Спасите от вируса! Опции

[Анатолий]

Зацепил какой-то вирус
НОД32 выдает такую инфу:
27.05.2009 13:33:27 Защита в режиме реального времени файл F:\autorun.inf Win32/AutoRun.FakeAlert.AF червь очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\WINDOWS\system32\svchost.exe.
27.05.2009 13:24:37 Защита в режиме реального времени файл C:\DOCUME~1\EEC0~1\LOCALS~1\Temp\rdl1.tmp Win32/AutoRun.FakeAlert.M червь очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\Program Files\Microsoft Common\svchost.exe.

Удалил C:\Program Files\Microsoft Common\svchost.exe - все равно он откуда-то берется и все повторяется вновь.
Пытаюсь зайти в безопасном режиме, но в последствии оказывается, что была создана новая запись администратора в виде - Администратор.ANATOLIY; Администратор.ANATOLIY 000; Администратор.ANATOLIY 001 сколько раз захожу, столько записей и создает. Подозреваю, что он вообще меня в базу администратора не пускает.
Просматриваю кто какие службы запускает - появился какой-то пользователь NT AUTHORITY\SYSTEM, кто это???
Экспловер периодически вываливается с ошибками и, при его запуске, сильно тормозит... особенно при первом запуске. Такое ощущение, что кто-то контролирует мой комп из-вне (((

Что делать? Чем найти вирус? НОД его не находит, а находит только им созданные файлы.

[Krasniy]

удаляй левые учетки , обновляй антивирус , копируй ценную инфу на диск Д ну и запускай новую полную проверку всего компа....может не вирус а винда ложится ?


не поможет обновление антивируса ... последний вариант снести винду накатить новую и радоватся чистому виндовсу

svchost.exe - если его удалить то можно винду не поднять ...он должен лежать в windows/system32 ....если где-то в другом месте то скорее всего что-то не то ...

Сообщение отредактировал Krasniy - May 27 2009, 13:56

[ПоZиТиВ :)]

проще всего поставить заново винду с диска. скачать и установить антивирус, обновить, проверить на вирусы все винты и тп.. это будет намного быстрее, чем лечить всю систему.

[Alim]

пробуй проверить ]]>Скачать Dr.Web CureIt! ]]>

[Sergu44o]

промежуточный вариант - вытаскивать винт, ставить в комп с чистой системой и прогонять его.

[Krasniy]

ну спорный вопрос начет быстрее .... и вирус может запросто остаться например на диске Д .... пока есть возможность нужно пробовать его убить полностью ....например пробовать менять антивирусы они по разным алгоритмам работают .... а потом можно и винду для пущей уверности в полной дезинфекции )

Sergu44o ... предложил хороший вариант

[magic]

]]>Качаешь Dr.Web CureIt!®]]>

1. Загрузить ОС Windows в Безопасном режиме (Safe Mode).
2. Воспользоваться дисковым сканером Dr.Web® либо бесплатной утилитой Dr.Web® CureIT! для сканирования локальных дисков компьютера. Для всех найденных инфицированных файлов необходимо применить действие «Лечить».
3. Восстановить реестр из резервной копии.

Важно! Непосредственно перед выполнением п.2 необходимо настроить используемый почтовый клиент таким образом, чтобы он хранил вложения в виде отдельных файлов, а не в теле почтовой базы. Например, хранение вложений отдельно от почтовой базы в почтовом клиенте TheBat! настраивается следующим образом: Ящик — Свойства почтового ящика — Файлы и каталоги — Хранить присоединенные файлы в отдельном каталоге (Account — Properties — Files & Directories — Keep attachment files — Separately in a special directory).

[Анатолий]

Спасибо!!!
Буду пытаться искать через доктора веба.

Вирус каким-то образом модифицирует svchost.exe и создает новый в папке C:\Program Files\Microsoft Common\svchost.exe
как они увязываются между собой - не знаю.

Важные документы и информацию снес на диск Д, но боюсь, что вирус и там может притаиться.
В общем сейчас попробую просканировать доктором, потом отпишусь.

Сообщение отредактировал Анатолий - May 27 2009, 14:48

[Hachik]

нод в топку, а винду сноси.

[Chaotic]

НОД полнейшая лажа. у нас на предприятии куеву тучу червей пропускает. раньше пользовался только дрвебом. сейчас Авастом.

Из-за вируса сносить винду считаю мазохизмом)

[yats_13]

+1 за аваську

[Chelsea]

А аваст, кстати есть бесплатный? Хачу себе тоже. А то у меня какой-то McAfee, да еще и триал. Уже закончился, сцуко!

[Chaotic]

Платный конешна))), проф, с ключами все как надо )
Дать?)

[Iriska]

Поддерживаю Alim и magic качай CureIT он должен помочь

[Denya]

Платный конешна))), проф, с ключами все как надо )
Дать?)

Могу поделиться Авирой с кейгеном. А Авастом поделитесь?

Сейф мод вариант, ещё мона реестр глянуть на предмет что там в автозагрузке. А после патчить ХР до сервис пака 3-го.

[Chelsea]

Платный конешна))), проф, с ключами все как надо )
Дать?)

Не понял! Ты можешь мне дать платный, как бесплатный?

[King]

Вопрос решается элементарно. Для этого необходима загрузочная флешка с операционкой.
Можно отсюда: ]]>http://flash.orens.ru/]]>
Можно скачать ]]>вот эту]]> сборку и добавить антивирус по желанию.

Можно сделать свою - гугл в помощь.

Загрузили, почистили систему, радуемся жизни.

Сообщение отредактировал King - May 27 2009, 18:13

[Sergu44o]

НОД полнейшая лажа. у нас на предприятии куеву тучу червей пропускает.

не согласен.

[King]

И нод, и аваст, и касперский не являются 100% панацеей против троянов и червей. Помогает только комплексная защита (антивирус и фаерволл с анализатором трафика) и минимизация использования софта майкрософт, в т.ч. дырявого как дуршлаг Интернет Эксплорера.

[magic]

И нод, и аваст, и касперский не являются 100% панацеей против троянов и червей. Помогает только комплексная защита (антивирус и фаерволл с анализатором трафика) и минимизация использования софта майкрософт, в т.ч. дырявого как дуршлаг Интернет Эксплорера.

Борис, ты абсолютно прав. + еще добавлю надо иметь ровные руки для настройки любого нод/каспер секьюрити