NTUSER.dat + новый вирус. Как быть?

[KID999]

Здравствуйте, обращаюсь к знающим.

Описание ситуации. Словил интересный вирус. При перезапуске винды, происходит запуск вируса. Черный экран, белым текстом, меня информируют, что Винда заблокирована. Для разблокировки необходимо отправить смс на номер. Ниже таймер обратного отсчёта 3.00 минуты. На команды, комбинации клавиш и т.д. винда под вирусом отвечать отказалась. С резервной системы, касперским удалил тело вируса.
Были найдены следующие угрозы:

удалено: троянская программа Exploit.JS.Agent.afh
Файл: C:\Program Files\OperaAC\profile\cache4\opr04WJT.htm

удалено: троянская программа Exploit.Win32.Pidief.arh
Файл: C:\Program Files\OperaAC\profile\cache4\opr04WK4.pdf

удалено: троянская программа Backdoor.Win32.Agent.tzl
Файл: C:\WINDOWS\system32\AE3739232Du.dll

удалено: троянская программа Trojan-Downloader.Win32.Agent.brlc
Файл: C:\WINDOWS\system32\crypts.dll//PE_Patch.UPX//UPX

удалено: троянская программа Trojan.Win32.Agent.cbub
Файл: C:\WINDOWS\system32\reader_s.exe

удалено: вирус Virus.Win32.Protector.a
Файл: C:\WINDOWS\system32\dllcache\ndis.sys

удалено: вирус Virus.Win32.Protector.a
Файл: C:\WINDOWS\system32\drivers\ndis.sys

удалено: троянская программа Trojan.Win32.Inject.sph
Файл: C:\WINDOWS\Temp\wpv461239013964.exe


Последствия: После удаления вируса, из резервной системы, находящейся на диске E, было отказано в доступе к папке C:\Documents and Settings\Admin. Admin - название профиля системы, в которой произошло заражение. Ни FAR, ни Total Commander доступа к данной папке также не получили. Загрузил 1 родную систему, профиль Admin. Так вот из заражённой системы доступ к папке C:\Documents and Settings\Admin имеется. В ней мною было найдено несколько новых файлов. Два readier.exe (могу ошибаться в написании), и три файла с корнем в названии NTUSER и разными расштрениеями. Первые 2 файла удалил без проблем. NTUSER в доступе отказал.

Далее, создал второй профиль в зараженной системе. Но при перезагрузке, автоматом загрузился именно этот новый профиль, профиль Admin, как буд-то исчез. Из нового профиля к папке C:\Documents and Settings\Admin доступ также не был получен. Из безопасного режима, мною была предпринята ещё одна попытка удалить NTUSER при помощи программы unloker. Которая сообщила, что попытаеться удалить его при перезагрузке Винды. После перезагрузки в безопасном режиме, профиль Admin, после ввода пароля так и остался с сообщением о загрузке личных параметров, появление рабочего стола не произошло.

Проблема: Как вылечить систему? Так как на рабочем столе профиля Admin, находиться крайне необходимая и ценная информация. Надеюсь на вашу помощь и советы.

[Ким Чен Ир]

На позапрошлой неделе столкнулся с таким же, судя по описанию, вирусом. Та же активация вируса после презапуска, чёрный экран, номер для смс. Поскольку ничего важного у меня на диске С кроме мстс не было, сразу всё форматнул.

[Garikk]

В безопасности папки, назначте себя её владельцем, тогда восстановится возможность редактировать права доступа, ну и далее ...ставим себе полные права и вперёд

вирус тут не причём... это заморочки с безопасностью NTFS

[KID999]

Цитата:

Сообщение от Garikk

В безопасности папки, назначте себя её владельцем, тогда восстановится возможность редактировать права доступа, ну и далее ...ставим себе полные права и вперёд

вирус тут не причём... это заморочки с безопасностью NTFS

Извините меня, наверняка туплю сейчас. Но как в данной ситуации это сделать? Так как профиль Admin не доступен. А из другой Винды в свойствах папки присутсвуют только вкладки: Общие; Доступ; Настройка. Размер папки указан 0 байт.

