Погода: -12°C
Samara24.Форум /Компьютеры Интернет Связь / Операционные системы и системное ПО /

Как удалить вирус?

ПечатьRSSДеревом

  • Смех смехом, но на старости лет умудрился я на рабочем месте заразить компьютер вирусом.

    Как зараза прицепилась, до сих пор не знаю.
    ОС поставил сам, после неё сразу же поставил корпоративный антивирус.

    Буквально в тот же день стал замечать нездоровые тормоза на рабочей станции.
    Просмотрел список процессов через Диспетчер задач, увидел процесс с именем WINWORD.EXE.
    MS Word в этот момент запущен не был.
    Снимаю этот процесс "руками". Тормоза заканчиваются, но ненадолго.
    Опять наблюдаю этот процесс запущенным, опять убиваю "руками". Ну и так далее. :-)

    ОС MS Windows XP SP2.
    Антивирус Trend Micro OfficeScan.

    Антивирусом сделал полное сканирование всего и вся.
    Ничего не находит.
    В этом же антивирусе воспользовался функцией удаления червей - она пошуршала и вернула сообщение, что червей нет.

    В автозагрузке ничего подозрительного тоже нет - смотрел и в msconfig, и в реестре Run и RunOnce всех юзеров.

    Но процессы то с именем WINWORD.EXE, то с любым другим (видимо, случайно сгенерированным из букв и цифр) именем несколько раз за день замедляют работу компьютера. Как лечить, не знаю.

    Местные ИТ-шники разводят руками - ничего кроме полной переустановки предложить не могут.
    Подскажите вариант поэлегантнее - как грохнуть эту заразу?

  • Ответ на сообщение Как удалить вирус? пользователя walking_corpse

    AVZ тебе в руки... С помощью него даже warezov со Stration выкорчёвывали...

    Кстати, установки не требует...

    Wir werden alle sterben

    Исправлено пользователем Stalker (19.01.07 15:36)

  • Ответ на сообщение Re: Как удалить вирус? пользователя Stalker

    Спасибо, пропробую.
    Только придумаю как заполучить её - скачать мне не получится.

  • Ответ на сообщение Re: Как удалить вирус? пользователя Stalker

    avz чесс говоря здесь не поможет.Если это vbs вирусняк.он его не видит.хотя я может путаю с типом winfile.exe :eek:
    но все же стоит попробовать.

    Хранитель Вечной ИНГЛИИ, Храма РОДа Божественного.

  • Ответ на сообщение Re: Как удалить вирус? пользователя walking_corpse

    Есть такая програмулина "Autoruns
    Copyright © 1996-2005 Mark Russinovich and Bryce Cogswell
    Sysinternals - www.sysinternals.com", она много глубже копает автозапуск и позволяет его редактировать. Попробуйте, может поможет. Объем - меньше метра.

    А какие проблемы со скачиванием аваста?

    С уважением

  • Ответ на сообщение Re: Как удалить вирус? пользователя walking_corpse

    Гляньте сюда http://www.symantec.com/security_response/writeup.jsp?docid=2005-062411-3253-99&tabid=2

    Этот конь запускает процесс ВОРД, по симптомам похоже, посмотрите все три вкладки.... есть рекомендации по лечению (правда на аглицком).

    Инфа началась отсюда http://wiki.compowiki.info/ProcessyWindows/winu

    процессы и их увязка с вирями.

    Удачи.
    :ухмылка:

    С уважением

  • Ответ на сообщение Re: Как удалить вирус? пользователя aleks_p

    На последнего, но отвечаю на все посты:

    1. С закачкой как AVZ, так и любых других испольняемых файлов и архивов, проблемы у меня простые: в местной корпоративной ЛВС это запрещено политиками безопасности.

    2. Спасибо Stalker-у, не поленившемуся прислать AVZ мне в e-mail. :-)
    AVZ, в результате скана, тоже ничего не нашла. С настройками скана вроде бы всё в порядке (сканировал несколько раз, незначительно изменял настройки).
    Червяк всё равно продолжает запускать процессы с именами, случайным образом составленными из букв и цифр.
    Ага, а вот в данный момент снова висит процесс с именем WINWORD.EXE.

    3. В описании вируса Trojan.Kangenie написано, что он запрещает вызов Диспетчера Задач и Редактора Реестра, прописывая соответствующие ключи в реестр.
    На моей рабочей станции ничего такого не наблюдается.
    Посему, можно предположить, что это какой-то другой вирус.

    4. За ссылки спасибо! Поищу на тех ресурсах ещё.

  • Ответ на сообщение Re: Как удалить вирус? пользователя walking_corpse

    лучше всего отцепить жесткий диск и просканировать на другой машине

  • Ответ на сообщение Re: Как удалить вирус? пользователя vulk

    ...либо расшарить винт, подцепить его по сети с другой машины и просканировать.
    Предлагал админам, не хотят, без объяснения причин.

