update.exe"="free_update"

[HKEY_LOCAL_MACHINE\123\user\current\software\SandboxieAutoExec]
@=hex:31

[HKEY_LOCAL_MACHINE\123\user\current_classes]

[HKEY_LOCAL_MACHINE\123\user\current_classes\*]

[HKEY_LOCAL_MACHINE\123\user\current_classes\*\shell]

[HKEY_LOCAL_MACHINE\123\user\current_classes\*\shell\sandbox]

[Rezor666]

Цитата yurfed:

Это файлам уже не поможет. »

Кто знает, но именно там выполняют лечения а не тут.

[yurfed]

Цитата Rezor666:

но именно там выполняют лечения а не тут. »

Вот спасибо что подсказал где лечат битые фото. Поговорить хочется?

totaleclypse@vk, посмотреть небыло времени, но как и обещал, поковыряю.
Не совсем понятно, вы их уже пытались восстанавливать или это "оригинал" ?

План помещения до перепланировки

второй файл

Более пока не получается

[Rezor666]

Цитата yurfed:

Поговорить хочется? »

Хочется

[totaleclypse@vk]

Sphinx114, спасибо Вам за проделанный анализ. Я вот тоже ковыряю, но толку пока маловато. Тем более, я не программер, а сисадмин.
Комп не мой, а юзверя, она открыла (с её слов) какое-то письмо, прошла по ссылке и запустила файл...
Вообщем, буду признателен за любую помощь.

[Rezor666]

[WindowsNT]

Цитата totaleclypse@vk:

Вообщем, буду признателен за любую помощь. »

Было бы неплохо на будущее озаботиться двумя вопросами:

1. Резервное копирование.
Все люди делятся на две категории: те, кто ЕЩЁ НЕ делает бэкапы и те, кто УЖЕ делает.

2. Application Whitelisting.
Системные администраторы должны знать, что от подобного рода угроз антивирусны защитить не могут, но блестяще справляется Software Restriction Policies. Ищите информацию, пробуйте делать.

[totaleclypse@vk]

Цитата WindowsNT:

Было бы неплохо на будущее озаботиться двумя вопросами: 1. Резервное копирование. Все люди делятся на две категории: те, кто ЕЩЁ НЕ делает бэкапы и те, кто УЖЕ делает. 2. Application Whitelisting. Системные администраторы должны знать, что от подобного рода угроз антивирусны защитить не могут, но блестяще справляется Software Restriction Policies. Ищите информацию, пробуйте делать. »

Проблема не у меня на компе. Проблема у бухгалтерши. Она и я разные люди. Она бухгалтер, а не сисадмин, и всё делает в последнюю очередь.