[Garikk]

Цитата:

Сообщение от KID999

ИА из другой Винды в свойствах папки присутсвуют только вкладки: Общие; Доступ; Настройка. Размер папки указан 0 байт.

Значит в предыдущей папке, во вкладке безопасность поставте галочку замены разрешений во вложенных папках

диск через chkdsk проверялся?
WinXP Prof?
"Использовать простой общий доступ" отключено?

[mario713]

а зачем Вы нтузер.дат удалили-то? В файле Ntuser.dat хранятся пользовательские профили.
Garikk ну, в винде-то он владельцем чего-либо вряд ли станет А вот общий доступ попробовать поставить на папку можно.
Вирус Вы, скорее всего не убили. Попробуйте через АВЗ поискать файлы, которые были удалены каспером -если найдете снова - червяк еще сидит.
Насчет рабочего стола: диспетчер задач - новая задача - explorer.exe . Может сработает, а может и нет. Кстати, сервис пак какой?

[parovoZZ]

В "свойства папки" отключаете "Простой общий доступ". После этого (если система prof, а не HE) в свойствах нужной папки появится вкладка "Безопасность". Там можно рулить правами на данную папку.

[parovoZZ]

И вообще - ни в коем случае не храните документы на системном диске. Если что - format C.

А ещё лучше Linux)))

[Заслуженный летчик]

Это WinXP SP3 хрен знает какая сборка?

[Peterbilt]

Цитата:

Сообщение от Заслуженный летчик

Это WinXP SP3 хрен знает какая сборка?

Это к кому относится?

[Digger]

А у меня такая вот проблема.

Собственно, с некоторого времени у меня на компьютере наблюдается такое вот явление. Во время работы компьютера происходит какой-то процесс, после которого отрубается интернет. Точнее говоря, подключение есть, а вот ни страницы не открывает, ничего, т.е., инета нет. Локальная сеть работает открывает без проблем. Помогает перезагрузка компьютера. Но потом все повторяется через некоторое время. Сделал вот скрин:



Просканил НОДом и, на всякий пожарный, поставил Авиру и ей тоже просканил. Ну да, были червяки, удалил. Но проблема осталась. Форматнул полностью, ибо ничего особо ценного на ноуте не было. Поставил снова систему, но вот проблема осталась. Что это - понять никак не могу. Еще вот, при установке винды, вылетало сие:



С какой-то там попытки поставилось таки. Вот голову ломаю, что на компе глючит или это винда такая кривая? Если же следовать логике "синего экрана", что-то с оперативной памятью, тогда в чем же дело, если она нормально и без проблем в биосе отображается?

Система XP SP2

[Yolkin]

Цитата:

Сообщение от parovoZZ

И вообще - ни в коем случае не храните документы на системном диске.

И уж тем более на рабочем столе.

[mario713]

Цитата:

Сообщение от Digger

А у меня такая вот проблема.

Собственно, с некоторого времени у меня на компьютере наблюдается такое вот явление. Во время работы компьютера происходит какой-то процесс, после которого отрубается интернет. Точнее говоря, подключение есть, а вот ни страницы не открывает, ничего, т.е., инета нет. Локальная сеть работает открывает без проблем. Помогает перезагрузка компьютера. Но потом все повторяется через некоторое время.

Система XP SP2

Сделай скрин диспетчера. Поищи на компе файл sysdrv32.sys

[Digger]

Цитата:

Сообщение от mario713

Поищи на компе файл sysdrv32.sys

Просканил весь хард - нетути.

А скрин вот. До ошибки:



После нее(инфиум.ехе - это квип)




Повторяюсь, система - XP SP2, а не Виста. Просто такая система со встроенными темами оформления.

[mario713]

не то Выкл. все посторонние проги, вкл. инет эксплорер, в диспетчере поставь галку "отображать процессы всех пользователей" и потом скринь. Из того что есть вызывает сомнения keyhook.exe - это что? Файлы ищи через авз (http://www.z-oleg.com/secur/avz/ - качаешь, обновляешь базы, сканишь С на предмет всякой заразы, ищешь этот sysdrv32.sys, на всякий). Неплохо было бы жесткий проверить на наличие ошибок.