IMHO.WS

IMHO.WS (http://www.imho.ws/index.php)
-   Обсуждение программ (http://www.imho.ws/forumdisplay.php?f=3)
-   -   Как удалить вирус/троян? (http://www.imho.ws/showthread.php?t=45835)

Borland 28.11.2010 16:23

Проблема-то не в ноде, а в трояне... Переношу в Как удалить вирус/троян?
Соответственно, раз уж он настолько жёсткий - нужно сначала лечить систему, а уже потом обновлять нод.
Загрузите систему в "режиме защиты от сбоев" и попробуйте пролечить свежим "DrWeb® CureIt!".
Если лечение в режиме защиты от сбоев не проходит - Dr.Web® LiveCD на болванку и лечить систему загрузившись с него.
А уже избавившись от malware - восстанавливайте работоспособность любимого нода...

uland 28.11.2010 20:01

Инструкция по удалению Olmarik trojan на Spywarevoid-
http://www.spywarevoid.com/remove-ol...k-removal.html, там же Free skanner, правда им никогда не пользовался.

Antonio_mm 20.12.2011 11:50

Вот такая проблема:
Поймали вирус "autorun" с флешки на Windows XP SP2 Home.
Я уже не один раз избавлялся от таких, но вот в чем проблема. Он прописался в реестре тут
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\netsvcs (в конце списка)
Все как обычно вроде...
Стер название. По этому названию нашел его тут
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
Проблема первая не могу удалить, даже если выставляю разрешения на полный доступ...
Нашел и саму DLL в System32, её удалил с помощью Unlocker'а.
В ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon все нормально!
На следующий день все возобновилось... :(
В netsvcs появились другие сочетания букв по которым можно найти в разделе service, но не удалить...
Вопрос: как еще можно удалить ветку в реестре принудительно из под винды?
Комп находится в сети и умудрились подхватить еще на один :confused:через другую флешку...
Просканировал AVZ вроде сегодня не достает... Но следы остались и я не могу их почистить...

Val14 20.12.2011 12:42

Цитата:

Сообщение от Antonio_mm (Сообщение 1755095)
Вопрос: как еще можно удалить ветку в реестре принудительно из под винды?

Вы надеетесь бороться с вирусом, поставив удаление ветки реестра в авторан ? Это вряди ли получится...
Ветку можно удалить имея на то право(permissions), при условии, что она не "захвачена" как ресурс. думаю, что троян не дает удалить "свою" ветку, поэтому, даже имея все права, удалить её не удается.

Нужно лечить комп и думать, как не допускать новых заражений.

Merlin Cori 20.12.2011 12:46

надо грузится с лив сд, что-то вроде ERD Commander и пытаться править реестр из него. Плюс к этому, то что в посте Borland,
Цитата:

Сообщение от Borland (Сообщение 1729976)
Загрузите систему в "режиме защиты от сбоев" и попробуйте пролечить свежим "DrWeb® CureIt!".
Если лечение в режиме защиты от сбоев не проходит - Dr.Web® LiveCD на болванку и лечить систему загрузившись с него.

Потому что копии этой dll на 100% лежат в system restore и после перезагрузки попадают обратно

Val14 20.12.2011 13:22

Цитата:

Сообщение от Merlin Cori (Сообщение 1755097)
Потому что копии этой dll на 100% лежат в system restore и после перезагрузки попадают обратно

А что понимается под "system restore" ? и какая связь с перезагрузкой и попаданием "обратно" ?

Я не понял смысл фразы. можно её переформулировать ?

Antonio_mm 20.12.2011 13:32

Цитата:

Сообщение от Val14 (Сообщение 1755096)
"захвачена" как ресурс

Как-то узнать это можно? Тоесть как вообще узнать какой ресурс использует "энная" ветка?
Цитата:

Сообщение от Merlin Cori (Сообщение 1755097)
надо грузится с лив сд, что-то вроде ERD Commander и пытаться править реестр из него

Это можно, уже делал (приходилось)... меня интересует сделать это из самой винды.
Цитата:

Сообщение от Merlin Cori (Сообщение 1755097)
Потому что копии этой dll на 100% лежат в system restore

А что там должно лежать? Как отобрать мусор?
Кстати вирус мне закрыл просмотр скрытых файлов, но я в этом разобрался, все показывает!

Plague 20.12.2011 13:41

Цитата:

Сообщение от Antonio_mm (Сообщение 1755100)
меня интересует сделать это из самой винды.

если вирус написан не студентом-недоучкой - никак.
"Умно" написанный вирус контролирует и свои ветки реестра, и свое собственное нахождение в памяти.

Единственный вариант, как выше сказали - LiveCD и редактирование реестра оттуда.

Val14 20.12.2011 13:46

Цитата:

Сообщение от Antonio_mm (Сообщение 1755100)
Как-то узнать это можно? Тоесть как вообще узнать какой ресурс использует "энная" ветка?

Кроме установить программу ProcessMonitor ничего в голову не приходит...

Antonio_mm 20.12.2011 16:59

Цитата:

Сообщение от Val14 (Сообщение 1755102)
Кроме установить программу ProcessMonitor ничего в голову не приходит...

Скачал!
Покавырялся... был бы благодарен, если кто подсказал как проследить какой ресурс не дает удалить зловредную ветку?

Plague 20.12.2011 17:56

фильтр:
path | contain | ветка (не обязательно полностью) | [then] include

и смотри... только повторяю еще раз: если вирь написан не-криворуким студентом, процесс прибить не удастся.

Val14 21.12.2011 11:09

Antonio_mm, Совет про ProcessMonitor был дан, как ответ на вопрос - "чем ?", но если это руткит, троян и т.п., то мониторить обращения к реестру хорошо для общего развития. Не очень уверен, что это поможет вылечить систему.

Знаком со случаями, когда руткит садился как драйвер и, при каждой новой загрузке ОСи, создавал вирус с новым случайным именем.

Удалять его было бесполезно - нужно лечить компьютер !


Часовой пояс GMT +4, время: 03:46.

Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.