» Помогите удалить вирус!

При заражении скачаиваются файлы autorun.inf и jwgkvsq.vmx, который скачивается в папку C:\RECYCLER\S-5-3-42-.....

Пробовал НОДом удалить вирус - он его не нашёл.

Помогите удалить вирус хотя бы вручную.

Удаляется Kaspersky Virus Removal Tool.

Symantec + последние базы помог.
С нодом были проколы virut и sill.
google в помощь хоть там и мало чего
Symantec Endpoint Protection имеет функцию управления приложениями. Отключи авторан. И симантеком запрети на флешках запуск екзешников. Или закрой флешки НАХ.

Пережил две вирусные атаки пока флешки не закрыл.

По поводу удалить руками ваял батник от csrcs.exe
Под каждую модификацию нать свой.
Читаешь описание на том же симантеке куда вирь изменения вносит. И ваяешь.
Большинство авторанов пишет запуск через Shell реестра типа Shell=Explorer.exe <Зверь неведомый.exe> или запуск svchost.exe <еще какаянить хрень>

Токо с svchost надо аккуратнее а то можно сетевые процесы нужные на компе ушатать




Хотел бы помочь...



Добавлено:
http://www.symantec.com/security_response/writeup.jsp?docid=2008-123015-3826-99&tabid=2

спасибо. вирус я удалил.

Всем привет. Решил поделиться мыслями по поводу злодя виря csrcs.exe который создает в сети, в расшаренных папках нулевой вайл khq or khs и экзешник с рамдоным именем (например xdejni.exe Win32/Packed.Autoit.Gen). Надеюсь эти советы кому-нибудь помогут, может и отметитесь здесь
вобщем откуда появляются эти два файла? а создает их вердный процесс на зараженной машине в расшаренных папках. А зараженная машина та, на которой имеется процесс csrcs.exe , запущенный (если я не ошибасюь от имени пользователя). Проблема существвала достаточно долго, просто не мог понять какая же из машин в сети заражена (а обходить все компьтеры конечно же не хочеться )) .
кто то пользовался программой под названием WireShark и она помогла, но нужно ждать момента рассылки... А нашёл я зловреданую машину пользуясь средствами windows , а имеено с помощью "АУДИТА входа в систему" (в оснастке "Групповая политика"). Включил аудит "успех" "отказ"... Затем просто посмотрел после очередного зловредного сеанса дату и время создания нулевого файла и в журнале событий увдел что чуть раньше времени создания на эту машину был осуществлён удачный вход анонимного пользователя с ЗАРАЖЕНОЙ МАШИНЫ (её имя указана как "рабочая станция). вот и попался зловред. на этой машине конечно же оказался процесс с именим csrcs.exe. методы его удаления я думаю вы найдете! И ещё один интересный момент... Файлы создаются от имени "Гостя" а на тех машинах где гость отключен вирь получал отказ. Вот и всё.
Просьба прокоментить кому был полезен или не полезен этот совет!

Дыра в системе. Ставите заплатку от мелкософта WindowsXP-KB958644-x86-RUS.exe ну или под английскую версию. Потом проверяете утилиткой от каспера KidoKiller.exe И все. Ну и БАЗЫ на антивирусник новые. Чтоб проблем не было. НОД его прекрасно ловит с новыми базами.

Привет всем! Прочитал кучу форумов и советов как уничтожить тот или иной вирус. Я заметил много обращенинй типа: поймал вирус он сделал то-то помогите его удалить. Такому человеку высылают в лучшем случае скрипт который его удаляет в худшем дают советы, порой бессмысленные. Я считаю что львиную долю вирусов юзер способен удалить сам без посторонней помощи. Я сам уже давно не пользуюсь антивирусными программами ибо они не очень то эффективны. Хочу поделиться своим скромным опытом по борьбе с этими тварями. Во-первых многие вирусы используют возможность автозапуска и передаются через флешки и иные съемные носители. Выход простой: используйте, например Total Commander или его аналог, выставите в его настройках "показывать скрытые и системные файлы и папки" и открывайте съемные носители им. Total Commander_у наплевать на этот файлик Autorun.inf. Вы можете спокойно посмотреть блокнотом какой файл он хочет запустить и удаляйте себе спокойно этот авторан и все что связано с ним. И еще: вам не кажется странным наличие скрытых файлов(или системных) на вашей флешке? Вот вам и пища для размышлений...
Если я кого то заинтересовал то могу объяснить как удалять вирусы уже заразившие компьютер примерно мин. за 15
пишите...

Oldst

Цитата:

Если я кого то заинтересовал

Одного точно, пишите.

