Как удалить вирус?
9515
30
walking_corpse
veteran
Смех смехом, но на старости лет умудрился я на рабочем месте заразить компьютер вирусом.
Как зараза прицепилась, до сих пор не знаю.
ОС поставил сам, после неё сразу же поставил корпоративный антивирус.
Буквально в тот же день стал замечать нездоровые тормоза на рабочей станции.
Просмотрел список процессов через Диспетчер задач, увидел процесс с именем WINWORD.EXE.
MS Word в этот момент запущен не был.
Снимаю этот процесс "руками". Тормоза заканчиваются, но ненадолго.
Опять наблюдаю этот процесс запущенным, опять убиваю "руками". Ну и так далее. :-)
ОС MS Windows XP SP2.
Антивирус Trend Micro OfficeScan.
Антивирусом сделал полное сканирование всего и вся.
Ничего не находит.
В этом же антивирусе воспользовался функцией удаления червей - она пошуршала и вернула сообщение, что червей нет.
В автозагрузке ничего подозрительного тоже нет - смотрел и в msconfig, и в реестре Run и RunOnce всех юзеров.
Но процессы то с именем WINWORD.EXE, то с любым другим (видимо, случайно сгенерированным из букв и цифр) именем несколько раз за день замедляют работу компьютера. Как лечить, не знаю.
Местные ИТ-шники разводят руками - ничего кроме полной переустановки предложить не могут.
Подскажите вариант поэлегантнее - как грохнуть эту заразу?
Как зараза прицепилась, до сих пор не знаю.
ОС поставил сам, после неё сразу же поставил корпоративный антивирус.
Буквально в тот же день стал замечать нездоровые тормоза на рабочей станции.
Просмотрел список процессов через Диспетчер задач, увидел процесс с именем WINWORD.EXE.
MS Word в этот момент запущен не был.
Снимаю этот процесс "руками". Тормоза заканчиваются, но ненадолго.
Опять наблюдаю этот процесс запущенным, опять убиваю "руками". Ну и так далее. :-)
ОС MS Windows XP SP2.
Антивирус Trend Micro OfficeScan.
Антивирусом сделал полное сканирование всего и вся.
Ничего не находит.
В этом же антивирусе воспользовался функцией удаления червей - она пошуршала и вернула сообщение, что червей нет.
В автозагрузке ничего подозрительного тоже нет - смотрел и в msconfig, и в реестре Run и RunOnce всех юзеров.
Но процессы то с именем WINWORD.EXE, то с любым другим (видимо, случайно сгенерированным из букв и цифр) именем несколько раз за день замедляют работу компьютера. Как лечить, не знаю.
Местные ИТ-шники разводят руками - ничего кроме полной переустановки предложить не могут.
Подскажите вариант поэлегантнее - как грохнуть эту заразу?
Stalker
IT-нечисть
AVZ тебе в руки... С помощью него даже warezov со Stration выкорчёвывали...
Кстати, установки не требует...
Кстати, установки не требует...
walking_corpse
veteran
Спасибо, пропробую.
Только придумаю как заполучить её - скачать мне не получится.
Только придумаю как заполучить её - скачать мне не получится.
avz чесс говоря здесь не поможет.Если это vbs вирусняк.он его не видит.хотя я может путаю с типом winfile.exe 
но все же стоит попробовать.
но все же стоит попробовать.
aleks_p
v.i.p.
Есть такая програмулина "Autoruns
Copyright © 1996-2005 Mark Russinovich and Bryce Cogswell
Sysinternals - www.sysinternals.com", она много глубже копает автозапуск и позволяет его редактировать. Попробуйте, может поможет. Объем - меньше метра.
А какие проблемы со скачиванием аваста?
Copyright © 1996-2005 Mark Russinovich and Bryce Cogswell
Sysinternals - www.sysinternals.com", она много глубже копает автозапуск и позволяет его редактировать. Попробуйте, может поможет. Объем - меньше метра.
А какие проблемы со скачиванием аваста?
aleks_p
v.i.p.
Гляньте сюда http://www.symantec.com/security_response/writeup.jsp?docid=2005-062411-3253-99&tabid=2
Этот конь запускает процесс ВОРД, по симптомам похоже, посмотрите все три вкладки.... есть рекомендации по лечению (правда на аглицком).
Инфа началась отсюда http://wiki.compowiki.info/ProcessyWindows/winu
процессы и их увязка с вирями.
