Проблем с фалшив windows recovery

[Triti]

Здравейте!

 

От вчера имам проблем с машината си и нямам никаква идея на какво се дължи.

Както си четях кротко някакви статии, ми излезе съобщение:

"System Error

An error occurred while reading system files. Run a system diagnostic utility to check your hard disk drive for errors."

И възможност само да се съгласиш с посланието.

След което ми се отвори цял инструментариум, който за първи път виждам и любезно предложи да провери какъв е проблема по харддиска ми.

Сканира нещо, по някое време ми поиска пари, за да оправи проблема и вече сериозно се усъмних.

Общо взето целият казус е описан тук:

 

http://www.bleepingcomputer.com/virus-removal/remove-windows-recovery

 

С нужните картинки.

Приложих всичко, което е описано, но приложенията ми в старт бутона са празни, празни като застрелян леген.

Освен това голямата ми мъка е, че след възстановяването на десктопа ми, любимият ми куик ланч бар, където бях набутала същински важни за мен приложения, го няма!

Всичко е изтрито!

А на всичкото отгоре, след като пуснах мониторинг на процесите по машината ми, нещо се опитва да се свърже с някакви IP-та.

Не е броузер, защото и при терминиран броузер, процесът продължава, на всяка минута кръгло. Но идея си нямам какво може да е.

Адресите, към които напъва да се свърже, са няколко и са следните: 85.234.163.80, 64.120.141.163, 89.28.108.193, 194.143.137.215, през порт 1154.

 

Моля, ако някой е имал подобен или същия проблем, да даде съвет мога ли да спася нещата без преинсталация на ОС.

Благодаря предварително.

[tedy]

Най-вероятно ползваш Windows XP?

Пипнала си нещо, сигурно през браузъра/скайп/нещо_такова. Запиши на CD някое лайв ЦД с включена антивирусна и сканирай offline като буутнеш от него и ъпдейтнеш АВ-то преди скана.

Примерно Хирен Боот ЦД, или имаше едно WinPE. Като цяло лекуването е най-добре да става от друга (и чиста) OS. Виж в explorer дали липсват само шорткътите (в куик лаунча) или и програмите липсват от program files.

[Triti]

Мерси за идеята, ще опитам.

А гадината още я имам, въпреки, че антивирусната ме уверява как нямам нищо. Тъй като си заварих броузерите със сетнато прокси!

Проблемът с куик ланча е че липсват шорткътите, изтрито е съдържанието в директорията просто. Но имам и директории, които са хайднати по много особен начин. Примерно в контролния панел - административните тулсове липсват. Допускам, че съществуват под някаква форма, но не мога да ги видя. Уверих се от фоудер опшъните, че не съм сетнала нищо да се хейдва.

Изобщо е мазало, а не съм готова да преинсталирам ОС...

Имате ли идея как да си търся административните тулсове?

[djadomraz]

Няколко въпроса : имаш ли важни пароли - примерно такива за електронно банкиране, ebay, paypal, amazon и подобни? Ако да - моментално намери чист компютър и ги смени. НЕ ТОЗИ КОМПЮТЪР - на този компютър повече такива пароли не въвеждай. Смени си и паролите за електронната поща също.

 

Следващото нещо тъй като очевидно имаш троянец - направи си архив на ДАННИТЕ (не програми, данни!). Запази си всички снимки, документи и прочее които ти трябват на DVD-та. Добре е да провериш поне едно от тях че има наличната информация вътре на друга машина.

 

И след това може да преинсталираш. Чистенето обикновено е леко съмнителен процес защото това което чистиш в момента и което забелязваш е само част от проблема. Имаш още такъв софтуер който не го знаеш какъв е нито пък е ясно дали антивирусна ще го хване. Правилно е както ти каза теди с някакво boot-ващо CD да стартираш система и оттам да провериш с няколко антивирусни. Но пак нямаш 100% гаранция.

 

А това което е станало - вероятно те е направило обикновен юсър на компютъра ти - т.е. махнало ти е административните права като е направило друг юзър с административни права.

 

Най-лесното което може да пробваш е да се усетиш кога се е качил въпросния троянец и да възстановиш системата към датата преди той да се качи. Но след като е толкова умен по всяка вероятност ти е изтрил и точките на възстановяване.

