Поймали крутой вирус!!! Нужна помощь!!! 

2 indifound - Спасибо!

протрезвею, возьмусь править сису))) (результаты напишу сюда)

(оффтоп - кто стекло разбил так и не выяснил )

Вобщем по мне лицензионный Касперский 2009 всвязке с AdAware SE надежная штука.Пока был Касперский 7.0 поймал вирус "Калина".Дело было так ,зашел на левацкий сайт ,открыл картинку ,после этого комп завис .Пришлось вырубать комп от сети.Потом ,перестал осуществляться выход на сайт Касперского ,потом выход в интернет "страница не найдена",отправьте отчет об ошибке.Потом компьютер вобще перестал запускаться с перезагрузки.Вобщем оттарабанил его на работу и там его наши спецы запаралелив с другим системником Касперским мочканули его со второй попытки.

indifound писал :

Вариант 2: скачай по бырому FAR (он небольшой).
Зайди с помощью FAR на D: и проделай все те же операции.
Перезагрузиться тоже придется.

только надо рестр почистить ещё ручками или утилиткой, а потом удалять авторан этот сволочной, который по ходу половину компов поперезаржал в омске)))
я ручками чистил когда столкнулся

anonimus писал :
только надо рестр почистить ещё ручками или утилиткой, а потом удалять авторан этот сволочной, который по ходу половину компов поперезаржал в омске)))
я ручками чистил когда столкнулся

Окстись, человек уже систему переставил, это у него остатки виря на D: болтаются. Просто autorun надо грохнуть. Это когда вирь только вылечил, без переустановки, то чтобы разблокировать ключ, который разрешает показывать скрытые и системные файлы, нужно править реестр.

indifound писал :Окстись, человек уже систему переставил, это у него остатки виря на D: болтаются. Просто autorun надо грохнуть. Это когда вирь только вылечил, без переустановки, то чтобы разблокировать ключ, который разрешает показывать скрытые и системные файлы, нужно править реестр.

пардон не взял во внимание)))
хотя я как то видел как чел из этой заразы переставлял ситему, но потом я смеялся до слёз, когда юбнаружил что тот вставил флешку на которую преписывал какие то файлы с компа, до преустановки и востанавивал с неё инфу......))) (антивиря небыло, а мне удалять руками было некогда)
матов было этажей 5)))

anonimus писал :только надо рестр почистить ещё ручками или утилиткой, а потом удалять авторан этот сволочной, который по ходу половину компов поперезаржал в омске)))
я ручками чистил когда столкнулся

мне на ум приходила мысль что я цепанул тот самый вирь, который лез через дырко-уязвимость в IE и пытался через эксплорер зайти на свой родной китайский сайт ксяньхуа чегототамточко.cn и слить туда все парольчеги...

в итоге полвечера сидел за компом (с отключеной мадемой ) и пытался сидюкой при загрузке отловить эту анафему и отправить её как мин в карантин, но она в карантин не хотела и пришлось мне из диспетчера завершать через каждые полчаса процессы под названиями INTERNAT, 0001, 0002, 0003 пока у соседей не скачался АВАСТ и победил таки (хоть и частично) этот фэншуй)))

anonimus
гиви ,у меня есть эти танцы.....

Скачай Dr. Web утилита - CureIT - типа излечить сейчас.
И не слушай никого.

посты объединяй

Если Автор темы таких больших познаний.... то не чего он сделать не сможет.... в лучшем случаи удаляя вирус с несет и операционку.... вирус нужно не только антивирусом но и ручками удалять.....
Короче таки случаев дофига а итог почти один..

Vernunft писал :Если Автор темы таких больших познаний.... то не чего он сделать не сможет.... в лучшем случаи удаляя вирус с несет и операционку.... вирус нужно не только антивирусом но и ручками удалять.....
Короче таки случаев дофига а итог почти один..

+1 Раз уж у нас бывшая страна советов :) еще несколько советов ПРОСТЫМ пользователям:
устанавливать winXP из под дос - и выбирать fat32 - тогда вы будете иметь возможность загружать две системы и много чего из заразы можно удалить вручную из под доса в том числе с флешек на которых часто она переносится
установить таки утилиту erdnt с автоматическим ежедненым сохранением реестра - тогда вы из под доса сможете восстановить девственный реестр который был до заражения
удалить папку web folder хотя ее существование законно - но это убежище заразы
можно лечить снятый диск вручную и антивирусом на другом пк с
win98 эту систему зараза уже забыла :) и не повредит.

С новым годом всех...

