Как удалить вирус?
9531
30
walking_corpse
veteran
Смех смехом, но на старости лет умудрился я на рабочем месте заразить компьютер вирусом.
Как зараза прицепилась, до сих пор не знаю.
ОС поставил сам, после неё сразу же поставил корпоративный антивирус.
Буквально в тот же день стал замечать нездоровые тормоза на рабочей станции.
Просмотрел список процессов через Диспетчер задач, увидел процесс с именем WINWORD.EXE.
MS Word в этот момент запущен не был.
Снимаю этот процесс "руками". Тормоза заканчиваются, но ненадолго.
Опять наблюдаю этот процесс запущенным, опять убиваю "руками". Ну и так далее. :-)
ОС MS Windows XP SP2.
Антивирус Trend Micro OfficeScan.
Антивирусом сделал полное сканирование всего и вся.
Ничего не находит.
В этом же антивирусе воспользовался функцией удаления червей - она пошуршала и вернула сообщение, что червей нет.
В автозагрузке ничего подозрительного тоже нет - смотрел и в msconfig, и в реестре Run и RunOnce всех юзеров.
Но процессы то с именем WINWORD.EXE, то с любым другим (видимо, случайно сгенерированным из букв и цифр) именем несколько раз за день замедляют работу компьютера. Как лечить, не знаю.
Местные ИТ-шники разводят руками - ничего кроме полной переустановки предложить не могут.
Подскажите вариант поэлегантнее - как грохнуть эту заразу?
Как зараза прицепилась, до сих пор не знаю.
ОС поставил сам, после неё сразу же поставил корпоративный антивирус.
Буквально в тот же день стал замечать нездоровые тормоза на рабочей станции.
Просмотрел список процессов через Диспетчер задач, увидел процесс с именем WINWORD.EXE.
MS Word в этот момент запущен не был.
Снимаю этот процесс "руками". Тормоза заканчиваются, но ненадолго.
Опять наблюдаю этот процесс запущенным, опять убиваю "руками". Ну и так далее. :-)
ОС MS Windows XP SP2.
Антивирус Trend Micro OfficeScan.
Антивирусом сделал полное сканирование всего и вся.
Ничего не находит.
В этом же антивирусе воспользовался функцией удаления червей - она пошуршала и вернула сообщение, что червей нет.
В автозагрузке ничего подозрительного тоже нет - смотрел и в msconfig, и в реестре Run и RunOnce всех юзеров.
Но процессы то с именем WINWORD.EXE, то с любым другим (видимо, случайно сгенерированным из букв и цифр) именем несколько раз за день замедляют работу компьютера. Как лечить, не знаю.
Местные ИТ-шники разводят руками - ничего кроме полной переустановки предложить не могут.
Подскажите вариант поэлегантнее - как грохнуть эту заразу?
Stalker
IT-нечисть
AVZ тебе в руки... С помощью него даже warezov со Stration выкорчёвывали...
Кстати, установки не требует...
Кстати, установки не требует...
walking_corpse
veteran
Спасибо, пропробую.
Только придумаю как заполучить её - скачать мне не получится.
Только придумаю как заполучить её - скачать мне не получится.
avz чесс говоря здесь не поможет.Если это vbs вирусняк.он его не видит.хотя я может путаю с типом winfile.exe 
но все же стоит попробовать.
но все же стоит попробовать.
aleks_p
v.i.p.
Есть такая програмулина "Autoruns
Copyright © 1996-2005 Mark Russinovich and Bryce Cogswell
Sysinternals - www.sysinternals.com", она много глубже копает автозапуск и позволяет его редактировать. Попробуйте, может поможет. Объем - меньше метра.
А какие проблемы со скачиванием аваста?
Copyright © 1996-2005 Mark Russinovich and Bryce Cogswell
Sysinternals - www.sysinternals.com", она много глубже копает автозапуск и позволяет его редактировать. Попробуйте, может поможет. Объем - меньше метра.
А какие проблемы со скачиванием аваста?
aleks_p
v.i.p.
Гляньте сюда http://www.symantec.com/security_response/writeup.jsp?docid=2005-062411-3253-99&tabid=2
Этот конь запускает процесс ВОРД, по симптомам похоже, посмотрите все три вкладки.... есть рекомендации по лечению (правда на аглицком).
Инфа началась отсюда http://wiki.compowiki.info/ProcessyWindows/winu
процессы и их увязка с вирями.
