Шансон Плюс
Лаборатория => Подсобка (Помощь и Консультации) => Тема начата: ktn2000 от Июня 04, 2011, 19:19:02
-
Можно ли малыми силами избавиться от Трояна ( без переустановки системы)
Помогите специалисты, плиз.
История описана здесь (http://www.shanson-plus.ru/forums/index.php?topic=86319&st=0&#entry522613)
-
Проверьте компьютер специальной программой от DrWeb
ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe (http://ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe)
Для особо тяжелых случаев можно воспользоваться загрузочным диском, для чего нужно скачать образ отсюда (http://ftp.drweb.com/pub/drweb/livecd/drweb-livecd-600.iso), записать его на CD и загрузиться с него. Но, думаю, этого не потребуется.
Советую познакомиться с программой Acronis True Image и заменить антивирус, так как на мой взгляд, Аваст - далеко не лучшее решение.
-
Соглашусь с Mark012
Если DrWeb не поможет, лучше переставить систему. Если сразу не поможет, нужно делать загрузочный диск и проверять с зангрузкой с СД.
Спец может и исправит, но дело это долгое и требует энтузиазма. Если поблизости нет специалиста, удаленные советы вряд ли помогут.
И, даже если системы заработает, я бы уже не стал ей полностью доверять.
-
Попробывать просканировать антивирусной утилитой avz.если необходимо могу залить на мегу.
-
И avast мягко говоря не лучшая программа для защиты от вирусов.У меня nod is .
Пока претензий к нему нет.
-
Просканировала вроде, правда не знаю - правильно ли.
Вр.Веб запустил Быструю проверку (хотя там была еще Полная)
Затем на вопрос Лечить/Удалить, я нажала - Для всех.
В итоге были удалены какие-то файлы типа sysdriver 32.exe из C:\WINDOWS
Затем при перезагрузке, не завершалась какая-то программа ...chost.exe
пришлось принудительно завершить...
Вот таков лог сканирования
Статистика проверки
-----------------------------------------------------------------------------
Объектов проверено: 6509
Инфицированных: 16
Инфицированных модификациями: 0
Подозрительных: 4
Рекламных программ: 0
Программ дозвона: 0
Программ-шуток: 0
Потенциально опасных программ: 0
Программ взлома: 0
Исцелено: 0
Удалено: 11
Переименовано: 0
Перемещено: 4
Проигнорировано: 0
Скорость проверки: 1005 Kb/s
Время проверки: 0:38:15
-----------------------------------------------------------------------------
C:\WINDOWS\TEMP\9398371.exe - перемещен
C:\WINDOWS\TEMP\9449742.exe - перемещен
C:\WINDOWS\TEMP\iecheck11.exe - перемещен
C:\WINDOWS\TEMP\w_distrib.exe - перемещен
c:\windows\l1rezerv.exe - перемещен
=============================================================================
Общая статистика сессии
=============================================================================
Объектов проверено: 6509
Инфицированных: 16
Инфицированных модификациями: 0
Подозрительных: 4
Рекламных программ: 0
Программ дозвона: 0
Программ-шуток: 0
Потенциально опасных программ: 0
Программ взлома: 0
Исцелено: 0
Удалено: 11
Переименовано: 0
Перемещено: 9
Проигнорировано: 0
Скорость проверки: 887 Kb/s
Время проверки: 0:43:21
-
Попробывать восстановить систему с помощью точек восстановления.Выбрать как можно раннюю.Если их нет то в безопасном режиме выбрать пункт запуск последнего работоспособного состояния.
-
Попробывать восстановить систему с помощью точек восстановления.Выбрать как можно раннюю
Я же писала:
Систему откатить, естественно не удалось, т.к. при
. восстановление более раннего состояния компьютера
наблюдается всего одна (когда накрылось 3.06.2011 в 16.34. 26) системная контрольная точка
Сейчас уже и в Программы – Стандартные - Служебные - Восстановление системы не заходит.
сли их нет то в безопасном режиме выбрать пункт запуск последнего работоспособного состояния.
А вот сюда я пока почему-то не смогла попасть. Нажимала F2 и F12 со старта, но все равно перескочило на виндовсную загрузку...
-
Перезагрузка компа.Нажать F8.Откроется такое окно-
Безопасный режим.
Безопасный режим с сетевыми драйверами
Последнее работоспособное состояние
Обычный запуск
-
3. Запустила FAR – но папку "System Volume Information" не нашла
Включить в нём отображение скрытых файлов.Вообще лучше в этом плане тотал командер.
-
Загрузилась с Последней удачной конфигурации (с работоспособными параметрами)
Появился даже Mcafee. Но оба, включая Avast находятся в усиленном режиме...
3. Запустила FAR – но папку "System Volume Information" не нашла
Включить в нём отображение скрытых файлов.Вообще лучше в этом плане тотал командер.
Я и так в тотал коммандере постоянно работаю. С включенными скрытыми файлами.
Но System Volume Information все равно не заметила - в какой директории она должна быть?
Ладно мне сейчас надо уходить. Завтра попробую возобновить попытки.