Бункер писал :
устанавливать winXP из под дос - и выбирать fat32 - тогда вы будете иметь возможность загружать две системы и много чего из заразы можно удалить вручную из под доса в том числе с флешек на которых часто она переносится

WinXP с ее NT-ядром оптимизирована под NTFS, кроме того, FAT32 достаточно ненадежная система, которая легко валится вирусней. Первым делом, когда вижу у клиента FAT32 от такого "умного" советчика, набираю "convert x:/FS:NTFS" и конвертирую файловую систему.
А что, две системы на NTFS нельзя иметь? Зачем они нужны вообще, если можно загрузиться с диска BartPE или Hiren Boot CD, и получить полный доступ к файлам NTFS? C флешек можно удалять FAR'ом или TotalCommander.

Цитата :установить таки утилиту erdnt с автоматическим ежедненым сохранением реестра - тогда вы из под доса сможете восстановить девственный реестр который был до заражения

В принципе совет вроде как правильный, но польза небольшая от него, вири помимо реестра портят системные файлы, в итоге переустановка винды.

Цитата :
удалить папку web folder хотя ее существование законно - но это убежище заразы

Это вообще о чем? C Temporary Internet Files не перепутал?

Цитата :
можно лечить снятый диск вручную и антивирусом на другом пк с
win98 эту систему зараза уже забыла :) и не повредит.

Занавес. У кого ты щас найдешь win98, когда тебе срочно понадобится? На современное железо она даже не устанавливается. Тем более свежи антивири не устанавливаются на нее.

Цитата :
С новым годом всех...

вот кроме этого лучше б ничего не писал.

у меня тоже был этот китайский авторан,вылетало окн она китайском мол посетите наш китайский новостной сайт [внешняя ссылка] если даже не куда не жать всё равно заходил,по начвалу не знал как избавиться потом форматнул 1 раздел где была винда поставил туда аваста (не заходя на остальные разделы), обновил базы, проверил сканированием которое при перезагрузке тогда аваст и справился на 100\%. теперь всё работает без косяков, жаль конешно чт окуча ехе файлов полетело.

indifound писал :

вот кроме этого лучше б ничего не писал.

И тебе успехов...

1. web folder ищи и найдешь...

2. fat32 -Acer не брезгует предустановкой на ноуты...

Бункер писал :
1. web folder ищи и найдешь...

Не найду. Ты вот про это?
[внешняя ссылка]

Цитата :
2. fat32 -Acer не брезгует предустановкой на ноуты...

Хочешь сказать, Acer ставит Vista и XP на FAT32? Или все таки FAT32 там только маленький раздельчик, откуда образ системы распаковывается? Так это проблемы Acer, что они на NTFS это не могут реализовать. Acronis, например, эту проблему для себя давно решил.

1. Никакой антивирус не спасает от вирусов умеющих модифицировать код.
2. В списке задач вирус не виден. Особо злобные работают на уровне драйверов.
3. Бывает вирус вы прибили, а комп все равно не запускает программы. Реестр попорчен, а руками его правит ой как муторно:

Вот помощь (http://www.dougknox.com/xp/file\_assoc.htm):

Windows Registry Editor Version 5.00

[-HKEY\_CLASSES\_ROOT\exefile]

[-HKEY\_CLASSES\_ROOT\.exe]

[HKEY\_CLASSES\_ROOT\.exe]
@="exefile"
"Content Type"="application/x-msdownload"

[HKEY\_CLASSES\_ROOT\.exe\PersistentHandler]
@="{098f2470-bae0-11cd-b579-08002b30bfeb}"


[HKEY\_CLASSES\_ROOT\exefile]
@="Application"
"EditFlags"=hex:38,07,00,00
"TileInfo"="prop:FileDescription;Company;FileVersion"
"InfoTip"="prop:FileDescription;Company;FileVersion;Create;Size"

[HKEY\_CLASSES\_ROOT\exefile\DefaultIcon]
@="\%1"

[HKEY\_CLASSES\_ROOT\exefile\shell]

[HKEY\_CLASSES\_ROOT\exefile\shell\open]
"EditFlags"=hex:00,00,00,00

[HKEY\_CLASSES\_ROOT\exefile\shell\open\command]
@="\"\%1\" \%*"

[HKEY\_CLASSES\_ROOT\exefile\shell\runas]

[HKEY\_CLASSES\_ROOT\exefile\shell\runas\command]
@="\"\%1\" \%*"

[HKEY\_CLASSES\_ROOT\exefile\shellex]

[HKEY\_CLASSES\_ROOT\exefile\shellex\DropHandler]
@="{86C86720-42A0-1069-A2E8-08002B30309D}"

[HKEY\_CLASSES\_ROOT\exefile\shellex\PropertySheetHandlers]

[HKEY\_CLASSES\_ROOT\exefile\shellex\PropertySheetHandlers\PifProps]
@="{86F19A00-42A0-1069-A2E9-08002B30309D}"

[HKEY\_CLASSES\_ROOT\exefile\shellex\PropertySheetHandlers\ShimLayer Property Page]
@="{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"

[HKEY\_CLASSES\_ROOT\exefile\shellex\PropertySheetHandlers\{B41DB860-8EE4-11D2-9906-E49FADC173CA}]
@=""