Dcbc2a71 70d8 4dan ehr8 e0d61dea3fdf что это за файл
Обновлено: 21.11.2024
Привет всем,
Как указано в моей теме, я недавно подвергся довольно серьезной атаке вредоносного ПО на мой ноутбук. К сожалению, моя неопытность в таких вопросах мешает мне диагностировать причину, серьезность и решение моей проблемы. Следовательно, здесь я ищу некоторые рекомендации.
Система:
Dell Vostro 1510 под управлением Windows Vista и McKafee Antivirus/Firewall. Я также ранее устанавливал в этой системе MalwareBit, RKill и TDSS Killer. Они присутствуют.
Что произошло:
При подключении к Интернету Windows запросила разрешение администратора на запуск приложения «проводник». Я закрыл это окно, которое тут же снова появилось. Я продолжал закрывать его, когда он снова появлялся вместе с окнами браузера, пытаясь определить и остановить процесс, ответственный за запрос администратора. Я полагаю, что видел на заднем плане окно подделки «Исправить Windows». Когда я продолжал закрывать окно запроса администратора, я случайно нажал «да». позволяя продолжить. В панике я отключил питание машины, надеясь остановить процесс до того, как он нанесет слишком серьезный ущерб.
Затем я попытался перезагрузиться в безопасном режиме с подключением к сети, думая, что смогу запустить программное обеспечение для удаления вредоносных программ. Компьютер перезагружался, но в окне входа курсор/клавиатура зависали. Я отключил питание и попытался перезагрузить и восстановить Windows до предыдущей даты. Теперь я понимаю, что это, вероятно, была ошибка, и система не восстановилась должным образом. Я также пытался использовать различные инструменты диагностики/исправления, к которым можно получить доступ по F12 при запуске, хотя они мало что дали.
Текущая ситуация:
1) Когда я пытаюсь запустить Windows в безопасном режиме или иным образом, она загружает драйверы, затем останавливается на черном экране с зависшими курсором и клавиатурой. Конец игры.
2) Я могу войти в настройки BIOS через F2 при включении питания, и клавиатура работает. Здесь я заметил на вкладке «Дополнительно», что экран диагностики во время загрузки, поддержка пробуждения через USB, щелчок клавиатуры и пробуждение по локальной сети отключены (это нормально? возможно, не имеет значения)
3) Я могу войти в меню загрузки через F12 и клавиатура работает. Здесь я замечаю, что варианты: 1) Жесткий диск 3) Дисковод CD-ROM 4) Съемные устройства 5) Сеть 6) Диагностика. Не существует «варианта 2» (нормального?). Я могу запустить диагностику, но не знаю, как получить доступ к этим результатам или осмысленно интерпретировать их.
4) Я могу войти в «Дополнительные параметры загрузки» через F8 и получить доступ к «Восстановлению компьютера». Если я пойду по этому пути и вызову командную строку, приглашение будет x:\Windows\system32> Отсюда я могу выполнять обычные команды DOS, включая «DIR C:», в котором перечислены ожидаемые файлы и папки на c-диске. Я также могу «видеть» ожидаемые файлы и папки в каталогах C:. Я ожидаю, что это хорошо, поскольку диск и данные хотя бы частично не повреждены.
Итак, мой вопрос: "Что делать дальше?" Я подозреваю, что мне нужно будет запустить какое-то программное обеспечение для восстановления из-за пределов Windows (например, через приглашение DOS), но я понятия не имею, как это сделать. Кроме того, я хотел бы сначала скопировать или как-то спасти некоторые ключевые данные, если они могут быть потеряны в процессе восстановления. Мы будем очень признательны за помощь в одном или обоих этих процессах. Мои неуправляемые поиски советов в Интернете были немного ошеломляющими, и я боюсь идти по пути, который может принести больше вреда, чем пользы. Пожалуйста, направьте меня в правильном направлении!