 

Т.е. с други думи готова или не - трябва да преинсталираш.

 

ПС: Случайно да си цъкала по фейсбук на линкове "баща хвана дъщеря си по време на ...тра..ла..ла..." и подобни като клипчето ужким показва 10 секунди нещо и после ужким крашва и те кара да свалиш някакъв кодек?

[w00x]

С нужните картинки.

Приложих всичко, което е описано, но приложенията ми в старт бутона са празни, празни като застрелян леген.

Освен това голямата ми мъка е, че след възстановяването на десктопа ми, любимият ми куик ланч бар, където бях набутала същински важни за мен приложения, го няма!

Всичко е изтрито!

А на всичкото отгоре, след като пуснах мониторинг на процесите по машината ми, нещо се опитва да се свърже с някакви IP-та.

Не е броузер, защото и при терминиран броузер, процесът продължава, на всяка минута кръгло. Но идея си нямам какво може да е.

Адресите, към които напъва да се свърже, са няколко и са следните: 85.234.163.80, 64.120.141.163, 89.28.108.193, 194.143.137.215, през порт 1154.

 

Моля, ако някой е имал подобен или същия проблем, да даде съвет мога ли да спася нещата без преинсталация на ОС.

Благодаря предварително.

 

За съжаление Windows Recovery трие Shortcut-ите от Start Menu-то безвъзвратно. Няма как да ги върнеш. Може да си направиш нов потребител, но е малко съмнително, че и там ще имаш повече. Със сигурност ще имаш тези към системните папки и програмки обаче.

 

Анти-вирусната няма да хване особенно много неща, защото това не е вирус. Свали си Malwarebytes и пробвай с нея. Тя трябва да изчисти всичко или ако не всичко - то поне най-важното.

 

Може да го изчистиш на ръка, но ще ти отнеме повече време, отколкото да преинсталираш компютъра. Редовно чиста компютри с Windows Recovery. Поне веднъж дневно.

[Triti]

Готова или не се оказах с нова ОС. Позагубих доста важни неща, с най-сериозни последствия за мен са разни бланки за барбитурати, които изобщо не можах да видя, дори рез cmd-то.

Искам да напиша няколко неща за тази гадина, ако някой някога се озове в същата ситуация.

Изглежда троянеца е нов, как си е пробил път към машината ми, нямам обяснение. Наистина съм уставен потребител, който не ползва фейсбуци и подобни социални мрежи; скайпове и кю-та ми минават през един криптиран контейнер, който не пуща нищо да се прокрадне навън. Така че за мен е пълна мистерия това как се е озовало на моята машина.

Относно паролите, djadomraz, споко, аз съм параноична достатъчно и съм взела мерки една парола да не е достатъчна, за банкови и парични операции.

 

Този троянец обаче е много хитър, защото веднага след като го детектне антивирусната или въпросното Malwarebytes, той се мести, при това се размножава. За 24 часа такива поразии направи, че се принудих да си спра рутера, за да го огранича в изпращането на данни. То се свързваше с въпросните IP-та горе и започваше луд трансфер, предимно изходящ. Malwarebytes пише, че го ограничава, но не го прави на практика, или хваща само някои от пакетите, незначителна част. Реално не ти забранява достъп до таск мениджъра, но и последният не показва реално случващите се процеси. През цялото време имах усещането, че се намирам на представление на фокусник. Познатите панели на таск мениджъра и римоув програмс имат други бутони, като функция и като вид. Все едно сте на чужда машина.

 

Не можах да го изчистя и с външна чиста машина. Пробвах с Майкрософт Секюрити есеншълс и Нортън, намират прогресивен брой троянци. Всяко следващо сканиране - двойно повече. Един от които ми направи впечатление, че се казва safe browsing google. :Д

 

Ами това е.

 

Благодаря за съветите и помощта.

 

п.с. Научих се да псувам прекрасно.

[tedy]

Наистина помисли от къде може да е влязал, защото ми стана интересно, предвид че споменаваш, че си уставен потребител - и аз съм такъв и строго гледам на това какво инсталирам и как ползвам.

Макар че близките 7-8г. (последно 2003-та Бластер) не съм ставал свидетел на зарази при мен.

