[QUOTE=AlNet;3221549]нет рекомендую AntiVir PersonalEdition Premium и ещё кое-что...[/QUOTE]
Стоит бесплатный классик-тоже не жалуюсь.
Вид для печати
[QUOTE=AlNet;3221549]нет рекомендую AntiVir PersonalEdition Premium и ещё кое-что...[/QUOTE]
Стоит бесплатный классик-тоже не жалуюсь.
[QUOTE=masterpqi;3220854]У меня стоит антивирус nod32 при вставке флешки обнаруживает вирус
system.exe и autoranf.inf удаляет их потом они появляються снова.
Событие при попытке изменить файл в приложении: C:\WINDOWS\system32\svchost.exe. Файл был перемещен в карантин. Вы можете закрыть это окно.
Я отключил все в авторане запускаюсь в безопасном режиме и там вирус появляется.
Проверка доктором вебом нодом нисего не дала на диске C вирусов нет
Подскажите что еще можно сделать?! Спасибо[/QUOTE]
Рекомендую следующие действия.
1) скачать бесплатные утилиты:
avz - [url]http://z-oleg.com/secur/avz/download.php[/url]
Dr.Web CureIt - [url]ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe[/url]
2) перезагрузиться, при начальной загрузке нажать F8 и выбрать Безопасный режим
3) после загрузки проверить с помощью CureIt полностью системный диск С. Желательно, конечно, проверить и все остальные диски, но обычно остальные разделы имеют сильно большой объем и время сканирования будет очень большим. Иногда времени просто нет, поэтому на остальных дисках можно просто проверить наличие "паразитов" в корне дисков. Сделать это можно с помощью любого стороннего диспетчера файлов, например, Тотал командера, предварительно включив в нем режим отображения скрытых файлов (паразиты модифицируют реестр, благодаря чему с помощью Проводника их не видно).
4) Для убедительности прогнать еще раз проверку диска С с помощью AVZ, поставив галочку "выполнять лечение" и выставив бегунок "эвристический анализ" на максимум, а также поставив 2 флажка в разделе анти-руткит.
===============
можно сказать, что на данном этапе основная часть заразы была прибита
скорее всего были обнаружены файлы (например, авторан и какой-то с расширением сом или ехе) в корне диска с, и какие-то библиотеки в папке C:\WINDOWS\system32 .
Сейчас необходимо выписать название файлов заразы и выполнить поиск этих файлов по реестру, удаляя все записи об этих файлах.
Но это еще не все.
Далее следует произвести "прививку" от различного типа авторанов и других "паразитов", которые используют авторан.
Для этого, все еще находясь в безопасном режиме, запускаем редактор реестра: Пуск-Выполнить-regedit. Теперь:
================
5.1) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Cdrom
Установить значение параметра AutoRun равным 0.
5.2) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
'NoDriveTypeAutoRun' (dword) Значение ff (шестнадцатеричная) или 255 (десятичная)
5.3) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf
Дать строковому параметру 'По умолчанию' (типа REG_SZ) значение:
@SYS:DoesNotExist
(Windows будет думать, что autorun.inf нет вообще на компе и злостные команды для запуска зловредов в файле autorun.inf не выполняются.)
5.4) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files
Создать строковый параметр типа REG_SZ с названием
*.*
5.5.1. HKEY_CURRENT_USER\ Software\Microsoft\ Windows\CurrentVersion \Explorer\MountPoints2,
5.5.2. Правой кнопкой мыши щёлкать и выбрать 'разрешения'
5.5.3. Нажать 'Дополнительно' и снять галочку 'Наследовать от родительского объекта применимые к дочерным объектам разрешения, добавляя их к явно заданным в этом окне'.
5.5.4 Появится окно. Выбираем 'Удалить'. 'Применить - ОК'.
На этом вакцинация завершена, можете перезагрузить систему.
Для успокоения можете запустить AVZ с максимальными настройками и посмотреть, не найдет ли он чего.
6. Бывает так, что скрытые файлы не отображаются ни при каких настройках. Обычно это дело вируса с телом вируса AMVO или AMVO1.
Для решения проблемы
Пуск -> Выполнить ->
regsvr32 /i shell32.dll
=======================
Вроде все, удачи!
[QUOTE=masterpqi;3254376]Может подскажите софт который отслеживает обращения запущенных процессов к екзшникам другим и библиотекам дллл тогда можно будет отследить[/QUOTE]
Путь к экзешникам можно отследить прораммулиной [URL="http://orangelampsoftware.com/products_killprocess.php"]KillProcess[/URL]
Есть и более навороченные, но что-то названия припомнить не могу.
:) Проще всего сделать загрузочный "диск спасения" под Касперским и загрузившись с него проверить всю систему.
А сделать его - достаточно элементарно. Делается из-под KAV 6, KAV 7, KAV 2009 bkb KAV for Workstation
Аналогично KIS 7 KIS 2009
А по поводу того что "тормознутый касперский" - проведите тест под KAV/KIS 2009 и посмотрите скорость. И в следующий раз не смешите незнанием!
[QUOTE]И в следующий раз не смешите незнанием![/QUOTE]в следующий раз не смешите своей "крутизной"...
[QUOTE=Sblek;3330814]в следующий раз не смешите своей "крутизной"...[/QUOTE]
и фиктивным статусом MVP, изображенным на аватаре (в Украине этот статус имеют всего 2 человека, один работает в Харькове, другой - в Запорожье).
[QUOTE=A.G.P.;3335220]и фиктивным статусом MVP, изображенным на аватаре (в Украине этот статус имеют всего 2 человека, один работает в Харькове, другой - в Запорожье).[/QUOTE]
А кто сказал, что Владимир (он же Cybercop) не один из них?
[url]http://www.donbass.ua/get-news/id/5034/article.html[/url]
:)
[QUOTE=TigerS;3336236]А кто сказал, что Владимир (он же Cybercop) не один из них?
[url]http://www.donbass.ua/get-news/id/5034/article.html[/url]
:)[/QUOTE]
Ого,если так,то интересный расклад получаецца))
[QUOTE=rupreht;3336308]Ого,если так,то интересный расклад получаецца))[/QUOTE]
Добавлю также - очень интересный собеседник.
А также очень активный участник обсуждений в Одесском ИТ-Клубе.
(в отличии от некотрых членов Клуба, которые ограничились ролью "читателя" рассылки. К сожалению.)
[QUOTE=TigerS;3336236]А кто сказал, что Владимир (он же Cybercop) не один из них?
[url]http://www.donbass.ua/get-news/id/5034/article.html[/url]
:)[/QUOTE]
[QUOTE=rupreht;3336308]Ого,если так,то интересный расклад получаецца))[/QUOTE]
я бы сказал, что интересный расклад получается вдвойне, т.к на официальном сайте [url]https://mvp.support.microsoft.com/communities/mvp.aspx?adv=1[/url] о таком не слышали :).
Первый - Mr. Dennis Kudin
[url]https://mvp.support.microsoft.com/profile/Kudin[/url]
Второй - Mr. Sergey Pikhulya [url]https://mvp.support.microsoft.com/profile=61A904F3-356A-45AD-A989-B1FAF8039FA9[/url]
при том, что в статье, приведенной по вашей ссылке, количество МВПшников в Украине полностью совпадает :).
Честно говоря, мне все равно, есть/нет статус у Cybercop (оставляю это на его совести). Мое представление о человеке складывается не по картинке на аватаре/бумажке, а по реальным знаниям/даваемым советам. В данном же случае приведенную им рекомендацию:
[QUOTE]Проще всего сделать загрузочный "диск спасения" под Касперским
.....
И в следующий раз не смешите незнанием!
[/QUOTE]
позитивно оценить не могу, т.к. для решения проблемы таким способом необходимо наличие как минимум самого касперского (если мне память не изменяет, то он не бесплатный :) ), да и после его использования в реестре остаются "хвосты". Тот же способ, который привел я, доступен абсолютно всем.
P.S. Чтобы не было претензий ко мне, скажу, что я сам имею "некоторое" :) отношение к IT-среде (два года проработал с корпорацией Microsoft по одному проекту), мои работы представлены на российском Текнете, а сейчас работаю с IBM (работы есть на developerWorks Россия).
Поддерживаю методику предложенную A.G.P.. Сам делал подобное но не с такой глубиной, реестр поражённый AMV0 не удавалось выправить, скрытые файлы пропадали . Сейчас перечитал внимательно методику - изъянов нет, респект и +1 :
[QUOTE=A.G.P.;3337052]я бы сказал, что интересный расклад получается вдвойне, т.к на официальном сайте [url]https://mvp.support.microsoft.com/communities/mvp.aspx?adv=1[/url] о таком не слышали :). [/QUOTE]
Действительно интересный:
[url]https://mvp.support.microsoft.com/profile=CEE8CCF9-240A-484F-97FB-C809262E95C0[/url].
Впрочем соглашусь, что искать что-то на сайте МС искуство.
[QUOTE=A.G.P.]Честно говоря, мне все равно, есть/нет статус у Cybercop (оставляю это на его совести). Мое представление о человеке складывается не по картинке на аватаре/бумажке, а по реальным знаниям/даваемым советам. В данном же случае приведенную им рекомендацию .. позитивно оценить не могу [/QUOTE]
Так "все равно", что шпильку снова подпустил ;)
А вот касательно твоего совета - респект. Хоть и для подготовленного юзера, но совет толковый.
TigerS, ладно, проехали :) (расплодилось этих МВПшников, что даже на сайте не успевают добавлять :) ).
AlNet, спасибо за высокую оценку :)
[B]A.G.P.[/B]Это ты так пиписками померился?
Никогда не понимал людей, которым обязательно нужно кого-то утопить, чтобы самому оказаться выше.
[off] Grizli,
Во-первых, не помню, чтобы мы с вами на брудершафт пили, чтобы вы могли мне тыкать.
Во-вторых, все, что было сказано здесь до сообщения 22 включительно, относилось к теме вопроса.
Если я и усомнился изначально в наличии статуса у г-на Cybercop, то основанием для этого послужил его ответ (если бы не знакомый логотип, то на этот ответ я бы и не обратил внимания). А поскольку на некоторых пользователей логотип может послужить сильным фактором для выполнения действий (не всегда правильных), описанных в сообщении, то, предварительно проверив базу данных MVP, в которой г-на Cybercop не нашлось, я и создал сообщение 26. Я рад, что с помощью TigerS все встало на места. Cybercop действительно можно поздравить, т.к. статус MVP просто так не дают. Но его статус никак не сказывается на различных профессиональных подходах в решении проблемы, описанной в данной теме. Касперский (особенно КИС 2009) действительно неплохой продукт, но замыкаться на нем одном (или устраивать его постоянную рекламу) не стоит. Есть более доступные способы решения проблем.
И последнее, Grizli, если по теме сказать нечего, то иногда лучше жевать, чем говорить.
[/off]
У меня сейчас похожая проблема.
Вирус заблокировал Диспетчер задач и Реестр.
Через gpedit.msc невозможно включить их обратно-компоненты удалил вирус.
Антивири заблокировал,при включении установки любоого антивируса-отключает установку.
При входе в Безопасный режим-комп идет в ребут.
Что делать?Чистить хард пока не хочется.
А если хард подцепить к работающей машине и почистить его? Только вот, возможно, системные файлы побьются.
[QUOTE=A.G.P.;3341100][off] Grizli,
Во-первых, не помню, чтобы мы с вами на брудершафт пили, чтобы вы могли мне тыкать.
[/off][/QUOTE]
Ох, простите, что оскорбил Вашу тонкую натуру. Впредь буду с Вами изысканно вежлив и предупредителен.
Уязвленное самолюбие оно обычно, либо по молодости, либо по глупости. В вашем случае вероятнее всего и первое и второе.
Вы бы хоть перед человеком извинились.
[B]DeaDLock[/B] LiveCd
пысы Можно эксплорер прибивать
[B]Gambrinus[/B]
Друган посоветовал вставить LiveCD на основе GNU Убунту и через него перетащить нужные файлы(образы игр,фильмы и музыку) на другой жесткий.
Как вам такой вариант?безопасно?
2DeaDLock - да, вполне безопасно, если не перетаскивать вместе с инфой и вирусы.
Мне обычно кроме AVZ (сейчас он плоховато находить стал, не обновляется) и Dr.Web CureIt! очень помогает Process Explorer с sysinternals.com
С помощью него можно всяких вредителей приостанавливать и убивать. Например, 3 процесса, мониторящие статус друг друга и при убийстве любого из них, запускают его снова.
В PE приостанавливаются, но не убиваются два из них, а потом по очереди убиваются. Начиная с живого :)
В нём же можно отслеживать хорошо всякие левые библиотечки (.dll), которые цепляются к explorer.exe и прочим программкам. Путь на бумажку, всё с этой библиотекой - убить, а потом в меню файл - Run... - Обзор и можно всё спокойно удалять.