Итак, продолжаю. Допустим у вас не установлен на компьютере антивирус и есть подозрение о наличии вируса(ов). Первым делом запустите Total Commander и вставте какой нибудь съемный носитель, флэшку например. Откройте флэшку проводником и т.е. средствами Windows и подождите несколько секунд, затем открываем ту же флешку Total Сommander(ом) и смотрим. Если вирус имеет свойство "размножаться" через съемные носитетели (а таких много) то мы увидим файл Autorun.inf как правило скрытый. Пробуем его удалить. Если при удалении ошибка используем программу Unlocker. Через несколько секунд удаленный файл снова появился это подтверждает что ваш компьютер заражен. Далее проверяем автозагрузку: Пуск - Выполнить - msconfig. Проверяем все приложения находящиеся во вкладке "Автозагрузка" Если находим что то подозрительное то смотрим откуда оно запускается. (на моем опыте чаще всего это C:\Windows\system32\). Важно понимать, что вирус надо убивать с "головы" а уж потом удалять "хвосты" а не наоборот. Допустим, если мы нашли вирус в системной папке не спешите его с гневом в серце удалять. Сперва воспользуйтесь поиском и поищите его копию в др. местах. Затем запускаем диспетчер задач, хотя я настоятельно рекомендую программу Process Explorer (она бесплатная) и пытаемся выяснить к какому процессу этот вирус привязан. Я часто использую способ определения нужного процесса, который вам может показаться смешным, но тем не менее он работает. Для эксперимента попробуйте открыть диспетчер задач ту вкладку где список процессов и внимательно наблюдая за процессом explorer.exe открыть проводник. В момент открытия проводника explorer на короткий промежуток времени загрузит процессор и это будет видно. А что мешает вам удалить файлы вируса с флешки и наблюдать за процессами в момент их восстановления на съемном носителе? Пост получился длинный но я еще не закончил. Допишу чуть попозже.

Oldst
Не морочь людЯм голову
Я посмотрю как ты без антивиря в автозагрузке будешь ловить Sality или Sector

Продолжаю. Еще один момент, который может помочь в поиске заразы. Зайдите в системную папку и сделайте "упорядочить по дате". Перед вашим взором сразу будут видны файлы которые недавно изменены или скопированы. Например, если вы зайдете в C:\Windows\ и обнаружите , что файл "explorer.exe" ,был недавно изменен, то это явно наводит на подозрение. Мне попадалось уже много вирусов, которые внедрялись в explorer. Когда вы собрали некоторую информацию о файлах вируса, не мешало бы просканировать реестр посредством поиска ища те названия файлов которые вы сочли подозрительными. Наконец, когда информация собрана, пожалуй стоит приступить к удалению. Я объясню как это делать на примере того случая, если вирус сидит внутри файла explorer.exe (т.к. подобные вирусы нередкость). Итак, прежде всего нам нужен "здоровый" explorer т.е. незараженный. Я держу его копию в другом месте на подобные случаи. Но если его нет, можно скопировать с другого компьютера с условием что там та же операционка. Запускаем Total Commander, заходим в диспетчер задач и "убиваем" процесс explorer.exe. У вас исчезнет рабочий стол. Если вирус копировался на флэшку то удаляем его с нее и смотрим не восстановится ли он как раньше. Если он восстановился то вирус сидит не в explorere, искать надо в другом месте. Если же файлы не восстановились на съемный носитель, то мы получили железное подтверждение, что заражен действительно он. Ну а дальше все просто: удаляем все что мы "накопали" на этот вирус, чистим корзину, реестр, зараженный explorer заменяем на нормальный путем простого копирования и все готово.
И чтобы проделать подобное всего то нужно иметь некоторые знания (не сильно глубокие) об операционной системе и умение логически мыслить.
Я уже давно убедился что своя голова - лучший антивирус!
Спасибо за внимание, если есть вопросы то задавайте.

Добавлено:

Цитата:

Не морочь людЯм голову
Я посмотрю как ты без антивиря в автозагрузке будешь ловить Sality или Sector

Во первых, я и не утверждал в автозагрузке можно увидеть все вирусы а во вторых я и не утверждал, что обычный юзер (кем являюсь и я) способен обнаружить и удалить абсолютно все вирусы, я лишь говорил что можно самостоятельно удалить их БОЛЬШУЮ ЧАСТЬ.
Все что я изложил выше использовал лично и мне это помогало, поэтому объясни пожалуйста конкретнее почему я морочу людям голову.
Всегда готов выслушать.

01pump

Цитата:

Не морочь людЯм голову

Зачем же так резко? Вы ещё бы помянули Win95.CIH (тьфу...тьфу).
Просто один из способов контроля диска С: не более.
От себя добавил бы папку ТЕМР, любят её всякие гадости.
Ни один антивирь, недаёт 100% гарантию от проникновения на Ваш
комп. заразы.
Сколько пользователей с установленным антивирусом обращаются к
Вам за помощью? то-то.

P.S. Машина в сети 24/7 без антивируса живу не страдаю.

Oldst
vova49
темой немного ошиблись, самое место: Флейм для подобной беседы.

я думаю, что Oldst не плохие советы даёт, и всё же мне кажется что без акнтивиря тяжело. vova49, а как ты без него?, как "предохраняешься?"

Цитата:

Не морочь людЯм голову
Я посмотрю как ты без антивиря в автозагрузке будешь ловить Sality или Sector

Помнится, когда-то я так и вычищал, ручками, без антивиря, поскольку на тот момент ни один антивирь его не видел. И ведь вылечил...
А сейчас достаточно пройтись DrWeb-овским CureIt-ом, хоть он и бесплатный, но вычистит качественно.

rechi

Цитата:

а как ты без него?, как "предохраняешься?"

