c kido/conficker/shadow.based как раз намного проще, чем с Sality, т.к. кидо заражает некоторые exe файлы и всё, а салити заражает все exe, до которых может дотянутся + блокирует диспетчер задач, редактор реестра, загрузку в безопасном режиме.
Т.е. пока хоть одна инфицированная программа запущена - компьютер заражается заново, причём он заражает и svchost и explorer и даже касперского(если тот был отключен) и ставит свой драйвер.
Проще всего выличится от салити, если салити офф не помогает - загрузившись с загрузочного cd проверить всю систему. Загрузочные cd можно взять здесь: http://www.freedrweb.com/livecd - dr.web live cd;
http://dnl-eu2.kaspersky-labs.com/devbuilds/RescueDisk/kav_rescue_2008.iso - kav live cd;
http://forum.ru-board.com/topic.cgi?forum=35&topic=39365&glp - hiren's boot cd
если вы не можете воспользоваться лайв cd, скачайте одну из антивирусных утилит(они бесплатны):
http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/ - avp tool от kaspersky
http://www.freedrweb.com/ - Dr.Web CureIt
Затем запишите их на cd (или любой другой носитель, защищенный от перезаписи).
Отключитесь от ВСЕХ сетей, кроме сети электропитания и просканируйте всю систему(все диски зараженного компьютера).
ВАЖНО: скачивайте файлы и записывайте на cd только на заведомо чистой машине.
Во время сканирования, не запускайте НИЧЕГО на проверяемой машине.
==========================================================
Необходмо понимать - если компьютер инфицирован, то любые файлы, с которыми работали на нём, с большой вероятностью будут также инфицированы(не важно, открыли ли файл или просто вставили флеш диск с файлами).
Поэтому не вставляйте флеш-носители, подключавшиеся к инфицированному компьютеру в другие компьютеры, чтобы избежать их заражения.
Проверьте сначала эти флеш-носители на заведомо чистом компьютере, антивирусом с недавно обновлёнными базами.
==========================================================
Салити блокирует загрузку в безопасном режиме, вот решение: http://www.z-oleg.com/secur/advice/adv1205.php
Чтобы разблокировать диспетчер задач и редактирование реестра, скачайте avz: http://z-oleg.com/avz4.zip
Следуйте указаниям с: http://www.z-oleg.com/secur/advice/adv1231.php
также, возможно у некоторых возникнут другие проблемы, вот как их решить: http://www.z-oleg.com/secur/advice/
Вот как лечить Kido:
http://support.kaspersky.ru/wks6mp3/error?qid=208636215
http://vms.drweb.com/virus/?i=172457
1. Скачать на чистом компьютере
http://data2.kaspersky.com:8080/special/KK_v3.4.7.zip
http://www.microsoft.com/rus/technet/security/bulletin/MS08-067.mspx
http://www.microsoft.com/rus/technet/security/bulletin/MS08-068.mspx
http://www.microsoft.com/rus/technet/security/bulletin/MS09-001.mspx
2. Отключится от всех сетей.
3. Запустить утилиту KK_v3.4.7.
4. Установить все три заплатки.
5. Проверить компьютер антивирусом с обновлёнными базами.
Добавлено:
Чуть не забыл: салити, как и многие выводит из строя отображение скрытых файлов и папок, вот как это исправить(вирусы уже должны быть вылечены):
1) Находим ключик:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
Удаляем параметр CheckedValue
2) «создать --> параметр DWORD»
Называем его CheckedValue. Cтавим значение «1» (0x00000001)
Т.е. пока хоть одна инфицированная программа запущена - компьютер заражается заново, причём он заражает и svchost и explorer и даже касперского(если тот был отключен) и ставит свой драйвер.
Проще всего выличится от салити, если салити офф не помогает - загрузившись с загрузочного cd проверить всю систему. Загрузочные cd можно взять здесь: http://www.freedrweb.com/livecd - dr.web live cd;
http://dnl-eu2.kaspersky-labs.com/devbuilds/RescueDisk/kav_rescue_2008.iso - kav live cd;
http://forum.ru-board.com/topic.cgi?forum=35&topic=39365&glp - hiren's boot cd
если вы не можете воспользоваться лайв cd, скачайте одну из антивирусных утилит(они бесплатны):
http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/ - avp tool от kaspersky
http://www.freedrweb.com/ - Dr.Web CureIt
Затем запишите их на cd (или любой другой носитель, защищенный от перезаписи).
Отключитесь от ВСЕХ сетей, кроме сети электропитания и просканируйте всю систему(все диски зараженного компьютера).
ВАЖНО: скачивайте файлы и записывайте на cd только на заведомо чистой машине.
Во время сканирования, не запускайте НИЧЕГО на проверяемой машине.
==========================================================
Необходмо понимать - если компьютер инфицирован, то любые файлы, с которыми работали на нём, с большой вероятностью будут также инфицированы(не важно, открыли ли файл или просто вставили флеш диск с файлами).
Поэтому не вставляйте флеш-носители, подключавшиеся к инфицированному компьютеру в другие компьютеры, чтобы избежать их заражения.
Проверьте сначала эти флеш-носители на заведомо чистом компьютере, антивирусом с недавно обновлёнными базами.
==========================================================
Салити блокирует загрузку в безопасном режиме, вот решение: http://www.z-oleg.com/secur/advice/adv1205.php
Чтобы разблокировать диспетчер задач и редактирование реестра, скачайте avz: http://z-oleg.com/avz4.zip
Следуйте указаниям с: http://www.z-oleg.com/secur/advice/adv1231.php
также, возможно у некоторых возникнут другие проблемы, вот как их решить: http://www.z-oleg.com/secur/advice/
Вот как лечить Kido:
http://support.kaspersky.ru/wks6mp3/error?qid=208636215
http://vms.drweb.com/virus/?i=172457
1. Скачать на чистом компьютере
http://data2.kaspersky.com:8080/special/KK_v3.4.7.zip
http://www.microsoft.com/rus/technet/security/bulletin/MS08-067.mspx
http://www.microsoft.com/rus/technet/security/bulletin/MS08-068.mspx
http://www.microsoft.com/rus/technet/security/bulletin/MS09-001.mspx
2. Отключится от всех сетей.
3. Запустить утилиту KK_v3.4.7.
4. Установить все три заплатки.
5. Проверить компьютер антивирусом с обновлёнными базами.
Добавлено:
Чуть не забыл: салити, как и многие выводит из строя отображение скрытых файлов и папок, вот как это исправить(вирусы уже должны быть вылечены):
1) Находим ключик:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
Удаляем параметр CheckedValue
2) «создать --> параметр DWORD»
Называем его CheckedValue. Cтавим значение «1» (0x00000001)
