» Вирус(ы) в Windows XP,Vista,7,8,8.1. Проблемы. Решения.

vallyol, а если вот такого типа записи? - Файл не найден: C:\WINDOWS\System32\Drivers\Changer.sys
Там какие-то драйверы обозначены. Не получится ли так, что если я удалю их, система недополучит нужных драйверов?

SandraRich
По поводу имеющихся мОкрософтовских записей, таких как Changer.sys, i2omgmt.sys, PCIDump.sys, PDCOMP.sys, PDFRAME.sys, PDRELI.sys, PDRFRAME.sys, WDICA.sys, Контекстное меню шифрования, Расширение CPL панорамирования дисплея и т.п., наверное будет лучше посоветовать посмотреть здесь... Там про авторан и его баги 66 страниц тем... Лично я конкретно эти записи не трогаю...
(ИМХО - вот появится какой-нить троянчик с именем Changer.sys, наверное веселуха начнется) Но это уже

Всем привет!
У меня засада(
Имеется комп с XP Prof SP2.
Проверялся в активном режиме KAV6, грузился и проверял с DrWeb LiveCD, и докучи KK пробежался... - что поудаляли по мелочи, но ситуация не изменилась. В процессах вроде чисто.
Симптомы:
- не открывается меню Пуск->Все программы (если изменить на классическое меню, то Программы открывается, но там пусто)
- при попытке открыть офисные докумнты начинается якобы инсталяция офиса и просит диск (офис 2003)
- флешки тоже работают не адекватно, некоторые открываются тоько через адресную строку (F:\)
- невозможно сменить оформление в системе на класическое, сейчас активно XP, но по факту в списке доступных есть только класическое, а активна пустая строка(типа XP)

думаю по мелочи там еще наберется косяков...

Переустанавливать систему я бы рад, но в данном случае это большая Ж. Тут установленно слишком много разного специфического софта, который к томуже требует настройки...

Жду ваших спасительных советов!
Если нужны логи или листинги могу все выложить, главное просите что надо...

Попробовать создать другого пользователя и загрузится в него. Проверить жесткий диск на ошибки.

на другого пользователя забил - хотя в инете видел такие советы.

проблему решил копированием целиком папки WINDOWS с другого(аналогичного) ПК и подцепкой нужных программ и профилей, не совсем гладко зато работа не стоит...

вопрос снят ибо дальнейшие предположения я проверить не смогу.

vallyol, я просто подумала, что это могли бы быть те самые недолеченные вирусы или, скорее, не до конца удаленные приложения, о которых вы писали.
Потому как, вышеприведенный мною пример не есть само название приложения (файла), который не найден. Он вообще без названия, но, видимо, когда-то прописался в C:\WINDOWS\System32\Drivers\Changer.sys
Сейчас от него осталось пустое, белое окно, в виде EXE, но в отличие от действующих EXE, оно без названия. Вот я и не знаю, что с ними делать…

SandraRich
В общем случае, Changer.sys - вроде как SCSI CD-ROM Driver..
В то же самое время тут его обзывают руткитом (???)...
В вашем случае... удалите, проблем не будет. (ИМХО)
Если дважды щелкнуть по выбранной строке - автоматически попадете в ту часть реестра, откуда авторан вытащил инфу... У Changer.sys присутствует только информация о способе запуска и контроль ошибок (вот так). Если есть отличия - удалить обязательно, если нет и в обозримом будущем подключать SCSI CD-ROM не будете - по желанию...

vallyol, и всё же я решила пока ничего такого не удалять, а то мало ли какими могут быть последствия. И CD-ROM мне нужен.


Просто у меня осталось предположение, что сам вирус удалён, но в реестре от него сохранилась запись, остаточное явление так сказать. То есть, вирус и был этим файлом, а после удаления сохранилась его оболочка, где он сидел всё это время. Вот эта оболочка и есть ненайденный файл. Во всяком случае, так было с другими вирусами. Но всё равно, пока трогать не буду. То что для меня было важно удалить, я удалила с помощью этой программы. И с вашей помощью тоже. Спасибо за терпеливое объяснение.