Нещо си инсталирала или направила по някое време или изтървала за да стане белята - я някой крак, или недопизпипано правило в firewall, или ако рядко ъпдейтваш, някой да се е шмугнал през мрежата някоя дупка.

[dvdrw]

Не разбрах само, защо ми е изтрит пост-а?

[Midex]

Аз го изтрих...и не само твоя, а и поста на дядо Мраз, както и поста на Вокс-а. При желание мога да ги върна обратно, но и трите поста нямаха пряко отношение към проблема на Triti.

[djadomraz]

Готова или не се оказах с нова ОС. Позагубих доста важни неща, с най-сериозни последствия за мен са разни бланки за барбитурати, които изобщо не можах да видя, дори рез cmd-то.

 

Това благодарение на троянеца или заради инсталирането на новата ОС?

[Triti]

Защото голяма част от директориите на c бяха невидими за мен под никаква форма. Включително работните ми директории. Всъщност първо тях спрях да виждам.

[djadomraz]

Това е изключително интересно. Или ги е скрил или преместил или в най-лошия случай ги е изтрил. Последното не вярвам да е, много по-вероятно е да е някое от предните 2 за да могат да оправдаят взетите от теб пари.

[w00x]

Това е изключително интересно. Или ги е скрил или преместил или в най-лошия случай ги е изтрил. Последното не вярвам да е, много по-вероятно е да е някое от предните 2 за да могат да оправдаят взетите от теб пари.

 

Скрити са.

[simens123]

Първи пост

Общо взето целият казус е описан тук:

 

http://www.bleepingc...indows-recovery

 

С нужните картинки.

Приложих всичко, което е описано, но приложенията ми в старт бутона са празни, празни като застрелян леген.

 

Казуса

 

Не можах да го изчистя и с външна чиста машина. Пробвах с Майкрософт Секюрити есеншълс и Нортън, намират прогресивен брой троянци.

Интересно каква антивирусна ползваш? и каква Anti-Malware програма.Преди заразата.

Ако Malwarebytes 'Anti-Malware не се е справила !!! се използва Dr.Web CureIt или Dr.Web® LiveCD или Kaspersky Rescue Disk

 

Ето и още : ТУК

[Triti]

simens123, преди да ми се лепне това, имах Нортън Антивирус, не помня каква точно беше, но легална. Anti-Malware програма нямах, нямам и до момента. Сигурна съм, че в антивирусната ми е разполагала с възможност да привентва подобни вредители, също съм и сигурна, че не се е справила с това да не го допусне изобщо.

Относно двата линка, които си дал/а, опитах това, което е посочено във втория. Не се получи. Също както на повечето коментари под ръководството.

[Antares]

Няма 100% надеждна антивирусна. Просто няма. Казвам ти го от горчив личен опит. Създателите на вируси са винаги с една крачка напред. Доколкото разбирам, системата ти е доволно омазана. Пробвай да зачистиш с Malware Bytes, но по-добрия вариант е да преинсталираш. Този вирус го бяха хванали шушумигите на предишната ми работа {що ли никой не обърна внимание, че прозореца, който изскача е на Internet Explorer (browser)} и последствията никак не са приятни.

 

Най-добре - преинсталация.

[djadomraz]

Няма 100% надеждна антивирусна. Просто няма. Казвам ти го от горчив личен опит. Създателите на вируси са винаги с една крачка напред.

 

Тръгнах вчера да го пиша, но се отказах да философствам излишно, пък и това го знаят всички...

 

Доколкото разбирам, системата ти е доволно омазана. Пробвай да зачистиш с Malware Bytes, но по-добрия вариант е да преинсталираш.

...

 

Най-добре - преинсталация.

 

Това се случи на Triti преди 2 седмици да не е и повече... Отдавна си реши проблема...

 

 

Този вирус го бяха хванали шушумигите на предишната ми работа {що ли никой не обърна внимание, че прозореца, който изскача е на Internet Explorer (browser)} и последствията никак не са приятни.

 

А после какво стана?

[Antares]

Да бе, що да чета, след като чукча е писател...

А после какво стана?

Пешо търчи и преинталира...

 

Windows sux!