23.09.2019, 13:25 [+3 UTC]
в нашей команде: 3 840 чел. | участники онлайн: 6 (рекорд: 21)

:: РЕГИСТРАЦИЯ

задать вопрос

все разделы

правила

новости

участники

доска почёта

форум

блоги

поиск

статистика

наш журнал

наши встречи

наша галерея

отзывы о нас

поддержка

руководство

Версия системы:
7.77 (31.05.2019)
JS-v.1.34 | CSS-v.3.35

Общие новости:
28.04.2019, 09:13

Форум:
12.09.2019, 08:17

Последний вопрос:
22.09.2019, 21:31
Всего: 150374

Последний ответ:
23.09.2019, 11:46
Всего: 259054

Последняя рассылка:
22.09.2019, 17:15

Писем в очереди:
0

Мы в соцсетях:

Наша кнопка:

RFpro.ru - здесь вам помогут!

Отзывы о нас:
05.04.2017, 02:04 »
svrvsvrv
Спасибо за консультацию! [вопрос № 190835, ответ № 274878]
13.10.2012, 11:56 »
Александ Васильевич Бок
Огромное спасибо! [вопрос № 186657, ответ № 271579]

РАЗДЕЛ • Антивирусная защита

Установка, настройка и выбор антивирусов, советы по лечению компьютеров.

[администратор рассылки: Сергей Фрост (Управляющий)]

Лучшие эксперты в этом разделе

Зенченко Константин Николаевич
Статус: Старший модератор
Рейтинг: 94
Коцюрбенко Алексей Владимирович
Статус: Модератор
Рейтинг: 62
FOXhunter
Статус: Профессионал
Рейтинг: 52

Перейти к консультации №:
 

Консультация онлайн # 140654
Автор вопроса: Xgrows (Посетитель)
Отправлена: 24.07.2008, 17:51
Поступило ответов: 2

Здравствуйте! У меня на компьютере вероятно появился вирус. Вот как он проявляется: при загрузке операционной системы открывается пять блокнотов под именем text.txt со следующим содержанием: «ПРИВЕТСТВУЮ ЙА ВИРУС smile Да здравствует Никола Тесла и Кевин Митник!!! 24.08.2007 7194805». Я попытался разобраться что запускает этот блокнот. Вот, что у меня получилось:
У меня на компьютере установлена программа Auslogics BoostSpeed и в ней я посмотрел список программ запускаемых во время запуска ОС. В этом списке появился новый файл Sys.exe (сам файл находится на диске С (где установлена ОС)(нашел через поиск)) и причем в столбце рейтинг стоит Опасно. Если в командной строке набрать msconfig и зайти во вкладку автозагрузка, то в столбце «Расположение» написано: «HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun». Я попробовал удалить его из автозагрузки и это помогло, но только на несколько запусков (примерно 2 раза). После этого я на диске D нашел файл Autorun.inf (он скрытый) и в нем прописано Shellexecute=stdcmd.exe. Сам этот файл (stdcmd.exe) тоже находится на диске D. Я предполагаю, что это этот файл является основой вируса, т.к. в один из дней брандмауэр (Outpost Firewall Pro) выдал сообщение: « Процесс stdcmd.exe пытается изменить критические объекты системного реестра». Я заблокировал ему доступ и в настройках брандмауэра поставил этот процесс в заблокированные. Но спустя примерно день после этого как раз и случилось первое проявление этого вируса, т.е. процесс stdcmd.exe вероятно все-таки изменил параметры реестра.
На компьютере установлен NOD32 Antivirus 3.0.636.0. Вирусные базы постоянно обновляются. Настроен NOD32 на повышенную производительность. Но к сожалению он никак не прореагировал на этот вирус. При полной проверке всего компьютера вирусов также обнаружено не было. Пробовал проверять весь компьютер встроенным в Outpost Firewall Pro компонентом «Антишпион» (база сигнатур тоже регулярно обновляется) - также ничего не обнаруживает. Такие же результаты и при проверке следующими антивирусами: DrWeb, McAfee VirusScan, Panda Antivirus (правда у этих трех антивирусов базы не совсем новые).
Скажите пожалуйста как мне от него избавиться или какой антивирус его всё-таки видит?
Заранее спасибо за ответ!