Удачи.
Этот конь запускает процесс ВОРД, по симптомам похоже, посмотрите все три вкладки.... есть рекомендации по лечению (правда на аглицком).
Инфа началась отсюда http://wiki.compowiki.info/ProcessyWindows/winu
процессы и их увязка с вирями.
Удачи.
walking_corpse
veteran
На последнего, но отвечаю на все посты:
1. С закачкой как AVZ, так и любых других испольняемых файлов и архивов, проблемы у меня простые: в местной корпоративной ЛВС это запрещено политиками безопасности.
2. Спасибо Stalker-у, не поленившемуся прислать AVZ мне в e-mail. :-)
AVZ, в результате скана, тоже ничего не нашла. С настройками скана вроде бы всё в порядке (сканировал несколько раз, незначительно изменял настройки).
Червяк всё равно продолжает запускать процессы с именами, случайным образом составленными из букв и цифр.
Ага, а вот в данный момент снова висит процесс с именем WINWORD.EXE.
3. В описании вируса Trojan.Kangenie написано, что он запрещает вызов Диспетчера Задач и Редактора Реестра, прописывая соответствующие ключи в реестр.
На моей рабочей станции ничего такого не наблюдается.
Посему, можно предположить, что это какой-то другой вирус.
4. За ссылки спасибо! Поищу на тех ресурсах ещё.
1. С закачкой как AVZ, так и любых других испольняемых файлов и архивов, проблемы у меня простые: в местной корпоративной ЛВС это запрещено политиками безопасности.
2. Спасибо Stalker-у, не поленившемуся прислать AVZ мне в e-mail. :-)
AVZ, в результате скана, тоже ничего не нашла. С настройками скана вроде бы всё в порядке (сканировал несколько раз, незначительно изменял настройки).
Червяк всё равно продолжает запускать процессы с именами, случайным образом составленными из букв и цифр.
Ага, а вот в данный момент снова висит процесс с именем WINWORD.EXE.
3. В описании вируса Trojan.Kangenie написано, что он запрещает вызов Диспетчера Задач и Редактора Реестра, прописывая соответствующие ключи в реестр.
На моей рабочей станции ничего такого не наблюдается.
Посему, можно предположить, что это какой-то другой вирус.
4. За ссылки спасибо! Поищу на тех ресурсах ещё.
Сейчас читают
красота и материнство (часть 35)
169881
1000
красота и материнство (часть 34)
168285
1000
покупки на Asos
26256
48
walking_corpse
veteran
...либо расшарить винт, подцепить его по сети с другой машины и просканировать.
Предлагал админам, не хотят, без объяснения причин.
Предлагал админам, не хотят, без объяснения причин.
bahtey
veteran
скромное предложение:
под правами администратора
1.открываем regedit.
2.открываем ветку HKLM.
3.ветка software -> microsoft -> windows -> CurrentVersion -> run... ну и найти что-то подозрительное.
возможно здесь прописань путь к какому-нибудь загрузчику вирусни.
кстати, сам тоже ставлю на ПК-ы trend и первым делом в процессах озадачило появление разных процессов типа EK1E3B.exe при более глубоком копании - Trend'овая штука.
под правами администратора
1.открываем regedit.
2.открываем ветку HKLM.
3.ветка software -> microsoft -> windows -> CurrentVersion -> run... ну и найти что-то подозрительное.
возможно здесь прописань путь к какому-нибудь загрузчику вирусни.
кстати, сам тоже ставлю на ПК-ы trend и первым делом в процессах озадачило появление разных процессов типа EK1E3B.exe при более глубоком копании - Trend'овая штука.
software -> microsoft -> windows -> CurrentVersion -> runВы не поверите, но в винде есть еще много мест в реестре, куда можно повесить автозапуск. Причем, гораздо более незаметно... В Run закидывать - подход пионерский, это можно и не через реестр увидеть, а msconfig'om. Гораздо правильнее использовать Sysinternals Autoruns для мониторинга автозапуска.
walking_corpse
veteran
3.ветка software -> microsoft -> windows -> CurrentVersion -> run.В первом посте топика писал, что уже проверил это.
Там всё пучком.
