Форум программистов
 

Восстановите пароль или Зарегистрируйтесь на форуме, о проблемах и с заказом рекламы пишите сюда - alarforum@yandex.ru, проверяйте папку спам!

Вернуться   Форум программистов > Операционные системы > Операционные системы общие вопросы
Регистрация

Восстановить пароль
Повторная активизация e-mail

Купить рекламу на форуме - 42 тыс руб за месяц

Ответ
 
Опции темы Поиск в этой теме
Старый 02.02.2009, 22:11   #1
Amen
Заблокирован
Форумчанин
 
Регистрация: 22.01.2008
Сообщений: 121
По умолчанию Помогите избавиться от вируса

Мои приветствия.
У меня такая проблема - уже несколько месяцев мучает вирус.
Симптомы: не работает диспетчер задач
не устанавливается ни один антивирус
не устанавливаются некоторые программы
некоторые программы (напр. QuickTimer) сильно глючат
флешки заражаются сразу же после открытия, а может даже и после засовывания в порт, не знаю

Как можно самому избавиться от этого вируса. Кажется он называется Win32.Sector12.
Amen вне форума Ответить с цитированием
Старый 02.02.2009, 22:25   #2
vladchyzh
Пользователь
 
Регистрация: 29.12.2008
Сообщений: 14
По умолчанию

отформатировать жестокий диск
vladchyzh вне форума Ответить с цитированием
Старый 03.02.2009, 10:10   #3
execom
Редкий тунеядец
Форумчанин
 
Аватар для execom
 
Регистрация: 29.10.2006
Сообщений: 595
По умолчанию

дай копию виря на исследование.... Такого рода вири, как правило лечатся на раз, два.. принцип очень простой, называют их обычно флешечными червями, хотя по принципу они более схожи с троянами.. Где-то в системе обычно сидит корневой файл червя, который как правило либо грузится со стартом системы любым из числа возможных способов (не трудно проверить все способы), а далее загаживает реестр всякими блокировками системных возможностей типо: запрет диспечера задачь, редактора реестра, запрет открытия скрытых файлов и тому подобных детских фишек.. Способ лечения всехда один:
1)Определяем способ автозагрузки и блокируем его.
2)После перезагрузки или если удалось остановить до перезагрузки удаляем корневой файл червя и в корнях дисков копии червя с файлами autorun.inf

Удалять червя нужно не заходя через проводник, т.к. вход на диск вызывает выполнения инструкций autorun.inf, т.о. делаем это через файловый менеджер типо тотал командера, дла особенно простых червей, которые глушатся tskill-ом и всегда используют одно имя для копий в системе и в корнях, можно юзать заранее подготовление BAT-ники... В общем кидай виря, а лекарство, думаю соображу)))

Последний раз редактировалось execom; 03.02.2009 в 10:35.
execom вне форума Ответить с цитированием
Старый 03.02.2009, 12:10   #4
Blade
Software Engineer
Участник клуба
 
Аватар для Blade
 
Регистрация: 07.04.2007
Сообщений: 1,618
По умолчанию

Цитата:
Сообщение от vladchyzh Посмотреть сообщение
отформатировать жестокий диск
Лучшее лекарство!
Ужас

К вышеперечисленному порекомендовал бы делать все эти действия (я про удаление из автозагрузки) в безопасном режиме (нужно нажать F8 при загрузке Windows)
Мужество есть лишь у тех, кто ощутил сердцем страх, кто смотрит в пропасть, но смотрит с гордостью в глазах. (с) Ария
Blade вне форума Ответить с цитированием
Старый 03.02.2009, 12:26   #5
Shadow_Wind
Пользователь
 
Аватар для Shadow_Wind
 
Регистрация: 10.10.2008
Сообщений: 30
По умолчанию

Советую тебе скачать AVZ, очень помогает, правда если он запуститься. Если не поможет, скачай DR-web LiveCD. Тоже должно помочь. (около 60 мб образ весит) Выше нос!
Shadow_Wind вне форума Ответить с цитированием
Старый 03.02.2009, 15:37   #6
KORN
Банхаммер
Участник клуба
 
Аватар для KORN
 
Регистрация: 17.02.2007
Сообщений: 1,754
По умолчанию

или CureIt он метров 12
Перед тем как спросить ищи на форуме и в GOOGLE
KORN вне форума Ответить с цитированием
Старый 03.02.2009, 20:54   #7
Amen
Заблокирован
Форумчанин
 
Регистрация: 22.01.2008
Сообщений: 121
По умолчанию

Цитата:
Сообщение от vladchyzh Посмотреть сообщение
отформатировать жестокий диск
Мой приятель так и делал...раз 6-7 наверное, правда не жестокий, а жёсткий диск (побоялся наверное). Бедняга.

