Спасите от вируса! Опции

[Анатолий]

Зацепил какой-то вирус
НОД32 выдает такую инфу:
27.05.2009 13:33:27 Защита в режиме реального времени файл F:\autorun.inf Win32/AutoRun.FakeAlert.AF червь очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\WINDOWS\system32\svchost.exe.
27.05.2009 13:24:37 Защита в режиме реального времени файл C:\DOCUME~1\EEC0~1\LOCALS~1\Temp\rdl1.tmp Win32/AutoRun.FakeAlert.M червь очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\Program Files\Microsoft Common\svchost.exe.

Удалил C:\Program Files\Microsoft Common\svchost.exe - все равно он откуда-то берется и все повторяется вновь.
Пытаюсь зайти в безопасном режиме, но в последствии оказывается, что была создана новая запись администратора в виде - Администратор.ANATOLIY; Администратор.ANATOLIY 000; Администратор.ANATOLIY 001 сколько раз захожу, столько записей и создает. Подозреваю, что он вообще меня в базу администратора не пускает.
Просматриваю кто какие службы запускает - появился какой-то пользователь NT AUTHORITY\SYSTEM, кто это???
Экспловер периодически вываливается с ошибками и, при его запуске, сильно тормозит... особенно при первом запуске. Такое ощущение, что кто-то контролирует мой комп из-вне (((

Что делать? Чем найти вирус? НОД его не находит, а находит только им созданные файлы.

[Krasniy]

удаляй левые учетки , обновляй антивирус , копируй ценную инфу на диск Д ну и запускай новую полную проверку всего компа....может не вирус а винда ложится ?


не поможет обновление антивируса ... последний вариант снести винду накатить новую и радоватся чистому виндовсу

svchost.exe - если его удалить то можно винду не поднять ...он должен лежать в windows/system32 ....если где-то в другом месте то скорее всего что-то не то ...

Сообщение отредактировал Krasniy - May 27 2009, 13:56

[ПоZиТиВ :)]

проще всего поставить заново винду с диска. скачать и установить антивирус, обновить, проверить на вирусы все винты и тп.. это будет намного быстрее, чем лечить всю систему.

[Alim]

пробуй проверить ]]>Скачать Dr.Web CureIt! ]]>

[Sergu44o]

промежуточный вариант - вытаскивать винт, ставить в комп с чистой системой и прогонять его.

[Krasniy]

ну спорный вопрос начет быстрее .... и вирус может запросто остаться например на диске Д .... пока есть возможность нужно пробовать его убить полностью ....например пробовать менять антивирусы они по разным алгоритмам работают .... а потом можно и винду для пущей уверности в полной дезинфекции )

Sergu44o ... предложил хороший вариант

[magic]

]]>Качаешь Dr.Web CureIt!®]]>

1. Загрузить ОС Windows в Безопасном режиме (Safe Mode).
2. Воспользоваться дисковым сканером Dr.Web® либо бесплатной утилитой Dr.Web® CureIT! для сканирования локальных дисков компьютера. Для всех найденных инфицированных файлов необходимо применить действие «Лечить».
3. Восстановить реестр из резервной копии.

Важно! Непосредственно перед выполнением п.2 необходимо настроить используемый почтовый клиент таким образом, чтобы он хранил вложения в виде отдельных файлов, а не в теле почтовой базы. Например, хранение вложений отдельно от почтовой базы в почтовом клиенте TheBat! настраивается следующим образом: Ящик — Свойства почтового ящика — Файлы и каталоги — Хранить присоединенные файлы в отдельном каталоге (Account — Properties — Files & Directories — Keep attachment files — Separately in a special directory).

[Анатолий]

Спасибо!!!
Буду пытаться искать через доктора веба.

Вирус каким-то образом модифицирует svchost.exe и создает новый в папке C:\Program Files\Microsoft Common\svchost.exe
как они увязываются между собой - не знаю.

Важные документы и информацию снес на диск Д, но боюсь, что вирус и там может притаиться.
В общем сейчас попробую просканировать доктором, потом отпишусь.

Сообщение отредактировал Анатолий - May 27 2009, 14:48

[Hachik]

нод в топку, а винду сноси.

