Помогите (все что не подпадает под другие темы постим сюда)

[Artie]

sander23, поступите проще: скачайте с официального сайта по ссылке бесплатный лечащий модуль Dr.Web CureIt!, и полностью просканируйте систему, можно даже в обычном, не безопасном режиме Windows, а затем выполните проверку дополнительно еще и штатным антивирусом. Ваша проблема легко решится.

 

[sander23]

попробовать откат системы

Ну таким методом я не пользуюсь уже очень давно
Восстановление системы у меня отключено,(почему описывать не буду)

бесплатный лечащий модуль Dr.Web CureIt!

Да закатывал я свежак на болванку---толку нет
Скажем так ,что перед тем как писать,перепробывал много извесных способов
Сейчас попробую снести ВЕБА и прогнать свежим НОДОМ

 

[Gesha]

Сейчас попробую снести ВЕБА и прогнать свежим НОДОМ

а зачем его сносить? отключить мона. хотя сомнительно что после доктора какой-то убогий нод поможет.
Нада пробовать разве что доктора или каспера.
Ещё можешь прогнать AVZ. там выбрать "восстановление системы" и отметить все галочки кроме самой нижней....хотя уточнил что у тебя 7 - на вин7 не знаю, на ХР точно работает.

 

[sander23]

Ещё можешь прогнать AVZ

Енто тоже пробовал
Сейчас Прогнал НОДОм---толку нет
Как только удаляю свой "подменный"svhost",о котором писал выше,снова появляется эта зараза
Еще отследил,что сразу запускается в процессах от моего имени и лезет в инет

 

[Artie]

Как пример комплексных мер противодействия, выстраданных длительным опытом, приведу конфигурацию своих компьютеров: Agnitum Outpost Security Suite Pro + ESET NOD32 Smart Security - базовая постоянная защита + в обязательном порядке включенные и настроенные аппаратные файрволы роутеров доступа в интернет + обязательное автоматическое обновление операционных систем серверов, раздающих интернет в локальную сеть
(+ Dr.Web CureIt! в ручном безопасном режиме Windows в редчайших критических случаях поражения основой защиты - ведь он единственный, поддерживающий этот режим).
И могу сказать на примере многих десятков компьютеров моей конторы: серьезных проблем с вирусами я никогда не имел ни в каком виде.

Добавлено через 32 минуты
Еще добавлю мелочи, как то: разбиение диска минимум на два логических - на одном система, на другом - важнейшая трудновосстановимая информация; отключение автозапуска CD и флешек; обязательный ежесуточный бэкап дисков Acronis True Image Echo для возможности отката в случае надобности и т. д.
Дерзайте!

P.S. Прикрепите в сообщении файл вируса, я завтра гляну, что там.

 

[BIGSOFT]

Енто тоже пробовал
Сейчас Прогнал НОДОм---толку нет
Как только удаляю свой "подменный"svhost",о котором писал выше,снова появляется эта зараза
Еще отследил,что сразу запускается в процессах от моего имени и лезет в инет

Чтобы узнать виряк ли данный файл, котрый должен быть скрытым, достаточно просмотреть Автозагрузку через msconfig, если тама в списки увидишь его, то он стопудово виряк.и сразу его :d---------------------------------------------------------------------------------------------------------------------------------------------

Команда Msconfig -> вкладка Автозагрузка: оригинальный процесс Svchost.exe не использует автозагрузку для старта. Если данный файл указан как файл автозапуска, он не является тем, за кого себя выдает.
Произвести поиск файла Svchost.exe на системном диске. Оригинальное месторасположение файла - \WINDOWS\system32 и копия в \WINDOWS\system32\dllcache.
Внимательно перечитайте имя подозрительного файла. Некоторые вирусы копируют себя в папку оригинального файла с другим, но очень похожим именем (например, swchost.exe).

 

[hec321]

У меня не выключается компьютер, виснет на сохранении параметров. Стоит win ХР.что делать в безопасном режыме выключается нормально

 

[BIGSOFT]

У меня не выключается компьютер, виснет на сохранении параметров. Стоит win ХР.что делать в безопасном режыме выключается нормально

ВЫБРОСИТЬ!yea!