Цитата:
Сообщение от execom Посмотреть сообщение
дай копию виря на исследование.... Такого рода вири, как правило лечатся на раз, два.. принцип очень простой, называют их обычно флешечными червями, хотя по принципу они более схожи с троянами.. Где-то в системе обычно сидит корневой файл червя, который как правило либо грузится со стартом системы любым из числа возможных способов (не трудно проверить все способы), а далее загаживает реестр всякими блокировками системных возможностей типо: запрет диспечера задачь, редактора реестра, запрет открытия скрытых файлов и тому подобных детских фишек.. Способ лечения всехда один:
1)Определяем способ автозагрузки и блокируем его.
2)После перезагрузки или если удалось остановить до перезагрузки удаляем корневой файл червя и в корнях дисков копии червя с файлами autorun.inf

Удалять червя нужно не заходя через проводник, т.к. вход на диск вызывает выполнения инструкций autorun.inf, т.о. делаем это через файловый менеджер типо тотал командера, дла особенно простых червей, которые глушатся tskill-ом и всегда используют одно имя для копий в системе и в корнях, можно юзать заранее подготовление BAT-ники... В общем кидай виря, а лекарство, думаю соображу)))
Кстати прикол со скрытыми файлами у меня был ещё до этого вируса.
Как определить способ автозагрузки и заблокировать его? Что это вообще значит? И как узнать где ютится корневой файл?


Цитата:
Сообщение от KORN Посмотреть сообщение
или CureIt он метров 12
Пробовал. Не получается. Чистка томозит где-то на 45%-тах. После нескольких заходов CureIt блокируется.
Amen вне форума Ответить с цитированием
Старый 03.02.2009, 21:02   #8
KORN
Банхаммер
Участник клуба
 
Аватар для KORN
 
Регистрация: 17.02.2007
Сообщений: 1,754
По умолчанию

а из под безопасного режима7
Перед тем как спросить ищи на форуме и в GOOGLE
KORN вне форума Ответить с цитированием
Старый 03.02.2009, 21:24   #9
execom
Редкий тунеядец
Форумчанин
 
Аватар для execom
 
Регистрация: 29.10.2006
Сообщений: 595
По умолчанию

Цитата:
Кстати прикол со скрытыми файлами у меня был ещё до этого вируса.
Как определить способ автозагрузки и заблокировать его? Что это вообще значит? И как узнать где ютится корневой файл?
Видимо и до этого у тебя на компе проживал "дружок" по имени amvo (не помню как его по науке зовут ибо антивири не юзаю), имено он и делает фишки с блокировкой просмотра скрытых файлов.
execom вне форума Ответить с цитированием
Старый 04.02.2009, 11:27   #10
DomiNick
Студент, не
Старожил
 
Аватар для DomiNick
 
Регистрация: 29.01.2009
Сообщений: 2,067
По умолчанию

Цитата:
Сообщение от execom Посмотреть сообщение
Видимо и до этого у тебя на компе проживал "дружок" по имени amvo (не помню как его по науке зовут ибо антивири не юзаю), имено он и делает фишки с блокировкой просмотра скрытых файлов.
О да..... жестокий вирь..... У меня оно было.....
Даже кажется "оригинальная" версия.....
Только "amvo" - это не имя... Сам исполняемый файл называется "xpbkh.com"...