Отредактировано hamluis, 30 ноября 2011 г., 19:07.
Перенесено из Vista в Am I Infected.
BC AdBot (войдите для удаления)
Прочитайте эти предложения.
Давайте попробуем. Вам потребуется флэш-накопитель USB.
Для систем x32 (x86) загрузите Farbar Recovery Scan Tool и сохраните его на флэш-накопитель.
Для 64-разрядных систем загрузите Farbar Recovery Scan Tool x64 и сохраните его на флэш-накопитель.
Подключите флешку к зараженному компьютеру.
Введите параметры восстановления системы.
- Перезагрузите компьютер.
- После загрузки BIOS нажимайте клавишу F8, пока не появятся дополнительные параметры загрузки.
- Нажмите пункт меню "Восстановить компьютер".
- Выберите США в качестве настроек языка клавиатуры, а затем нажмите "Далее".
- Выберите операционную систему, которую хотите восстановить, и нажмите "Далее".
- Выберите свою учетную запись пользователя и нажмите "Далее".
Восстановление при загрузке
Восстановление системы
Полное восстановление ПК с Windows
Средство диагностики памяти Windows
Командная строка
- Выберите командную строку
- В командном окне введите блокнот и нажмите Enter.
- Откроется блокнот. В меню "Файл" выберите "Открыть".
- Выберите «Компьютер», найдите букву флешки и закройте блокнот.
- В командном окне введите e :\frst.exe (для x64-разрядной версии введите e :\frst64) и нажмите Enter
Примечание. Замените букву e на букву вашего флеш-накопителя. - Инструмент начнет работать.
- Когда инструмент откроется, нажмите "Да", чтобы отказаться от ответственности.
- Нажмите кнопку "Сканировать".
- Он создаст журнал (FRST.txt) на флэш-накопителе. Скопируйте и вставьте его в свой ответ.
Ни один запрос о помощи через личные сообщения не будет присутствовать.
Совет, которому всегда следует следовать на будущее, заключается в том, что если вы когда-нибудь снова увидите подобное подозрительное окно, которое либо запрашивает запуск прав администратора, либо пытается притвориться, что сканирует вредоносное ПО (всплывающее окно на веб-странице, которое появляется если вы не сообщаете об этом и не сообщаете, что вы заражены, всегда ложно), никогда не стоит отключать питание самого компьютера. Вместо этого убей браузер. Это предотвратит безопасный запуск того, что пыталось запустить, и вам больше никогда не придется иметь дело с такими вещами.
Сеть AccessCop — это только я и моя команда.
Некоторые называют меня королевой Кембриджа
Результат сканирования Farbars's Recovery Tool (FRST, написанный farbar) версии 2.3.0
Выполнено SYSTEM 01.12.2011, 14:50:54.
Выполняется из E:\
Windows Vista ™ Home Basic с пакетом обновления 1 (X86) Язык ОС: английский (США)
Текущий набор элементов управления: ControlSet001
============ Файлы и папки, созданные за один месяц ================
2011-12-01 14:50 - 2011-12-01 14:50 - 0000000 ____D C:\FRST