Удачи.
Этот конь запускает процесс ВОРД, по симптомам похоже, посмотрите все три вкладки.... есть рекомендации по лечению (правда на аглицком).
Инфа началась отсюда http://wiki.compowiki.info/ProcessyWindows/winu
процессы и их увязка с вирями.
Удачи.
walking_corpse
veteran
На последнего, но отвечаю на все посты:
1. С закачкой как AVZ, так и любых других испольняемых файлов и архивов, проблемы у меня простые: в местной корпоративной ЛВС это запрещено политиками безопасности.
2. Спасибо Stalker-у, не поленившемуся прислать AVZ мне в e-mail. :-)
AVZ, в результате скана, тоже ничего не нашла. С настройками скана вроде бы всё в порядке (сканировал несколько раз, незначительно изменял настройки).
Червяк всё равно продолжает запускать процессы с именами, случайным образом составленными из букв и цифр.
Ага, а вот в данный момент снова висит процесс с именем WINWORD.EXE.
3. В описании вируса Trojan.Kangenie написано, что он запрещает вызов Диспетчера Задач и Редактора Реестра, прописывая соответствующие ключи в реестр.
На моей рабочей станции ничего такого не наблюдается.
Посему, можно предположить, что это какой-то другой вирус.
4. За ссылки спасибо! Поищу на тех ресурсах ещё.
1. С закачкой как AVZ, так и любых других испольняемых файлов и архивов, проблемы у меня простые: в местной корпоративной ЛВС это запрещено политиками безопасности.
2. Спасибо Stalker-у, не поленившемуся прислать AVZ мне в e-mail. :-)
AVZ, в результате скана, тоже ничего не нашла. С настройками скана вроде бы всё в порядке (сканировал несколько раз, незначительно изменял настройки).
Червяк всё равно продолжает запускать процессы с именами, случайным образом составленными из букв и цифр.
Ага, а вот в данный момент снова висит процесс с именем WINWORD.EXE.
3. В описании вируса Trojan.Kangenie написано, что он запрещает вызов Диспетчера Задач и Редактора Реестра, прописывая соответствующие ключи в реестр.
На моей рабочей станции ничего такого не наблюдается.
Посему, можно предположить, что это какой-то другой вирус.
4. За ссылки спасибо! Поищу на тех ресурсах ещё.
Сейчас читают
Самый погожий дозор
148764
1000
Лазерное или струйное МФУ? Какое лучше?
10585
17
Передача файла по сети. NET.Framework
7162
25
walking_corpse
veteran
...либо расшарить винт, подцепить его по сети с другой машины и просканировать.
Предлагал админам, не хотят, без объяснения причин.
Предлагал админам, не хотят, без объяснения причин.
bahtey
veteran
скромное предложение:
под правами администратора
1.открываем regedit.
2.открываем ветку HKLM.
3.ветка software -> microsoft -> windows -> CurrentVersion -> run... ну и найти что-то подозрительное.
возможно здесь прописань путь к какому-нибудь загрузчику вирусни.
кстати, сам тоже ставлю на ПК-ы trend и первым делом в процессах озадачило появление разных процессов типа EK1E3B.exe при более глубоком копании - Trend'овая штука.
под правами администратора
1.открываем regedit.
2.открываем ветку HKLM.
3.ветка software -> microsoft -> windows -> CurrentVersion -> run... ну и найти что-то подозрительное.
возможно здесь прописань путь к какому-нибудь загрузчику вирусни.
кстати, сам тоже ставлю на ПК-ы trend и первым делом в процессах озадачило появление разных процессов типа EK1E3B.exe при более глубоком копании - Trend'овая штука.
software -> microsoft -> windows -> CurrentVersion -> runВы не поверите, но в винде есть еще много мест в реестре, куда можно повесить автозапуск. Причем, гораздо более незаметно... В Run закидывать - подход пионерский, это можно и не через реестр увидеть, а msconfig'om. Гораздо правильнее использовать Sysinternals Autoruns для мониторинга автозапуска.
walking_corpse
veteran
3.ветка software -> microsoft -> windows -> CurrentVersion -> run.В первом посте топика писал, что уже проверил это.
Там всё пучком.