кстати, сам тоже ставлю на ПК-ы trend и первым делом в процессах озадачило появление разных процессов типа EK1E3B.exe при более глубоком копании - Trend'овая штука.Процесс с именем WINWORD.EXE - уж точно не Trend-овая штука. :-)
ganymed
просто пользователь
Возьмите утилитки DrWeb CureIt, Avast!VirusCleaner или подобные от других производителей. А лучше 2-3 варианта.
Перегрузите систему в SafeMode (Безопасный режим) и прошерстите системный раздел.
Можно и установленным антивирем, если он рабочий и вирусная база у него последней версии.
Пройтись утилитой Ad-aware, например.
Прошерстить реестр на предмет следов опознанного виря.
Как это сделать можно прочитать, например, на ЭТОМ сайте.
Перегрузите систему в SafeMode (Безопасный режим) и прошерстите системный раздел.
Можно и установленным антивирем, если он рабочий и вирусная база у него последней версии.
Пройтись утилитой Ad-aware, например.
Прошерстить реестр на предмет следов опознанного виря.
Как это сделать можно прочитать, например, на ЭТОМ сайте.
дельный совет!и в безопасном все конечно (хотя ad-aware еще и в реальном времени после прогнать).
но если есть возможость скачать CureIt!который последний я качал уж слишком жирный стал и не шибко "доктористый" как показалось,да плюс баннеры.но не в этом суть.
Методы борьбы есть и их надо пробовать.
к PN: ясен пень что мест достаточно откуда авторан забабахать.но это в целом 90% - как место откуда грузить.
но если есть возможость скачать CureIt!который последний я качал уж слишком жирный стал и не шибко "доктористый" как показалось,да плюс баннеры.но не в этом суть.
Методы борьбы есть и их надо пробовать.
к PN: ясен пень что мест достаточно откуда авторан забабахать.но это в целом 90% - как место откуда грузить.
walking_corpse
veteran
Пройтись утилитой Ad-aware, например.Установил Lavasoft Ad-Ware SE Personal.
Единственное, у него Virus Definitions аж полуторагодичной давности, и обновить я их не cмогу.
Но на безрыбье - сами понимаете.
По результатам скана, руганулся только на файлы Tracing Cookies. Я погрохал их, на всякий пожарный.
Утром, когда я пришёл на работу, один "левый" процесс быд запущен - я грохнул его руками.
После скана, червяк пока что не показывается.
Посмотрим, что будет дальше.
(хотя ad-aware еще и в реальном времени после прогнать).Хотелось бы, но не получится: Personal Edition этого не умеет.
ясен пень что мест достаточно откуда авторан забабахать.но это в целом 90% - как место откуда грузитьНих**а не понял, ну да ладно... Продолжайте...
walking_corpse
veteran
www.sysinternals.com", она много глубже копает автозапуск и позволяет его редактировать. Попробуйте, может поможет. Объем - меньше метра.Внимательно просмотрел в окне этой утилитки как закладку "Logon", так и все другие закладки.
Ничего подозрительного не вижу.
А, тем временем, червяк не проявляется уже несколько часов.
Неужели те самые Tracing Cookies, что вычистил Lavasoft Ad-Ware?
aleks_p
v.i.p.
"Пилите, Шура, пилите....". - С. Копайте глубже, коллега.
Anomander
guru
> Неужели те самые Tracing Cookies, что вычистил Lavasoft Ad-Ware?
99%, что нет. Tracing Cookies бывают практически всегда.
99%, что нет. Tracing Cookies бывают практически всегда.
ganymed
просто пользователь
Установил Lavasoft Ad-Ware SE Personal.Могу базу выложить или переслать.
Единственное, у него Virus Definitions аж полуторагодичной давности, и обновить я их не cмогу.
Но на безрыбье - сами понимаете.
Но весит около мега.
Утром, когда я пришёл на работу, один "левый" процесс быд запущен - я грохнул его руками.Где-то все же не дочистили.
После скана, червяк пока что не показывается.
Посмотрим, что будет дальше.
Vovis
guru
Единственное, у него Virus Definitions аж полуторагодичной давности, и обновить я их не cмогу.прямая ссылка на последнюю базу
walking_corpse
veteran
Знаю, потому и удивлялся.
Сегодня уже не удивляюсь - червяк жыфф! :-))
(Так и хочется добавить - "Беня будет мстить!")
Сегодня уже не удивляюсь - червяк жыфф! :-))
(Так и хочется добавить - "Беня будет мстить!")
tpi
guru
какая-то у вас затянувшаяся борьба с вирусом....
