Как избавится от неизвестного вируса?

2 декабря 2008orangeviРуководства -> Будни
Просмотров: 2651
Подписаться на комментарии по RSS

Бывает такие случаи, когда ваш компьютер начинает дико тормозить, программы начинают открываться в 2 раза дольше, причем разные антивирусы не видят ничего подозрительного.

И вот совсем недавно на нашем сервере обнаружилась такая ситуация, начал виснуть, загрузка процессора 100%, при этом что раньше загрузка была 30-40%. Частенько вываливалась windows 2003 в синий экран с непонятными ошибками, то ошибка значила, что неиспраная память (я так по началу и подумал купив другую память), то ошибку вызывала запущенная 1С Предприятие, то вообще файл win32.sys. Установленный антивирус McAfee вирусы не находил и пришлось искать чтобы могло грузить так процессор и приводить к выпаданиям в экран смерти виндовс.

На помощь мне пришли довольно таки интерестные программы, о них и пойдет речь дальше.

Итак, маленькая программка под названием SDFix на самом деле оказалось совсем не маленькой в плане функционала. Скачиваем SDFix 3 и запускаем программу с помошью RunThis.bat (распаковывается она на системный диск C:\SDFix). Перед этим обязательно отлючаем антивирус, т.к. в папке будет обнаруживаться файл Process.exe как вирус.

Как видим на скриншоте довольно такие неплохие возможности по восстановлению зараженной системы, но Нас просят перезагрузится в безопасном режиме (при загрузке жмем F8 и выбираем пункт Безопасный режим), что собственно и делаем.

Если при загрузке безпасного режима Windows вываливается опять в синий экран, то по видимому у вас вирус испротил раздел в реестре, который отвечает за Безопаный режим. Тогда в этой программе набираем с клавиатуры букву R (Repair SafeBoot Key) и жмем Enter. А вот теперь можно и загружаться.

После того как вы зашли в безопасный режим заходите опять в спрограммой и запускаете RunThis.bat жмете Y и ждете пока программа закончит востановление системных файлов и настроек к первозданному виду. Обычно эта операция занимает минут 10-15 не больше, как программа закончит сканирование и восстановление, она предложит перезагрузится. После перезагрузки она завершит начатое и выдаст полный отчет о том, что она сделала.

После этого лучше скачать с сайта www.freedrweb.com бесплатный антивирус CureIt и просканировать полностью систему.

Если после этих хитрых манипуляций у вас по прежнему  что-то грузит систему на 100%, тогда понабится другая утилитка под названием pserv.cpl. Эта программа показывается запущенные и установленные службы и программы. По своей сути это тож самое что стандартный апплет Службы в панели управления, но добавлены очень важные функции. А именно на нужно удаление подозрительные запущенные службы.

Внимание! Использование этой программы сопряженно с  риском для вашей системы.

Устанавливаем и запускаем pserv.cpl.

Список стандартных служб можно посмотреть на oszone.net. Хотя тут тоже есть свой риск, удалить службы допустим какого-нибудь драйвера, например видеокарты, так что внимательно читаем, что там написано в описании к службам.

После этого обязательно просканируйте систему бесплатным антивирусом CureIt.

Вот и все! есть вопросы пишите.

, ,
]]>twitter.com Google Buzz google.com bobrdobr.ru del.icio.us technorati.com linkstore.ru news2.ru rumarkz.ru memori.ru moemesto.ru]]>

Смотрите также...

Комментариев: 11

  1. 2009-01-14 в 14:52:57 | админ (анонимно)

    вместо второй программы

    http://technet.microsoft.com/en-us/sysinternals/default.aspx

  2. 2009-01-31 в 05:09:53 | testings (анонимно)

    Мне вот интересно каким антивирусом вы пользуетесь что мол ловите такую неизвестную заразу ?

    Да и вы СисАдмин ?

  3. 2009-02-01 в 00:43:39 | orangevi

    вообще нет идеального антивируса, у нас др.веб у других другое, все они по своему ужасны

  4. 2009-02-04 в 01:09:15 | Chikot27 (анонимно)

    Привет, коллегам! О, вы то мне и нуны. Вот такая шняга: есть сист. папка System Volume Information, вроде типа для восстановления системы. Но обнаружил, что она есть рассадник всякой заразы, зовущейся Аутораннер с вариациями. Сколько ни лечил комп(кстати, да, куреит рулит, в параллели с пандой), один фиг, что-то возникает. Попытался удалить Тоталом-фиг там. Скачал анлокер, разблокировал папку. Перед этим ессно, восстановление отключил нафик. Анлокер эти папки поудалял после разблокировки. Ребут-и папки появились снова. Что это может быть?

    Окошки ХРень SP2 2600. Сенькс.

  5. 2009-02-04 в 10:24:26 | orangevi

    Она и будет появлятся все время. Это же служба восстановления системы работает и естесственно собирает всякий мусор из вирусов и т.д.

    Я обычно её отлючаю и больше про эту папку не вспоминаю, она хоть и есть но все время пуста.