кстати, сам тоже ставлю на ПК-ы trend и первым делом в процессах озадачило появление разных процессов типа EK1E3B.exe при более глубоком копании - Trend'овая штука.Процесс с именем WINWORD.EXE - уж точно не Trend-овая штука. :-)
ganymed
просто пользователь
Возьмите утилитки DrWeb CureIt, Avast!VirusCleaner или подобные от других производителей. А лучше 2-3 варианта.
Перегрузите систему в SafeMode (Безопасный режим) и прошерстите системный раздел.
Можно и установленным антивирем, если он рабочий и вирусная база у него последней версии.
Пройтись утилитой Ad-aware, например.
Прошерстить реестр на предмет следов опознанного виря.
Как это сделать можно прочитать, например, на ЭТОМ сайте.
Перегрузите систему в SafeMode (Безопасный режим) и прошерстите системный раздел.
Можно и установленным антивирем, если он рабочий и вирусная база у него последней версии.
Пройтись утилитой Ad-aware, например.
Прошерстить реестр на предмет следов опознанного виря.
Как это сделать можно прочитать, например, на ЭТОМ сайте.
дельный совет!и в безопасном все конечно (хотя ad-aware еще и в реальном времени после прогнать).
но если есть возможость скачать CureIt!который последний я качал уж слишком жирный стал и не шибко "доктористый" как показалось,да плюс баннеры.но не в этом суть.
Методы борьбы есть и их надо пробовать.
к PN: ясен пень что мест достаточно откуда авторан забабахать.но это в целом 90% - как место откуда грузить.
но если есть возможость скачать CureIt!который последний я качал уж слишком жирный стал и не шибко "доктористый" как показалось,да плюс баннеры.но не в этом суть.
Методы борьбы есть и их надо пробовать.
к PN: ясен пень что мест достаточно откуда авторан забабахать.но это в целом 90% - как место откуда грузить.
walking_corpse
veteran
Пройтись утилитой Ad-aware, например.Установил Lavasoft Ad-Ware SE Personal.
Единственное, у него Virus Definitions аж полуторагодичной давности, и обновить я их не cмогу.
Но на безрыбье - сами понимаете.
По результатам скана, руганулся только на файлы Tracing Cookies. Я погрохал их, на всякий пожарный.
Утром, когда я пришёл на работу, один "левый" процесс быд запущен - я грохнул его руками.
После скана, червяк пока что не показывается.
Посмотрим, что будет дальше.
(хотя ad-aware еще и в реальном времени после прогнать).Хотелось бы, но не получится: Personal Edition этого не умеет.
ясен пень что мест достаточно откуда авторан забабахать.но это в целом 90% - как место откуда грузитьНих**а не понял, ну да ладно... Продолжайте...
walking_corpse
veteran
www.sysinternals.com", она много глубже копает автозапуск и позволяет его редактировать. Попробуйте, может поможет. Объем - меньше метра.Внимательно просмотрел в окне этой утилитки как закладку "Logon", так и все другие закладки.
Ничего подозрительного не вижу.
А, тем временем, червяк не проявляется уже несколько часов.
Неужели те самые Tracing Cookies, что вычистил Lavasoft Ad-Ware?
aleks_p
v.i.p.
"Пилите, Шура, пилите....". - С. Копайте глубже, коллега.
Anomander
guru
> Неужели те самые Tracing Cookies, что вычистил Lavasoft Ad-Ware?
99%, что нет. Tracing Cookies бывают практически всегда.
99%, что нет. Tracing Cookies бывают практически всегда.
ganymed
просто пользователь
Установил Lavasoft Ad-Ware SE Personal.Могу базу выложить или переслать.
Единственное, у него Virus Definitions аж полуторагодичной давности, и обновить я их не cмогу.
Но на безрыбье - сами понимаете.
Но весит около мега.
Утром, когда я пришёл на работу, один "левый" процесс быд запущен - я грохнул его руками.Где-то все же не дочистили.
После скана, червяк пока что не показывается.
Посмотрим, что будет дальше.
Vovis
guru
Единственное, у него Virus Definitions аж полуторагодичной давности, и обновить я их не cмогу.прямая ссылка на последнюю базу
walking_corpse
veteran
Знаю, потому и удивлялся.
Сегодня уже не удивляюсь - червяк жыфф! :-))
(Так и хочется добавить - "Беня будет мстить!")
Сегодня уже не удивляюсь - червяк жыфф! :-))
(Так и хочется добавить - "Беня будет мстить!")
tpi
guru
какая-то у вас затянувшаяся борьба с вирусом....