[Chaotic]

НОД полнейшая лажа. у нас на предприятии куеву тучу червей пропускает. раньше пользовался только дрвебом. сейчас Авастом.

Из-за вируса сносить винду считаю мазохизмом)

[yats_13]

+1 за аваську

[Chelsea]

А аваст, кстати есть бесплатный? Хачу себе тоже. А то у меня какой-то McAfee, да еще и триал. Уже закончился, сцуко!

[Chaotic]

Платный конешна))), проф, с ключами все как надо )
Дать?)

[Iriska]

Поддерживаю Alim и magic качай CureIT он должен помочь

[Denya]

Платный конешна))), проф, с ключами все как надо )
Дать?)

Могу поделиться Авирой с кейгеном. А Авастом поделитесь?

Сейф мод вариант, ещё мона реестр глянуть на предмет что там в автозагрузке. А после патчить ХР до сервис пака 3-го.

[Chelsea]

Платный конешна))), проф, с ключами все как надо )
Дать?)

Не понял! Ты можешь мне дать платный, как бесплатный?

[King]

Вопрос решается элементарно. Для этого необходима загрузочная флешка с операционкой.
Можно отсюда: ]]>http://flash.orens.ru/]]>
Можно скачать ]]>вот эту]]> сборку и добавить антивирус по желанию.

Можно сделать свою - гугл в помощь.

Загрузили, почистили систему, радуемся жизни.

Сообщение отредактировал King - May 27 2009, 18:13

[Sergu44o]

НОД полнейшая лажа. у нас на предприятии куеву тучу червей пропускает.

не согласен.

[King]

И нод, и аваст, и касперский не являются 100% панацеей против троянов и червей. Помогает только комплексная защита (антивирус и фаерволл с анализатором трафика) и минимизация использования софта майкрософт, в т.ч. дырявого как дуршлаг Интернет Эксплорера.

[magic]

И нод, и аваст, и касперский не являются 100% панацеей против троянов и червей. Помогает только комплексная защита (антивирус и фаерволл с анализатором трафика) и минимизация использования софта майкрософт, в т.ч. дырявого как дуршлаг Интернет Эксплорера.

Борис, ты абсолютно прав. + еще добавлю надо иметь ровные руки для настройки любого нод/каспер секьюрити

[Sergu44o]

И нод, и аваст, и касперский не являются 100% панацеей против троянов и червей. Помогает только комплексная защита (антивирус и фаерволл с анализатором трафика) и минимизация использования софта майкрософт, в т.ч. дырявого как дуршлаг Интернет Эксплорера.

+ миллион

Эксплорер не юзать для инета ВООБЩЕ.

файерволл на максимальную защиту.

антивирус ПОСТОЯННО обновлять (а то бывали случаи, по 2 года не обновлялись

в таком случае Нод работает не хуже других. Обновления под него, кстати, выходят раза 3 в сутки...

[Denya]

И нод, и аваст, и касперский не являются 100% панацеей против троянов и червей. Помогает только комплексная защита (антивирус и фаерволл с анализатором трафика) и минимизация использования софта майкрософт, в т.ч. дырявого как дуршлаг Интернет Эксплорера.

Если человек ползает по всему инету и тыцае куда попало...то хоть бетонную стену ставь...не спасёт. Я не защитник мелкософта, но и опера с фаерфоксом ламаються на ура. А анализатор трафика,фаервол и ещё антивирус по типу касперского(память любит страшно)...на старенькой не двух ядерной машинке будет ощутимо подтормаживать. Остаёться решать медленно и безопасно или ......
З.Ы. А по теме....можно для опыта систему пролечить...ну а если облом...то сносить системные каталоги и ставить на чисто.

[Sergu44o]

кстати, да.
по порносайтам не лазить. креки и прочие кейгены искать ПРЕДЕЛЬНО аккуратно, там всё кишит вирусами!

[Chelsea]

кстати, да.
по порносайтам не лазить. креки и прочие кейгены искать ПРЕДЕЛЬНО аккуратно, там всё кишит вирусами!