  • Ответ на сообщение Re: Как удалить вирус? пользователя walking_corpse

    скромное предложение:
    под правами администратора
    1.открываем regedit.
    2.открываем ветку HKLM.
    3.ветка software -> microsoft -> windows -> CurrentVersion -> run... ну и найти что-то подозрительное.
    возможно здесь прописань путь к какому-нибудь загрузчику вирусни.
    кстати, сам тоже ставлю на ПК-ы trend и первым делом в процессах озадачило появление разных процессов типа EK1E3B.exe при более глубоком копании - Trend'овая штука.

    Хранитель Вечной ИНГЛИИ, Храма РОДа Божественного.

  • Ответ на сообщение Re: Как удалить вирус? пользователя bahtey

    В ответ на: software -> microsoft -> windows -> CurrentVersion -> run
    Вы не поверите, но в винде есть еще много мест в реестре, куда можно повесить автозапуск. Причем, гораздо более незаметно... В Run закидывать - подход пионерский, это можно и не через реестр увидеть, а msconfig'om. Гораздо правильнее использовать Sysinternals Autoruns для мониторинга автозапуска.

    Кто яростно ненавидит мотоциклистов тот сам латентный мотоциклист.

  • Ответ на сообщение Re: Как удалить вирус? пользователя bahtey

    В ответ на: 3.ветка software -> microsoft -> windows -> CurrentVersion -> run.
    В первом посте топика писал, что уже проверил это.
    Там всё пучком.

    В ответ на: кстати, сам тоже ставлю на ПК-ы trend и первым делом в процессах озадачило появление разных процессов типа EK1E3B.exe при более глубоком копании - Trend'овая штука.
    Процесс с именем WINWORD.EXE - уж точно не Trend-овая штука. :-)

  • Ответ на сообщение Re: Как удалить вирус? пользователя walking_corpse

    Возьмите утилитки DrWeb CureIt, Avast!VirusCleaner или подобные от других производителей. А лучше 2-3 варианта.
    Перегрузите систему в SafeMode (Безопасный режим) и прошерстите системный раздел.
    Можно и установленным антивирем, если он рабочий и вирусная база у него последней версии.
    Пройтись утилитой Ad-aware, например.
    Прошерстить реестр на предмет следов опознанного виря.
    Как это сделать можно прочитать, например, на ЭТОМ сайте.

    "Nell'era Delle Сamminatore"

  • Ответ на сообщение Re: Как удалить вирус? пользователя ganymed

    дельный совет!и в безопасном все конечно (хотя ad-aware еще и в реальном времени после прогнать).
    но если есть возможость скачать CureIt!который последний я качал уж слишком жирный стал и не шибко "доктористый" как показалось,да плюс баннеры.но не в этом суть.
    Методы борьбы есть и их надо пробовать.

    к PN: ясен пень что мест достаточно откуда авторан забабахать.но это в целом 90% - как место откуда грузить.

    Хранитель Вечной ИНГЛИИ, Храма РОДа Божественного.

  • Ответ на сообщение Re: Как удалить вирус? пользователя ganymed

    В ответ на: Пройтись утилитой Ad-aware, например.
    Установил Lavasoft Ad-Ware SE Personal.
    Единственное, у него Virus Definitions аж полуторагодичной давности, и обновить я их не cмогу.
    Но на безрыбье - сами понимаете.

    По результатам скана, руганулся только на файлы Tracing Cookies. Я погрохал их, на всякий пожарный.

    Утром, когда я пришёл на работу, один "левый" процесс быд запущен - я грохнул его руками.
    После скана, червяк пока что не показывается.
    Посмотрим, что будет дальше.

    В ответ на: (хотя ad-aware еще и в реальном времени после прогнать).
    Хотелось бы, но не получится: Personal Edition этого не умеет.

  • Ответ на сообщение Re: Как удалить вирус? пользователя bahtey

    В ответ на: ясен пень что мест достаточно откуда авторан забабахать.но это в целом 90% - как место откуда грузить
    Них**а не понял, ну да ладно... Продолжайте...

    Кто яростно ненавидит мотоциклистов тот сам латентный мотоциклист.

  • Ответ на сообщение Re: Как удалить вирус? пользователя aleks_p

    В ответ на: www.sysinternals.com", она много глубже копает автозапуск и позволяет его редактировать. Попробуйте, может поможет. Объем - меньше метра.
    Внимательно просмотрел в окне этой утилитки как закладку "Logon", так и все другие закладки.
    Ничего подозрительного не вижу.

    А, тем временем, червяк не проявляется уже несколько часов.
    Неужели те самые Tracing Cookies, что вычистил Lavasoft Ad-Ware?