Alukardd
".. Имеется комп с XP Prof SP2..."
Спокойствие, самое главное-спокойствие. Решение проверенное временем и личным опытом. Скорее всего злобные вирусы покуцали систему.
Восстанавливал давно, у меня XP VL с любимого форума, детали в памяти немного стерлись. Грузимся с установочного ХР. Наша задача ВОССТАНОВИТЬ, а не установить , чтобы сохранились работоспособными все установленные программы. Первое предложение -восстановить с консоли пропускаем, ВТОРОЕ восстановить ( вроде R надо нажать) принимаем. Внимательно и не спеша читаем на экране, все ясно и понятно. В разделе с Windows не установить, а !ВОССТАНОВИТЬ!. Пожует мин 20, итого имеем восстановленную рабочую систему с установленными программами, с некоторыми параметрами по умолчанию (обновление, брандмауэр, ..) .
Удачи,
Тоже прошу совета - на ноутбуке Toshiba с предустановленной лицензионной Vista Home можно восстановить Vista, без потери установленных программ, или как? Что-то работать стала как-то не так. И чистил, и дефрагментировал, но ...
Спасибо,

volgograd131

Цитата:

на ноутбуке Toshiba с предустановленной лицензионной Vista Home можно восстановить Vista, без потери установленных программ, или как?

Если откатится на дату через восстановление системы - да, если "восстановить систему полностью" - нет

vallyol
Спасибо, "..восстановление системы .." отключено. На днях посмотрю, что за диск приложен к ноутбуку, и что ~ 700Mb в скрытом от Toshiba лежит. Vista никогда не ставил (там же еще и активировать надо, серийник где-то искать). У жены года 4 жужит- почта, шарики, рецепты, в сетку со своим объединил для удобства и интернета. Игрульки туда-сюда ставились. Уже и explorer(рабочий стол) подвисать начинает, мда ...

volgograd131
В скрытом разделе лежит Тошибовский WinRE, который позволит проверить память и переустановить винду (если восстановление отключено). Даже если найдешь диск с "правильным" дистром (не от производителя), вариантов не прибавится: это ХР можно было "накатить поверху", на висте такого сделать не получится...
Может есть смысл обратить свое внимание в сторону очиски реестра и его дефрагментации? Автозапуск почистить?
Хотя, ИМХО, vista home это зло!

После ручной чистки вирусов, случайно наткнулся на 2 левые записи в
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
1. VGAResolution =C:\RECYCLER\S-.....\syscr.exe - это вирус который я удалил
2. Driversys32= C:\WINDOWS.0\yevbj.exe - есть подозрение, что от вируса осталось

Что посоветуете: мне эти записи удалить или выставить к-л разумные значения ?

Цитата:

Что посоветуете: мне эти записи удалить или выставить к-л разумные значения ?

Я всегда удалял.

Цитата:

2. Driversys32= C:\WINDOWS.0\yevbj.exe - есть подозрение, что от вируса осталось

Не просто подозрение, а уверенность

Прогнал AVZ на ноутбуке у матери... обнаружилась вязанка троянов и руткитов. Со вторыми думаю для начала разберусь - начал проверять систему AVPTool. Удалили несколько зверей и ноут пошёл на перезагрузку. Думаю мож чего утилите надо, после перезагрузки продолжил проверку... После третьего рестарта появилось окно с пользователем Админа. Поле для ввода нету. При попытке так войти в систему ноут перезагружается... Безопасный режим также не прокатывает. Записал загрузочный диск с антивирусами при загрузке с него синий экран. Что ещё можно по-пробовать для входа в систему? Просто есть некоторые данные, которые бы хотелось сохранить..

VETER82

Цитата:

Записал загрузочный диск с антивирусами при загрузке с него синий экран

Загрузочный диск на основе чего: WinPE или Linux?
Вообще, оптимально - ERD (!). Если просто данные сохранить - любой linux (c midnight commander`ом, к примеру DrWeb Live Cd).

DrWeb Live загрузился... при проверке отловил пару троянов и вирусов. Midnight commander для меня тёмный лес..

