Как избавится от неизвестного вируса?

2 декабря 2008orangeviРуководства -> Будни
Просмотров: 6812
Подписаться на комментарии по RSS

Бывает такие случаи, когда ваш компьютер начинает дико тормозить, программы начинают открываться в 2 раза дольше, причем разные антивирусы не видят ничего подозрительного.

И вот совсем недавно на нашем сервере обнаружилась такая ситуация, начал виснуть, загрузка процессора 100%, при этом что раньше загрузка была 30-40%. Частенько вываливалась windows 2003 в синий экран с непонятными ошибками, то ошибка значила, что неиспраная память (я так по началу и подумал купив другую память), то ошибку вызывала запущенная 1С Предприятие, то вообще файл win32.sys. Установленный антивирус McAfee вирусы не находил и пришлось искать чтобы могло грузить так процессор и приводить к выпаданиям в экран смерти виндовс.

На помощь мне пришли довольно таки интерестные программы, о них и пойдет речь дальше.

Итак, маленькая программка под названием SDFix на самом деле оказалось совсем не маленькой в плане функционала. Скачиваем SDFix 9 и запускаем программу с помошью RunThis.bat (распаковывается она на системный диск C:\SDFix). Перед этим обязательно отлючаем антивирус, т.к. в папке будет обнаруживаться файл Process.exe как вирус.

Как видим на скриншоте довольно такие неплохие возможности по восстановлению зараженной системы, но Нас просят перезагрузится в безопасном режиме (при загрузке жмем F8 и выбираем пункт Безопасный режим), что собственно и делаем.

Если при загрузке безпасного режима Windows вываливается опять в синий экран, то по видимому у вас вирус испротил раздел в реестре, который отвечает за Безопаный режим. Тогда в этой программе набираем с клавиатуры букву R (Repair SafeBoot Key) и жмем Enter. А вот теперь можно и загружаться.

После того как вы зашли в безопасный режим заходите опять в спрограммой и запускаете RunThis.bat жмете Y и ждете пока программа закончит востановление системных файлов и настроек к первозданному виду. Обычно эта операция занимает минут 10-15 не больше, как программа закончит сканирование и восстановление, она предложит перезагрузится. После перезагрузки она завершит начатое и выдаст полный отчет о том, что она сделала.

После этого лучше скачать с сайта www.freedrweb.com бесплатный антивирус CureIt и просканировать полностью систему.

Если после этих хитрых манипуляций у вас по прежнему  что-то грузит систему на 100%, тогда понабится другая утилитка под названием pserv.cpl. Эта программа показывается запущенные и установленные службы и программы. По своей сути это тож самое что стандартный апплет Службы в панели управления, но добавлены очень важные функции. А именно на нужно удаление подозрительные запущенные службы.

Внимание! Использование этой программы сопряженно с  риском для вашей системы.

Устанавливаем и запускаем pserv.cpl.

Список стандартных служб можно посмотреть на oszone.net. Хотя тут тоже есть свой риск, удалить службы допустим какого-нибудь драйвера, например видеокарты, так что внимательно читаем, что там написано в описании к службам.

После этого обязательно просканируйте систему бесплатным антивирусом CureIt.

Вот и все! есть вопросы пишите.

, ,
]]>twitter.com Google Buzz google.com bobrdobr.ru del.icio.us technorati.com linkstore.ru news2.ru rumarkz.ru memori.ru moemesto.ru]]>

Смотрите также...

Комментариев: 12

  1. 2009-01-14 в 14:52:57 | админ

    вместо второй программы

    http://technet.microsoft.com/en-us/sysinternals/default.aspx

  2. 2009-01-31 в 05:09:53 | testings

    Мне вот интересно каким антивирусом вы пользуетесь что мол ловите такую неизвестную заразу ?

    Да и вы СисАдмин ?

  3. 2009-02-01 в 00:43:39 | orangevi

    вообще нет идеального антивируса, у нас др.веб у других другое, все они по своему ужасны

  4. 2009-02-04 в 01:09:15 | Chikot27

    Привет, коллегам! О, вы то мне и нуны. Вот такая шняга: есть сист. папка System Volume Information, вроде типа для восстановления системы. Но обнаружил, что она есть рассадник всякой заразы, зовущейся Аутораннер с вариациями. Сколько ни лечил комп(кстати, да, куреит рулит, в параллели с пандой), один фиг, что-то возникает. Попытался удалить Тоталом-фиг там. Скачал анлокер, разблокировал папку. Перед этим ессно, восстановление отключил нафик. Анлокер эти папки поудалял после разблокировки. Ребут-и папки появились снова. Что это может быть?

    Окошки ХРень SP2 2600. Сенькс.

  5. 2009-02-04 в 10:24:26 | orangevi

    Она и будет появлятся все время. Это же служба восстановления системы работает и естесственно собирает всякий мусор из вирусов и т.д.

    Я обычно её отлючаю и больше про эту папку не вспоминаю, она хоть и есть но все время пуста.

