Ахтунг! Вирус!

[punKiller]

Сегодня на работе ахтунг был. Пролез червь Hakaglan.G, как называл его NOD32. В корне диска С и в C:\Windows\system32 создаёт файлы SCVVHSOT.exe (опечатки нет), в реестре в службах автозагрузки значится как Yahoo Messenger, через msconfig удалять бесполезно, при следующей же загрузке появляется опять. Блокируется доступ к реестру, доступ к жёстким дискам (2м щелчком не открываются), блуждает по сети произвольно без участия пользователей. Вобщем намучался я с ним. Пока вроде 1 комп поднял полностью. Некоторые почему-то после чистки перестали загружаться или наоборот завершать работу...

Вот хочу предупредить и спросить совета одновременно. Сталкивался кто-нибудь с ним? Что делали?

[Sasha Cbulko]

было,акронис выручил. посмотри еще вот тут
http://forum.dgu.ru/lofiversion/index.php/t1320.html

[takoy]

не было, линух выручил...

[Ferganec]

поставил новый каспер, почистил комп в безопасном режиме, вирус убил но вот в риестр попасть не могу :(

[STRATEG]

Может я чайник...
но после чистки компа от вирусов и последующих ошибок помогает ... восстановление системы.
Все стало на свои места.

[at_hacker]

По сходной цене зачищу компы от этого и многих других вирусов

[punKiller]

Цитата(PH@!NToM @ 8.12.2007, 23:04) Кстати в СмолГУ уже есть тоже
К чему я это...

Я там и работаю ^^

[Doping87]

И у меня этот вирусняк на компе счас живет. В реестр и в диспетчер задач попасть не могу, касперский 5.383 не удаляет его, неужто придется винду переставлять? Подскажите что нить!

[at_hacker]

Отслеживаем автозапускаемые процессы и убиваем лишние. Потом грузимся с другой винды или с какого-нибудь BartPE, короче, с чего-нибудь, что позволяет чужой реестр подключать и править. И там включаем обратно в групповой политике запуск диспетчера задач и редактора реестра.

[Doping87]

ЦитатаПотом грузимся с другой винды или с какого-нибудь BartPE[/quote]
Что есть BartPE?

[Vastey]

>>Что есть BartPE?
Специально обученная программка, позволяющая делать LiveCD винды.

[punKiller]

Не знаю, каким образом, но NOD32 с AVZ на пару (хотя участие последнего под вопросом) смогли мне вылечить одну машину. Правда вирус на ней до реестра добраться не успел, руками из него выдавил. Часть машин пришлось переставлять. Причём я заметил, что поражены были только диск С (в тему о том, что С только для виныд, чтобы форматить было не жалко) и любую флешку, очистить коорую не составит никакого труда.

[Denis Tkachenko]

Цитата(at_hacker @ 10.12.2007, 11:44) Потом грузимся с другой винды или с какого-нибудь BartPE, короче, с чего-нибудь, что позволяет чужой реестр подключать и править. И там включаем обратно в групповой политике запуск диспетчера задач и редактора реестра.

Зачем такие сложности?
Блокируется только RegEdit

Воспользуйтесь сторонним редактором реестра, например Aezay Registry Commander.

[Beatle]

Вообще Нод спокойно покилял все, надо бытока реестр подправить...
Кстати может кто знает какие ветки? Regedit разблокировать и свойства папки пунктик в меню вернуть? :)

Кстати вирь старый насколько я понимаю (еще 2 месяца назад отловил) и из СГУ нам еще штук 6 вместе с ним принесли, или из Артухи, похоже они общаються компьютерами :D

[at_hacker]

Цитата(Beatle @ 11.12.2007, 11:54) Вообще Нод спокойно покилял все, надо бытока реестр подправить...
Кстати может кто знает какие ветки? Regedit разблокировать и свойства папки пунктик в меню вернуть? :)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, ключ NoFolderOptions -- удалить или поставить в 0.

Regedit разблокировать -- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System, параметр DisableRegistryTools. TaskManager разрешить обратно -- в той же ветке реестра параметр DisableTaskMgr. В обоих случаях обнулить или удалить эти параметры. Всё заработает, возможно, потребуется перезагрузка. Ещё не помешает проверить наличие этих же параметров в аналогичной ветке раздела HKEY_CURRENT_USER.

