Перейти к содержанию
  • 0

Восстановление данных ,после вируса пенетратор


phenomen

Вопрос

Рекомендуемые сообщения

  • 0

Происхождение вируса и этимология названия Название вируса происходит от penetrate (англ.) – проникать внутрь, проходить сквозь, пронизывать; внедряться (куда-л.) со шпионскими целями. О происхождении вируса ходят разные легенды. Якобы, российский студент-программист, отвергнутый своей девушкой, решил таким образом отомстить ей, а заодно – и всему цифровому миру… Деструктивные действия вируса Все .jpg-файлы (.jpg, .jpeg) заменяются .jpg-изображениями (размером 69х15 пикселей; «весом» 3,1КБ) со стилизованной надписью Penetrator (черный шрифт на серовато-белом фоне). Файлы .bmp, .png, .tiff вирус «не трогает». Аудиофайлы (.mp3, .wma), видеофайлы (.avi, .mpeg, .wmv), файлы Word (.doc, .rtf), Excel (.xls) и PowerPoint (.ppt) уничтожаются (как правило, просто удаляются, реже их содержимое подменяется другим содержимым, например, у текстовых файлов – матами). То есть вирус портит всё самое дорогое, что есть у пользователя ПК! В отличие от широко распространенной легенды, у вируса нет «привязки» к конкретной дате (например, 1 января, 23 февраля или 8 марта), – он начинает свои деструктивные действия сразу после запуска исполняемого файла. Самая сильная волна эпидемии вируса прошлась по Дальнему Востоку, особенно пострадала Амурская область. Классификация вируса Антивирусы идентифицируют зловреда по-разному (как всегда!): например, Panda Antivirus называет его червем W32/Penetrator.A.worm; Антивирус Касперского считает его трояном Trojan-Downloader.Win32.VB… Как происходит заражение Средства распространения вируса – Интернет, flash-носители. Заражение, как правило, происходит во время запуска файла, замаскированного под заставку *.scr, реже вирус «косит» под файлы .mp3. При заражении во все открываемые папки (и на все подключаемые к зараженному ПК носители) копируется тело вируса в виде файлов имя_папки.scr или имя_папки.exe. Кроме этого, вирус создает следующие файлы:

• WINDOWSsystem32deter*lsass.exe (в отличие от настоящего lsass.exe, «проживающего» в папке WINDOWSsystem32);

• WINDOWSsystem32deter*smss.exe (в отличие от настоящего smss.exe, «проживающего» в папке WINDOWSsystem32);

• WINDOWSsystem32deter*svсhоst.exe (буквы «с» и «о» – кириллические, в отличие от настоящего svchost.exe);

• WINDOWSsystem32ahtomsys*.exe (например, ahtomsys19.exe);

• WINDOWSsystem32сtfmоn.exe (буквы «с» и «о» – кириллические, в отличие от настоящего ctfmon.exe);

• WINDOWSsystem32psagor*.exe (или psagor*.sys, или psagor*.dll; например, psagor18.dll). Файлы имеют атрибуты Скрытый, Системный, Только чтение. Размер 114,5КБ. Вирус прописывает себя в Реестр Windows в REG_SZ-параметры Shell и Userinit раздела [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]. Файлы ahtomsys*.exe, лже-сtfmоn.exe и psagor*.exe прописываются в Автозагрузке (см. раздел Реестра [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]). Вирус – резидентный, на зараженном ПК он грузится вместе с операционной системой и постоянно присутствует в оперативной памяти. Как устранить деструктивные последствия вируса

1. Проверьте винчестер надежным антивирусом со свежими базами.

2. Удалите (если их не уничтожил антивирус) файлы имя_папки.scr и имя_папки.exe.

3. Удалите (если их не уничтожил антивирус) следующие файлы:

• WINDOWSsystem32deter*lsass.exe (удалите файл вместе с папкой deter*);

• WINDOWSsystem32deter*smss.exe (удалите файл вместе с папкой deter*);

• WINDOWSsystem32deter*svсhоst.exe (буквы «с» и «о» – кириллические, в отличие от настоящего svchost.exe; удалите файл вместе с папкой deter*);

• WINDOWSsystem32ahtomsys*.exe (например, ahtomsys19.exe);

• WINDOWSsystem32сtfmоn.exe (буквы «с» и «о» – кириллические, в отличие от настоящего ctfmon.exe);

• WINDOWSsystem32psagor*.exe (или psagor*.sys, или psagor*.dll; например, psagor18.dll).