Состояние: Консультация закрыта

Ответ # 226671 от Janpit

Здравствуйте, Xgrows!
>...Настроен NOD32 на повышенную производительность
Уже после этих строк не стоит обижаться на то, что он что-то пропустил. Повышение производительности автоматически означает ослабление контроля (меньше "внимания" система уделяет защите). Его теперь однозначно нужно переустанавливать, т.к. он поражен червем и теперь принимает его за "своего", поэтему во избежание конфликтов перед нижеописанными действиями его лучше удалить. (предварительно скачав на жесткий диск программы)
>...Пробовал проверять весь компьютер встроенным в Outpost Firewall Pro компонентом «Антишпион» (база сигнатур тоже регулярно обновляется) - также ничего не обнаруживает
Думаю, что модуль, основное назначение которого красноречиво указано в названии, и не предназначен для ликвидации червей, коим, согласно Viruslist.com является файл sys.exe (ссылаясь на Virusinfo)
Я поддерживаю их мнение и начать советовал-бы с установки и запуска Аnti_autorun. Он может исправить все изменения, внесенные autorun.inf в реестр. Далее - запуск предварительно скачанного AVZ>> (документация и не забыв включить защиту) Затем, настроив процесс сканирования, в "Стандартные скрипты" (меню "Файл") отмечаем и выполняем пункт 1 и после этого сканируем всю систему. Потом, не отключая защиты , перезагружаемся. Дальнейший процесс зависит от степени поражения системы: нужно будет исправлять внесенные червем изменения.


Консультировал: Janpit
Дата отправки: 24.07.2008, 19:05

Рейтинг ответа:

0

[подробно]

Сообщение
модераторам

Отправлять сообщения
модераторам могут
только участники портала.
ВОЙТИ НА ПОРТАЛ »
регистрация »

Ответ # 226679 от Goblin34

Здравствуйте, Xgrows!
Посмотрите в диспетчере задач, видно этот процесс или нет. Скорее всего, нет.
Так же установка антивируса на зараженной системе может не дать результата, так как вирусы-сервисы могут заблокировать устанавливаемый Вами продукт. Есть вариант выполнить установку и проверку в защищенном режиме, так как в этом случае не все сервисы стартуют.
Кроме этого, можете проверить реестр ветку HKLMSYSTEMCurrentControlSetServices на предмет наличия сервиса со значением параметра ImagePath равным "путьstdcmd.exe" или "путьsys.exe". Их (сервисы) необходимо удалить, причем не только в CurrentControlSet, но и в ControlSet1 и ControlSet2. После этого необходимо отключить автозагрузку, чтоб не статовали автораны.
Пуск-выполнить:gpedit.msc.
Там в конфигурациях и пользователя, и компьютера в значении Административные шаблоны-Система-Отключить автозапуск необходимо указать "включено", а в чек-боксе выбрать "Все диски".
После этого чистим параметр RUN в реестре и перезагружаемся. После этих манипуляций проводим все возможные чистки антивирусами и антишпионами и т.п., какие найдете. У меня был случай, что сканер безопасности от MS нашел в два раза больше и после проверки несколькими программами, потом я запустил KAV, который нашел еще 4 вируса. Естественно, базы должны быть самыми свежими и если есть возможность у Вашего антивируса - включите эвристический анализ. NOD32 удалите, он уже у Вас скорее всего поражен. Используйте другие. Это не значит, что NOD32 - плохой антивирус, просто Ваш вирус уже его заблокировал.


Консультировал: Goblin34
Дата отправки: 24.07.2008, 21:06

Рейтинг ответа:

0

[подробно]

Сообщение
модераторам

Отправлять сообщения
модераторам могут
только участники портала.
ВОЙТИ НА ПОРТАЛ »
регистрация »

Мини-форум консультации № 140654
Janpit

# 1

= общий = | 24.07.2008, 19:19

Т.к. червь известен и внесен в базу данных Лаборатории Касперского, то можно установить и активировать пробную версию Антивируса Касперского 7, обновив базы и включив защиту модулей в процессе установки.

Xgrows
Посетитель

ID: 218961

# 2

= общий = | 24.07.2008, 19:40 | цитировать цитировать  | профиль профиль  |  отправить письмо в личную почту пейджер

Спасибо большое за ответ Janpit и за все ссылки! Всё попробую. Хочу только вот исправиться: Под словами "Настроен NOD32 на повышенную производительность" я имел ввиду, что настроен на максимальную защиту от вирусов и шпионских программ. Возможно я просто не правильно выразился.

 

Возможность оставлять сообщения в мини-форумах консультаций доступна только после входа в систему.
Воспользуйтесь кнопкой входа вверху страницы, если Вы зарегистрированы или пройдите простую процедуру регистрации на Портале.

Яндекс Rambler's Top100

главная страница | поддержка | задать вопрос

Время генерирования страницы: 0.14700 сек.

© 2001-2019, Портал RFPRO.RU, Россия
Калашников О.А.  |  Гладенюк А.Г.
Версия системы: 7.77 от 31.05.2019
Версия JS: 1.34 | Версия CSS: 3.35