Вирусы
Ночью поймала вирус. Внезапно стали открываться непонятные адресные книги и предложение сделать её для чего-то по умолчанию. Я пыталась закрывать, но не помогало. Врубила диспетчер задач, попыталась удалить все непонятные процессы. Затем быстро полезла в папку windows, удалять подозрительные (в основном по времени создания) файлы. Ну и везде, где они в принципе могли появиться. Что-то успела удалить и тут на весь экран выскочила заставка где было сказано, что мол у меня нелицензионная копия windows и для получения кода активации надо послать sms с текстом примерно таким #win1t5081 (точные цифры не помню, но конструкция аналогичная) на номер 6008. Заставку убрать ничего не помогло. Перезагрузилась - та же фигня. Перепугалась. Знаю, что никаких sms windows просить не может и не знаю как убрать, а время уже полночь практически. Вышла в аську с телефона, написала Спектру. Он начал искать, что делать, одновременно мы с мамой (папа спал уже) стали искать на компе у родителей. Где-то между делом я умудрилась снять заставку попытками включить корзину, нажать ctrl+alt+del и выключить ноут. Восстановила лишние удалённые файлы, удалила ещё несколько подозрительных. В их числе c.exe и del.bat в корне на диске С. Также мной ещё до того как выскочила заставка был удалён файл calc.ifo в system32. И при загрузке компа выскакивало окошко с информацией - заголовок RUNDLL и текст -"Ошибка при загрузке calc.ifo. Не найден указанный модуль." После удаления файлов и перезагрузки заставка появилась снова и убрать её снова не получалось. Но зато получалось зайти в систему в безопасном режиме. Кое-что удалила из него. Тут примерно одновременно я и Спектр нашли в интернете код разблокировки, который помог снять заставку - 5748839. При перезагрузке заставка больше не вылезала, но оставались ещё неудалённые файлы и проблема с calc.ifo. Файлы я поудаляла. QIP оказался побит - пришлось переустановить. Почистила файл hosts - там были лишние строки. Дальше следуя советам Спектра скачала пару программ и проверила ими. Потом попробовала восстановить calc.ifo и del.bat. Ничего не изменилось. Тут Спектр сказал, что эти оба файла - вирусы. del.bat удалилось без проблем. Одна из прог обнаруживала calc.ifo как вирус, но теперь удалить не получалось. Устав дожидаться пока NOD32 просканирует компьютер я ушла спать. С утра попытаась удалить calc.ifo через безопасный режим. Не вышло. Установила AVZ 4.30, проверила им, ничего не нашёл. Полезла в интернет, нашла скрипт для AVZ для удаления calc.ifo
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\All Users\Application Data\nnxlib.dll','');
QuarantineFile('digeste.dll','');
QuarantineFile('C:\WINDOWS\system32\servises.exe','');
QuarantineFile('C:\DOCUME~1\LOCALS~1\protect.dll','');
QuarantineFile('C:\Documents and Settings\lokki\Рабочий стол\Новая папка (2)\giveio.sys','');
QuarantineFile('C:\WINDOWS\system32\calc.ifo','');
DeleteFile('C:\WINDOWS\system32\calc.ifo');
DeleteFile('C:\Documents and Settings\lokki\Рабочий стол\Новая папка (2)\giveio.sys');
DeleteFile('C:\DOCUME~1\LOCALS~1\protect.dll');
DeleteFile('C:\WINDOWS\system32\servises.exe');
DeleteFile('digeste.dll');
DeleteFile('C:\Documents and Settings\All Users\Application Data\nnxlib.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
RebootWindows(true);
end.
Комп перезагрузился, файл исчез, снова появилось окошко RUNDLL.
Запустила другой, тоже найденный в интернете скрипт.
begin
ExecuteRepair(16);
BC_DeleteSvc('ws2_32sik');
BC_DeleteSvc('systemntmi');
BC_DeleteSvc('securentm');
BC_DeleteSvc('port135sik');
BC_DeleteSvc('nicsk32');
BC_DeleteSvc('netsik');
BC_DeleteSvc('ksi32sk');
BC_DeleteSvc('i386si');
BC_DeleteSvc('fips32cup');
BC_DeleteSvc('ati64si');
BC_DeleteSvc('amd64si');
BC_DeleteSvc('acpi32');
BC_Activate;
RebootWindows(true);
end.
Ноут опять перезагрузился. Больше никаких заставок и непонятных сообщений не выскакивает. Ноут удалось спасти, не прося папу о помощи. Ура!
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\All Users\Application Data\nnxlib.dll','');
QuarantineFile('digeste.dll','');
QuarantineFile('C:\WINDOWS\system32\servises.exe','');
QuarantineFile('C:\DOCUME~1\LOCALS~1\protect.dll','');
QuarantineFile('C:\Documents and Settings\lokki\Рабочий стол\Новая папка (2)\giveio.sys','');
QuarantineFile('C:\WINDOWS\system32\calc.ifo','');
DeleteFile('C:\WINDOWS\system32\calc.ifo');
DeleteFile('C:\Documents and Settings\lokki\Рабочий стол\Новая папка (2)\giveio.sys');
DeleteFile('C:\DOCUME~1\LOCALS~1\protect.dll');
DeleteFile('C:\WINDOWS\system32\servises.exe');
DeleteFile('digeste.dll');
DeleteFile('C:\Documents and Settings\All Users\Application Data\nnxlib.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
RebootWindows(true);
end.
Комп перезагрузился, файл исчез, снова появилось окошко RUNDLL.
Запустила другой, тоже найденный в интернете скрипт.
begin
ExecuteRepair(16);
BC_DeleteSvc('ws2_32sik');
BC_DeleteSvc('systemntmi');
BC_DeleteSvc('securentm');
BC_DeleteSvc('port135sik');
BC_DeleteSvc('nicsk32');
BC_DeleteSvc('netsik');
BC_DeleteSvc('ksi32sk');
BC_DeleteSvc('i386si');
BC_DeleteSvc('fips32cup');
BC_DeleteSvc('ati64si');
BC_DeleteSvc('amd64si');
BC_DeleteSvc('acpi32');
BC_Activate;
RebootWindows(true);
end.
Ноут опять перезагрузился. Больше никаких заставок и непонятных сообщений не выскакивает. Ноут удалось спасти, не прося папу о помощи. Ура!