[mryx]

Viimasel ajal on meedias palju räägitud, et ohtlik troojalane Sinowal on ka Eestis üsna levinud.
Soovitati igaks-juhuks pidevalt kasutatavale viirusetõrjele lisaks kasutada ka mõnda teist on-line skännerit.

Mul on arvutis kasutusel Nod-32, WinXP auto update on sees ja töötab ka, aga mõtlesin, et ok, prooviks siis ka mõnda on-line skännerit.

Olen ka varem kasutanud Multi Anti Virus Scanning Tool-i, mida saab sellest kohast:
http://www.claymania.com/removal-trojan-adware.html (Procedure #2)
See on siis selline riist, mille abil saab hõlpsalt kasutada nelja on-line skännerit:
1.Sophos
2.Trend
3.McAfee
4.Kaspersky

Lasin kõigepealt Sophose käima - mitu tundi otsis ja lõpuks leidiski ühe pahalase, mida Nod-32 ei olnud märganud.
Otsustasin siis teistega samuti proovida.
Trend Micro oli järgmine valik. Lasin käima - kõigepealt hakkas Trend Micro serverist faile alla laadima.
Jätsin arvuti omapead toimetama. Kui uuesti arvuti juurde naasesin, siis oli mul ees veateade, et Norton Ghost ei suuda ennast uuesti installida? (See programm oli mul muidu arvutis olemas küll).
Kui selle veateate eest ära sain, siis kurtis Daemon Tools, et on probleeme.
Tegin arvutile restardi.
Kui Windows uuesti üles tuli, siis avastasin et My Documents kaustast on kõik failid kadunud.
Alamkataloogid olid küll alles, aga sisu 0 baiti.
Samuti on kadunud kõik rakendusprogrammid, ainult Windows töötab.

Mis siis juhtus? Kas Trend Micro tunnistas kõik failid (peale Windowsi tööks vajalike) pahavaraks ja hävitas?
Või istus arvutis mingi pahalane, mis otsustas kõik hävitada, kui ta avastati?
On ehk kellelgi mingeid ideid?

EDIT: kirjavigu parandatud

[tahanteada]

mryx: Mõlemat pidi on võimalik variant, et:
- masinas oli viirus, mis enda ründamise / hävitamise ajal ka dokumendid / kaustad ära killis.
- viirusetõrje tegi Delete tervetele kaustade sisule.

Ja on ka veel vabalt võimalus, et Sa unustasid ära selle, et viirusetõrjeid ei saa ja ei tohi ja ei tasu kunagi koos jooksutada, kuna neil võib omavahel tekkida suured konfliktid ning selle konflikti käigus ei tea kunagi mis juhtub või mis juhtuda võib.

Nii, et nüüd pead üritama mõne Restore (taastus) programmiga faile / katalooge taastada.

[HacaX]

Pakuks veel ühe võimaliku stsenaariumi: kuna need rakendused ei saanud oma faile kasutada siis otsustas Win System Restore'i teha ning taastas seisundi mis oli enne rakenduste installimist/oma failide loomist. Vaata SR üle, äkki veab ja on mõni hilisem restore point olemas, CHKDSKi jooksutamine oleks samuti mõttekas (samas viimast võiks teha alles peale seda kui taastusprogedega üritanud oled, katkise failisüsteemi parandamine võib taastamisvõimalused ära nullida).

PS! Iseenesest ei tohiks online skännerite jooksutamine küll olemasoleva AVga konflikte tekitada, see mitme AV jooksutamise keeld käib just residentsete osade kohta (mis võivad lausa draiveri tasemel ring 0 privileegidega tegutseda), mitteresidentne lihtsalt ei pääse failile ligi kui residentne sellega veel tegevuses on, muud midagi.

[mryx]

Mul õnnestus event viewer käsukonsooli kaudu käima saada.
Tundub, et Trend Micro online skänni faile allalaadides juhtus midagi, mis käivitas Windows File Protectioni.
Event vieweris on hulga taolisi teateid, ainult vahetatavate failide nimed muutuvad:
----------------------------------------
Event Type: Information
Event Source: Windows File Protection
Event Category: None
Event ID: 64002
Date: 7.11.2008
Time: 21:34:27
User: N/A
File replacement was attempted on the protected system file c:\program files\common files\microsoft shared\msinfo\ieinfo5.ocx. This file was restored to the original version to maintain system stability. The file version of the system file is 6.0.2600.0.
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
---------------------------------------------------------------------------------------------------------------------
Proovisin ka restore pointi abil endist seisu taastada, aga see ei õnnestu, sest kõik rakendusprogrammide failid on kustutatud.
Alles on vaid Windowsi failid ja ühe Temp kausta sisu. Muidu on jäänud vaid kaustade nimed.
Eks ma püüan mõne andmetaastusprogrammiga päästa, mis päästa annab.
Aga ikkagi ma ei saa aru, miks see Windows File Protection otsustas tööle hakata ja miks selle tagajärjel kõik muud failid hävisid.