попробуйте все winword.exe (кстати он один на всем компе?) переименовать на время, допустим в winword_.exe, посмотреть что выйдет.
попробуйте все winword.exe (кстати он один на всем компе?) переименовать на время, допустим в winword_.exe, посмотреть что выйдет.
walking_corpse
veteran
Сам удивляюсь. :-)
Полагаю, всех читателей этого топика уже задрал с этим червяком.
Сегодня утром обновил Virus Definitions в LAvasoft Ad-Ware (ganimed, спасибо!), в данный момент дела уже третий скан, с настройками разной "глубины".
Процесс с именем WINWORD.EXE как торчал, так и торчит.
Специально пока не снимаю его - пусть Ad-Ware его найдёт.
Если не найдёт, сделаю как Вы советуете.
Полагаю, всех читателей этого топика уже задрал с этим червяком.
Сегодня утром обновил Virus Definitions в LAvasoft Ad-Ware (ganimed, спасибо!), в данный момент дела уже третий скан, с настройками разной "глубины".
Процесс с именем WINWORD.EXE как торчал, так и торчит.
Специально пока не снимаю его - пусть Ad-Ware его найдёт.
Если не найдёт, сделаю как Вы советуете.
PN
ЙА ТИГОР
Процесс с именем WINWORD.EXE как торчал, так и торчитА с чего вы вообще решили, что это вирус? Вроде у Офис ХР была такая фишка, что после запуска ворда и его закрытия ворд не закрывается, а остается как бы "предзапущенным"... Еще там какая-то ускоряющая примочка в автозапуск прописывалась...
Надо поставить Sysinternals Process Explorer и проверить, кто и откуда запускает этот WINWORD.EXE...
ganymed
просто пользователь
Да не за что.
Про проблему. Поди сканите в нормальном режиме? Это зря.
Надо загрузиться в Безопасный режим(Safe Mode). Оттуда и сканить.
А Ad-aware надо настроить так:
в окне Preparing System Scan
- Use custom scanning option
- Search for negliglible risk entries
- Search for low-risk threats
в меню Use custom scanning option:
- Scan within archives
в разделе Memory & Registry включить все опции.
Еще можно воспользоваться Tauscan от Agnitum.
Он тоже типа Адаваре, но с монитором по-умолчанию.
Еще раз напоминаю. Сканить вири надо в Безопасном Режиме(Safe Mode) ОС.
А лучше загрузиться с загружаемого СД с системой, где установлены антивири.
Такой можно сотворить с помощью проги BartPE.
Так же стоит почитать наwww.viruslist.com описание найденного антивиря и как его выковырить из системы.
Про проблему. Поди сканите в нормальном режиме? Это зря.
Надо загрузиться в Безопасный режим(Safe Mode). Оттуда и сканить.
А Ad-aware надо настроить так:
в окне Preparing System Scan
- Use custom scanning option
- Search for negliglible risk entries
- Search for low-risk threats
в меню Use custom scanning option:
- Scan within archives
в разделе Memory & Registry включить все опции.
Еще можно воспользоваться Tauscan от Agnitum.
Он тоже типа Адаваре, но с монитором по-умолчанию.
Еще раз напоминаю. Сканить вири надо в Безопасном Режиме(Safe Mode) ОС.
А лучше загрузиться с загружаемого СД с системой, где установлены антивири.
Такой можно сотворить с помощью проги BartPE.
Так же стоит почитать наwww.viruslist.com описание найденного антивиря и как его выковырить из системы.
walking_corpse
veteran
Всё так и сделал.
Ad-Aware снова нашло несколько Tracing Cookies, и ничего более.
Ad-Aware снова нашло несколько Tracing Cookies, и ничего более.
walking_corpse
veteran
А с чего вы вообще решили, что это вирус? Вроде у Офис ХР была такая фишка, что после запуска ворда и его закрытия ворд не закрывается, а остается как бы "предзапущенным"...Признаюсь, не знал про эту фишку.
Сегодня заметил, что процесс WINWORD.EXE оказывается запущенным каждый раз после создания и отправки письма через MS Outlook.
Тогда вроде как всё пучком - MS Word ведь как раз и служит редактором для создания новых писем.
И висит себе потом "предзапущенным".
И ещё выше кто-то писал, что время от времени запускаемые процессы со случайно сгенерированными именами - это фишка антивируса TrendMicro.
