IMHO.WS - Показать сообщение отдельно

30.09.2004, 12:19

Дело было так.
Сначала я отключил антивирус, чтобы он не забирал ресурсы, думал сам
справлюсь с вирусами, не в первой.
Пришел вчера на работу, все как обычно, только комп подвис минут через 5 и перезагрузился. Однако. Ну ладно, значения не придал. После ребута история повторилась. В процессах ничего подозрительного не было, а вот в реестре (автозагрузка) было. Выглядела строка так:
secboot %root%\system32 vtd_16.exe!!
Ну ладно, подумал я, фигня. Подчистил реестр, полез убирать файл. А он и не удаляется, типа совместный доступ к файлу. Пошел дальше процессы смотреть, некоторые закрыл. НО все равно что-то держит его, не дает удалить.
Полез в инет за информацией, кроме этой страницы ничего не нашел. Да и тут человек просто переставил систему. Но это не наши методы.
В общем, друг потом где-то нашел информацию, подсказал что это haxdoor.k (еще называют haxdoor.ak, haxdor-fem или fam и т.д.). Кинул антивирус (вроде заточенный под это дело - Sophos Anti-Virus). Нашел он еще пару файлов от этого вируса и блокировал их (надо заметить, что все это происходило в сейфмоде, т.к. там у него не получалось ребутнуть, хоть он и пытался (!)).
Дальше я нашел эту страницу
http://www.sophos.com/virusinfo/anal...jhaxdoork.html
где на закладке Адвансед было достаточно полезной информации.

В общем, убил я по порядку все эти файлы
cm.dll
draw32.dll
hm.sys
memlow.sys
p2.ini
vdnt32.sys
wd.sys
i.a3d
klogini.dll
(порядок важен)
и система дала удалить vtd_16.exe
Отлично, половина дела сделана.
Далее убираем следующие сервисы:

servicename = memlow
imagepath = \\<Windows>\<system>\memlow.sys
and
servicename = vdnt32
imagepath = \\<Windows>\<system>\vdnt32.sys

В итоге, казалось бы все. НО!
Перезагрузив в нормальный режим, все идет отлично до того момента, когда должен появиться интерфейс. Компьютер не висит, но и интерфейс не появляется - просто мышка на синем (вин 2000) фоне.
В общем, долго я вчера бился еще с этим, думал что это следствие сервиса memlow, почистил весь реестр, но безрезультатно.
Все поиски в сети происходили на другом компьютере этой же сети. Утром включив его, там оказалась точно такая же ситуация. Проверил на вирус в сейфмоде, все чисто, но не догружается.
И потом меня резко осенило: я убрал тот антивирус, который мне посоветовали для этого вируса, убрал в автозагрузке, реестре, в сервисах и все заработало на обоих компьютерах.
Все это в общем то лирика, но предостережение, что не стоит ставить тот антивирус.
А к делу относится только средний раздел.
Оказалось все очень просто. Удачи!

P.S. кому интересно - могу выслать вирус для опытов.

30.09.2004, 12:19	# 10
Konstk Guest Сообщения: n/a	Как я победил этот вирус Дело было так. Сначала я отключил антивирус, чтобы он не забирал ресурсы, думал сам справлюсь с вирусами, не в первой. Пришел вчера на работу, все как обычно, только комп подвис минут через 5 и перезагрузился. Однако. Ну ладно, значения не придал. После ребута история повторилась. В процессах ничего подозрительного не было, а вот в реестре (автозагрузка) было. Выглядела строка так: secboot %root%\system32 vtd_16.exe!! Ну ладно, подумал я, фигня. Подчистил реестр, полез убирать файл. А он и не удаляется, типа совместный доступ к файлу. Пошел дальше процессы смотреть, некоторые закрыл. НО все равно что-то держит его, не дает удалить. Полез в инет за информацией, кроме этой страницы ничего не нашел. Да и тут человек просто переставил систему. Но это не наши методы. В общем, друг потом где-то нашел информацию, подсказал что это haxdoor.k (еще называют haxdoor.ak, haxdor-fem или fam и т.д.). Кинул антивирус (вроде заточенный под это дело - Sophos Anti-Virus). Нашел он еще пару файлов от этого вируса и блокировал их (надо заметить, что все это происходило в сейфмоде, т.к. там у него не получалось ребутнуть, хоть он и пытался (!)). Дальше я нашел эту страницу http://www.sophos.com/virusinfo/anal...jhaxdoork.html где на закладке Адвансед было достаточно полезной информации. В общем, убил я по порядку все эти файлы cm.dll draw32.dll hm.sys memlow.sys p2.ini vdnt32.sys wd.sys i.a3d klogini.dll (порядок важен) и система дала удалить vtd_16.exe Отлично, половина дела сделана. Далее убираем следующие сервисы: servicename = memlow imagepath = \\<Windows>\<system>\memlow.sys and servicename = vdnt32 imagepath = \\<Windows>\<system>\vdnt32.sys В итоге, казалось бы все. НО! Перезагрузив в нормальный режим, все идет отлично до того момента, когда должен появиться интерфейс. Компьютер не висит, но и интерфейс не появляется - просто мышка на синем (вин 2000) фоне. В общем, долго я вчера бился еще с этим, думал что это следствие сервиса memlow, почистил весь реестр, но безрезультатно. Все поиски в сети происходили на другом компьютере этой же сети. Утром включив его, там оказалась точно такая же ситуация. Проверил на вирус в сейфмоде, все чисто, но не догружается. И потом меня резко осенило: я убрал тот антивирус, который мне посоветовали для этого вируса, убрал в автозагрузке, реестре, в сервисах и все заработало на обоих компьютерах. Все это в общем то лирика, но предостережение, что не стоит ставить тот антивирус. А к делу относится только средний раздел. Оказалось все очень просто. Удачи! P.S. кому интересно - могу выслать вирус для опытов.