попробуйте все winword.exe (кстати он один на всем компе?) переименовать на время, допустим в winword_.exe, посмотреть что выйдет.
попробуйте все winword.exe (кстати он один на всем компе?) переименовать на время, допустим в winword_.exe, посмотреть что выйдет.
walking_corpse
veteran
Сам удивляюсь. :-)
Полагаю, всех читателей этого топика уже задрал с этим червяком.
Сегодня утром обновил Virus Definitions в LAvasoft Ad-Ware (ganimed, спасибо!), в данный момент дела уже третий скан, с настройками разной "глубины".
Процесс с именем WINWORD.EXE как торчал, так и торчит.
Специально пока не снимаю его - пусть Ad-Ware его найдёт.
Если не найдёт, сделаю как Вы советуете.
Полагаю, всех читателей этого топика уже задрал с этим червяком.
Сегодня утром обновил Virus Definitions в LAvasoft Ad-Ware (ganimed, спасибо!), в данный момент дела уже третий скан, с настройками разной "глубины".
Процесс с именем WINWORD.EXE как торчал, так и торчит.
Специально пока не снимаю его - пусть Ad-Ware его найдёт.
Если не найдёт, сделаю как Вы советуете.
PN
ЙА ТИГОР
Процесс с именем WINWORD.EXE как торчал, так и торчитА с чего вы вообще решили, что это вирус? Вроде у Офис ХР была такая фишка, что после запуска ворда и его закрытия ворд не закрывается, а остается как бы "предзапущенным"... Еще там какая-то ускоряющая примочка в автозапуск прописывалась...
Надо поставить Sysinternals Process Explorer и проверить, кто и откуда запускает этот WINWORD.EXE...
ganymed
просто пользователь
Да не за что.
Про проблему. Поди сканите в нормальном режиме? Это зря.
Надо загрузиться в Безопасный режим(Safe Mode). Оттуда и сканить.
А Ad-aware надо настроить так:
в окне Preparing System Scan
- Use custom scanning option
- Search for negliglible risk entries
- Search for low-risk threats
в меню Use custom scanning option:
- Scan within archives
в разделе Memory & Registry включить все опции.
Еще можно воспользоваться Tauscan от Agnitum.
Он тоже типа Адаваре, но с монитором по-умолчанию.
Еще раз напоминаю. Сканить вири надо в Безопасном Режиме(Safe Mode) ОС.
А лучше загрузиться с загружаемого СД с системой, где установлены антивири.
Такой можно сотворить с помощью проги BartPE.
Так же стоит почитать наwww.viruslist.com описание найденного антивиря и как его выковырить из системы.
Про проблему. Поди сканите в нормальном режиме? Это зря.
Надо загрузиться в Безопасный режим(Safe Mode). Оттуда и сканить.
А Ad-aware надо настроить так:
в окне Preparing System Scan
- Use custom scanning option
- Search for negliglible risk entries
- Search for low-risk threats
в меню Use custom scanning option:
- Scan within archives
в разделе Memory & Registry включить все опции.
Еще можно воспользоваться Tauscan от Agnitum.
Он тоже типа Адаваре, но с монитором по-умолчанию.
Еще раз напоминаю. Сканить вири надо в Безопасном Режиме(Safe Mode) ОС.
А лучше загрузиться с загружаемого СД с системой, где установлены антивири.
Такой можно сотворить с помощью проги BartPE.
Так же стоит почитать наwww.viruslist.com описание найденного антивиря и как его выковырить из системы.
walking_corpse
veteran
Всё так и сделал.
Ad-Aware снова нашло несколько Tracing Cookies, и ничего более.
Ad-Aware снова нашло несколько Tracing Cookies, и ничего более.
walking_corpse
veteran
А с чего вы вообще решили, что это вирус? Вроде у Офис ХР была такая фишка, что после запуска ворда и его закрытия ворд не закрывается, а остается как бы "предзапущенным"...Признаюсь, не знал про эту фишку.
Сегодня заметил, что процесс WINWORD.EXE оказывается запущенным каждый раз после создания и отправки письма через MS Outlook.
Тогда вроде как всё пучком - MS Word ведь как раз и служит редактором для создания новых писем.
И висит себе потом "предзапущенным".
И ещё выше кто-то писал, что время от времени запускаемые процессы со случайно сгенерированными именами - это фишка антивируса TrendMicro.
