Кто у нас по борьбе с вирусами специалист? Прошу помощи!

[Влад (Псарь)]

Второй раз за последний месяц цепляется некая зараза на комп Симптомы -- не дает запускать AVZ (просто на рабочий стол выкидывает), не пускает на сайты антивирусников, при попытке перейти по ссылкам в окне Яндекса , где упоминается avz, касперский и аналогичные слова так же выкидывает на "рабочий стол". Откат не работает, удалены все контрольные точки. Загрузка в "Безопасном режиме" не работает.
С другого диска, где есть операционная система, запускал AVZ и Cureit -- ничего не нашли. На сайты, не связанные с антивирусными программами выход вроде свободный, пока не заметил сбоев.
Есть способ убить эту тварь не переставляя систему?

[Oves]

То, что не пускает на сайте антиврусников - скорее всего отредактирован файл Windows/system32/drivers/etc/hosts
Остальное - надо делать загрузочный антивирь CD и смотреть - должно быть что-то.

[Sten]

Пуск - Выполнить - Msconfig - если знаешь что отключать, убиваешь все лишнее. Для начала. Правишь Windows/system32/drivers/etc/hosts
Качаешь это: http://technet.microsoft.com/ru-ru/s.../bb896653.aspx - убиваешь странные процессы. Смотришь кто их запускает. Убиваешь это.
Качаешь это: http://technet.microsoft.com/ru-ru/s.../bb963902.aspx - убиваешь все лишние загрузки (если знаешь что).
Включаешь UAC (если Виста или 7) или заводишь в XP аккаунт админа с паролем, а свой аккаунт переделываешь в обычного юзера.
наслаждаешься (если разберешься что я тут понаписал)

[zrm35]

как вариант еще средство, которым пользуюсь я, выручал уже не раз.
На всякий случай заходишь в Regedit и чистишь ветку HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes. Я пользуюсь ERD Commander (под ХР), грузишься, перед этим скачиваешь на флешку Dr.Web CureIt (бесплатная утилитка), флешка вставлена, загружаешься, копируешь на винт, и запускаешь, она ищит все что может быть вирусом. помогало не один раз.
Попробуй, если что, пиши. А так распротранено, что пишет свой како-то левый host.

[ГЕРМЕС]

Влад (Псарь), Дружище, Попробуй как вариант AVZ с флешки запустить
Ну и мужики тут правильных советов написали много...

[Влад (Псарь)]

Итак по порядку . В hosts ничего нет. На рабочем компе была аналогичная зараза, но малость попроще. Там в hosts было прописано штук 200 наверное сайтов антивирусных. Удалил и совершенно спокойно реанимировал систему с помощью AVZ. Тут нифига нет. Странно


Sten,странных процессов то же нет. Приблизительно знаю что и в каком количестве должно быть, и что к чему относится. Ничего нового не появилось.
Но вот даже при наведении курсора на папку с AVZ тут же вылет на рабочий стол. Другие папки открывает без проблем. За ссылки на полезные программки --- СПАСИБО!!!!! Сижу изучаю.


zrm35, попробую помудрить с реестром, может чего и получится.

--- Добавлено чуть позже ---

ГЕРМЕС,да нифига он не запускается Я его с другого диска запускал --- эффекта ноль.

[Sten]

Ничего нового не появилось.

Попробуй по очереди убивать все процессы, даже системные (в самом конце) и после каждого убивания смотри что будет. Процессы убивай из Process Explorer - он все показывает, даже то что не видно. И поставь "Отображать процессы всех пользователей" галку - наверняка эта хрень от админа вылезла. Будешь удивлен, на сколько на самом деле больше в системе процессов чем тебе казалось

[REDLEG]

зайди в командную строку Win+R там напиши CMD и нажми выполнить , там откроеца окно , в нем напиши route –f и жми ентер , перезагружай комп и по идее должно пускать на сайты
еще можешь реестр глянуть HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon там ключ должен выглядеть так "Userinit"="userinit.exe," , если по другому то сделай чтоб написано было именно так

[Влад (Псарь)]

Пока результата нет.

[u36a]

Есть удобная программка http://webfile.ru/4833596 я сам юзаю обычно, если более менее понимаешь в устройстве ОС, то поймёшь. Основное, куда обычно прописывается гадость - logon,services,explorer,winlogon.

--- Добавлено чуть позже ---

В авторанс смотри все вкладки вообще, я тебе основные написал, где я чаще всего встречал. Грузись лучше в безопасном, потому что если ты удалишь из регистра строку с запуском, то при ребуте наверняка вирь проверит, а есть ли строка эта, и добавит снова. В безопасном большая вероятность, что вирь нормально работать не будет.

