Как избавится от неизвестного вируса?

Просмотров: 14427Комментарии: 12
РуководстваБудни

Бывает такие случаи, когда ваш компьютер начинает дико тормозить, программы начинают открываться в 2 раза дольше, причем разные антивирусы не видят ничего подозрительного.

И вот совсем недавно на нашем сервере обнаружилась такая ситуация, начал виснуть, загрузка процессора 100%, при этом что раньше загрузка была 30-40%. Частенько вываливалась windows 2003 в синий экран с непонятными ошибками, то ошибка значила, что неиспраная память (я так по началу и подумал купив другую память), то ошибку вызывала запущенная 1С Предприятие, то вообще файл win32.sys. Установленный антивирус McAfee вирусы не находил и пришлось искать чтобы могло грузить так процессор и приводить к выпаданиям в экран смерти виндовс.

На помощь мне пришли довольно таки интерестные программы, о них и пойдет речь дальше.

Итак, маленькая программка под названием SDFix на самом деле оказалось совсем не маленькой в плане функционала. Скачиваем SDFix 686 и запускаем программу с помошью RunThis.bat (распаковывается она на системный диск C:\SDFix). Перед этим обязательно отлючаем антивирус, т.к. в папке будет обнаруживаться файл Process.exe как вирус.

Как видим на скриншоте довольно такие неплохие возможности по восстановлению зараженной системы, но Нас просят перезагрузится в безопасном режиме (при загрузке жмем F8 и выбираем пункт Безопасный режим), что собственно и делаем.

Если при загрузке безпасного режима Windows вываливается опять в синий экран, то по видимому у вас вирус испротил раздел в реестре, который отвечает за Безопаный режим. Тогда в этой программе набираем с клавиатуры букву R (Repair SafeBoot Key) и жмем Enter. А вот теперь можно и загружаться.

После того как вы зашли в безопасный режим заходите опять в спрограммой и запускаете RunThis.bat жмете Y и ждете пока программа закончит востановление системных файлов и настроек к первозданному виду. Обычно эта операция занимает минут 10-15 не больше, как программа закончит сканирование и восстановление, она предложит перезагрузится. После перезагрузки она завершит начатое и выдаст полный отчет о том, что она сделала.

После этого лучше скачать с сайта www.freedrweb.com бесплатный антивирус CureIt и просканировать полностью систему.

Если после этих хитрых манипуляций у вас по прежнему  что-то грузит систему на 100%, тогда понабится другая утилитка под названием pserv.cpl. Эта программа показывается запущенные и установленные службы и программы. По своей сути это тож самое что стандартный апплет Службы в панели управления, но добавлены очень важные функции. А именно на нужно удаление подозрительные запущенные службы.

Внимание! Использование этой программы сопряженно с  риском для вашей системы.

Устанавливаем и запускаем pserv.cpl.

Список стандартных служб можно посмотреть на oszone.net. Хотя тут тоже есть свой риск, удалить службы допустим какого-нибудь драйвера, например видеокарты, так что внимательно читаем, что там написано в описании к службам.

После этого обязательно просканируйте систему бесплатным антивирусом CureIt.

Вот и все! есть вопросы пишите.

Комментариев: 12 RSS

1 админ 14-01-2009 12:52

вместо второй программы

http://technet.microsoft.com/en-us/sysinternals/default.aspx

2 testings 31-01-2009 03:09

Мне вот интересно каким антивирусом вы пользуетесь что мол ловите такую неизвестную заразу ?

Да и вы СисАдмин ?

3 orangevi 31-01-2009 22:43

вообще нет идеального антивируса, у нас др.веб у других другое, все они по своему ужасны

4 Chikot27 03-02-2009 23:09

Привет, коллегам! О, вы то мне и нуны. Вот такая шняга: есть сист. папка System Volume Information, вроде типа для восстановления системы. Но обнаружил, что она есть рассадник всякой заразы, зовущейся Аутораннер с вариациями. Сколько ни лечил комп(кстати, да, куреит рулит, в параллели с пандой), один фиг, что-то возникает. Попытался удалить Тоталом-фиг там. Скачал анлокер, разблокировал папку. Перед этим ессно, восстановление отключил нафик. Анлокер эти папки поудалял после разблокировки. Ребут-и папки появились снова. Что это может быть?

Окошки ХРень SP2 2600. Сенькс.

5 orangevi 04-02-2009 08:24

Она и будет появлятся все время. Это же служба восстановления системы работает и естесственно собирает всякий мусор из вирусов и т.д.

Я обычно её отлючаю и больше про эту папку не вспоминаю, она хоть и есть но все время пуста.