2011-11-28 18:57 - 2011-11-28 18:57 - 0000000 __SHD C:\found.001
2011-11-28 17:08 - 2011-11-28 17:08 - 0000000 __SHD C:\found.000
2011-11-28 11:45 - 2011-11-28 11:51 - 0005994 __ASH C:\Users\Marc\Local Settings\Application Data\5n80nt8p31r817
2011-11-28 11:45 - 2011-11-28 11:51 - 0005994 __ASH C :\Users\Marc\Local Settings\5n80nt8p31r817
2011-11-28 11:45 - 2011-11-28 11:51 - 0005994 __ASH C:\Users\Marc\AppData\Local\5n80nt8p31r817
2011-11-28 11:45 - 2011-11-28 11:51 - 0005994 __ASH C:\Users\All Users\Application Data\5n80nt8p31r817
2011-11-28 11:45 - 2011-11-28 11:51 - 0005994 __ASH C:\Users\All Users\5n80nt8p31r817
2011-11-28 11:45 - 2011-11-28 11:51 - 0005994 __ASH C:\ProgramData\5n80nt8p31r817
2011 -11-28 10:47 - 2011-11-28 11:15 - 197747977 ____A C:\Users\Marc\Desktop\1.mov
2011-11-27 10:40 - 2011-11-27 10 :40 - 0030729 ____A C:\Users\Marc\Desktop\tdsskiller.htm < br />2011-11-25 21:35 - 2011-11-26 22:14 - 0000000 ____D C:\Users\Marc\Desktop\Fred 80
2011-11-25 21:20 - 2011-11 -23 12:44 - 0000314 ____A C:\Windows\Tasks\HP WEP.job
2011-11-23 23:16 - 2011-11-23 23:16 - 0001015 ____A C:\Users\WORK\ Desktop\Old River Honey Bus Reg..txt
2011-11-23 23:07 - 2011-11-23 23:07 - 0000000 ____A C:\Users\WORK\Desktop\New Text Document.txt
2011-11-23 13:51 - 2011-11-23 13:09 - 3498388 ____A C:\Users\WORK\Desktop\Waples et al 2004.pdf
2011-11-23 13:51 - 2011-11-23 13:09 - 1008885 ____A C:\Users\WORK\Desktop\Seeb et al 2007.pdf
2011-11-23 13:51 - 2011-11-23 13:09 - 0575628 ____A C:\Users\WORK\Desktop\Claiborne et al 2011.pdf
2011-11-23 13:51 - 2011-11-23 13:09 - 0479847 ____A C:\Users\WORK\Desktop\Jepson et др. 2011.pdf
2011-11-23 13:51 - 2011-11-23 13:09 - 0394981 ____A C:\Users\WORK\Desktop\Anderson et al 2008.pdf
2011-11- 23 13:09 - 23.11.2011 13:09 - 5451977 ____A C:\Users\WORK\Desktop\pdf.zip
22.11.2011 15:16 - 22.11.2011 15:25 - 0014272 ____A C:\Users\WORK\Desktop\Turkey recipe.docx
2011-11-21 22:16 - 2011-11-23 11:48 - 0125074 ____A C:\Users\WORK\Desktop\Siletz_steelhead. jpg
20.11.2011 19:25 - 20.11.2011 19:25 - 0000000 ____D C:\Users\Marc\Local Settings\Real
20.11.2011 19:25 - 2011 -11-20 19:25 - 0000000 ____D C:\Users\Marc\Local Settings\Application Data\Real
2011-11-20 19:25 - 2011-11-20 19:25 - 0000000 ____D C: \Users\Marc\AppData\Local\Real
2011-11-20 19:24 - 2011-11-20 19:24 - 0198832 ____A (RealNetworks, Inc.) C:\Windows\System32\rmoc3260.dll
2011-11-20 19:24 - 2011-11-20 19:24 - 0000000 ____D C:\Program Files\Common Files\xing shared
2011-11-20 19:23 - 2011- 11-20 19:23 - 0272896 ____A (прогрессивные сети) C:\Windows\Sys tem32\pncrt.dll
2011-11-20 19:23 - 2011-11-20 19:23 - 0006656 ____A (RealNetworks, Inc.) C:\Windows\System32\pndx5016.dll
2011 -11-20 19:23 - 2011-11-20 19:23 - 0005632 ____A (RealNetworks, Inc.) C:\Windows\System32\pndx5032.dll
