Как избавится от неизвестного вируса?
Бывает такие случаи, когда ваш компьютер начинает дико тормозить, программы начинают открываться в 2 раза дольше, причем разные антивирусы не видят ничего подозрительного.
И вот совсем недавно на нашем сервере обнаружилась такая ситуация, начал виснуть, загрузка процессора 100%, при этом что раньше загрузка была 30-40%. Частенько вываливалась windows 2003 в синий экран с непонятными ошибками, то ошибка значила, что неиспраная память (я так по началу и подумал купив другую память), то ошибку вызывала запущенная 1С Предприятие, то вообще файл win32.sys. Установленный антивирус McAfee вирусы не находил и пришлось искать чтобы могло грузить так процессор и приводить к выпаданиям в экран смерти виндовс.
На помощь мне пришли довольно таки интерестные программы, о них и пойдет речь дальше.
Итак, маленькая программка под названием SDFix на самом деле оказалось совсем не маленькой в плане функционала. Скачиваем SDFix 3 и запускаем программу с помошью RunThis.bat (распаковывается она на системный диск C:\SDFix). Перед этим обязательно отлючаем антивирус, т.к. в папке будет обнаруживаться файл Process.exe как вирус.

Как видим на скриншоте довольно такие неплохие возможности по восстановлению зараженной системы, но Нас просят перезагрузится в безопасном режиме (при загрузке жмем F8 и выбираем пункт Безопасный режим), что собственно и делаем.
Если при загрузке безпасного режима Windows вываливается опять в синий экран, то по видимому у вас вирус испротил раздел в реестре, который отвечает за Безопаный режим. Тогда в этой программе набираем с клавиатуры букву R (Repair SafeBoot Key) и жмем Enter. А вот теперь можно и загружаться.
После того как вы зашли в безопасный режим заходите опять в спрограммой и запускаете RunThis.bat жмете Y и ждете пока программа закончит востановление системных файлов и настроек к первозданному виду. Обычно эта операция занимает минут 10-15 не больше, как программа закончит сканирование и восстановление, она предложит перезагрузится. После перезагрузки она завершит начатое и выдаст полный отчет о том, что она сделала.
После этого лучше скачать с сайта www.freedrweb.com бесплатный антивирус CureIt и просканировать полностью систему.
Если после этих хитрых манипуляций у вас по прежнему что-то грузит систему на 100%, тогда понабится другая утилитка под названием pserv.cpl. Эта программа показывается запущенные и установленные службы и программы. По своей сути это тож самое что стандартный апплет Службы в панели управления, но добавлены очень важные функции. А именно на нужно удаление подозрительные запущенные службы.
Внимание! Использование этой программы сопряженно с риском для вашей системы.
Устанавливаем и запускаем pserv.cpl.

Список стандартных служб можно посмотреть на oszone.net. Хотя тут тоже есть свой риск, удалить службы допустим какого-нибудь драйвера, например видеокарты, так что внимательно читаем, что там написано в описании к службам.
После этого обязательно просканируйте систему бесплатным антивирусом CureIt.
Вот и все! есть вопросы пишите.


Экспорт в формат RSS
Комментариев: 11
вместо второй программы
http://technet.microsoft.com/en-us/sysinternals/default.aspx
Мне вот интересно каким антивирусом вы пользуетесь что мол ловите такую неизвестную заразу ?
Да и вы СисАдмин ?
вообще нет идеального антивируса, у нас др.веб у других другое, все они по своему ужасны
Привет, коллегам! О, вы то мне и нуны. Вот такая шняга: есть сист. папка System Volume Information, вроде типа для восстановления системы. Но обнаружил, что она есть рассадник всякой заразы, зовущейся Аутораннер с вариациями. Сколько ни лечил комп(кстати, да, куреит рулит, в параллели с пандой), один фиг, что-то возникает. Попытался удалить Тоталом-фиг там. Скачал анлокер, разблокировал папку. Перед этим ессно, восстановление отключил нафик. Анлокер эти папки поудалял после разблокировки. Ребут-и папки появились снова. Что это может быть?
Окошки ХРень SP2 2600. Сенькс.
Она и будет появлятся все время. Это же служба восстановления системы работает и естесственно собирает всякий мусор из вирусов и т.д.
Я обычно её отлючаю и больше про эту папку не вспоминаю, она хоть и есть но все время пуста.
Если не нужно отлючать, а просто получить доступ, то:
А если нужно отлючить службу, то делай следующее:
А вообще можно воспользоваться поиском, например гугла:)
Сенькс за подробный ответ. Да, действительно, папки есть, но пустые.
Восстановление отключил ессно сразу(писал же об этом).
А сейчас вообще засада только с флешкой. Поставил SP3 со ЗверДВД. Может из-за этого, может нет, но вставляю флешку, она автоматом пытается открыться, отменяю, а потом это повторяется периодически снова и снова(причем такое творится толко с одной, с остальными нормаль). Куреитом лечил-ничего не найдено. Пандой-тоже ноль. Походу, Окошки упали?
Классный блог, интересно пишете. На подходе мой схожей тематики. Может, бум партнерствовать?
Просканируйте систему SDFix, потом куреитом и пандой.
а с флэшки удалите файл autorun.inf
потом создайте папку с таким именем autorun.inf, именно папку, сделайте её для чтения, ну можно и скрытую, обычно помогает если флэшку вставить в инфицированный компьютер.
З.Ы. не люблю всякие сборки, потом не пойми от куда что вылазит, обычно ставлю с образов MSDN
з.з.ы. Ссылочку потом пришлете на свой блог, заценим :)
а антивирусники лучше запускать в безопасном режиме )
меньше всякой заразы грузится
От таких напастей хорошо помогают разного рода автономные антивирусы (LiveCD на базе Linux либо Windows XP PE). Я чаще всего использую LiveCD от фирмы Avira, он обновляется ежедневно (http://www.avira.com/en/support/support_downloads.html). Последовательность действий:
1. Заранее скачать LiveCD и прожечь его на мини-CD-RW;
2. Загрузиться с этого диска; в графической оболочке нажать на британский флаг для перехода на английский язык;
3. На вкладке Antivirus перейти на настройки, установить режим "Переименовывать зараженные файлы";
4. После окончания загрузки антивирусных баз на основной странице нажать "Start scanner" и дождаться конца сканирования; во время сканирования на вкладке "Information" можно видеть readme и протокол сканирования;
5. После окончания сканирования на последней вкладке (кажется, Misc) выбрать действие Shutdown and Eject - компьютер выключится;
6. Загрузить систему, загрузить с сайта http://z-oleg.com программу AVZ, распаковать в папку на диске, запустить avz.exe;
7. Выбрать Файл -> Мастер поиска и устранения проблем; программа предложит отменить автостарт с флешек, жестких и сетевых дисков - принять это предложение;
8. Если Вы достаточно четко представляете себе, что именно должно стартовать в системе, то выполните там же Файл -> Исследование системы, просмотрите протокол и создайте скрипты AVZ для удаления лишнего и чистки реестра; перенесите получившиеся скрипты из формы браузера в окно функции AVZ Файл -> Выполнить скрипт; выполните этот скрипт.
такой же LiveCD есть и у drweb http://www.freedrweb.com/livecd/
Это просто отличная идея
и