Много лет одно и то же:
1.ShadowUser.
2.Agnitum Outpost.

P.S. Но, когда притащат на флехе гадость-тады cureit+AVZ.
(AVZ-ну, очень мощная утиль. О. Зайцеву спасибо)
Правда в кармане Dr.Web LiveCD, на своей не пользовался,
на чужих, пару раз.

Лично мне помогает помогают выше перечисленные мной программы плюс небольшая программка написанная мной, которая исключает возможность заражения через съемные устройства посредством автозапуска

а какая там программка? просто отключаешь автозапуск. Да и где-то видел файлик реестра, который попросту игнорит autorun.inf

Она просто при появлении съемного диска обнаруживает autorun.inf на нем и предлагает удалять его плюс файлы на которые ссылается авторан.

Ещё инфа по теме:
http://html-coder.org.ru/remove-autorun/
http://web-notes.ru/2008/07/no_autorun
У самого была на работе такая хрень - удалил кидо-киллером (ссылка есть в предлагаемой статье).

Такая проблема: NOD32 нашел в памяти Win32.Agent.ODG. Говорит, что лечение невозможно. В безопасном режиме ничего такого не находит. Kaspersky Virus Removal Tool - результат так же безуспешный.

Как вытравить заразу? Очень не хочется переустанавливать ось...

vvlad0000
программа avz http://z-oleg.com/avz4.zip
Обязательно распаковать скачанный архив (в архиве находится папка avz4) !!!!!!
- Обновить программу avz.exe через меню: Файл-Обновление баз - В меню программы: AVZPM- "установить драйвер расширенного монитор. процессов"
- Перезагрузиться
- После перезагрузки обязательно отключите антивирус, файервол. Закройте Все программы (кроме avz)
- В меню программы: Файл-Стандартные скрипты - Отметить скрипт №3 -нажать выполнить отмеченные скрипты
- Дождаться окончания (появится сообщение Скрипты выполнены).
- Обязательно перезагрузитесь.
- В папке avz по окончании скрипта появится папка LOG (если этой папки не окажеться, значит вы не распаковывали программу!!!), в ней находится архив virusinfo_syscure.zip (не путать с архивом virusinfo_cure.zip!!!! ).
Этот файл выложить на любом файлообменнике и прислать ссылку.

Спасибо, попробую. Мне тут еще CureIt насоветовали, уже скачал. Если не выловит - выполню вашу инструкцию.

Добавлено:
Результат: CureIt отловил и изничтожил нечто типа Win32.Agent.bgf в файле system32\updates.exe (файлом пришлось пожертвовать). Ничего прочего вредоносного не обнаружилось. Перезагрузка и последующее сканирование другими антивирусами показали, что пациент здоров. NOD32, как антивирус, утаривший реноме (таки пропустил вирусяку), отправлен на свалку.

всем привет!помогите с проблемой!С вирусами подобной категории сталкиваюсь впервые! в офисной сети гуляет вирус!забил канал инета полностью(пинг до ya.ru 500-600 млс а то и больше),хоть у всех и стоит НОД 4 с новыми базами,полностью избавится от него никак не могу!подскажите может кто сталкивался с подобной проблемой!?
Сеть доменная,инет распределяется с серва!На серваке стоит Линух,но на серв залезть не могу!могу предоставить нужную информация,напишите ток какую!Всем заранее спасибо!!!

Azzz88
На одной из проблемных машин сделай то что я писал чуть выше
Цитата:

программа avz http://z-oleg.com/avz4.zip

И вот это http://www.gmer.net/gmer.zip
Запустить программу. После автоматической экспресс-проверки, отметить только системный диск галочкой и нажать "Scan". После окончания проверки сохранить его лог (нажать на кнопку Save) и через файлообменник выложить сюда.

У меня компьютер одолел win32.sector.16, заблокировал реестр и диспетчер задач, антивирусные программы не запускаются, даже avz, в безопасном режиме не загрузиться.
Как удалить его? Где находится его исполняемый файл? Так бы я зашел в линукс и удалил его.

Omsk
с life cd загрузиться и уничтожить зловреда

Omsk

попробуй HiJack http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip он чистит реестр от вирусного мусора точнее показывает подозрительные ключи которые можно удалить (не все, что то прийдется убрать вручную), вирус у тебя был убит, а вот ветки реестра он поправить успел, если не будет запускаться, смени расширение на com.

Omsk
есть специальная тема:
Вирус(ы) в Windows XP,Vista,7. Проблемы. Решения.

Цитата:

win32.sector.16, антивирусные программы не запускаются, даже avz

не правда, запускается и Dr.Web CureIT и avz - достаточно просто переименовать

у каспера есть утилитка для удаления:
http://support.kaspersky.ru/viruses/solutions?qid=208636131

Vigorous
Отличная утилка, спасибо из за нее когда то у меня слетел WIn installer.