| Автор | Сообщение |
|---|
anger1 Участник
Сообщения: 93
|
прошу помощи! я не профи в компах и не хакер .Короче.NOD закачан з инета .З MONITORA скачивал схему. Появилось предупреждение troian подхватил!!! .скопировал в карантин и удалил..Предупреждение появлялось ище раз 10 пока на горячке не удалил NOD. винт разбит на D \ E.Проблема немогу открыть диск D\E.Выбивает ссылка \ НЕ УДАЛОСЬ НАЙТИ XO8WR9.EXE.\ Мои документы.музыка.открываются.Обновление NOD делал вчера .WINDOW 2000XP-- PENTIUM 3--COMPAQ. Спасибо всем кто откликнется .
|
|
LoadHigh Участник
Сообщения: 552
|
NOD32 снести и забыть как страшный сон.
Исправить можно либо руками, либо нормальным антивирусником.
Если руками, то желательно загрузиться с компакт-диска и поудалять из корневого каталога вирусню.. всякие автораны там и прочее.
|
|
Stelt Рокенрольщик
Сообщения: 1341
|
LoadHigh, не согласен NOD32 совершенно нормально работает.Главное правильно его настроить и уметь пользовать 
Опять же таки, всё зависит от версии софта, да и от самого софта, тем более скачаного в инете
я уже года полтора использую его в работе и дома и нареканий никаих у меня нет.
тут кому что больше нравиться и кто с чем привык работать- как говориться каждая лягуха своё болото хвалит  Так что спориьтбь не будем по этому поводу.
Действовать тут либо как писал LoadHigh, либо цеплять HDD на другой комп и лечить его на другой машине.Так же антивиром, или руками из корня, кстати там и в системной папке может быть до хрена и более говна.
Но решить проблему с открытием дисков, даже после удаления всех вирусов и чистки реестра, может не получиться.
тогда можно поробовать откатиться на более ранюю дату, ну или переустановить попробовать винду с сохранением, тоесть сделать восстановление системы.
|
|
D.Watson Участник
Сообщения: 399
|
anger1, Посмотри тут http://forum.kaspersky.com/lofiversion/index.php/t59084.html.
Этого зверя не так просто удалить. На другую машину HDD "подцеплять" не советую - возможно заражение и другого компа.
Желательно, используя "внешнюю загрузку" применить AVZ cо "свежими базами" и соответствующим скриптом. При этом надо "вычистить" все сьёмные носители - флешки, мобильники, фотоаппараты и прочее... После "чистки" я бы просто перустановил виндовс. ( Был недавно такой опыт - боролся с "креппером" и его последствиями 2 дня - затем за полтора часа переустановил систему.)
Ещё один момент - пора начинать использовать программки, превентивно защищающие от "авторанов" , например Flash_Disinfector.
Скачать можно например отсюда : http://sklad.sura.ru/index.php?file=920e68abfcdf702c4c8dd2cc9d2bdd50
|
|
kostya666 строитель - оптимист
Сообщения: 10002
|
Я бы попробыва EVZ запустить он все исправит. Набери в яндоксе он те найдет ету прогу.
|
|
levik Участник
Сообщения: 653
|
вирус определяется как autorun, он сцуко ещё и не такое умеет, вот лекарство
 unAmvo.rar 2,95 КБ Скачано: 1723 раз(а)
|
|
Akdam Предупреждений: 1  Сообщения: 38
|
|
anger1 Участник
Сообщения: 93
|
Спасибо всем! Закачал AVAST 4.8 .он сразу определил трояна в самом NODe и в некоторых архивах. Все вернулось к жизни. Тему закрываю.
|
|
Полуян Забанен  Сообщения: 663
|
| anger1 писал: | | Спасибо всем! Закачал AVAST 4.8 .он сразу определил трояна в самом NODe. |
!!! Ой, врет. У меня Каспер 7.0.1.325 находил вируса в Касперском же 7.0.0.125.
|
|
vict Участник
Сообщения: 903
|
Конечно врёт.
Ни в коем разе не цеплять жёсткий на другой комп! Эта зараза(Amvo) живёт в System32( несколько файлов) копии в System Volume Informacion(при том на каждом диске)! Свои ini и копии запускает как только видит любой новый диск(пусть даже диск не активен где сидит копия)
Авторан - это не сам вирус! это его исполняющий ран что лежит в корне, тело вируса глубже!
Мне, помог единственный метод пролечиться и сохранить систему, не первый раз, это - сканировать все диски, записать на листок заражённые файлы. Простая лечёба из под Винды ничего не даёт, он опять размножается, хотя типа всё ништяк.
Поэтому, гружусь с liveCD (можно любой, я с SLAX вот только вчера, опять на флэше "добро" принесли) и ручками, ручками по списку....
|
|
JohnK Предупреждений: 1 Сообщения: 4485
|
Если системный диск вылечил, то на любом другом НОД прекрасно его находит, а на флешках бъет на раз.