[Beatle]

Шпасибо! СГУ кстати прочесало бы свои компы, там целый букет вирей...

[Speller]

Прочесывать на предмет вирей можно только в одном случае - если это все идет централизованно и совместно. Ибо если через одного = толку ноль. Доказано буквально сегодня на собственном опыте. Машину чищу - через неделю с соседних столько всего приносят, что я аж даже удивляюсь, где только берут. Принесли виря, которого Nod + Kaspersky всего недельной давности не видят совсем. Свежие - видят. Сами они их чтоли пишут, приносящие? :mellow:

[D1m0n]

В СГУ сейчас как раз ентот и бушует. Чистить беспал. ибо как мне сказали - чистят в воскресение все компы в кабинете. В понедельник к 3 паре опять все заражены. Я уж дома задолбался отстреливать ентих тварей

[punKiller]

Я отсоединился от сервака, и все "мои" 15 компов чисты, и нового ничего на них не появилось. :)
А вирус не то, чтобы совсем новый. Но не такой уж и старый:)

[at_hacker]

В СГУ вообще с компьютерной инфраструктурой всё плохо, о какой там централизованной и грамотной антивирусной политике может речь идти?

[Триальный]

ЦитатаПо сходной цене зачищу компы от этого и многих других вирусов [/quote]
и сколько у нас ща "format с" стоит? :D

ТС, сам ты Ахутнг :) ставь КИС 7(8 не ставь!!!) и все зер гуд, и ни одна, и не верь всей этой хне в виде нода и веба :)

[Doping87]

ЦитатаВообще Нод спокойно покилял все, надо бытока реестр подправить...
Кстати может кто знает какие ветки? Regedit разблокировать и свойства папки пунктик в меню вернуть?[/quote]
Я это решил путем создания новой учетной записи. После этого получил доступ ко всему: реестр, диспетчер задач, свойства папки. Данные все сохранены, единственное, надо офис переустановить, а то он пытается "припомнить" что использовалась старая учетная запись :)

[at_hacker]

Цитата(Doping87 @ 12.12.2007, 20:56) Я это решил путем создания новой учетной записи. После этого получил доступ ко всему: реестр, диспетчер задач, свойства папки. Данные все сохранены, единственное, надо офис переустановить, а то он пытается "припомнить" что использовалась старая учетная запись :)

"Чего только не придумают люди, лишь бы документацию не читать..." (с)

[Doping87]

Цитата"Чего только не придумают люди, лишь бы документацию не читать..." (с)[/quote]
А то!

[cLimBER]

А у меня в диспечере задач и в process killere несколько процессов svchost.exe причем если их методично убивать то винда завершает работу, давая минуту на завершение программ (такое окошко с обратным отсчетом, приходится перезагружаться). Это тоже вирь? и как его убить. Касперский 7.0.0.125 с месячными базами ни чё не видит.

[AsWiN]

Цитата(cLimBER @ 20.12.2007, 16:15) А у меня в диспечере задач и в process killere несколько процессов svchost.exe причем если их методично убивать то винда завершает работу, давая минуту на завершение программ (такое окошко с обратным отсчетом, приходится перезагружаться). Это тоже вирь? и как его убить. Касперский 7.0.0.125 с месячными базами ни чё не видит.

Ну да.. что ты хотел, если тебе кислород перекрыть, сколько тебе времени понадобится, чтобы отрубиться? ;) )) ТЫ вначале смотри какие svchost.exe подгружаются.. ))) если из папки System32, то скорее всего это не вирь... у меня был один такой, только он себя пизхал в корень WINDOWS. Его можно убивать без последствий, а вот дальше.. хи.. ))))
SVCHOST.EXE (Generic Host Process for Win32 Services) - Список сервисов (служб).. Там она отвечает примерна за 21 службу. Так что. смотри когда отрубаешь, ты так ненароком можешь вырубить например поддержку общего доступа к файлам, принтерам и именованным каналам для данного компьютера через сетевое подключение... или Обеспечивает корректное распознавание и подключение съемных ОЗУ

[Denis Tkachenko]

А у меня висит процесс Бездействие системы. Грузит проц процентов на 90. Ничем не убивается.
Что делать, ума не приложу.

[dr. Peter]

У меня до 95% доходит!

[[HC]Samael]

У меня 98-99. Раньше вроде не было. Касперский молчит. Щас др.веба скачаю, проверю.