Проблемы с вирусами (общая)

[Igla]

Всем привет!Очень надеюсь на Вашу помощь!Примерно с неделю назад появился вирус Trojan-Proxy.Win32.Ranky.bc ,поселился в C://Winnt/system32 + еще 1 вирус-вроде Bacdoor или типо того.Каждый день включаю AVP сканер по просьбе компьютера,все чистится-часть приходится удалять,т.к.просто так не лечится.Сканирование заканчивается,все замечательно.А на следующий день по новой-и так ужу неделю.Я скоро все файлы так удалю.Что делать?Может сканер не все видит и за ночь вирус размножается.Обновляется сканер постоянно.Как быть?заранее спасибо

 

[Kosh]

Дело в том, что антивирусная программа уже сама заражена, поэтому, проверяя - он заражает другие объекты... Советую отнести винчестер(если не работал с "железом" на уровне сборки/разборки компьютера, то не советую пробовать) или же весь компьютер к тем, у кого нет вирусов, но есть антивирусная программа, регулярно обновляемая(желательно, чтобы человек был грамотный, иначе может сделать ещё хуже). Вобщем, поищи умного человека в своём окружении и попроси помочь.

 

[Rocklolita]

http://www.simplysup.com/tremover/
попробуй эту прогу, Trojan Remover 6.3.6
мне помогла, правда не от этого троянца.... а бекдоор с кряками занес..... скорее всего, но он помоему не опасен, хотя я не уверена....
P.S. правда действует она только 30 дней, регистрировать за $ надо...

 

[Xermit]

Irmion, извините, но зачем человека пугать, еще далеко не факт, что Касперский заражен.

 

[Shy]

Прежде чем носить куда-либо винчестер, проще попробовать перезагрузить Windows в защищенном режиме и запустить сканер в нем. В большинстве случаев это помогает. Не поможет -- здесь есть хорошая инструкция по борьбе с вирусами.

 

[khodakov]

Какая версия виндовс?
По всей видимости, ты удаляешь системные файлы, а они восстанавливаются при помощи механизма восстановления системы.
Посмотри описание вируса и метод борьбы с вирусом в вирусной энциклопедии.
Если бы Касперский был заражён, он бы выдал соответствующее сообщение.
Создай Kaspersky Anti-Virus Rescue Disk и загрузись с него.

 

[tomson]

Для начала советую переинсталлировать Касперского и поставить вместе с ним Нортон. Потом зайти через безопастный режим и сначала провериться НОРТОНОМ, а затем КАСПЕРСКИМ. После этого перегрузить комп и подождать, появяться ли симптомы. И вообще рецепт на будущее: Если вирус не простой, а Троян к прмимеру, то удалять его нужно только через безопастный режим и желательно провериться двумя антивирусами.
P.S. У меня Касперский с Нортоном вполне дружно уживаються...

 

[Strange&BeautyElf]

если поражены лишь несколько файлов, то их можно открыть через блокнот, а потом код им подчистить....мне так сделать советовали, когда вирус не удалялся...

 

[Gordo]

На флэшку через комп в интернет-кафе попал червь, антивирус его обнаружил, удалил. Теперь флэшка не открывается ни через ярлык на рабочем столе, ни через "Мой компьютер", а только через "Проводник". Это раз. Одна из папок на флэшке, которую захотел удалить (пустая и не нужная) при удалении выдает такое: "Переименование, перемещение или удаление папки может повлиять на работу некотрых программ. Вы действительно хотите сделать это?". Я пока ее не удаляю, хотя сто раз проверил: да, пустая, ноль байт, антивирус (Касперский Personal) ничего не обнаруживает. Полная проверка компьютера на вирусы тоже показала, что ни одного зараженного объекта нет. Единственное что: лицензионный ключ антивируса закончился, и практически три месяца не было обновлений, но по старым базам работал успешно, вроде. В настоящий момент по ряду причин приобрести новый ключ или новый антивирус не могу.
Это в принципе может быть опасно? Как вариант предложили отформатировать флэшку, а там видно будет.

 

[Trotil]

Gordo
Прежде всего поискать на флешке файл "autorun.inf", если есть такой - удалить. Файл может быть скрытым.