Нда, надо что-то делать с параноей. :-)
Всем помогавшим советами и присылавшим файлики - огромное спасибо!
WAndreyW
activist
Позвольте пока не закрывать тему.
Ситуация была следующая: На компе был вирус - точно был, множился в все папки которые только можно. Но удалять было бесполезно, так как главный червь сидел в процессе csrss.exe - а вот его убить ну никак нельзя - не смотря на то, что авнтивирус его находил (Аваст) - предалагал лечить, но не мог, пробовал при перезагрузке и в безопасном и всяко, но службу эту никак нельзя выключить.
Но таки удалось его обезвредить, слабо понял как - примерно - понизил приоритет, переименовал файл, который запускал эту службу, процесс smss.exe (увидеть смог это при помощи программы TaskInfo) В итоге удалялись какие то системные файлы, из каталога Windows.
Думал система не встанет после такого, уже готовлся к переустановке системы. Раньше просто был опыт - невозможности избавления от этой гадости (TaskInfo не запускался, Каспер не запускался - принимал решение на переустановку). А тут чужая машина, думал все таки олучиться вылечить.
В итоге машина загрузилась, НО после экрана приветствия чистый экран, с заставкой, без ярлыков, указатель мыши и все . Работает сочетание ctrl alt Del пробую запустить Эксплорер (explorer) вручную, говорит нет такого файла (браузером проверил и даже скопировал другой - есть). В итоге есть комп без вирусов, но не нормально работающий, что подскажете ? Что нужно запускать, что бы запустилась задача эксплорера?
Да и вообще как удалять вирусу, если они прицеплены к системным файлам?
Для себя понял самое верное - разрешать работать только под правами Пользователя, сам пока не научился, а вот на домашнем компе для семьи сделал.
Ситуация была следующая: На компе был вирус - точно был, множился в все папки которые только можно. Но удалять было бесполезно, так как главный червь сидел в процессе csrss.exe - а вот его убить ну никак нельзя - не смотря на то, что авнтивирус его находил (Аваст) - предалагал лечить, но не мог, пробовал при перезагрузке и в безопасном и всяко, но службу эту никак нельзя выключить.
Но таки удалось его обезвредить, слабо понял как - примерно - понизил приоритет, переименовал файл, который запускал эту службу, процесс smss.exe (увидеть смог это при помощи программы TaskInfo) В итоге удалялись какие то системные файлы, из каталога Windows.
Думал система не встанет после такого, уже готовлся к переустановке системы. Раньше просто был опыт - невозможности избавления от этой гадости (TaskInfo не запускался, Каспер не запускался - принимал решение на переустановку). А тут чужая машина, думал все таки олучиться вылечить.
В итоге машина загрузилась, НО после экрана приветствия чистый экран, с заставкой, без ярлыков, указатель мыши и все . Работает сочетание ctrl alt Del пробую запустить Эксплорер (explorer) вручную, говорит нет такого файла (браузером проверил и даже скопировал другой - есть). В итоге есть комп без вирусов, но не нормально работающий, что подскажете ? Что нужно запускать, что бы запустилась задача эксплорера?
Да и вообще как удалять вирусу, если они прицеплены к системным файлам?
Для себя понял самое верное - разрешать работать только под правами Пользователя, сам пока не научился, а вот на домашнем компе для семьи сделал.
Инфа от Веба
Лечение в удалении ветки реестра
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
Может и мне кто подскажет.
Поймался на бук вирь.
Нортон и каспер его не узнают. Отключает все USB девайсы (флэшу воткнул, она опозналась, октрылась, потом закрылась, в девайсах ее немае)
Нашел подозрительный svchost.exe запущенный от Local System, убить не могу - рестартует
В сейф-моде все работает, в авторане и реестре ничего не нашел, служб лишних тоже
Лечение в удалении ветки реестра
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
Может и мне кто подскажет.
Поймался на бук вирь.
Нортон и каспер его не узнают. Отключает все USB девайсы (флэшу воткнул, она опозналась, октрылась, потом закрылась, в девайсах ее немае)
Нашел подозрительный svchost.exe запущенный от Local System, убить не могу - рестартует
В сейф-моде все работает, в авторане и реестре ничего не нашел, служб лишних тоже
Инфа от Веба
Лечение в удалении ветки реестра
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
Спасибо, все помогло.