  • Ответ на сообщение Re: Как удалить вирус? пользователя walking_corpse

    "Пилите, Шура, пилите....". - С. Копайте глубже, коллега.
    :ха-ха!:

    С уважением

  • Ответ на сообщение Re: Как удалить вирус? пользователя walking_corpse

    > Неужели те самые Tracing Cookies, что вычистил Lavasoft Ad-Ware?

    99%, что нет. Tracing Cookies бывают практически всегда.

  • Ответ на сообщение Re: Как удалить вирус? пользователя walking_corpse

    В ответ на: Установил Lavasoft Ad-Ware SE Personal.
    Единственное, у него Virus Definitions аж полуторагодичной давности, и обновить я их не cмогу.
    Но на безрыбье - сами понимаете.
    Могу базу выложить или переслать.
    Но весит около мега.
    В ответ на: Утром, когда я пришёл на работу, один "левый" процесс быд запущен - я грохнул его руками.
    После скана, червяк пока что не показывается.
    Посмотрим, что будет дальше.
    Где-то все же не дочистили.

    "Nell'era Delle Сamminatore"

  • Ответ на сообщение Re: Как удалить вирус? пользователя walking_corpse

    В ответ на: Единственное, у него Virus Definitions аж полуторагодичной давности, и обновить я их не cмогу.
    прямая ссылка на последнюю базу

    TEMPORA MUTANTUR, ET NOS MUTAMUR IN ILLIS.
    "Никогда не доверяй женщинам ...!"
    My Motherland - the USSR...

  • Ответ на сообщение Re: Как удалить вирус? пользователя Anomander

    Знаю, потому и удивлялся.
    Сегодня уже не удивляюсь - червяк жыфф! :-))
    (Так и хочется добавить - "Беня будет мстить!")

  • Ответ на сообщение Re: Как удалить вирус? пользователя walking_corpse

    какая-то у вас затянувшаяся борьба с вирусом....
    попробуйте все winword.exe (кстати он один на всем компе?) переименовать на время, допустим в winword_.exe, посмотреть что выйдет.

    "Самый мудрый внешне во всём подобен самому глупому", народная китайская мудрость.

  • Ответ на сообщение Re: Как удалить вирус? пользователя tpi

    Сам удивляюсь. :-)
    Полагаю, всех читателей этого топика уже задрал с этим червяком.

    Сегодня утром обновил Virus Definitions в LAvasoft Ad-Ware (ganimed, спасибо!), в данный момент дела уже третий скан, с настройками разной "глубины".
    Процесс с именем WINWORD.EXE как торчал, так и торчит.
    Специально пока не снимаю его - пусть Ad-Ware его найдёт.

    Если не найдёт, сделаю как Вы советуете.

  • Ответ на сообщение Re: Как удалить вирус? пользователя walking_corpse

    В ответ на: Процесс с именем WINWORD.EXE как торчал, так и торчит
    А с чего вы вообще решили, что это вирус? Вроде у Офис ХР была такая фишка, что после запуска ворда и его закрытия ворд не закрывается, а остается как бы "предзапущенным"... Еще там какая-то ускоряющая примочка в автозапуск прописывалась...

    Надо поставить Sysinternals Process Explorer и проверить, кто и откуда запускает этот WINWORD.EXE...

    Кто яростно ненавидит мотоциклистов тот сам латентный мотоциклист.

  • Ответ на сообщение Re: Как удалить вирус? пользователя walking_corpse

    Да не за что.

    Про проблему. Поди сканите в нормальном режиме? Это зря.
    Надо загрузиться в Безопасный режим(Safe Mode). Оттуда и сканить.
    А Ad-aware надо настроить так:
    в окне Preparing System Scan
    - Use custom scanning option
    - Search for negliglible risk entries
    - Search for low-risk threats

    в меню Use custom scanning option:
    - Scan within archives
    в разделе Memory & Registry включить все опции.

    Еще можно воспользоваться Tauscan от Agnitum.
    Он тоже типа Адаваре, но с монитором по-умолчанию.

    Еще раз напоминаю. Сканить вири надо в Безопасном Режиме(Safe Mode) ОС.
    А лучше загрузиться с загружаемого СД с системой, где установлены антивири.
    Такой можно сотворить с помощью проги BartPE.

    Так же стоит почитать наwww.viruslist.com описание найденного антивиря и как его выковырить из системы.

    "Nell'era Delle Сamminatore"

  • Ответ на сообщение Re: Как удалить вирус? пользователя ganymed

    Всё так и сделал.
    Ad-Aware снова нашло несколько Tracing Cookies, и ничего более.