4. Проверьте раздел Реестра [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]:

• REG_SZ-параметр Shell должен иметь значение Explorer.exe;

• REG_SZ-параметр Userinit должен иметь значение C:WINDOWSSystem32userinit.exe,

5. Удалите из Автозагрузки файлы ahtomsys*.exe, лже-сtfmоn.exe и psagor*.exe (см. раздел Реестра [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]).

6. Удалите шаблон Normal.dot (см. Как бороться с макровирусами?).

7. Попытайтесь восстановить удаленные вирусом файлы (см. В поисках утраченного, или Как восстановить информацию?). Сильно обольщаться не следует, но кое-что (если поверх не записывалась другая информация!) восстановить удастся. Поскольку файлы .jpg перезаписываются вирусом под тем же названием, но с другим содержимым, восстановить их не удается.

Примечания

1. Будьте осторожны при манипуляциях с Реестром! Некорректное использование Редактора реестра может привести к возникновению серьезных неполадок, вплоть до переустановки операционной системы!

2. Помните, что предупредить легче, чем лечить! Пользуйтесь брандмауэрами и надежными антивирусными программами (см. Как выбрать антивирус?) с регулярно (не менее одного раза в неделю!) обновляемыми базами.

3. Почаще делайте резервное копирование важной информации (см. Как избежать утраты информации?).

4. В зависимости от разновидности вируса Penetrator количество, название и размер создаваемых им файлов и папок, а также набор деструктивных действий могут существенно различаться.

Автор: Валерий Сидоров

Источник: http://shkolazhizni.ru/archive/0/n-19445/

© Shkolazhizni.ru

Как правило, если аппаратная часть обеспечивает программный доступ к носителю, информацию можно восстановить не только после удаления, но даже после форматирования и конвертирования (конечно, в том случае, если поверх не записывалась новая информация!). Последовательность действий при восстановлении информации:

1. Сразу прекратите все операции чтения/записи на диск и выключите ПК.

2. Если не уверены в своих силах, чтобы не усугубить ситуацию (особенно, если информация – очень ценная), – обратитесь к специалистам.

3. Снимите винчестер и подключите его к другому ПК. Лучше всего для этого использовать внешние боксы с автономным питанием (выпускаются как с интерфейсом IDE, так и SATA; подключаются к ПК, как правило, через USB-порт).

4. Запустите программу восстановления. Рассмотрим на примере одной из лучших программ для восстановления данных EasyRecovery Pro.

5. В меню слева выберите Восстановление данных.

6. В окне Восстановление данных выберите Advanced Recovery (Восстановление данных с дополнительными настройками).

7. После непродолжительного сканирования системы появится окно «Предупреждение места расположения» с требованием, чтобы вы копировали восстанавливаемые файлы «в безопасное место, кроме источника восстановления», т.е. нельзя восстанавливать файлы на тот же диск, где они находились (чтобы не «затереть» их) –> OK.

8. В следующем окне выберите раздел, на котором нужно восстановить данные, нажмите Далее.

9. Программа просканирует диск (появится окно Сканирование файлов) и найдет файлы, которые можно восстановить.

10. В следующем окне выделите файлы, которые нужно восстановить, нажмите Далее.

11. В следующем окне с помощью кнопки Обзор выберите место назначения, куда будут скопированы восстанавливаемые данные (чтобы не затереть восстанавливаемые данные, местом назначения следует выбирать другой диск), нажмите Далее.

12. Появится окно Копирование данных (т.е. начнется процесс восстановления информации), в котором будет отображаться текущий процесс восстановления. Продолжительность процесса зависит от объема восстанавливаемых данных и мощности ПК.

13. После завершения процесса восстановления нажмите Готово.

14. В окне Сохранение восстановления с сообщением «Вы хотите сохранить состояние вашего восстановления, чтобы продолжить позже?» нажмите Да, если вы восстановили не все файлы и хотите продолжить позже (при этом появится окно Сохранение файла, в котором нажатием на кнопку Обзор нужно выбрать место размещения файла –> OK –> OK), или Нет.

Примечания

1. В зависимости от объема восстанавливаемых данных и мощности ПК процесс восстановления данных может занять продолжительное время.

2. Желательно во время восстановления отключить все «лишние» программы и процессы.

3. Программу EasyRecovery Pro можно запускать с флешки или дискеты.

4. Программ для восстановления информации – превеликое множество. У каждого пользователя ПК свой «джентльменский набор софта». Это в полной мере касается и программ для восстановления информации, – о вкусах не спорят!

5. На винчестере ПК, к которому вы подключите диск с утраченной информацией, нужно иметь как минимум столько же свободного места, сколько занимают восстанавливаемые файлы.