А еще на всяких зайцев.нет

[King]

У меня связка для инета Фаерфокс + Аваст + Аутпост 2009. На все подозрительные сайты или скрипты с вирусами тупо идет "abort connection".
Даже на древнем одноядерном Атлоне 2400+ работает норм.

И на всякий случай live cd с виндой и антивирусами

Комп в сети регулярно. Пока, тьфу-тьфу))

Сообщение отредактировал King - May 27 2009, 19:00

[Skiw]

вот это самое оно:

]]>Качаешь Dr.Web CureIt!®]]>

1. Загрузить ОС Windows в Безопасном режиме (Safe Mode).
2. Воспользоваться дисковым сканером Dr.Web® либо бесплатной утилитой Dr.Web® CureIT! для сканирования локальных дисков компьютера. Для всех найденных инфицированных файлов необходимо применить действие «Лечить».
3. Восстановить реестр из резервной копии.

Важно! Непосредственно перед выполнением п.2 необходимо настроить используемый почтовый клиент таким образом, чтобы он хранил вложения в виде отдельных файлов, а не в теле почтовой базы. Например, хранение вложений отдельно от почтовой базы в почтовом клиенте TheBat! настраивается следующим образом: Ящик — Свойства почтового ящика — Файлы и каталоги — Хранить присоединенные файлы в отдельном каталоге (Account — Properties — Files & Directories — Keep attachment files — Separately in a special directory).

+100

тока вместо безопасного режима:

Вопрос решается элементарно. Для этого необходима загрузочная флешка с операционкой.
Можно отсюда: ]]>http://flash.orens.ru/]]>
Можно скачать ]]>вот эту]]> сборку и добавить антивирус по желанию.

Можно сделать свою - гугл в помощь.

Загрузили, почистили систему, радуемся жизни.

+100

И нод, и аваст, и касперский не являются 100% панацеей против троянов и червей. Помогает только комплексная защита (антивирус и фаерволл с анализатором трафика) и минимизация использования софта майкрософт, в т.ч. дырявого как дуршлаг Интернет Эксплорера.

когда-то была шутка что Каспер загружает проц на 100% и вирусы просто не огут пролезть (это на версии 4.5-5)

[Skiw]

блина, я тоже что-то споймал, щас буду лечиться

[Анатолий]

Загрузил дохтора, сканировал моск компа 7 часов... 13 вирусов, 4 вредоносных программы, 2 программы взлома... не понимаю, хде я нахватался этой ...уйни. Но суть не в этом. В отчете написано, что файл удален, а в реале он так и остался на компе. Ну и ничего не изменилось При загрузке нод сразу высвечивает удаление файла рдл01 в папке темп, а при вставлении флешки тут же на нее закидывает авторун.
Придется наверно убивать диск ((

[Chaotic]

по долгу работы и не только ну очень часто пользуюсь и кряками и кейгенами, и сетка с порнухой и кучей вирусни, и в эксплорере почти ВСЕГДА, и паралельно опера, но почему-то мой комп, на котором только аваст и аутпост не разу тхутхутху за пару лет не слетел, хотя у соседей, у которых у всех нод стоит и касперский уже по пару раз винды накрывались) с умом просто надо все делать и делов -то))) хотя многие с пеной у рта доказывали что аваст фуфло)
эксплорер такой же нормальный как и любой другой броузер) кстати

[Skiw]

Загрузил дохтора, сканировал моск компа 7 часов... 13 вирусов, 4 вредоносных программы, 2 программы взлома... не понимаю, хде я нахватался этой ...уйни. Но суть не в этом. В отчете написано, что файл удален, а в реале он так и остался на компе. Ну и ничего не изменилось При загрузке нод сразу высвечивает удаление файла рдл01 в папке темп, а при вставлении флешки тут же на нее закидывает авторун.
Придется наверно убивать диск ((

на флешку записывай на "здоровом" компе

он видать удаляет "детей", а реальный вирус прячется

ЗЫ это ноут или десктоп ?

