Страница: 1 | 2 |
Вопрос: Как убить заразу?
Добавлено: 25.06.08 10:13
Автор вопроса: Павел | Web-сайт:
Осматриваю одну машину. Вирусяка какая-то страшная завелась, мешает работать.
ОС: Win XP Pro SP2
Симптомы:
При запуске программ (не важно - юзер запускает, или сама винда, даже
при запуске вервисов при загрузке винды возникает это) появляется
MessageBox с заголовком "Ошибка", в теле - полный путь запускаемой
проги с параметрами. Но несмотря на это программы всё же запускаются
после того как MessageBox закрываешь.
Периодически svchost.exe начинает жрать 100% процессора.
С этого компа на флэшку какой-то вирус попадал. Т.е. возмжно
размножается флэшками. Хотя может тут просто несколкьо разных вирусов.
В автозагрузке видел команды запуска amvo.exe, ulxnvs.exe из папки
system32. Однако в system32 я этих файлов не нашел.
Также в автозагрузке висит msfun80.exe, его я тоже не нашел.
Symantec Antivirus с базами месячной давности ничего не находит.
Обновить базы не смог, т.к. LiveUpdate не может подключиться к
серверу обновлений.
Ну вот в целом так. Хотелось бы понять, что это за зверь там завелся,
и как его убить. Any ideas?
Ответы
Всего ответов: 21
Номер ответа: 1
Автор ответа:
AndreyMp
ICQ: 237822510
Вопросов: 28
Ответов: 1182
Профиль | | #1
Добавлено: 25.06.08 10:44
amvo.exe встречал. Симптомы несколько другие:
-комп жутко тормозил;
-двойным кликом невозможно открыть диски (прописывался авторан);
-периодически не монтировались флешки;
-при выключении компа выдавалась мессага, что не может завершить процесс.
Может что и забыл. Погуглил, оказалось что не так все просто. Хотя бы вот:
http://pozitiv.org.ru/2008/02/virus-amvo-20.html
Номер ответа: 2
Автор ответа:
Павел
Администратор
ICQ: 326066673
Вопросов: 368
Ответов: 5968
Web-сайт:
Профиль | | #2
Добавлено: 25.06.08 11:21
Похоже не amvo это. Все возможные методы борьбы применил - ситуация не
улучшилась. Да и исполняемых файлов amvo найти не смог.
Видимо какая-то другая это зараза. Причем сидит очень глубоко, раз
даже згрузке системы как-то мешает...
Номер ответа: 3
Автор ответа:
Arseny
ICQ: 298826769
Вопросов: 53
Ответов: 1732
Профиль | | #3
Добавлено: 25.06.08 11:23
НОД - рулит! (вчера кстати на халтуре нодом около 800 бацилл пощелкал... среди них и amvo.exe ))
Номер ответа: 4
Автор ответа:
Arseny
ICQ: 298826769
Вопросов: 53
Ответов: 1732
Профиль | | #4
Добавлено: 25.06.08 11:27
вообще-то была какая-то шняга, которую не мог и нод удалить.... но spybot со свежими базами все извел.
Номер ответа: 5
Автор ответа:
Павел
Администратор
ICQ: 326066673
Вопросов: 368
Ответов: 5968
Web-сайт:
Профиль | | #5
Добавлено: 25.06.08 12:08
Друзья, сообщаю, что зверь убит! Оказался это какой-то злой руткит.
Попутно было убито еще 5 разных безобидных зверьков.
Помог бесплатный софтин CureIt от DrWeb'а (и UU, который его порекомендовал). Рекомендую.
Номер ответа: 6
Автор ответа:
Smith
ICQ: adamis@list.ru
Вопросов: 153
Ответов: 3632
Профиль | | #6
Добавлено: 25.06.08 13:21
Курит реально даёт прикурить ...
Номер ответа: 7
Автор ответа:
Arseny
ICQ: 298826769
Вопросов: 53
Ответов: 1732
Профиль | | #7
Добавлено: 25.06.08 13:32
не-е... дрвеб - не рулит, рулит НОД! :D
Номер ответа: 8
Автор ответа:
User Unknown
Вечный Юзер!
ICQ: uu@jabber.cz
Вопросов: 120
Ответов: 3302
Профиль | | #8
Добавлено: 25.06.08 13:39
Рулит LFS.
Номер ответа: 9
Автор ответа:
JacK
ICQ: 9580088
Вопросов: 13
Ответов: 1078
Web-сайт:
Профиль | | #9
Добавлено: 25.06.08 14:01
У меня никогда небыло антивирусов и никогда небыло вирусов.
Статистика из вирустотал, говорит о том, что касперский, др. веб, нод32, аваст - самые тупые антивирусы.
Здравый смысл + фаервол.
Номер ответа: 10
Автор ответа:
Павел
Администратор
ICQ: 326066673
Вопросов: 368
Ответов: 5968
Web-сайт:
Профиль | | #10
Добавлено: 25.06.08 14:53
Да у меня на ноуте тоже все в порядке. Даже файрвол вобщем-то не нужен, только патчи на винду регулярно ставлю.
Но если за компом работает несколько плохо обученных юзеров, то неизбежно занесут с инета да на флэшках уйму вирусов.
Номер ответа: 11
Автор ответа:
AndreyMp
ICQ: 237822510
Вопросов: 28
Ответов: 1182
Профиль | | #11
Добавлено: 25.06.08 15:14
Я своим юзерам повырубал все дисководы, CD/DVD-привода и USB-порты. Инет им не положен в принципе.
Номер ответа: 12
Автор ответа:
HACKER
Разработчик Offline Client
Вопросов: 236
Ответов: 8362
Профиль | | #12
Добавлено: 25.06.08 17:52
Да я тоже антивирусом никаким не пользуюсь, с тех пор, когда за трафик не переживаю Когда что-то обнаруживаю, борюсь своими силами. Мониторю процессы, импортированные длл к ним, ресстр. Сам чищю, и в принципе всегда успешно. Иногда читаю инфу о вирусе в инете, тогда уже понятно точно где зараза прописывается.
Номер ответа: 13
Автор ответа:
Arseny
ICQ: 298826769
Вопросов: 53
Ответов: 1732
Профиль | | #13
Добавлено: 25.06.08 18:16
Номер ответа: 14
Автор ответа:
JacK
ICQ: 9580088
Вопросов: 13
Ответов: 1078
Web-сайт:
Профиль | | #14
Добавлено: 25.06.08 18:45
Кароче, пишите собственную ОСь и програмное обеспечение к ней. И будем вам счастье.
Номер ответа: 15
Автор ответа:
BUMM ®
Вопросов: 8
Ответов: 482
Профиль | | #15
Добавлено: 25.06.08 23:34
+1