Вот ещё есть софтина, сама формирует списки что откуда при старте грузится, высылает себе на сервер и проверяет.

http://www.online-solutions.ru/produ...n-manager.html

[Влад (Псарь)]

Грузись лучше в безопасном

Не грузится в безопасном.

если более менее понимаешь в устройстве ОС, то поймёшь

Да вот именно что более -- менее Скорее менее все таки. То есть процессы то я вижу, и даже имею некое представление что и зачем, но очень поверхностное. Поудалял конечно некие, уж совсем непонятные .....но что то без толку. Может проще систему переставить......

[u36a]

Может проще систему переставить....

Может и да... Я бы наверное нашёл что у тебя там и как) Просто вирусы тоже бывают разные, если всё настолько плохо как ты описал, то, даже убив его, система останется сильно порченной, я бы наверное переустановил. Ну и надо подумать, какие ошибки были допущены при пользовании нетом, чтобы не допустить снова.. В этом я могу помочь...

[Volodia]

Влад (Псарь), а вирус случайно не смску отправить просит?

[Zloi!]

зайди в командную строку Win+R там напиши CMD и нажми выполнить , там откроеца окно , в нем напиши route –f и жми ентер , перезагружай комп и по идее должно пускать на сайты

Далее, заходишь на http://www.freedrweb.com/cureit/?lng=ru? качаешь эту одноразовую утилитку и находишь своих червей.

--- Добавлено чуть позже ---

route -f пишется с пробелом!

[wadim_m]

ГЕРМЕС,да нифига он не запускается Я его с другого диска запускал --- эффекта ноль.

жесткого ? тогда это очень жестоко или диск лежал на полке, на него поставили виндовс, поставили антивирус, и только потом подключили диск тот с вирусами, и то через USB на включеном компьютере.

Если нет, то так можно долго по кругу бегать, и даже перставить систему, а там снова вирус, со второго диска.

И это Злой прав, http://www.freedrweb.com/aid_admin/ , но если сайты не открываются, то и этот по идее не должен открыть. Поэтому сделать на другом компьютере Live-cd и проверять с него.

--- Добавлено чуть позже ---

сорри

Zloi!,

[u36a]

Какой прикол от route -f ? Ну сотрёте вы таблицу роутов, во-первых нормальный вирус тут же переподключит соединение с интернетом, что моментально вернёт все роуты на место. Да и потом, накой вирусу интернет, чтобы работать? На этапе загрузки лоадер уже скачал всё что надо для вашей системы... Интернет ему теперь нужнен, чтобы отчёты слать с вашими данными, ну или смотря на что он настроен. Посему надо запустить систему без него или просто загрузиться со стороннего диска, убить его файлы \ записи старта в регистре. Можно конечно и поискать его процесс и так, но имхо он подлинкован к системному процессу, типа explorer.exe, svhost.exe, csrss.exe искать будете долго и не факт, что убьёте.. Плохо что в безопасном не грузится...

Ну если даже вы вирь вычистите, то что дальше? Система уже мертва считайте после такого проникновения. Поэтому желательно сначала правильно организовывать расположение системы\ресурсов на компе... Типа система + проги (без данных) = диск С:, а документы, данные, музыка, фильмы и т.п. = диск Д:... Тогда можно делать образ работоспособной системы, и в случае чего тупо её откатить назад, обновив версии программ до последних... Ну или же просто переставить, не потеряв при этом никаких данных...

[Влад (Псарь)]

Volodia, нет, смс не просит. Он вообще почти никак себя не проявляет. Правда лиса теперь стала с третьего раза запускаться. Но это мелочи


Zloi!, не пускает он меня никуда. А при попытке запуска антивируса просто выбрасывает на рабочий стол. Достаточно просто курсор подвести к иконке , даже нажимать ничего не надо. Но при этом на запуск других программ реагирует адекватно
wadim_m, а почему жестоко? Вирус не прописался на другой диск, там все нормально работает. И если я на нем запускаю тот же CureIt, то он проверяет диск С и что то там находит и удаляет. Только без толку, он похоже не видит эту заразу.


****, да вот сложно организовать процесс работы так, что бы не влезть куда нибудь на заразный сайт. Последнее время что то слишком активно стали на собачих сайтах и форумах вирусы размещать.

[TheTERMINATOR]

Не грузится в безопасном.

Конкретнее!

Должен грузиться. Это первое с чего начинать.

Только в сейф-моде можно все вычистить.

[Antalia]

Malwarebytes - по идее тебе должна помочь эта программа. в 99% помогает.

[Влад (Псарь)]

TheTERMINATOR, да все просто. При попытке загрузиться в безопасном режиме на на секунду высвечивает окно с вариантами загрузки и тут же подменяет его на синее окошко со списком установленных дисков. При смене загрузочного диска через БИОС, на втором (живом) диске все работает как положено.