[Анатолий]

Ноут...
Попробую перейти на загрузочную флешку

[King]

) хотя многие с пеной у рта доказывали что аваст фуфло)

Я тоже был в их числе. Жена принесла флешку с работы, а там в авторане троянчик уже был прописан (Nokia music manager, был такой). Аваст вообще не отдуплял, что там вирус. Думал, пипец системе, но загрузочная флешка и пошаговые инструкции по удалению спасли ситуацию))
Самое смешное, что на одной из флешек он остался. Система, правда, уже была пропатчена, чтобы не кушать автораны, но аваст только через пару месяцев получил обновление от этой заразы.

Так что у всех бывают пробои.

[Krasniy]

Все антивирусы приблизительно одинаковые ... вопрос только в обновлениях .... с авастом проше с НОДом нужна нормальная сборка .... все одинаково пропускают и ловят с одинаковой надежностью ..тут вопрос "на вкус и цвет..." у нас на работе стоит Trend Micro все кряки и кейгены сносит неуспеваеш глазом моргнуть ... но нам приносили компы с вирусами как авастом так и с нодом и касперским и чем угодно .... например стоял ноут и работали с него в нете через МТС connect и там был Avast комп начал задыхатся от вирусов и ошибок .... я снес Avast поставил NOD он все почистил вроде стало легше ... потом похожая фигня случилась с Nod поставили Trend Micro, пока что пашет .... но боюсь что ненадолго ))))) так что я считаю что от всего не защитится и всеравно если нужно будет кому-то взломать конкретно ваш компутер с целью хищения вашей личной информации, то это будет сделано и антивирусы точно не спасут и файр волы тоже будут suck ... только вот цена вопроса меняется от сложности системы защиты. В общем все зависит больше не от антивируса а от "вида" доступа в инет (реальный IP или нереальный) и еще его(антивира) обновлений.

p.s. На этот НГ (за 2ое суток) друзья в поисках музыки на моем компе со свежей виндой без антивируса вообще и с отключенным встроеным файр волом Vistа и доступом в инет с реальным IP .... наловили аж 1800+ вирусов ....

p.s.s. Жесть скока написал =))

Сообщение отредактировал Krasniy - May 28 2009, 08:36

[Denya]

Загрузил дохтора, сканировал моск компа 7 часов... 13 вирусов, 4 вредоносных программы, 2 программы взлома... не понимаю, хде я нахватался этой ...уйни.
Придется наверно убивать диск ((

Ты нашёл 1 или 2, а все остальные сами трояны тебе на машину накачали. "Агоу у нас сегодня вечеринка", ну и остально зло подтянулось
А диск не спиши убивать...если будешь переустанавливать, то снеси папку Виндовс,Програм файлс....так как вирусы любят жить там. Дальше просто поставил винду,сразу поставил антивирус и проверился...а дальше всё остальное

[Анатолий]

Все еще пытаюсь реанимировать. Дохтор только написал, что удалил файлы, а на самом деле они все на месте. Сегодня их удалил вручную. Полчаса в инете и все начинается вновь. Где-то сам вирус сидит еще и подтягивает с инета троянцев. До вечера если его не победю, буду форматировать винт. Очень хочется реанимировать...

[Sergu44o]

Тебе дорога твоя винда? установлено много нужных программ?

поставь вторую винду за другой раздел винта с минимумом драйверов и прочего (для ускорения установки, всякие вайфай не нужны), из-под нее почисти старую, вторую потом можно снести.

З.Ы. а с загрузочного СД или флешки не грузится ноут?

[atributz]

Вот полная инструкция по обезвреживанию вируса:

Заходим в системный реестр (команда regedit)
1.Проходим по пути
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
удаляем строчку со значением "C:\\Program Files\\Microsoft Common\\svchost.exe"
2. Проходим по пути
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe]
и удаляем строчку
"Debugger"="C:\\Program Files\\Microsoft Common\\svchost.exe"
3.Заходим в c:\Program Files\Microsort Common\
и удаляем файл svchost.exe
4. Заходим в c:\WINDOWS\system32\drivers\
и удаляем файл gflmouhid.sys если есть

[Анатолий]

Спасибо!
Проблема решена полным форматированием
Отныне пользуюсь выносным винчестером, а вирусы на диске "С" пусть хоть затра..ются