» Вирус(ы) в Windows XP,Vista,7,8,8.1. Проблемы. Решения.

W126
Про кидо есть целая ветка на нашем любимом форуме. Там и ссылок много на разные ресурсы.
Файера вообще в системе нет? Если стоит ктой-то - блокировка входящего трафика (у штатного - не разрешать исключения) + я бы отключил в свойствах адаптера "доступ к папкам и принтерам". (это если комп домашний и подключен к "домовой" сети; если таковой сети нет, то вполне мог принести на флешке - ищи там авторанера...)

Цитата:

ядро по-прежнему видится одно

Почитай здесь или поищи по форуму

vallyol, спасибо за ссылку на кидо Файер родной отрублен во младенчестве, нетбиос отключен как класс, авторан также отключен как класс, апдейты последние.. Ладно, главное вылечился) А то тут локальная эпидемия пошла с одним и тем же набором заразы (ну + у каждого по несколько своих особенных вирей)). Насчёт ядра - всё, что по ссылке, изучено и сделано весьма давно, подобный пост на оверах проскакивал.. Не помогает вообщем. Проблема в другом, но она, как говорится, не горит абсолютно. Будем мучать. Спасибо за помощь!

Позавчера наткнулся на интересного троянчика!
Прописывается в папке "System32". Название файла думаю может меняться, но мне попался под именем "omazbnb.exe", параллельно прописал себя в "System Volume Information"
Интересно то, что загрузочные диски ни "Kaspersky Rescue Disk" от Касперского, ни "DrWeb LiveCD" от Др. Веба с последними базами - его в упор не увидели!
Нашел только Cyreit. И идентифицировал его как "Trojan.PWS.Ibank.233".
Avira и Comodo, с последними базами, его тоже не засекли.
Был обнаружен на ХРюше СП3, не исключаю, что на Семерку тоже может просочиться.
Такие дела

Подскажите, пожалуйста!
Ситуация такова: имеется комп с Windows Vista. Каспер версии 6 обнаружил 263 копии одного червяка и один троян. Червячков убил, а троян не смог. Он находится в папочке Windows\system32, а вся папка только для чтения. Поэтому удалять не дает. Изменить атрибуты папки тоже не дает,. Пишет, что это надо делать под Администратором. Проверил, сижу под Администратором этого компа. Загрузка с CD тоже не помогла. Опять-таки ни удалить файл, в котором сидит троян, ни изменить атрибуты папки или только этого файла не дает. Как же его выковырять?!!
Помогите, люди добрые...

ylip, имя файла и где он расположен знаете? Если да, тогда удаляете его ручками загрузившись со специального диска - см. этот пост.

Спасибо, попробую. Загружался уже с CD, пробовал DR.Web Cure IT! - пишет, что удаляет, но файл остается. С того же диска пробовал и KAV, и Nod - не помогает.

ylip
попробуйте удалить в ручную, а потом загрузившись с диска прочесать систему Курейтом, заодно каким-то из "спасательных" дисков или Каспера или Веба.

я Вистой почти не пользовался, но если у нее полные права админа как в Семерке реализуются, то полные права включаются так:
В меню Пуск - Стандартные
выбираем Командная строка (правой кн. мыши запуск под правами администратора!),
и вводим в строке:

net user administrator /active:yes

на русскоязычной обычно:

net user администратор /active:yes

нажимаете "Enter"

если имя ставили другое - вместо "администратор" пишете ваш вариант имени админа.

после выполнения манипуляций, не забудьте отключить полные права:

net user administrator /active:no

Это я на будущее - вдруг пригодится, чтоб получать нормальные права админа.

В последнее время стал частенько попадаться вирус Radmin.13 по классификации DrWeb. NOD4 стоящий на машинах мирно с ним уживается. При подключении внешних накопителей вирус переименовывает все папки в *.exe с размером (+/-) исходных папок. DrWeb же лечит банальным удалением этих файлов, отчего у пользователей на флешке теряется содержимое всех папок. Подозреваю, что должно быть достаточно простое решение по лечению таких экзешников-из-папок. Скорее всего при доступе к ФС флешек в редакторе раздела нужно подправить несколько байтов и стереть часть - тело вируса. Если DrWeb не способен, может быть сделать это руками? Никто не встречал способов решения этой проблемы?

pav
Вирус с модификацией файловой системы? Любопытно. Можно образец мне в личку?

pav
Я так понимаю, переименовываются папки только на флешках? На FAT`е.

Если так, то в корне диска (системного) должен лежать некий скрытый экзешник (встречал название services.exe, может быть другое). Запускается из винлогон.

MastaG

Цитата:

ylip
попробуйте удалить в ручную, а потом загрузившись с диска прочесать систему Курейтом, заодно каким-то из "спасательных" дисков или Каспера или Веба.