Нда, надо что-то делать с параноей. :-)
Всем помогавшим советами и присылавшим файлики - огромное спасибо!
WAndreyW
activist
Позвольте пока не закрывать тему.
Ситуация была следующая: На компе был вирус - точно был, множился в все папки которые только можно. Но удалять было бесполезно, так как главный червь сидел в процессе csrss.exe - а вот его убить ну никак нельзя - не смотря на то, что авнтивирус его находил (Аваст) - предалагал лечить, но не мог, пробовал при перезагрузке и в безопасном и всяко, но службу эту никак нельзя выключить.
Но таки удалось его обезвредить, слабо понял как - примерно - понизил приоритет, переименовал файл, который запускал эту службу, процесс smss.exe (увидеть смог это при помощи программы TaskInfo) В итоге удалялись какие то системные файлы, из каталога Windows.
Думал система не встанет после такого, уже готовлся к переустановке системы. Раньше просто был опыт - невозможности избавления от этой гадости (TaskInfo не запускался, Каспер не запускался - принимал решение на переустановку). А тут чужая машина, думал все таки олучиться вылечить.
В итоге машина загрузилась, НО после экрана приветствия чистый экран, с заставкой, без ярлыков, указатель мыши и все . Работает сочетание ctrl alt Del пробую запустить Эксплорер (explorer) вручную, говорит нет такого файла (браузером проверил и даже скопировал другой - есть). В итоге есть комп без вирусов, но не нормально работающий, что подскажете ? Что нужно запускать, что бы запустилась задача эксплорера?
Да и вообще как удалять вирусу, если они прицеплены к системным файлам?
Для себя понял самое верное - разрешать работать только под правами Пользователя, сам пока не научился, а вот на домашнем компе для семьи сделал.
Ситуация была следующая: На компе был вирус - точно был, множился в все папки которые только можно. Но удалять было бесполезно, так как главный червь сидел в процессе csrss.exe - а вот его убить ну никак нельзя - не смотря на то, что авнтивирус его находил (Аваст) - предалагал лечить, но не мог, пробовал при перезагрузке и в безопасном и всяко, но службу эту никак нельзя выключить.
Но таки удалось его обезвредить, слабо понял как - примерно - понизил приоритет, переименовал файл, который запускал эту службу, процесс smss.exe (увидеть смог это при помощи программы TaskInfo) В итоге удалялись какие то системные файлы, из каталога Windows.
Думал система не встанет после такого, уже готовлся к переустановке системы. Раньше просто был опыт - невозможности избавления от этой гадости (TaskInfo не запускался, Каспер не запускался - принимал решение на переустановку). А тут чужая машина, думал все таки олучиться вылечить.
В итоге машина загрузилась, НО после экрана приветствия чистый экран, с заставкой, без ярлыков, указатель мыши и все . Работает сочетание ctrl alt Del пробую запустить Эксплорер (explorer) вручную, говорит нет такого файла (браузером проверил и даже скопировал другой - есть). В итоге есть комп без вирусов, но не нормально работающий, что подскажете ? Что нужно запускать, что бы запустилась задача эксплорера?
Да и вообще как удалять вирусу, если они прицеплены к системным файлам?
Для себя понял самое верное - разрешать работать только под правами Пользователя, сам пока не научился, а вот на домашнем компе для семьи сделал.
Инфа от Веба
Лечение в удалении ветки реестра
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
Может и мне кто подскажет.
Поймался на бук вирь.
Нортон и каспер его не узнают. Отключает все USB девайсы (флэшу воткнул, она опозналась, октрылась, потом закрылась, в девайсах ее немае)
Нашел подозрительный svchost.exe запущенный от Local System, убить не могу - рестартует
В сейф-моде все работает, в авторане и реестре ничего не нашел, служб лишних тоже
Лечение в удалении ветки реестра
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
Может и мне кто подскажет.
Поймался на бук вирь.
Нортон и каспер его не узнают. Отключает все USB девайсы (флэшу воткнул, она опозналась, октрылась, потом закрылась, в девайсах ее немае)
Нашел подозрительный svchost.exe запущенный от Local System, убить не могу - рестартует
В сейф-моде все работает, в авторане и реестре ничего не нашел, служб лишних тоже
Инфа от Веба
Лечение в удалении ветки реестра
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
Спасибо, все помогло.