    Если не нужно отлючать, а просто получить доступ, то:

    1. Нажмите кнопку Пуск и выберите пункт Мой компьютер.
    2. В меню Сервис выберите команду Свойства папки.
    3. На вкладке Вид выберите пункт Показывать скрытые файлы и папки.
    4. Снимите флажок Скрывать защищенные системные файлы (рекомендуется). Для подтверждения изменений нажмите кнопку Да.
    5. Снимите флажок Использовать простой общий доступ к файлам (рекомендуется).
    6. Нажмите кнопку ОК.
    7. Щелкните правой кнопкой мыши папку System Volume Information в корневом каталоге раздела и выберите команду Свойства.
    8. Перейдите на вкладку Безопасность.
    9. Нажмите кнопку Добавить и введите имя пользователя, которому будет предоставлен доступ к папке. Как правило, это учетная запись, которая была использована для входа в систему. Подтвердите изменение настроек, два раза нажав кнопку ОК.
    10. Чтобы открыть папку System Volume Information (расположена в корневом каталоге соответствующего раздела), дважды щелкните ее значок.
    http://support.microsoft.com/kb/309531/ru

    А если нужно отлючить службу, то делай следующее:

    1. В меню Пуск щелкните правой кнопкой мыши значок Мой компьютер и выберите пункт Свойства.
    2. Откройте вкладку Восстановление системы.
    3. Установите флажок Отключить восстановление системы (или Отключить восстановление системы на всех дисках) и нажмите кнопку ОК.
    4. Чтобы подтвердить отключение восстановления системы, нажмите кнопку Да.
    http://support.microsoft.com/kb/310405/ru

    А вообще можно воспользоваться поиском, например гугла:)

  6. 2009-02-04 в 15:25:58 | IBM370 (анонимно)

    Сенькс за подробный ответ. Да, действительно, папки есть, но пустые.

    Восстановление отключил ессно сразу(писал же об этом).

    А сейчас вообще засада только с флешкой. Поставил SP3 со ЗверДВД. Может из-за этого, может нет, но вставляю флешку, она автоматом пытается открыться, отменяю, а потом это повторяется периодически снова и снова(причем такое творится толко с одной, с остальными нормаль). Куреитом лечил-ничего не найдено. Пандой-тоже ноль. Походу, Окошки упали?

    Классный блог, интересно пишете. На подходе мой схожей тематики. Может, бум партнерствовать?

  7. 2009-02-04 в 16:45:37 | orangevi

    Просканируйте систему SDFix, потом куреитом и пандой.

    а с флэшки удалите файл autorun.inf

    потом создайте папку с таким именем autorun.inf, именно папку, сделайте её для чтения, ну можно и скрытую, обычно помогает если флэшку вставить в инфицированный компьютер.

    З.Ы. не люблю всякие сборки, потом не пойми от куда что вылазит, обычно ставлю с образов MSDN

    з.з.ы. Ссылочку потом пришлете на свой блог, заценим :)

  8. 2009-02-04 в 16:52:24 | orangevi

    а антивирусники лучше запускать в безопасном режиме )

    меньше всякой заразы грузится

  9. 2009-05-07 в 17:59:38 | Boris (анонимно)

    От таких напастей хорошо помогают разного рода автономные антивирусы (LiveCD на базе Linux либо Windows XP PE). Я чаще всего использую LiveCD от фирмы Avira, он обновляется ежедневно (http://www.avira.com/en/support/support_downloads.html). Последовательность действий:

    1. Заранее скачать LiveCD и прожечь его на мини-CD-RW;

    2. Загрузиться с этого диска; в графической оболочке нажать на британский флаг для перехода на английский язык;

    3. На вкладке Antivirus перейти на настройки, установить режим "Переименовывать зараженные файлы";

    4. После окончания загрузки антивирусных баз на основной странице нажать "Start scanner" и дождаться конца сканирования; во время сканирования на вкладке "Information" можно видеть readme и протокол сканирования;

    5. После окончания сканирования на последней вкладке (кажется, Misc) выбрать действие Shutdown and Eject - компьютер выключится;

    6. Загрузить систему, загрузить с сайта http://z-oleg.com программу AVZ, распаковать в папку на диске, запустить avz.exe;

    7. Выбрать Файл -> Мастер поиска и устранения проблем; программа предложит отменить автостарт с флешек, жестких и сетевых дисков - принять это предложение;

    8. Если Вы достаточно четко представляете себе, что именно должно стартовать в системе, то выполните там же Файл -> Исследование системы, просмотрите протокол и создайте скрипты AVZ для удаления лишнего и чистки реестра; перенесите получившиеся скрипты из формы браузера в окно функции AVZ Файл -> Выполнить скрипт; выполните этот скрипт.

  10. 2009-05-07 в 18:03:20 | orangevi

    такой же LiveCD есть и у drweb http://www.freedrweb.com/livecd/

  11. 2010-04-19 в 09:57:08 | Кирилл (анонимно)

    Это просто отличная идея

    и

Оставьте комментарий!

Не регистрировать/аноним

Используйте нормальные имена.

Если вы уже зарегистрированы как комментатор или хотите зарегистрироваться, укажите пароль и свой действующий email.
(При регистрации на указанный адрес придет письмо с кодом активации и ссылкой на ваш персональный аккаунт, где вы сможете изменить свои данные, включая адрес сайта, ник, описание, контакты и т.д.)


(обязательно)