Лечиться можно из винды и ничего страшного в этом нет, достаточно прибить подозрительные процессы и дать доступ к Систем Волюм Информейшин, кариетом (утилкой от Dr.Web) проверяем каталоги: Documents and Settings, Program Files, System Volume Information, WINDOWS и в Documents and Settings во всех рабочих учетках выносим напрочь все темпа и интернетные темпа, потом мона контрольный сделать самим НОДом и радоваться жизни. А если это все проделать в безопасном режиме так вообше все нараз вынесется.
Добавлено 21-07-2008 22:23
Правда может возникнуть проблемка после лечения, при входе в корень диска может выйти запрос программы которой бы это можно было-бы сделать. Это тоже спапровимо достаточно на флешке, дискетке, любом логическом диске создать пустой файл auturun.ini (воспользоваться придется проводником) и переписать его на все логические диски с подтверждением замены, перезагрузить комп и все будет работать.
|
|
Vikt(or) Имхозавр
Сообщения: 6595
|
Рекомендую FlаshGuard (www.davisr.com). Будет по тихому сидеть, сносить все autorun, убирать пункт автозапуска в контекстном меню диска, и в ней можно отключить автозапуск любых типов дисков. Ещё есть Flash Control (непомнюкакой.narod.ru)- она пока сырая, но сносит не только autorun но и екзешник записанный в нём, и ещё правит реестр (запреты на вход в реестр и запуск диспетчера задач, свойства папки и тп). Недостаток по тихому сидеть не умеет.
Вообще в винде слабое место автозапуск дисков. Лучше его закрыть утилитой, чем надеяться на антивирус.
|
|
Murat_Terek Участник
Сообщения: 130
|
Если кому интересно - я лечился от этого вируса AVZ4 - следующими скриптами (после каждого перезагрузка):
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
StopService('wincab');
QuarantineFile('C:\WINDOWS\system32\amvo1.dll','');
QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\yk51x86.sys','');
QuarantineFile('C:\WINDOWS\system32\wincab.sys','');
QuarantineFile('c:\windows\hporclnr.exe','');
QuarantineFile('c:\windows\cthelper.exe','');
QuarantineFile('c:\windows\explorer.exe','');
DeleteFile('C:\WINDOWS\system32\wincab.sys');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('C:\WINDOWS\system32\amvo1.dll');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFile('E:\autorun.inf');
DeleteFile('F:\autorun.inf');
DeleteFile('G:\autorun.inf');
DeleteFile('H:\autorun.inf');
DeleteFile('J:\autorun.inf');
DeleteFile('K:\autorun.inf');
DeleteFile('L:\autorun.inf');
DeleteFile('C:\d.com');
DeleteFile('D:\d.com');
DeleteFile('E:\d.com');
DeleteFile('F:\d.com');
DeleteFile('G:\d.com');
DeleteFile('H:\d.com');
DeleteFile('J:\d.com');
DeleteFile('K:\d.com');
DeleteFile('L:\d.com');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('dfswxzao');
SetServiceStart('dfswxzao', 4);
QuarantineFile('C:\WINDOWS\system32\hidec','');
BC_ImportALL;
BC_QrSvc('dfswxzao');
BC_Activate;
RebootWindows(true);
end.
begin
ExecuteRepair(6);
ExecuteRepair(8);
RebootWindows(true);
end.
Предварительно в безопасном режиме отключал этот амво и делал ярлык на рабочем столе от AVZ4
|
|
levik Участник
Сообщения: 653
|
подцепляем винт на чистую машину с каспером 7, и 2-3прохода, на втором проходе лечит System Volume Information, и все ок, третий проход контрольный, 100% результат и еще утилитка что я положил на форуме
|
|
vict Участник
Сообщения: 903
|
levik, ты сам то amvo пробовал удалять? Троян запустит свои копии до того как развернётся твой Каспер...в принципе, Каспером я не пользовался, мож он и так могуч, что снесёт всё что возникло до его рождения...
Батник от Murat_Terek в теме, но и то, там перечислены не все реанкарнации где он может сидеть 
|
|
Vikt(or) Имхозавр
Сообщения: 6595
|
Мужики, не хвастаюсь - но у меня больше 300 компов на обслуживании, этот amvo каспер и дрвеб хорошо сносят. На другом компе троян сам не запустится, пока его не откроешь через мой компьютер.
если кому интересно http://www.daxa.com.ua/vir/num52/
Добавлено 23-07-2008 11:44
Забыл - если собрался лечить комп отключи восстановление системы, при этом винда удалит все точки восстановления со всякой заразой. Хотя каспер с доктором без проблем из System vol. inf. всё вычищают без повторных проходов
|
|
levik Участник
Сообщения: 653
|
я ничего не отключаю просто под win pe удаляю System vol. in и все гуд
|
|