Добавлено:
Да загрузочный на WinPE был

VETER82
Воспользуйся ERD, почитай шапку (в плане какой грузить, под какую систему и как пользоваться). Удачи!
А midnight освоишь, если когда-нибудь far`ом пользовался

Приветствую всех форумчан! И прошу помощи и совета)
Есть комп, ОС WinXp Sp3 с последними апдейтами. Стал работать неадекватно, был прогнан KAV с LiveCD, после этого обнаружилось следующее:

Backdoor.Win32.Shiz.arc
Backdoor.Win32.Shiz.aas
Backdoor.Win32.Shiz.acw
Backdoor.Win32.Shiz.aav
Trojan.Win32.Jorik.Shiz.en
Trojan-Downloader.Win32.Agent.erra
Net-Worm.Win32.Kido.ih

Прибил всё, после этого после залогинивания в систему пытается запустить шелл, после идёт выход из сеанса и просит залогиниться снова. Думал проблема в профиле - снёс, не помогло. Все exe и dll в %WinDir% и Sys32 переписал с рабочей машины (с такой же ОС) - так же не помогло. Теперь не знаю куда копать.. Гуглить пробовал, так же безрезультатно. Мысли закончились. Помогите чем могите..

W126, здесь http://forum.ru-board.com/topic.cgi?forum=62&topic=20225&start=500 могут помочь. Только выполни всё, что там в шапке написано.

W126
Мысль -
1. загрузиться с компакта, сменить (удалить) пароли пользователей
2. с CD проверить HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\userinit (и shell)
3. удалить всё из временных папок и system volume
После просканировать любым антивирусом с диска...

israel_rider, спасибо за ссылку, но поздно.. названия вирей вытащил из логов, заботливо оставленных каспером на винте. Хотя идея пройтись другим антивирем мне в голову не приходила, но боюсь, что врятли она поможет, ИМХО..
vallyol, пароли менять не вижу смысла, т.к. сам логин проходит нормально, а посмотреть в реестре шелл (а тем более юзеринит) я и не догадался... НО при запуске в сейфмоде с консолью всё равно та же песня (хотя експлорер там не грузится). Темпы чистил, СисВолИнфо тоже. При сносе профиля система заботливо рисует новый и всё повторяется.

W126
Про пароли написал потому, что увидел kido...

Цитата:

При сносе профиля система заботливо рисует новый и всё повторяется.

Нормальное поведение недолеченной каспером системы (не первый раз такое.... это про недолеченную)
Вообще, шиз обычно прописывается в юзеринит, если прописаться туда не удается - тогда в run. Что к тя там???
Про безопасный режим - поверь, о нем думать пока рано...

vallyol, принято, понято.. Попробую через ERD подцепиться к реестру и прочекать, заодно и пассворды снести.

W126
О результатах отпишись... ОК?

vallyol, я в лёгком культурном шоке В ветке винлогона был левый параметр Usrinit, ссылавшийся на что-то, запись удалил (на что - забыл записать)), поменял пасс на юзера и всё заработало - залогинилось! Огроменное спасибо за помощь (а отдельное спасибо, за то, что нафик не послали ). Единственный позитивный момент за сегодня

Небольшой нюанс.. Винда в диспетчере задач потеряла второе ядро)

W126
Здорово!!!
1. А теперь можно приступать к удалению остатков... Шиз и Кидо - штуки непрятные, поэтому лучше просканировать машину... (штатным антивирусом + каким-нибудь вирус-сканером).
2. Очистить таблицу маршрутов
3. Проверить HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List (это используется для обхода файера)
4. AVZ - не помню точно, по-моему есть в восстановлении скрипт (или в мастере поиска проблем) - подмена диспетчера задач - надо выполнить
5. Про кидо читал? Перечень стандартных действий знаешь?

wuaudt.exe - windows Update.
пишет загружено 10 %, обновление не запускал, в диспетчере задач завершаю, автоматически запускается снова.
Это вирус?!
Как его остановить?

PS Возможно, что это обновление нового 2010 офиса, что то он такое предлагал, может и запустил.
Как теперь это остановить и отключить?

crackcrack
Правая кнопка мыши на "мой компьютер", управление, службы.
Двойной щелчок по службе авт. обновления - остановить, тип запуска - отключено. При этом брендмауэр будет верещать... там же в службах и его прибить можно...

Добавлено:

Цитата:

Возможно, что это обновление нового 2010 офиса

они в октябре обновлений метров на 30 навыпускали....
По поводу "как его отключить" - наверное, лучше сюда...

vallyol, прошёлся сканером, нашёл ещё несколько экземпляров)
Таблица маршрутов чистая, файерволл штатный отключен.
Диспетчер задач не подменен (вроде), но ядро по-прежнему видится одно, CoreTemp также видит только одно ядро (в диспетчере устройств видно оба).
Скриптов не видел (точнее не искал), про кидо не читал.. Будь добр, скинь ссылочку.