Если не нужно отлючать, а просто получить доступ, то:

1. Нажмите кнопку Пуск и выберите пункт Мой компьютер.
2. В меню Сервис выберите команду Свойства папки.
3. На вкладке Вид выберите пункт Показывать скрытые файлы и папки.
4. Снимите флажок Скрывать защищенные системные файлы (рекомендуется). Для подтверждения изменений нажмите кнопку Да.
5. Снимите флажок Использовать простой общий доступ к файлам (рекомендуется).
6. Нажмите кнопку ОК.
7. Щелкните правой кнопкой мыши папку System Volume Information в корневом каталоге раздела и выберите команду Свойства.
8. Перейдите на вкладку Безопасность.
9. Нажмите кнопку Добавить и введите имя пользователя, которому будет предоставлен доступ к папке. Как правило, это учетная запись, которая была использована для входа в систему. Подтвердите изменение настроек, два раза нажав кнопку ОК.
10. Чтобы открыть папку System Volume Information (расположена в корневом каталоге соответствующего раздела), дважды щелкните ее значок.
http://support.microsoft.com/kb/309531/ru

А если нужно отлючить службу, то делай следующее:

1. В меню Пуск щелкните правой кнопкой мыши значок Мой компьютер и выберите пункт Свойства.
2. Откройте вкладку Восстановление системы.
3. Установите флажок Отключить восстановление системы (или Отключить восстановление системы на всех дисках) и нажмите кнопку ОК.
4. Чтобы подтвердить отключение восстановления системы, нажмите кнопку Да.
http://support.microsoft.com/kb/310405/ru

А вообще можно воспользоваться поиском, например гугла:)

6 IBM370 04-02-2009 13:25

Сенькс за подробный ответ. Да, действительно, папки есть, но пустые.

Восстановление отключил ессно сразу(писал же об этом).

А сейчас вообще засада только с флешкой. Поставил SP3 со ЗверДВД. Может из-за этого, может нет, но вставляю флешку, она автоматом пытается открыться, отменяю, а потом это повторяется периодически снова и снова(причем такое творится толко с одной, с остальными нормаль). Куреитом лечил-ничего не найдено. Пандой-тоже ноль. Походу, Окошки упали?

Классный блог, интересно пишете. На подходе мой схожей тематики. Может, бум партнерствовать?

7 orangevi 04-02-2009 14:45

Просканируйте систему SDFix, потом куреитом и пандой.

а с флэшки удалите файл autorun.inf

потом создайте папку с таким именем autorun.inf, именно папку, сделайте её для чтения, ну можно и скрытую, обычно помогает если флэшку вставить в инфицированный компьютер.

З.Ы. не люблю всякие сборки, потом не пойми от куда что вылазит, обычно ставлю с образов MSDN

з.з.ы. Ссылочку потом пришлете на свой блог, заценим :)

8 orangevi 04-02-2009 14:52

а антивирусники лучше запускать в безопасном режиме )

меньше всякой заразы грузится

9 Boris 07-05-2009 15:59

От таких напастей хорошо помогают разного рода автономные антивирусы (LiveCD на базе Linux либо Windows XP PE). Я чаще всего использую LiveCD от фирмы Avira, он обновляется ежедневно (http://www.avira.com/en/support/support_downloads.html). Последовательность действий:

1. Заранее скачать LiveCD и прожечь его на мини-CD-RW;

2. Загрузиться с этого диска; в графической оболочке нажать на британский флаг для перехода на английский язык;

3. На вкладке Antivirus перейти на настройки, установить режим "Переименовывать зараженные файлы";

4. После окончания загрузки антивирусных баз на основной странице нажать "Start scanner" и дождаться конца сканирования; во время сканирования на вкладке "Information" можно видеть readme и протокол сканирования;

5. После окончания сканирования на последней вкладке (кажется, Misc) выбрать действие Shutdown and Eject - компьютер выключится;

6. Загрузить систему, загрузить с сайта http://z-oleg.com программу AVZ, распаковать в папку на диске, запустить avz.exe;

7. Выбрать Файл -> Мастер поиска и устранения проблем; программа предложит отменить автостарт с флешек, жестких и сетевых дисков - принять это предложение;

8. Если Вы достаточно четко представляете себе, что именно должно стартовать в системе, то выполните там же Файл -> Исследование системы, просмотрите протокол и создайте скрипты AVZ для удаления лишнего и чистки реестра; перенесите получившиеся скрипты из формы браузера в окно функции AVZ Файл -> Выполнить скрипт; выполните этот скрипт.

11 Кирилл 19-04-2010 07:57

Это просто отличная идея

и

12 Артём 29-09-2010 15:43

Спасибо,Админы)) очень помог ваш блог!

Оставьте комментарий!


Комментарий будет опубликован после проверки

     

  

MaxSiteAuth.

(обязательно)