Как завалить эту кучу троянов?

[MaximBa]

Вчера попал в руки ноутбук от знакомых, типа, "что-то тормозит, наверное, вирус!".

Симптомы были такие: 70-80% CPU съедал svchost. Если его через диспетчер задач убить, то система (Win XP) отрубается через 1 мин (обычное незакрываемое окно). Постоянно запрашиваются соединения на 2 левых адреса.

Что было: за день перед этим ноутбук втыкался где-то в локалку. Антивирусов, есессно, не стояло на нем, не говоря о стенке.

Что пробовал (ставил и запускал):
Dr. Web -- ставится, но при скане памяти виснет,
Norton -- ставится, не запускается в принципе,
F-prot под DOS -- ничего не нашел (память/реестр/диски),
Stop! -- ничего не нашел,
NOD 32 -- пусто,
Anti Trojan -- НАХОДИТ 3-4 червя (WinCrash, Blaster 5 и еще что-то), но быстро убивается системой, сделать ничего не успевает;
AHE -- ничего не нашел.

Что прикольно:
при безопасной загрузке Win все в порядке (Anti Trojan говорит, что все чисто).

Может, кто знает, как справиться с такой штучкой малыми жертвами?

MaximBa
Первое, что пришло в голову - посмотри в реестре, что автоматом грузится.... Шансы, конечно, малы, но все-таки...

[Bore]

Согласен, первое это start up.
потом отключи System restore (на My computer/properties/System restore - поставь галку)
А потом в и-нет, на поиски описания вирусов что уже нашел, и ручками вычищать с харда и регистра! желаю удачи

[MaximBa]

Про реестр я превым делом подумал. Смотрел с помощью j16 -- ничего лишнего. Adware тоже ничего не обнаружил. Reinstall!!!

спасибо за советы

[Bore]

Adaware и Jv16 тут не помогут, они не предназначены для поиска вирусов. Надо смотреть описание вирусов, какие файлы кидают на хард, где прописываются в регистре, и ручками, ручками всё удалять!

[ShooTer]

При безопасной загрузике и не будет практически ничего грузится.Потому болшое количество драйверов не загружается.
В следуший раз переустанавливай систему.

[MaximBa]

Как же может быть, что при проверке диска и реестра антивирусами/антитроянами ничего нет, а при запуске служб, отвечающих за сеть и выполнение удаленных процедур все вдруг есть?

[ShooTer]

MaximBa
Ситуация такова:
1.Вирусы бывают прозрачными для поисковых програм.
2.Некотрые Антивирусы подзревают некоторые службы вирусами,потому и реагируют.
3.Вирусы активируются после активирования етих служб.

ShooTer
Вспомнил тут... по 2-му пункту Касперский на пне-166 кричал, что заражено... 'simm-память' =)

MaximBa
Я немного не то имел в виду... Посмотреть, что в реестре во всех разделах, начинающихся на Run надо было первым делом....
Ну да ладно, теперь уж поздно =))

[MaximBa]

ShooTer
Видимо так и есть. Во всяком случае, перестановка помогла. Добавил второй аутпост, нод и анти-троян. ПОсмотрим, что из этого выйдет

Спасибо за ответ!

Добавлено через 1 минуту:
sasa001
А разве jv16 в разделе Реестр/Автозагрузка показывает не все Runы? А ято радовался

postav kaspersky 4.5 monitor ego virubit!
a esli net to reboot > safe mode > scan

[ShooTer]

MaximBa
Рад был помочь.

[de(m)net]

MaximBa
Зайди в сервайсес - дабл клик на стоке Remote Procedure Call (RPC) - в закладке "востановление" измени в строках:
первый сбой:перезагрузка компьютера
второй сбой:перезагрузка компьютера
последующие сбои:перезагрузка компьютера
на: "перезапуск службы"

после этого сбрасывая vchost перезагрузки небудет.

просмотри сайт там есть все, что тебе необходимо.
Удачи

[MaximBa]

damned
Спасибо! Вот то, что нужно! 5 баллов.