Теперь флэшка не открывается ни через ярлык на рабочем столе, ни через "Мой компьютер", а только через "Проводник".

Это только на одном компьютере проверено или на нескольких?

 

[Gordo]

Такого файла на диске обнаружить обычным путем не удалось (то есть даже среди скрытых такого файла нет, не нашел и через поиск по параметрам поиска файлов сведений для установки, ".inf" ведь, как я помню, расширение для таких файлов). Но в отчетах проверки антивирусом съемных дисков он значится. Ввел в адресную строку - открылся текстовый файл с таким содержанием:
[autorun]
open=
shell\open=Explore
shell\open\Command=rundll32.exe .\desktop.dll,InstallM
shell\open\Default=1
Как его удалить - не знаю. При попытке просто стереть весь этот текст и сохранить файл таким образом выдает, что: "Не удается создать файл F:\autorun.inf. Проверьте правильность пути и имени файла". Поместил его в карантин, забив имя файла, проверил - говорит, не заражен.

Кстати, в отчете той проверки, когда червь был обнаружен и удален, нашел запись про упомянутый в autorun.inf файл: "F:\desktop.dll является сетевым червем Worm Win32 АutoRun.j" и следующая запись: "F:\desktop.dll удален"

Кстати, вообще уже можно бояться или пока не стоит? А то нервный я в таких вопросах, да еще и необразованный...

Проверить, открывается ли флэшка на других компьютерах, пока не было возможности.

 

[Trotil]

Кстати, вообще уже можно бояться или пока не стоит

Не надо бояться - все поправимо.

Пока не буду ничего конкретного советовать - перестрахyюсь - http://mixei.ru/showthread.php?t=66310 - выполни эту инструкцию со вставленной флешкой. Тогда к гаданию можно будет не прибегать, а давать конкретные советы.

 

[Gordo]

Проверил, пока загружались базы онлайн сканера Касперского (и пока еще продолжают загружаться) файл F:\autorun.inf. Выдали, что файл заражен Virus.Win32.AutoRun.ah
Проверенный файл: autorun.inf - Инфицирован
autorun.inf - инфицирован Worm.Win32.AutoRun.j
Удалить я его по-прежнему не могу, завершить указанный в рекомендациях процесс csrss.exe тоже не получается: "Это критический системный процесс. Диспетчер задач не может завершить его"

Нашел описание. Сказано, что вроде как он может удалять найденные на дисках файлы с расширением «.mp3» в разделах жесткого диска, но пока вроде все цело. Вроде.

 

[Gordo]

Сделал онлайн проверку, но отчет почему-то не сохранился. Однако обнаружен лишь один вирус (как раз на флэшке), а т.к. это тот самый F:\autorun.inf, то наверно он и есть.

А вообще, если в самом деле форматировать флэшку, хоть часть проблемы решится? Или это гадское нечто уже успело пустить корни во всю систему?

 

[Gordo]

А мой-то антивирус надо отключать при проверке по инструкции? Я вроде как слышал, что присутствие одновременно двух может губительно сказаться.

Вот, вроде, одно из того, что надо. Хотя нервы и прирожденная тупость могли помешать правильному выполнению инструкций.

 

[Trotil]

А мой-то антивирус надо отключать при проверке по инструкции?

Из инструкции:

Перед выполнением следующих пунктов (9, 11, 13) закройте свои антивирусные программы, игры, тектовые редакторы и любые другие программы, оставьте запущенным только программу-браузер

Но переделывать не стоит.
Просто учти на будущее.

 

[Gordo]

Два других лога.

 

[Trotil]

Gordo
1) AVZ: Файл -> Выполнить скрипт:

begin
 DeleteFile('F:\autorun.inf');
 BC_ImportDeletedList;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

2) Сделать один (любой) лог AVZ и прислать...

3) NUMBER~1.SCR - скринсейвер сам ставил?

 

[Gordo]

1. Скрипт выполнил, компьютер перезагрузился.
2. Скринсейвер скачанный из интернета, стоит почти год.
3.Логи: архив, сохраненный в папке логов и сохраненный мной протокол текстовым файлом (не знаю, надо ли, на всякий случай)

 

[Trotil]

AUtorun.inf с флешки исчез, судя по логу. Она по прежнему не открывается?