6. Помните, что предупредить легче, чем лечить, поэтому почаще делайте резервное копирование информации.

Автор: Валерий Сидоров

Источник: http://shkolazhizni.ru/archive/0/n-15484/

© Shkolazhizni.ru

Как уничтожить Penetrator и как устранить деструктивные последствия вируса

Вирус загружается и в Безопасном режиме (Safe Mode), поэтому пытаться лечить ПК, когда загружена ОС с резидентным вирусом, – бессмысленное занятие!

1. Отключите ПК от локальной и Глобальной сетей.

2. Для лечения снимите винчестер и подключите к другому ПК с надежным антивирусом (или воспользуйтесь загрузочным аварийно-восстановительным диском, типа Windows miniPE или ERD Commander).

Но, пролечив таким образом винчестер, работоспособность ПК мы не восстановим, так как останутся записи параметров вируса в Реестре Windows и, возможно, некоторые файлы вируса.

3. Отключите восстановление системы (или очистите папку System Volume Information на каждом диске).

4. Восстановите доступность пункта меню Свойства папки (см. Что делать, если недоступен пункт меню «Свойства папки»?).

5. Восстановите запуск Редактора реестра (см. Что делать, если появляется сообщение «Редактирование реестра запрещено администратором системы»?).

6. Восстановите запуск Утилиты настройки системы msconfig (см. Windows: что делать, если не запускается Утилита настройки системы msconfig?).

7. Восстановите запуск Диспетчера задач (см. Что делать, если появляется сообщение «Диспетчер задач отключен администратором»?).

8. Восстановите отображение скрытых файлов и папок (см. Windows: как отобразить скрытые файлы и папки?).

9. Удалите (если их не уничтожил антивирус) следующие файлы:

– в корневых директориях дисков скрытый файл вируса (без названия) с расширением .scr;

– flash.scr, <имя_папки>.exe и <имя_папки>.scr (в том числе – \Documents and Settings\All Users\Документы\Documents.scr, \WINDOWS\system32\system32.scr, \Program Files\Program Files\Program Files.scr, \Documents and Settings\<Имя_пользователя>\<Имя_пользователя> .scr, \Мои документы\Мои документы.scr, \Мои документы\Мои рисунки\Мои рисунки.scr, \Documents and Settings\<Имя_пользователя>\Главное меню\Программы\Автозагрузка\Автозагрузка. scr;

– \WINDOWS\system32\DETER177\lsass.exe (удалите файл вместе с папкой DETER177);

– \WINDOWS\system32\DETER177\smss.exe (удалите файл вместе с папкой DETER177);

– \WINDOWS\system32\DETER177\svсhоst.exe (буквы «с» и «о» – кириллические, в отличие от настоящего svchost.exe; удалите файл вместе с папкой DETER177);

– \WINDOWS\system32\AHTOMSYS19.exe;

– \WINDOWS\system32\сtfmоn.exe (буквы «с» и «о» – кириллические, в отличие от настоящего ctfmon.exe);

– \WINDOWS\system32\psador18.dll;

–\WINDOWS\system32\psagor18.sys;

– удалите папку Burn с файлами CDburn.exe и autorun.inf (расположение папки: Windows XP – \Documents and Settings\<Имя_пользователя>\Local Settings\Application Data\Microsoft\Windows; Windows Vista – \Users\Master\AppData\Local\Microsoft\Windows\ Burn).

10. Удалите зараженный шаблон Normal.dot (см. Как бороться с макровирусами?). После первого запуска Word'а, он будет создан заново.

11. Нажмите Пуск –> Выполнить… –> в поле Открыть введите regedit –> OK;

– раскройте ветвь [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon], проверьте значение строкового (REG_SZ) параметра Shell: должно быть Explorer.exe. Вирус устанавливает значение параметра – Explorer.exe C:\WINDOWS\system32\АHTОMSYS19.exe;

– проверьте значение строкового (REG_SZ) параметра Userinit, – должно быть C:\Windows\system32\userinit.exe, (если система установлена на диске C:\, если на другом диске, то <буква_диска>:\Windows\system32\userinit.exe,);

– раскройте ветвь [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run], удалите строковые (REG_SZ) параметры lsass со значением C:\WINDOWS\system32\DETER177\lsass.exe и сtfmоn.exe со значением C:\WINDOWS\system32\сtfmon.exe;

– раскройте ветвь [HKEY_CLASSES_ROOT\scrfile], установите значение REG_SZ-параметра по умолчанию – Программа-заставка;

– закройте Редактор реестра.