    Если не нужно отлючать, а просто получить доступ, то:

    1. Нажмите кнопку Пуск и выберите пункт Мой компьютер.
    2. В меню Сервис выберите команду Свойства папки.
    3. На вкладке Вид выберите пункт Показывать скрытые файлы и папки.
    4. Снимите флажок Скрывать защищенные системные файлы (рекомендуется). Для подтверждения изменений нажмите кнопку Да.
    5. Снимите флажок Использовать простой общий доступ к файлам (рекомендуется).
    6. Нажмите кнопку ОК.
    7. Щелкните правой кнопкой мыши папку System Volume Information в корневом каталоге раздела и выберите команду Свойства.
    8. Перейдите на вкладку Безопасность.
    9. Нажмите кнопку Добавить и введите имя пользователя, которому будет предоставлен доступ к папке. Как правило, это учетная запись, которая была использована для входа в систему. Подтвердите изменение настроек, два раза нажав кнопку ОК.
    10. Чтобы открыть папку System Volume Information (расположена в корневом каталоге соответствующего раздела), дважды щелкните ее значок.
    http://support.microsoft.com/kb/309531/ru

    А если нужно отлючить службу, то делай следующее:

    1. В меню Пуск щелкните правой кнопкой мыши значок Мой компьютер и выберите пункт Свойства.
    2. Откройте вкладку Восстановление системы.
    3. Установите флажок Отключить восстановление системы (или Отключить восстановление системы на всех дисках) и нажмите кнопку ОК.
    4. Чтобы подтвердить отключение восстановления системы, нажмите кнопку Да.
    http://support.microsoft.com/kb/310405/ru

    А вообще можно воспользоваться поиском, например гугла:)

  6. 2009-02-04 в 15:25:58 | IBM370

    Сенькс за подробный ответ. Да, действительно, папки есть, но пустые.

    Восстановление отключил ессно сразу(писал же об этом).

    А сейчас вообще засада только с флешкой. Поставил SP3 со ЗверДВД. Может из-за этого, может нет, но вставляю флешку, она автоматом пытается открыться, отменяю, а потом это повторяется периодически снова и снова(причем такое творится толко с одной, с остальными нормаль). Куреитом лечил-ничего не найдено. Пандой-тоже ноль. Походу, Окошки упали?

    Классный блог, интересно пишете. На подходе мой схожей тематики. Может, бум партнерствовать?

  7. 2009-02-04 в 16:45:37 | orangevi

    Просканируйте систему SDFix, потом куреитом и пандой.

    а с флэшки удалите файл autorun.inf

    потом создайте папку с таким именем autorun.inf, именно папку, сделайте её для чтения, ну можно и скрытую, обычно помогает если флэшку вставить в инфицированный компьютер.

    З.Ы. не люблю всякие сборки, потом не пойми от куда что вылазит, обычно ставлю с образов MSDN

    з.з.ы. Ссылочку потом пришлете на свой блог, заценим :)

  8. 2009-02-04 в 16:52:24 | orangevi

    а антивирусники лучше запускать в безопасном режиме )

    меньше всякой заразы грузится

  9. 2009-05-07 в 17:59:38 | Boris

    От таких напастей хорошо помогают разного рода автономные антивирусы (LiveCD на базе Linux либо Windows XP PE). Я чаще всего использую LiveCD от фирмы Avira, он обновляется ежедневно (http://www.avira.com/en/support/support_downloads.html). Последовательность действий:

    1. Заранее скачать LiveCD и прожечь его на мини-CD-RW;

    2. Загрузиться с этого диска; в графической оболочке нажать на британский флаг для перехода на английский язык;

    3. На вкладке Antivirus перейти на настройки, установить режим "Переименовывать зараженные файлы";

    4. После окончания загрузки антивирусных баз на основной странице нажать "Start scanner" и дождаться конца сканирования; во время сканирования на вкладке "Information" можно видеть readme и протокол сканирования;

    5. После окончания сканирования на последней вкладке (кажется, Misc) выбрать действие Shutdown and Eject - компьютер выключится;

    6. Загрузить систему, загрузить с сайта http://z-oleg.com программу AVZ, распаковать в папку на диске, запустить avz.exe;

    7. Выбрать Файл -> Мастер поиска и устранения проблем; программа предложит отменить автостарт с флешек, жестких и сетевых дисков - принять это предложение;

    8. Если Вы достаточно четко представляете себе, что именно должно стартовать в системе, то выполните там же Файл -> Исследование системы, просмотрите протокол и создайте скрипты AVZ для удаления лишнего и чистки реестра; перенесите получившиеся скрипты из формы браузера в окно функции AVZ Файл -> Выполнить скрипт; выполните этот скрипт.

  10. 2009-05-07 в 18:03:20 | orangevi

    такой же LiveCD есть и у drweb http://www.freedrweb.com/livecd/

  11. 2010-04-19 в 09:57:08 | Кирилл

    Это просто отличная идея

    и

  12. 2010-09-29 в 17:43:12 | Артём

    Спасибо,Админы)) очень помог ваш блог!

Оставьте комментарий!

Не регистрировать/аноним

Используйте нормальные имена.

Если вы уже зарегистрированы как комментатор или хотите зарегистрироваться, укажите пароль и свой действующий email.
(При регистрации на указанный адрес придет письмо с кодом активации и ссылкой на ваш персональный аккаунт, где вы сможете изменить свои данные, включая адрес сайта, ник, описание, контакты и т.д.)


grin LOL cheese smile wink smirk rolleyes confused surprised big surprise tongue laugh tongue rolleye tongue wink raspberry blank stare long face ohh grrr gulp oh oh downer red face sick shut eye hmmm mad angry zipper kiss shock cool smile cool smirk cool grin cool hmm cool mad cool cheese vampire snake excaim question

(обязательно)