-
Мне иногда такое помогает-Тоталом иду в корень диска С Потом включаю скрытые файлы иду по такому пути-C:\Users\имя пользователя\AppData\Local\Temp и очищаю эту папку.winda спросит действительно удалить?Соглашаюсь и папка очищается от хлама.Кроме системных файлов. которые заняты windows.
Эта папка может быть очень большого размера.Там хранятся все временные файлы за много времени.Никакой ценности они не несут.Лучше это сделать в безопасном.
-
Смотреть в корне диска.
-
Ааа, есть, правда теперь зайти в нее с правами администратора требуется какой-то пароль.
Ладно завтра...
-
ktn2000
Если DrWeb победил, и система работает нормально, оставьте все как есть. Если же нет, переустанавливайте ОС и не слушайте советов, как бороться с вирусами очисткой папки Temp
-
(http://s45.radikal.ru/i110/1106/0e/f89a5a7c8fd7.jpg)
-
ktn2000
Если DrWeb победил, и система работает нормально, оставьте все как есть. Если же нет, переустанавливайте ОС и не слушайте советов, как бороться с вирусами очисткой папки Temp
Если бы я знала, победил он или нет... Файлы сидят в карантине, а антивирусники в боевой готовности.... ::)
Пока что-то работает, но не все. А к советам я прислушиваюсь. Кое-что полезное выношу.
Все, спасибо всем и до завтра..
-
(Mark012 @ Jun 4 2011, 06:47 PM) так как на мой взгляд, Аваст - далеко не лучшее решение.
Ну как сказать... Идеала нет и не будет,а волков бояться - дальше знаете.
Идеальный вариант антивирь+файервол + здравый рассудок. Если увидите расширение типа RAR.exe или zip.exe не качайте,уже это должно насторожить
-
Найти и скачать образ Live CD. Я использую ERD Commander 2005. Записать его на болванку(на малой скорости). Загрузиться с него (грузится долговато). При запросе выбрать больную систему. Вид этой проги похож на виндовский рабочий стол. В меню старт найти пункт "System Tools" - "System Restore" далее как в винде.
Цитата:
Если увидите расширение типа RAR.exe или zip.exe не качайте,уже это должно насторожить
Это платные самораспаковывающиеся, мошеннические архивы - пустышки.
-
Ну, вроде после нескольких рейдов DrWeb-ом и добивания с помощью Каспера удалось оторваться... ::)
Спасибо всем :D
-
Если опять ни с того ни с сего появится - ищи в Windows sistem32 прописался там,хотя при сканировании Вебом должно было появиться сообщение с адресами прописки вируса...
-
Да их было не только в ...32, а и в Temp, и в System Volume Information штук с 9.
Кроме того svchost.exe - это поврежденные останки Avasta и McAffe.
Кстати, у другой девочки стоял платный антивирь, кажется Касперский, так его тоже благополучно подбили...Так что эта гадость прицельного вида, да еще и с временным реле, поскольку через несколько дней при включении компа Касперский обнаружил вредоносное активировавшееся ПО. И благополучно его уничтожил... По внешнему виду - это был один из троянских братьев.
.
-
Тань, так сколько у тебя антивирей установлено? То про Áваст, пишешь, то про маккафе, то про Каспера???
-
Было как бы два - Аваст и МсАфи, которые загнулись. Теперь, пока Касперский.
Ну, и Доктор Вэбовский сыщик. (даже два:один работает только в безопасном режиме, а со вторым еще можно что-то делать) ::)
-
(ktn2000 @ Jun 21 2011, 11:02 PM) Теперь, пока Касперский. Ну, и Доктор Вэбовский сыщик.
Нэ совэтую этого дэлат. Два антивиря могут вообще положить систему. Просто в один прекрасный момент Винда перестанет загружаться вовсе, или будет устойчиво тормозить. Поэтому, необходимо, удалить один из антивирей и пользоваться другим. Это не мой совет. Так рекомендуют программисты.
-
(sergshib @ Jun 22 2011, 02:13 PM) Просто в один прекрасный момент Винда перестанет загружаться вовсе, или будет устойчиво тормозить.
Это правда, Танюш, на днях сталкивался.
Быстрее будет Винду переставить, если диски правильно разбиты.
-
Сергей, так у меня Доктор Вэб не установлен на постоянно. Я его запускала для быстрого, а затем и для полного сканирования пару-тройку раз. Причем первые разы, когда у меня еще ваще никакого антивира не было...
-
Тань,всё правильно,не парься по поводу Др. Веба - никакой это не антивирь,а сканер,он работает с любым антивирем и одно другому не мешает. Нельзя ставить два антивирусника,а сканером пользоваться не только можно,но и нужно.А папку
"Темр" я вообще сносил полностью,там ничего влияющего на работу системы нету,всё равно она со временем сама появится и вместе с ней куча мусора - если не чистить
-
Мне иногда такое помогает-Тоталом иду в корень диска С Потом включаю скрытые файлы иду по такому пути-C:\Users\имя пользователя\AppData\Local\Temp и очищаю эту папку.