2011-11-17 19:33 - 2011- 11-17 23:29 - 0009837 ____A C:\Users\WORK\Desktop\111711 CHERRY PICKS.xlsx
2011-11-13 19:21 - 2011-11-13 19:24 - 16519152 ____A C:\ Users\Marc\Downloads\Mt.Emily.zip
2011-11-13 10:29 - 2011-11-13 18:05 - 0102912 ____A C:\Users\Marc\Desktop\babygrow1.MSWMM
2011-11-13 09:59 - 2011-11-25 21:35 - 0000000 ____D C:\Users\Marc\Desktop\temp сторона
2011-11-13 09:58 - 2011 -11-13 09:58 - 0000000 ____D C:\Users\Marc\Desktop\нормализовать экспозицию
2011-11-09 13:26 - 2011-11-09 13:27 - 1730380 ____A C:\Users\ Marc\Desktop\elkefotos.rar
2011-11-09 13:26 - 2011-11-09 13:26 - 0000000 ____D C:\Users\Marc\Desktop\elkefotos
2011-11-09 12:55 - 2011-11-09 13:26 - 0000000 ____D C:\Users\Marc\Desktop\110911 другие фотографии
2011-11-09 12:33 - 2011-11-09 12:33 - 0905317 ____A C:\Users\Marc\Desktop\entry_wound.jpg
2011-11-09 12:26 - 2011-11-09 12:26 - 1276335 ____A C:\Users\Marc\Desktop\IMG_1479.JPG < br />2011-11-09 12:25 - 2011-11-09 12:42 - 0000000 ____D C:\Users\Marc\Desktop\теплицы фото
2011-11-09 12:08 - 2011-11 -09 12:08 - 0030720 ____A C:\Users\Marc\Downloads\sw_functionalcoord.xls
2011-11-09 10:20 - 2011-11-09 10:21 - 0000000 ____D C:\Users\WORK \Мои старые данные
2011-11-09 10:15 - 2011-09-20 13:02 - 09 05088 ____A (Корпорация Microsoft) C:\Windows\System32\Drivers\tcpip.sys
2011-11-03 20:15 - 2011-11-03 20:15 - 0002864 ____A C:\Users\Marc\CenturyLink _ Высокоскоростной Интернет, служба домашнего телефона и многое другое.htm
2011-11-03 20:15 - 2011-11-03 20:15 - 0000000 ____D C:\Users\Marc\CenturyLink _ Высокоскоростной Интернет, домашний Телефонная служба и дополнительные_файлы
2011-11-03 11:48 - 2005-05-09 21:55 - 34355712 ____A C:\Users\WORK\Desktop\Presentation1.ppt
2011-11-02 14 :58 - 2011-11-22 20:00 - 0000000 ____D C:\Users\WORK\Desktop\UWR BASINWIDE POPGEN DATA
============ 3 месяца измененных файлов и папок ===============
C:\Windows\explorer.exe
[2010-03-12 23:02] - [2009-04-10 22:27] - 2926592 ____A (Microsoft Corporation)
C:\Windows\System32\winlogon.exe => MD5 является допустимым
C:\Windows\System32\wininit.exe => MD5 является допустимым
C:\Windows\System32\Drivers\volsnap.sys => MD5 является допустимым
Процент используемой памяти: 9%
Общий объем физической памяти: 3061,69 МБ
Доступный объем физической памяти: 2757,4 МБ
Всего файл подкачки: 2962,32 МБ
Доступный файл подкачки: 2829,16 МБ < br />Всего виртуально: 2047,88 МБ
Доступно виртуально: 1974,32 МБ
1 Диск c: (ОС) (Фиксированный) (Всего: 223,08 ГБ) (Свободно: 119,97 ГБ) NTFS ==>[Система = загрузочные компоненты]
2 Диск d: (111211_2124) (CDROM) ( Всего: 0,2 ГБ) (Свободно: 0 ГБ) CDFS
3 Диск e: () (Съемный) (Всего: 7,52 ГБ) (Свободно: 7,52 ГБ) FAT32
4 Диск x: (ВОССТАНОВЛЕНИЕ) ( Фиксированная) (Всего: 9,77 ГБ) (Свободно: 5,6 ГБ) NTFS
Читайте также: