Вируса словил, помогите., Теперь беда с WinDows |
Здравствуйте, гость ( Вход | Регистрация )
Все описания припарок и ссылки на сторонние ресурсы, за исключением офсайтов программ и их зеркал, должны оформляться с помощью тега скрытого текста - [hide=1]примочка(тип, автор) + URL [/hide] и никак иначе. За нарушение будет строгое наказание.
Вируса словил, помогите., Теперь беда с WinDows |
REX |
27.03.2008 - 14:28
Сообщение
#1
|
Full Member Группа: Full member Сообщений: 93 Регистрация: 19.10.2003 Из: Morocco Пользователь №: 19285 |
Hi All.
Беда приключилась. Словил я вируса. Kasper ругнулся как, троян TR/Crypt.XPACK.Gen. Файлы Amvo0.exe и dll. Удалить я их смог только руками с дирректории system32. Вроде система фурыкает (XP, SP2), но появилась одна бага: 1. открываешь "мой компьютер" 2. кликаешь на один из дисков 3. сразу вылетает окно "выбор программы для открытия файла", а позиция "использовать ее для всех файлов такого типа" закрыта. 4. теперь мне нужно, находясь в окне "выбор программы" войти в дир. Windows, выбрать explorer.exe и только тогда открывается выбранный диск. И так теперь все время. Вопрос, как "раз'дизаблить" фичу "использовать ее для всех файлов такого типа" в окне "выбор программы для открытия файла"? Сносить систему облом сташный, уже почти год стояла нерушимо. А тут вот кака такая приключилась. (IMG:style_emoticons/bfz/sad.gif) Help мне please (IMG:style_emoticons/bfz/icon_cry.gif) Сообщение было отредактировано REX: 27.03.2008 - 14:37 |
-------------------- Мартини без водки - деньги на ветер.
|
|
HX550c |
27.03.2008 - 17:24
Сообщение
#2
|
Member Группа: Full member Сообщений: 47 Регистрация: 20.04.2005 Из: Москва Пользователь №: 112173 |
Удалить из корня autorun.inf
|
REX |
27.03.2008 - 17:40
Сообщение
#3
|
Full Member Группа: Full member Сообщений: 93 Регистрация: 19.10.2003 Из: Morocco Пользователь №: 19285 |
Да какой autorun.inf ???
Ни один из дисков не открывается ! Продолжу далее повествование. По ходу вычислил откуда принес зверУшку. Только что такая же гадосЬ случилась и на ноуте. Переустановил я прямо сейчас систему на нем. А все равно диски НЕ ОТКРЫВАЮТСЯ (см. п3 первого поста). Они были чистые еще до переустановки! Помогло ТОЛЬКО ФОРМАТИРОВАНИЕ оных. Я так понимаю, вирус прописывает что то в FAT каждого диска! Мужики, надо что то делать! У меня на настольном компе 4 по 500Gb и все забиты соответственно. В принципе войти в них можно, в "Моем компьютере" в верхней строке пишешь I: например, и диск открывается и можно работать с файлами. А так чтобы по клику войти - нельзя. Сообщение было отредактировано REX: 27.03.2008 - 17:45 |
-------------------- Мартини без водки - деньги на ветер.
|
|
LEM |
27.03.2008 - 19:45
Сообщение
#4
|
Full Member Группа: Модераторы Сообщений: 82 Регистрация: 2.05.2003 Из: Астрахань Пользователь №: 10598 |
Лечить зверя лучше всего бесплатной утилиткой DrWeb CureIt! -
=>http://download.drweb.com/files/cureit/cureit.exe Oна корректно находит и удаляет вирус из памяти, а также видит и удаляет его из "X:\System Volume Information\_restore..." По классификации DrWeb вирус называется Trojan.PWS.Wsgame.2387 . Экземпляры вируса могут валяться и во временных папках профилей пользователей. Основное тело вирусa - c:\windows\system32\amvoX.XXX (возможны варианты c:\windows\system32\amvo.exe, c:\windows\system32\amvo.dll, c:\windows\system32\amvo0.exe, c:\windows\system32\amvo0.dll и т.д.). После внедрения активно порождает autorun.inf и nideiect.com в корне дисков. Именно из-за первого из этих двух файлов не получается открывать диски - он вместо открытия с помощью второго создаваемого файла заново внедряется в систему. Вирус внедряется как руткит и прячет свое наличие в системе - его не видно как файл и процесс, кроме того он не позволяет включить показ в системе скрытых файлов (в свойствах папки). Последнее остается даже после удаления вируса и лечится только ковырянием в реестре. Для восстановления нормальной работоспособности я сочинил такой рег-файлик: ---> begin here <--- REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced" "CheckedValue"=dword:00000001 ---> end here <--- P.S. Описание мое собственное, может где и ошибся. Но помочь должно. |
REX |
27.03.2008 - 20:07
Сообщение
#5
|
Full Member Группа: Full member Сообщений: 93 Регистрация: 19.10.2003 Из: Morocco Пользователь №: 19285 |
Все верно, все описанное правда!
Я тут посидел, поковырялся немного, и точно в корне каждого диска - EXE файл и autorun.inf Файлы эти удаляю DоsNavigator'ом, а они на глазах появляются опять в корне. @ HX550c А не видел я их в Windows потому что спрятанные они были. DоsNavigator'ом они сразу и проявились. И что характерно, в DN меняешь у файла атрибуты, а они сами собой устанавливаются. Вот запускаю cureit. Будем посмотреть. СПАСИБО (IMG:style_emoticons/bfz/merci.gif) |
-------------------- Мартини без водки - деньги на ветер.
|
|
REX |
28.03.2008 - 12:06
Сообщение
#6
|
Full Member Группа: Full member Сообщений: 93 Регистрация: 19.10.2003 Из: Morocco Пользователь №: 19285 |
DrWeb CureIt утилитка не бесплатная. Да и не удаляет она amvoX.XXX. А просто перемещает его в дир. Quarantine. Но потом этот самый amvoX.XXX появляется там же. Из этого следует, что и память CureIt не сканит (наверно пока не заплатишь).
Вобщем сделал я следующее. 1. сделал загрузочный CD с Win98 (только система+DosNav) Nero'й. 2. Загрузился с него, выгрыз с c:\windows\system32 файлы Amvo0.exe и dll (благо C:\ у меня - FAT32) 3. Поудалял подозрительные ехе'шники с корней FAT'овских дисков. 4. Перегрузился в ХР, и с этого же CD в DN'е потер autorun.inf и всё теже ...ные exe'шники с NTFS дисков. Вот пожалуй и всё. Система фурыкает. Да, вот еще, снёс я етот KAV6 под корень. Установил седьмой. Отстрел зверей вроде пошел правильно. Вобщем Merci вам большое. (IMG:style_emoticons/bfz/thumbsup.gif) |
-------------------- Мартини без водки - деньги на ветер.
|
|
LEM |
28.03.2008 - 16:15
Сообщение
#7
|
Full Member Группа: Модераторы Сообщений: 82 Регистрация: 2.05.2003 Из: Астрахань Пользователь №: 10598 |
DrWeb CureIt утилитка не бесплатная. Да и не удаляет она amvoX.XXX. А просто перемещает его в дир. Quarantine. Но потом этот самый amvoX.XXX появляется там же. Из этого следует, что и память CureIt не сканит (наверно пока не заплатишь). Еще какая бесплатная. Скачиваем последнюю версию по ссылке, которую я указал выше, и лечим. А если есть сомнения в правильности настроек - жмем F9 -> Действия, и устанавливаем необходимые действия для нужных типов объектов, в частности - "Неизлечимые" -> "Удалить" (вместо "Переместить"). P.S. Два дня назад получили комп с таким вирусом, для пользователя ставили NOD32 - он и обнаружил вирусную активность, но вылечить не смог. Вылечил именно так, как и описал выше. |
BORN |
8.05.2008 - 12:35
Сообщение
#8
|
Novice Группа: Пользовaтели Сообщений: 8 Регистрация: 13.07.2007 Пользователь №: 191367 |
А чтобы autorun.inf не был страшен автозапуск устройств надо запретить в gpedit.msc . И еще пользуйтесь утилитой AVZ - и бесплатно и эффективно!
|
portmone |
9.05.2008 - 09:09
Сообщение
#9
|
Novice Группа: Пользовaтели Сообщений: 4 Регистрация: 27.04.2008 Пользователь №: 209837 |
А я просто использовал мелкую прогу. Она кстати так и называется anti_autorun и весит всего 108КВ. В основном вирус этот заносится через флэшки. Уже не один комп заразили как на работе так и дома. Выручила именно лечилка эта использовал ее, комп перезагрузился и се тебе. Пользуйся дальше.
|
stark |
11.05.2008 - 19:01
Сообщение
#10
|
Novice Группа: Пользовaтели Сообщений: 6 Регистрация: 11.05.2008 Пользователь №: 210486 |
Эта дрянь замечательно лечится, например Awast'ом...
+ все проверки лучше проводить в "безопасном режиме". |
CheD |
3.06.2008 - 05:01
Сообщение
#11
|
Full Member Группа: VIP Сообщений: 295 Регистрация: 10.11.2004 Пользователь №: 69154 |
Если машина с инетом можно сюда http://www.kaspersky.ru/virusscanner и в онлайне проверить.
Хотя лучше DrWeb CureIt только загрузиться в безопасном режиме. |
SashJ |
3.06.2008 - 15:50
Сообщение
#12
|
Full Member Группа: Full member Сообщений: 133 Регистрация: 30.01.2004 Из: г.Харьков Пользователь №: 31975 |
Не! Ну что за детский сад? ейбогу.
Кто лечит вирусы(exe) из под винды!!? Еще и с руткит фунцией. Сразу же после загрузки Вирь уже в оперативке, и ясен пень он сделает все чтоб не дать себя грохнуть. и это он еще по лоховски себя ведет, что дает обнаружить файлы своего запуска и что-то с ними сделать. Грузиться и сканить систему надо только с компакта (WinPE, специально созданные антивирем(KavRiscueCD) и тп) (и сканить) и ручками гробить а потом сканить (с сд) (При этом не запуская ни одной программы с винта или флехи!!!) антивирем, а если точно известно что за зверь и какие файлы в системе его запускают,(если вирь не заражает поголовно все ехе ) то убив их ручками, загрузить винду и сканить(долечивать) из под нее. А так нечего удивляться что авторун тутже появляется, а в принципе сканирование зараженной машины из зараженной системы даже самым крутым антивирусом (при соответствующем уровне вируса(хороший руткит)) бесполезно! (антивирь его не видит, а даже если видит то убить неможет) и более того ведно так как может способствовать более быстромуи фатальному распложению заразы по винту А уже После очистки системы удалять последствия (типа реестр чистить, возвращать на место настройки и тп) ПС загрузочный компакт можно сделать на чистой системе. Сообщение было отредактировано SashJ: 3.06.2008 - 15:53 |
-------------------- Форумчане! Решив проблемму пишите как!
|
|
MethodMan |
18.07.2008 - 21:42
Сообщение
#13
|
Novice Группа: Новичок Сообщений: 1 Регистрация: 3.07.2008 Пользователь №: 213416 |
вылечил всю сеть от этой пакости NOD'ом без проблем и гемороя...а вот за рег для поднятия возможности просматривать скрытые отдельная благодарность
|
gvinpinn |
10.11.2008 - 10:54
Сообщение
#14
|
Novice Группа: Новичок Сообщений: 2 Регистрация: 14.10.2008 Пользователь №: 219201 |
Хоть тема и исчерпала себя, добавлю. Поймал такого же гаденыша. Избавился просто: сунул флэшку, посмотрел, че на нее скопировалось без моего ведома. После тупо ввел имена в поиск, и удалил все, что нашлось (IMG:style_emoticons/bfz/biggrin.gif) Autorun.inf был там же. После перезагрузки диски открываются как раньше.
|
Andrewp |
12.11.2008 - 09:47
Сообщение
#15
|
Novice Группа: Пользовaтели Сообщений: 15 Регистрация: 3.11.2005 Пользователь №: 140372 |
Добавлю еще своих 5 копеек :)
Часто бывает достаточно просто излечиться от вируса без антивирусника. Прошу заметить что "часто", а не "всегда". Правда при этом маленько разбираться в Виндовс все-таки нужно. 1) Если разбираемся хорошо, то сразу идем в службы и останавливаем все подозрительные переводя их в режим "Отключено". Также смотрим исполняемый файл у этой службы. В русской винде это сделать проще, т.к. все подозрительные службы будут названы по-английски, будут вверху и их будет немного. После чего смотрим что находится подозрительного в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, есть еще несколько мест в реестре, откуда производится автозагрузка файлов, но там реже попадаются. Убиваем процессы в памяти, которые показались подозрительными в службах и реестре (то есть смотрим название файла в реестре или в свойствах службы и после этого завершаем процесс через диспетчер задач) Удаляем или переименовываем сами файлы. Упс, чуть не забыл, еще ведь есть стандартная Автозагрузка :) ее тоже смотрим. Только после всего этого! перегружаемся. По крайней мере это часто позволяет избавится от автозагруки вируса. 2) Если шибко не разбираемся, то нужен антивирусник, который если не удалит, то по крайней мере покажет название зараженного файла. Сразу ищем его в процессах и убиваем. Самого файла при этом можно не найти, т.к. антивирусник скорей всего переложит его в карантин. Как только убили процесс, ищем название файла в реестре и в службах, соответственно, если находим - удаляем. После перезагрузки вирус уже не должен торчать в памяти. Прогоняем еще раз антивирусник. Если не снять процесс (то есть не убить вирус в памяти), то после благополучного удаления файла он будет снова появляться :) По поводу Autorun.inf. Во-первых включите просмотр скрытых и системных файлов. Во-вторых, на диск или флешку заходите путем ввода пути непосредственно в адресную строку, например e: и Enter. Кстати, еще один способ найти вирус :) Открываем блокнотом этот Autorun.inf и смотрим, что там запускается. |
AndyBitOff |
12.11.2008 - 17:02
Сообщение
#16
|
Gold Member Группа: Супермодераторы Сообщений: 783 Регистрация: 2.11.2004 Из: Saint-Petersburg (Russia) Пользователь №: 67823 |
Как-то и я пропустил эту тему. Просмотрев бегло посты решил тоже внести свою лепту в общее дело.
Что бы не создавался Autorun.inf на носителе, достаточно создать в корне папку "Autorun.inf" (без кавычек), и тогда можно спокойно вставлять, например флешку, в любой компьютер. Файл Autorun.inf просто не сможет создатся. |
-------------------- Если ты сегодня кому-то помог, значит, день прожит не зря и завтра, возможно, помогут тебе. (кредо)
|
|
Andrewp |
12.11.2008 - 19:13
Сообщение
#17
|
Novice Группа: Пользовaтели Сообщений: 15 Регистрация: 3.11.2005 Пользователь №: 140372 |
да, можно и так, но только лучше еще поставить атрибут "read only" на файл, а то может и перезаписаться.
|
AndyBitOff |
12.11.2008 - 19:39
Сообщение
#18
|
Gold Member Группа: Супермодераторы Сообщений: 783 Регистрация: 2.11.2004 Из: Saint-Petersburg (Russia) Пользователь №: 67823 |
На какой файл?
|
-------------------- Если ты сегодня кому-то помог, значит, день прожит не зря и завтра, возможно, помогут тебе. (кредо)
|
|
Andrewp |
13.11.2008 - 06:47
Сообщение
#19
|
Novice Группа: Пользовaтели Сообщений: 15 Регистрация: 3.11.2005 Пользователь №: 140372 |
ну естественно на Autorun.inf :) а так он может и перезаписаться.
хотя...я сейчас подумал, что лучше его не создавать самому. Ведь когда его нет, ты точно знаешь, что его создаст вирус и он сразу вызовет подозрение. А когда создаш сам, будешь думать, что все в порядке и что мол вирус этот Autorun.inf не перепишет, но ведь 100% уверености в этом быть не может. Следовательно в один прекрасный день у тебя заведется вирус, который перепишет этот Autorun.inf, но ты при этом будешь думать, что лежит твой чистый файл. Проще файл заметить на самой флешке, чем проверять каждый раз содержимое Autorun.inf, не записалось ли туда чего. |
Реклама
|
|
|
|
|
|
Текстовая версия | Сейчас: 25.04.2024 - 22:49 |
|