На всякий случай (вдруг пригодится кому) напишу вырезку из какой-то статьи:

Цитата:
Вирус "xpbkh"

* на момент написания статьи НЕ определяется антивирусами;
* при попадании в операционную систему "Windows" любой версии влезает в реестр, во все настройки, а также дублирует себя на все локальные и съёмные диски имеющиеся в системе;
* распространяется через съёмные носители;

Вирус находится в корневом каталоге съёмного носителя. При подсоединении заражённого съёмного носителя к системе последняя (по умолчанию) запускает файл "Autorun.inf", который создал вирус. Этот файл определяет версию операционной системы "Windows" и запускает основной файл вируса "xpbkh.com". После этого вирус получает полный доступ к системе. Он копирует себя на все локальные и съёмные диски имеющиеся в системе, заменяя существующие "Autorun" файлы. Полностью меняет настройки "Свойств папки" и блокирует их изменение пользователем (в частности вирус отключает показ скрытых файлов*, что сильно осложняет борьбу с ним). Также вирус прописывается в автозапуск (создаётся и прописывается в автозапуск файл "C:\WINDOWS\system32\amvo.exe") , влезает в реестр и постоянно перезаписывает файлы "Autorun.inf" и "xpbkh.com" на всех локальных и съёмных дисках - что также затрудняет борьбу с ним.

Некоторые признаки попадания этого вируса в систему:
1. Двойной щелчок на любом локальном или съёмном диске открывает папку в новом окне (если так не было настроено изначально)
2. Проводник перестал показывать скрытые и системные файлы (если их отображение было включено) и изменение настроек "Свойств папок" невозможно (после закрытия окна все изменения сбрасываются)
3. Иконки локальных и съёмных дисков изменены в первоначальные (если Вы их изменяли на свои (при отключённой или отсутствующей программе "VistaDrive"))

Если вирус попал к вам в систему попробуйте сделать следующее:

1) Удалить из автозапуска программу "amvo.exe" и скопировать на все имеющиеся локальные и съёмные диски 4 пустых файлов** (желательно одномоментно), затем как можно быстрее жать ризет...

2) Если после перезагрузки иконки дисков (при отключённой или отсутствующей программе "VistaDrive") или если файлы "Autorun.inf" и "xpbkh.com" пропали (или изменили объём) - значит вы поздно нажали ризет... =((

3) В таком случае необходимо установить программу для быстрого удаления конфиденциальной информации (например "AusLogics File Shredder") и добавив в "дополнительные файлы для удаления" файлы "<диск>:\Autorun.inf" и "<диск>:\xpbkh.com" на всех локальных и съёмных дисках. Это позволит практически одномоментно удалить эти файлы. После появления сообщения о том, что все эти файлы удалены нужно снова как можно быстрее жать ризет... Для профилактики после перезагрузки можно повторить пункт [1]...

Эти процедуры не спасут систему - они лишь предотвратят распространение вируса. Кроме файлов в корневых каталогах и файла "C:\WINDOWS\system32\amvo.exe" вирус создаёт множество других файлов, зависящих от версии операционной системы (например "C:\WINDOWS\system32\amvo.dll", "C:\WINDOWS\system32\amvo0.dll" или "C:\WINDOWS\system32\amvo1.dll" ). В любом случае этот вирус оставит хвосты и операционную систему желательно переустановить.

Если в системе несколько локальных дисков - то просто переустановка операционной системы поможет только при форматировании всех локальных дисков. После же этих процедур можно переустанавливать систему не опасаясь, что сразу после завершения установки вирус возродится.

Вирус также может "пользоваться" вашим соединением интернет и локальной сетью (что именно он там делает - на данный момент не выясненно).
Так как неизвестно, что он ещё может делать - после переустановки системы рекомендуется провести полную проверку антивирусом с самыми последними вирусными базами.

* Файлы "Autorun.inf" и "xpbkh.com" скрытые и чтоб затруднить борьбу с вирусом последний запрещает просмотр скрытых файлов. И даже после удаления вируса запрет остаётся. Для восстановления настроек можно использовать команду: Выполнить -> "regsvr32 /i shell32.dll".
** Создайте в блокноте 4 пустых файла и назовите их - Autorun.inf, Desktop.ini, Thumbs.db, xpbkh.com
I am the First of Cyber Evolution...
I am the First to Program your Future...
DomiNick вне форума Ответить с цитированием
Ответ


Купить рекламу на форуме - 42 тыс руб за месяц

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Последствия вируса ek.com Tayfun Безопасность, Шифрование 5 12.01.2013 12:52
покажите исходный код какого-нибудь вируса или трояна в Delphi Aboltus Безопасность, Шифрование 10 03.09.2008 06:56
Помогите убрать последствия вируса N!ckeL Безопасность, Шифрование 4 28.05.2008 16:55