12. Перерегистрируйте (с помощью Сервера регистрации regsvr32.exe) Общую библиотеку оболочки Windows shell32.dll:

– нажмите Пуск –> Выполнить… –> в поле Открыть введите regsvr32 /i shell32.dll –> OK;

– появится окно RegSvr32 с сообщением «DllRegisterServer and DllInstall в shell32.dll завершено успешно», нажмите OK.

13. Попытайтесь восстановить удаленные вирусом файлы (см. В поисках утраченного, или Как восстановить информацию? и Как восстановить данные с помощью программы WinHex?).

Сильно обольщаться не следует, но кое-что (если поверх не записывалась другая информация!) восстановить удастся.

Поскольку файлы .doc, .jpg и .xls перезаписываются вирусом под тем же названием, но с другим содержимым, восстановить их, как правило, не удается.

Удачи! *05

Ссылка на комментарий
  • 0

ухх, помню эту тварь, на 10 компах завелась лет 5 назад, кучу документов поела, восстановил часть прогами типо рстудио и подобными, но часть не выжила( вот нервоз то был, до сих пор вспоминаю о нем с матами. И самое интересное, стоял антивирь лицензия и обновлялся постоянно, но не спас(

Ссылка на комментарий
  • 0

ну процентов 70 восстанавливается ..

только процесс не быстрый и потом сортировать запаришься ...

винт подключать к другому компу напрямую ... через USB процесс еще дольше ...

есть страшнее гады - кодировщики ... которые перезаписывают с простым кодированием типа "замены по ключу" ... так что архивировать .. архивировать и еще раз архивировать ... как завещал великий ....

Ссылка на комментарий
  • 0
ну процентов 70 восстанавливается ..

только процесс не быстрый и потом сортировать запаришься ...

Недавно убедился после того как перепробовал все известные программы для восстановления разделов и данных, что самая лучшая R-studio. Восстанавливает четко и по папкам.

Добавлено спустя 2 минуты 12 секунд:

phenomen с ноута тяжелее восстановить, точнее еще медленнее поскольку придется подключать внешний винт, куда восстанавливать инфу.

А какой объем диска на ноуте или точнее каков примерный объем восстанавливаемой инфы?

Ссылка на комментарий
  • 0
что самая лучшая R-studio. Восстанавливает четко и по папкам.

не всегда отрабатывает без востановления без повреждения файлов. Были случае когда R-studio востанавливала почти все файлы были битые. а другие проги после этого востанавливали нормальные файлы. И так же наоборот были случае.

да разбирать кому охота, а если на гарантии? Просто я ни разу винт с ноута не снимал

чтоб при попытках востановления окончательно не похерить инфу. нужно чтоб винт не использовался. То есть востанавливать инфу с винта с которого загружена система это очень плохой способ. Да и сноута достать винт дело 10-15 минут.

Ссылка на комментарий
  • 0
чтоб при попытках востановления окончательно не похерить инфу. нужно чтоб винт не использовался. То есть востанавливать инфу с винта с которого загружена система это очень плохой способ

так об этом вообще и не было разговора. Я имел ввиду восстановление инфы на внешний винт, а загрузку с него же - Live PE, либо с флешки. У меня там и там есть

Ссылка на комментарий
  • 0

Вряд ли тебе кто нибудь поможет.За восстановление инфы платят неплохие бабосы. Исходя из этого можно сделать соответствующие выводы.

Ссылка на комментарий
  • 0

В данном случае следует загрузиться с диска LiveCD/DVD (таких сборок в нете валом, в том числе с антивирсканером, загрузка с флэшки не подходит из-за вероятности ее заражения). И файловым менеджером пройтись по папкам ноута, спасая все, что нужно, на внешний диск. Ну а затем либо восстанавливать систему, что довольно муторно, но рекомендации см. выше. Либо переустанавливать по-новой, с форматированием.

Ссылка на комментарий
  • 0

Если вчера заразились а сегодня опомнились, выключили комп и просите помощи с другой системы, то небольшие шансы вытянуть данные есть. Если все наоборот то смеритесь и забудьте. А вообще надо так умудрится заразится вирусом которому 7 лет.

Ссылка на комментарий
  • 0

А что тут удивительного?В моё отсутствие через usb -кабель подсоединили фотоаппарат к ноутбуку(вирус находился на флешке)

Если вчера заразились а сегодня опомнились, выключили комп и просите помощи с другой системы, то небольшие шансы вытянуть данные есть. Если все наоборот то смеритесь и забудьте. А вообще надо так умудрится заразится вирусом которому 7 лет.

Ссылка на комментарий

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...