 

[sander23]

BIGSOFT, Внимательно читайте то ,что я писал с самого начала

Теперь по делу
Artie, Еще раз описываю ситуацию
В папке System32(Windows7)все время создаетя файл svhost.exe (от системного отличается одной буковкой)
ДокторВеб находит его как Trojan.DownLoader3.16759 и удаляет
Происходит это примерно каждые 15-20 сек
Нигде в инете природы и описания действий Trojan.DownLoader под таким номером не нашел,в том числе и на сайте ДокторВеб,хотя в вирусных базах он числится
Размер файла как для вируса довольно внушительный--501 КБ
При создании запускается в системных процессах от имени пользователя
и начинает кушать системные ресурсы и трафик(лезет в инет)
АКтивность этого файла подавляет либо ДокторВеб,постоянно его удаляя,
либо способ подмены файла,который я описывал раньше

ЗАДАЧА----найти ту бяку,которая порождает этот файл
Сам файл,если интересно,и если к этому нормально отнесутся админы,
запакую в архив , запаролю как на Докторе паролем: virus , и выложу в следующем сообщении

Еще добавлю мелочи, как то: разбиение диска минимум на два логических - на одном система, на другом - важнейшая трудновосстановимая информация

Это все есть,и кроме того стоят две независимых операционки (вещь весьма полезная,тем более ,что размеры современных винтов это позволяют )

 

[Gesha]

sander23, у меня как-то было что вечно рождался новый файл который естессна тут же убивался доктором, вернее его резидентным сторожем спайдером. И что-либо делать с этим файлом и тем более искать его бесполезно, т.к. создаёт его другой файл, вернее процесс, запущенный файлом под совсем иным именем. Значит нада искать совсем другой файл, тот, который создаёт эту бациллу. На ХР у меня за всё время такое было дважды. Впервые когда доктор вэб переходил с четвёртой версии на пятую. На компе у мну три ОСи, две ХР и третья 7, её ствил давно что б изучать и привыкать...рабочей является у мну вторая ОСь на втором разделе, вот на ней зараза подобная и вылезла. Доставал спайдер каждые несколько минут уведомляя что прибит вирус. Стоял четвёртый вэб. Сканирование ничего не нашло. А на первой винде я уже обновил доктора вэба до пятой версии. И тогда я перегрузился в первую винду и из неё просканировал систему пятой версией вэба и он нашёл и успешно прибил заразу. Тогда я срочно на рабочей системе тоже обновил доктора до пятой версии
Во втором случае примерно это было с полгода назад я не сканировал систему а пошёл смотреть в системные папки винды. Там обнаружил файл с именем в виде беспорядочного набора букаф алфавита. И ещё файл svchvost. Оба давались удалять себя без проблем, но тут же возрождались. Я уж не помню как, но я поубивал максимальное количествол процессов в диспетчере и удалил оба файла одновременно, на том песня их была спета. Естессна что так же в ручном режиме я перешерстил всю автозагрузку и бэкапные папки винды. Но я был готов к этому, т.к. незадолго до того мне приносили на "ремонт" несколько компов сильно покусанных вирусами и я загружая их с флэшки и сканируя уже видел где что чего наплодило и примерно тоже искал у себя по сходству некоторых симптомов. К тому же у меня т.к. две одинаковых винды сравнивал содержимое системных каталогов, понимаю что гимор и страшнейшие временные затраты, но интерес был превыше всего.
При ручном удалении стоит помнить, что винда непрерывно бэкапит всякую свою лабуду и соответственно заразы, замаскированные под эту еёшную чепуху. Потому папки типа Driver Cache, DRVSTORE, dllcache и им подобные подлежат внимательному изучению. И папку Temp нужно не забывать.....

