Доброго времени суток...
случилась такая история, была скачана прога с инета, вместе с краком , ну человечек и запустил крак, заблокировался диспечер задач, назначение клавиш на миши поменялось...исчезли папки (мои документы, рабочий стол) и все их содержимое, в моем компьютере не отображаются диски...
Диспечер задач восстановил при помощи АVZ, назначение клавиш изменил в панеле управления, но при перезагрузке клавиши опять меняются...
Подскажите как тут быть...и возможно ли восстановить потеряные данные...

Отключить антивирус/фаервол, интернет;

Выполните скрипт в AVZ. Меню Файл - Выполнить скрипт, вставляем написаный ниже скрипт - кнопка Запустить.

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DREAM\PIANO\xor.exe','');
QuarantineFile('C:\Zolander\Polanda\box.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM\Gigabyte.vbs','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\X1H50kv8.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\amsw6hqe.SYS','');
QuarantineFile('user32.exe','');
QuarantineFile('user.exe','');
QuarantineFile('mouse.exe','');
QuarantineFile('keyboard.exe','');
DeleteFile('keyboard.exe');
DeleteFile('mouse.exe');
DeleteFile('user32.exe');
DeleteFile('user.exe');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\X1H50kv8.sys');
DeleteFile('C:\WINDOWS\SYSTEM\Gigabyte.vbs');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован файл карантина quarantine.zip в папки с AVZ Вышлите полученный quarantine.zip на newvirus@kaspersky.com Результаты ответа, сообщите здесь, в теме.

Пофиксить в HijackThis (http://forum.kasperskyclub.ru/index.php?showtopic=7607) следующие строчки:

F2 - REG:system.ini: UserInit=\\.\globalroot\systemroot\system32\userinit.exe,


Скачайте (http://virusnet.info/soft/get4.zip) и запустите. Компьютер перезагрузится

Если в папке с утилитой появился файл drv.sys, запакуйте его и прикрепите к своему сообщению

Сделайте новые логи.

все выполнил...
Результат с newvirus@kaspersky.com
"Здравствуйте,


quarantine.zip

Вредоносный код в файле не обнаружен."

Новые логи прикрепляю...

что с проблемой ?

осталась...
в моем компьютере не отображаются диски, при попытке зайти в любую папку на рабочем столе, выдает что заблакировано, обратитесь к администратору сети...правда на мыши клавиши теперь не меняются...

и возможно ли восстановить данные, которые исчезли?

Отключить антивирус/фаервол, интернет;

Выполните скрипт в AVZ. Меню Файл - Выполнить скрипт, вставляем написанный ниже скрипт - кнопка Запустить.

begin
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(16);
ExecuteRepair(19);
RebootWindows(true);
end.

есть ли изменения ?

выполнил скрипт, теперь папки открываются, диски в моем компьютере отображаются...
как быть с потерянными данными?возможно ли их вернуть?

кстати из меню пуск\все программы тоже все ярлыки исчезли...

Wolf.bris, откройте отображение скрытых и системных файлов, может просто атрибуты изменились.

как быть с потерянными данными?возможно ли их вернуть? »
что были за данные что сейчас вместо них ?

в свойстве диска показывает пустое место

что были за данные что сейчас вместо них ? »
В место них пустое место...вроде как удалены:( фотографии, документы...

полностью папка "Мои документы" и все что было на рабочем столе

я так думаю теперь нужно программами для восстановления удаленных данных жесткий чесать?

я так думаю теперь нужно программами для восстановления удаленных данных жесткий чесать? »
скорее всего да, если всё так как вы говорите.

А можно узнать что за гадость была?

Email-Worm.VBS.Small.e (http://www.securelist.com/ru/viruses/encyclopedia?virusid=74265)

т.к. эти файлы на системном диске то вероятность их восстановления очень мала

спасибо за помощь:) дальше будем елозить жесткий:) главное от заразы избавился:)
а возможно ли восстановить ярлыки из пуска?

а возможно ли восстановить ярлыки из пуска? »
насчет этого не знаю такого не делал но думаю что нет.

Отметьте тему решенной в настройках темы (http://forum.oszone.net/faq.php?faq=vb_board_usage#faq_solved_thread_faq)


>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
что из этого нужно ?

это лучше сделайте после восстановление файлов.

обновите Java (http://java.com/ru/), Flash player (http://get.adobe.com/flashplayer/).

Очистить и создать новую контрольную точку восстановления:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить.
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска.

Рекомендую для уменьшения риска заражения:
- Не работать за компьютером с правами администратора.
- Не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (Рекомендую использовать Firefox (http://ru.www.mozilla.com/ru/) c плагином NoScript (https://addons.mozilla.org/ru/firefox/addon/722)).
- Регулярно устанавливать обновления windows и обновлять антивирусные базы.

>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику »
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) »
Думаю это ничего не нужно...

Выполните скрипт в AVZ. Меню Файл - Выполнить скрипт, вставляем написанный ниже скрипт - кнопка Запустить.

begin
SetServiceStart('Schedule', 4);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
RebootWindows(true);
end.