А эту процедуру я уже года три проделываю регулярно. Правда иду несколько по другому пути
C:\Documents and Settings\Users\Local Settings\Temporary Internet Files
-
Вот ещё из сети
Для чего нужна папка Prefetch и Temp в Windows XP? Можно ли удалить из них зараженные вирусами файлы?
В папке Temp хранятся временные файлы. Можно смело удалять оттуда. В папке Prefetch - не помню точно, что там хранится, но удалять оттуда файлы так же можно, проблем не будет.
В папке Prefetch лежат программы, которые загружаются при запуске Виндовс, с целью быстрого запуска этих самых программ. Удалять не только можно, но и нужно, иначе их собирается слишком много и это замедляет запуск и работу самой винды. Смотри, что действительно часто используешь, а остальное - в корзину!
По поводу Prefetch
В папке prefetch ( .pf расширение) содержится инф. о часто открываемых прог. и сервисов, для более быстрой их последующей загрузки. Из неё можно всё удалить, система будет грузиться быстрее, а проги (в первый раз) медленнее. Потом снова образуются файлы. Можно чистить, даже нужно иногда.
В папке prefetch содержится информация и о загружаемых вирусах. Поэтому при ручной чистке неудивительно повторное заражение. Поэтому чистить обязательно, а еще лучше установить режим не записывать в папку ничего.
Windows XP по умолчанию создает папку %systemroot%\\prefetch. Используется она для ускорения запуска недавно использовавшихся программ, что очень тормозит загрузку системы. Если важнее скорость загрузки системы, выполнить нижеизложенное. Чтобы отключить эту функцию: HKEY_LOCAL_MASHINE\\SYSTEM\\CurrentControlSet\\Control\\Session Manager\\Memory Management\\PrefetchParameters сделаем параметр EnablePrefetcher равным 0.
-
Используйте специальные проги для удаления \"мусора\" из \"темп\'ов\" и префетча. Например Ace Utilites или WinXP Manager.
А у меня еще есть Piriform CCleaner. Тоже периодически подчищаюсь... ::)
Как и в C:\WINDOWS\TEMP время от времени изничтожаю кой-чего, т.к. туда нередко идут файлы на открытие (бывает, если не усмотришь, что при скачивании не "сохранить" стоит)
-
У меня в самом тотале есть функция-"Очистка временного каталога системы".Нажал и всё.
-
Сейчас у меня в ie 9 заблокировано окно изменения домашней страницы.Наверно тоже вирус какой нибудь.Я им не пользуюсь но всё же интересно как сделать эту функцию активной.Ненадолго помог TUNEUP 2011
но после каждой загрузки windows 7 опять таже картина...
::)
-
(ktn2000 @ Jun 21 2011, 10:02 PM)Было как бы два - Аваст и МсАфи, которые загнулись. Теперь, пока Касперский.
Кстати, а как ты их удаляла? Просто унисталл? Все не так просто. Существуют специальные утилиты для удаления каждого , конкретного а-виря.
Я помню как то панду хотел удалить, так только переустановкой системы смог, по другому никак...
Может концы какие остались? И конфликтуют.
Совет, переустанови систему, просто и надежно. Я каждые год, полтора так делаю. Все равно набирается всякой дряни.
Утилиты тут например.
--- Скрытая информация. Для того чтобы получить к ней доступ необходимо зарегистрироваться и поблагодарить автора сообщения нажатием на кнопку "Спасибо" вверху сообщения ---
-
Не помню уже точно, вроде с панели инструментов (Установка/удаление программ).
Но, как будто, удалились полностью.
А систему переустанавливать я пока еще не умею. Правда слегка подготовилась -
пару загрузочных дисков мне дали и инструкций парочку распечатала.
Но, пока боюсь, а вдруг что-нибудь не получится.
Так что, пока совсем не сломается все - пусть работает. ::)
-
После удаления антивирусов спецутилитами для окончательного удаления хвостов делаю так в тотале нажимаю alt+f7 откроется окно поиска файлов выбираю диск С ввожу в поле поиск название антивируса-avast,nod,norton и т.д. которые были установлены а затем удалены.Тотал найдёт кучу файлов с названием которое задал.Потом делаю-файлы на панель.После просмотра удаляю.Это окончательно удалит хвосты.Если поиск ничего не дал значит система очищена от хвостов антивирусных и других программ.
Скрин прилагаю.
(http://i073.radikal.ru/1106/b6/ae82a2f3dca6.jpg)
-
(ktn2000 @ Jun 22 2011, 10:24 PM) Но, пока боюсь, а вдруг что-нибудь не получится.
А какого соседа программиста нету? :)
-
Неа, сейчас нет. Так что буду сама пробовать, но только когда совсем гавкнется.
-
перед переустановкой необходимо с диска С мои документы,Downloads перенести на другой раздел жёсткого диска!у меня это всё на других разделах.Остаётся только переустановить windows.Также отдельно держу музыку видео и фото.диск С только системный.
-
Я в курсе."С" свободен, как птица для полета... ;)