  • Ответ на сообщение Re: Как удалить вирус? пользователя PN

    В ответ на: А с чего вы вообще решили, что это вирус? Вроде у Офис ХР была такая фишка, что после запуска ворда и его закрытия ворд не закрывается, а остается как бы "предзапущенным"...
    Признаюсь, не знал про эту фишку.
    Сегодня заметил, что процесс WINWORD.EXE оказывается запущенным каждый раз после создания и отправки письма через MS Outlook.
    Тогда вроде как всё пучком - MS Word ведь как раз и служит редактором для создания новых писем.
    И висит себе потом "предзапущенным".

    И ещё выше кто-то писал, что время от времени запускаемые процессы со случайно сгенерированными именами - это фишка антивируса TrendMicro.

    Нда, надо что-то делать с параноей. :-)
    Всем помогавшим советами и присылавшим файлики - огромное спасибо!

  • Ответ на сообщение Как удалить вирус? пользователя walking_corpse

    Позвольте пока не закрывать тему.
    Ситуация была следующая: На компе был вирус - точно был, множился в все папки которые только можно. Но удалять было бесполезно, так как главный червь сидел в процессе csrss.exe - а вот его убить ну никак нельзя - не смотря на то, что авнтивирус его находил (Аваст) - предалагал лечить, но не мог, пробовал при перезагрузке и в безопасном и всяко, но службу эту никак нельзя выключить.
    Но таки удалось его обезвредить, слабо понял как - примерно - понизил приоритет, переименовал файл, который запускал эту службу, процесс smss.exe (увидеть смог это при помощи программы TaskInfo) В итоге удалялись какие то системные файлы, из каталога Windows.
    Думал система не встанет после такого, уже готовлся к переустановке системы. Раньше просто был опыт - невозможности избавления от этой гадости (TaskInfo не запускался, Каспер не запускался - принимал решение на переустановку). А тут чужая машина, думал все таки олучиться вылечить.

    В итоге машина загрузилась, НО после экрана приветствия чистый экран, с заставкой, без ярлыков, указатель мыши и все . Работает сочетание ctrl alt Del пробую запустить Эксплорер (explorer) вручную, говорит нет такого файла (браузером проверил и даже скопировал другой - есть). В итоге есть комп без вирусов, но не нормально работающий, что подскажете ? Что нужно запускать, что бы запустилась задача эксплорера?

    Да и вообще как удалять вирусу, если они прицеплены к системным файлам?

    Для себя понял самое верное - разрешать работать только под правами Пользователя, сам пока не научился, а вот на домашнем компе для семьи сделал.

  • Ответ на сообщение Re: Как удалить вирус? пользователя WAndreyW

    Инфа от Веба

    Лечение в удалении ветки реестра
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe

    Может и мне кто подскажет.
    Поймался на бук вирь.
    Нортон и каспер его не узнают. Отключает все USB девайсы (флэшу воткнул, она опозналась, октрылась, потом закрылась, в девайсах ее немае)
    Нашел подозрительный svchost.exe запущенный от Local System, убить не могу - рестартует
    В сейф-моде все работает, в авторане и реестре ничего не нашел, служб лишних тоже

  • Ответ на сообщение Re: Как удалить вирус? пользователя Full

    В ответ на: Инфа от Веба

    Лечение в удалении ветки реестра
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe

    Спасибо, все помогло.

Записей на странице:

Samara24.Форум /Компьютеры Интернет Связь / Операционные системы и системное ПО /
Перейти в форум

Модераторы:
Наверх
Rambler's Top100
SHKULEV HOLDING
Сетевое издание «63.ру» (18+)
Зарегистрировано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)
Свидетельство о регистрации СМИ ЭЛ № ФС 77–71022 от 13.09.2017 г.
Учредитель: Общество с ограниченной ответственностью «ИНТЕРНЕТ ТЕХНОЛОГИИ»
Главный редактор: Плотникова Татьяна Николаевна
Адрес редакции: 443080, г. Самара, пр. Карла Маркса, д. 201б, этаж 12, офис 22, 23, +7 (960) 8-321-574
Электронный адрес редакции: 63@rugion.ru
Контактные данные для Роскомнадзора и государственных органов: juristchel@iportal.ru
Техподдержка: help@shkulev.ru
Связаться с отделом продаж: 8 (383) 212-52-52, 8 (800) 200-03-83 (звонок с сотового бесплатный), reklama@ngs.ru
Публикации с пометкой «На правах рекламы», «Партнёрский проект», «Новости телекома», «Открытая трибуна», «Выборы-2019» и «Выборы-2020» оплачены рекламодателем. Редакция сайта не несет ответственности за достоверность информации, содержащейся в рекламных объявлениях.

Информация об ограничениях

Политика использования cookies
Политика конфиденциальности и обработки персональных данных и правила использования сайта