 

[BIGSOFT]

Размер файла как для вируса довольно внушительный--501 КБ
При создании запускается в системных процессах от имени пользователя
и начинает кушать системные ресурсы и трафик(лезет в инет)
АКтивность этого файла подавляет либо ДокторВеб,постоянно его удаляя,
либо способ подмены файла,который я описывал раньше

http://www.ex.ua/view_storage/808075093539

или

http://letitbit.net/download/93507.94c5101a214b0e9b45e12e0a4e13/COMODO_Cleaning_Essentials.rar.html где будет удобно,говорят не плохая штука,выбирать вам.только покопайтесь в настройка на свой лад,удачи

 

[Grek-1]

Еще раз описываю ситуацию
В папке System32(Windows7)все время создаетя файл svhost.exe (от системного отличается одной буковкой)
ДокторВеб находит его как Trojan.DownLoader3.16759 и удаляет
Происходит это примерно каждые 15-20 сек

Ситуация у Вас серьёзная и если все перечисленные способы не дают результата,то попробуйте "Norton Security Scan".Программа бесплатная и очень эфективная.Как правило,кроме самого вируса она указывает и все пути которые связывают вирус с вашей системой и главное реестром.После сканирования системы Вы получите все пути к заражённым файлам и ключам реестра.Вам останется только почистить ручками все,что будет указано.После того-как установите и запустите программу,дайте ей обновиться и отключитесь от интернета во время сканирования.Если и это не поможет,то есть возможность просканировать систему онлайн на сайте "Symantec",здесь
Прежде советую:почистить автозапуск,и все папки,всех пользователей,где хранятся временные файлы,а так-же загляните в папку "System Volume Information" на всех дисках.
Удачи!

 

[sander23]

Прежде советую:почистить автозапуск,и все папки,всех пользователей,где хранятся временные файлы

Это для меня--- аксиома


Сейчас пробую еще одну вещь
Если нет --качну твоего Нортона

 

[Grek-1]

У меня не выключается компьютер, виснет на сохранении параметров. Стоит win ХР.что делать в безопасном режыме выключается нормально

Попробуйте отключить очисту файла подкачки.

Поправить в реестре параметр ClearPageFileAtShutdown по адресу HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Session Manager \ Memory Management\.
Присвойте параметру ClearPageFileAtShutdown значение = dword:00000000 перезагрузитесь. Или отключите его вообще на одну перезагрузку:
Пуск\компьютер\свойства\быстродействие\параметры\дополнительно\виртуальная память(изменить)\галочку (без файла подкачки)\задать\ОК\применить\ок\перезагрузка.
Нужно дождаться перезагрузки,после зайти в корень диска убедиться в отсутствие "pagefile".Если файла подкачки нет,то перезагружаемся ещё раз и удивляемся тому,как быстро это произошло.
Если после манипуляций с файлом подкачки завершение работы винта не ускорилось,то будем искать причину дальше.
Удачи!

 

[Artie]

sander23, добавлю, что в помощь решению данной проблемы очень подойдет набор системных утилит Sysinternals Suite, в частности:

Autoruns
Diskmon
PendMoves
ProcessMonitor
Tcpview
и в особенности ProcessExplorer
и др.



P.S. Вы так и не выложили завирусованный svhost.exe.

 

[Yaro]

DrWeb Live CD и Kaspersky Live CD уже испробованы? Ну хотя бы утилита CureIt! от Веба в ходу была?

 

[sander23]

Всем спасибо за "сочуствие"
Проблему решил
После долгих мучений помог антивирус AVG 2012
Он тоже обнаружил вирус DownLoader
Но самое главное--он нашел "родителя"
Бяка была внедренной в прогу Flash Guard (запрещает функцию Autorun со всех съемных носителей)
После удаления проги все успокоилось
Еще раз убедился в том ,что "МОНСТРЫ" антивирусного обеспечения (Касперский, Др Веб)
не такие уж и всемогущие

 

[sander23]

svhost.rar

P.S. Вы так и не выложили завирусованный svhost.exe.

Вот Пожалуйста ---Эксперементируйте

Пароль к архиву--- "virus"

 

[Artie]

Всем спасибо за "сочуствие"
Бяка была внедренной в прогу Flash Guard (запрещает функцию Autorun со всех съемных носителей)

А не проще ли отключить автозапуск со съемных носителей, изменив групповую политику, используя gpedit.msc?



Добавлено через 3 минуты

Вот Пожалуйста ---Эксперементируйте

Пароль к архиву--- "virus"

Пароль неверен.

 

[Grek-1]

А не проще ли отключить автозапуск со съемных носителей, изменив групповую политику, используя gpedit.msc?

И ещё очень простой и эфективный способ:
нажимаем "Shift" при подключении съёмного носителя.
А многие микропроги и охотники за троянами со съёмных носителей,порой сами являются шпионами,ворами трафика и нетолько.