Спасибо большое. Сам на ХР пока еще, поэтому с Vista тоже не очень.
Надо было для жены на рабочем ноуте. Загрузил Linux с CD, убил файл с трояном - и все. А вот если даже с CD грузишься, но под Win, то ничего не помогает. И KAV, и Dr.Web видят заразу, но удалить не могут.

ylip
Если название файла знаешь, посмотри в службах: тама он, скорее всего. Или пройдись по реестру поиском по названию файла.
P/S/ Было бы неплохо название файла в студию... и как его кав классифицирует тож... (а то насоветуем тут по касперской наводке)

gjf
Экземпляров не осталось. Что-то перестал я коллекционировать.

vallyol
Да я знаю, что и где. Лечил. В корне системного на больных машинах лежит экзешник. Имя ему бывает разное, видимо из набора прописанных в самом теле вируса, т.к. имена не бессмысленные. Есть ещё svchost.exe, прописанный в реестре, но лежащий в %Windir%\system32\config.
Вопрос в другом, как лечить не теряя пользовательские файлы?

pav

Цитата:

лечить не теряя пользовательские файлы

Насколько помню, на флешке создается скрытая папка, начинается с точки или двух точек, там данные и лежат. Сам сижу на linux, поэтому проблем с вытаскиванием не возникло... Лечения, как такового, на тот момент не было...
Под винду, наверное, стоит попробовать testdisk или Адинф... ИМХО. Опять же, только для сохранения данных.

Цитата:

на флешке создается скрытая папка, начинается с точки или двух точек, там данные и лежат

Скорее всего нет. С подобными вирусами сталкивался, когда приносили флэшку после лечения и на ней размер всех файлов и папок не соответствовал занятому объёму при просмотре свойств диска. Здесь же если папка занимала ~500MB, то и вирусный файл занимает примерно столько же с тем же именем, что и папка, но с расширением exe.

pav
Можно почитать здесь и здесь. Если это то, что нужно - спросите, может помогут.

pav

Цитата:

переименовывает все папки в *.exe с размером (+/-) исходных папок

Никто не встречал способов решения этой проблемы?

Нет... Имел проблему незнания, как превращать папку в файл, чтобы таким легким путем скрывать её содержимое. Искал такую утилиту, не нашел и проблема осталась.

По Гуглю - "radmin13" - достаточно много результатов, но именно с папкой ".." Советовали утилиты для прямого доступа к FAT, к примеру Runtime DiskExplorer в таком режиме, UFS и так далее. Если так можно "перепрошить" атрибуты... Не знаю.
Или это запароленные контейнеры?

coldkomi
Erekle
Чел пролечил машину... У него осталась флешка с этими самыми ехе... ИМХО, я так понял.
Ссылок на самом деле много, сам прогуглил. К примеру, по записи радмин на тритэксперте только 60 записей (!). 13-го, естественно, нет, ведь они по классификации веба не работают (во всяком случае, я не встречал).

HDD
в шапке не хватает HijackThis

opt_step
А чего так категорично?
В какой раздел засунуть? В
Цитата:

Полезные инструменты(утилиты)

или
Цитата:

Темы на форуме

.
Я бы в утилиты засунул.

vallyol
Я не давал повода думать, что понял иначе.

HDD

Цитата:

А чего так категорично?

да нет
Цитата:

Я бы в утилиты засунул

хозяин-барин

День добрый,

Сложный случай, нужна помощь зала.

Винда XP PRO SP2 OEM. Человек работал три года в инете без антивируса через IE6, не ставя обновления. Естественно, вирусы табунами, руткиты, полный зоопарк. Естественно, всё в итоге умерло и зависло намертво.

Я загрузился с Kaspersky Rescue Disk 10, он всё вычистил, при этом, похоже, удалил часть системных файлов виндоус как неизлечимо поражённые файлы (а может, вирусы их поудаляли зачем-то).

Я перегрузился уже в винду, поставил каспера Internet Security 2011, ещё раз всё проверил, вычистил остатки.

Но часть файлов винды безвозвратно умерла. Например, файл grpconv.exe физически отсутствует на своём месте в %systemroot%/system32. И таких много.

Естественно, первое моё действие - sfc /scannow , подсунув нужный диск с виндой. Sfc /scannow отрабатывает без ошибок. Но файлы, к примеру этот самый grpconv.exe - не восстанавливаются. В журналы и логи при этом тоже ничего не пишет. Отрабатывает молча. Касперовское "восстановление после заражения" тоже без ошибок отрабатывает, ничего не находит.

Вопрос, думаю, ясен: как аккуратно починить винду, восстановив повреждённые файлы ?
Чем хотя бы прочекать, чтобы узнать, какие именно системные файлы отсутствуют ?
Переустановку винды не предлагать - мало того, что это переставлять винду по любому поводу это ламерство, так ещё и все программы человеку надо будет переставлять, а там их столько и таких, что это большой гемморой.
Ещё вопрос: "установка с восстановлением" копии виндоус из официального инсталлера - снесёт ли установленные программы ? Отродясь ей не пользовался, не в курсе.

asdf128
В Вашем случае я бы рекомендовал переустановить систему. Меньше времени потратите и меньше возни потребуется.

2 gjf
В том то и дело, что это не выход. Слишком много разных программ установлено, которые так просто не перенесёшь в новую винду.
Должна же быть какая-то утилита, которая позволяет узнать, каких файлов нет ? Или я тут слишком оптимистичен ?
Спасибо заранее.

asdf128

Цитата:

Или я тут слишком оптимистичен

УВЫ! Из собственного практического опыта.

Цитата:

Ещё вопрос: "установка с восстановлением" копии виндоус из официального инсталлера - снесёт ли установленные программы ?

Не снесёт. Пользуйтесь на здоровье.

asdf128, сделайте проще - параллельно поставьте такую же систему, а потом из неё скопируйте отсутствующие файлы.

Neon2
А вставить диск в дисковод и открыть с помощью проводника, произвести поиск нужных файлов на диске и скопировать в нужные места разве нельзя?

Feres, для этого нужно знать имена файлов, которые отсутствуют.