Страница 1 из 2
Добавлено: 08 дек 2007, 02:03
punKiller
Сегодня на работе ахтунг был. Пролез червь Hakaglan.G, как называл его NOD32. В корне диска С и в C:\Windows\system32 создаёт файлы SCVVHSOT.exe (опечатки нет), в реестре в службах автозагрузки значится как Yahoo Messenger, через msconfig удалять бесполезно, при следующей же загрузке появляется опять. Блокируется доступ к реестру, доступ к жёстким дискам (2м щелчком не открываются), блуждает по сети произвольно без участия пользователей. Вобщем намучался я с ним. Пока вроде 1 комп поднял полностью. Некоторые почему-то после чистки перестали загружаться или наоборот завершать работу...
Вот хочу предупредить и спросить совета одновременно. Сталкивался кто-нибудь с ним? Что делали?
Добавлено: 08 дек 2007, 02:37
Sasha Cbulko
Добавлено: 08 дек 2007, 20:46
takoy
не было, линух выручил...
Добавлено: 09 дек 2007, 16:00
Ferganec
поставил новый каспер, почистил комп в безопасном режиме, вирус убил но вот в риестр попасть не могу :(
Добавлено: 09 дек 2007, 17:46
STRATEG
Может я чайник...
но после чистки компа от вирусов и последующих ошибок помогает ... восстановление системы.
Все стало на свои места.
Добавлено: 10 дек 2007, 00:06
at_hacker
По сходной цене зачищу компы от этого и многих других вирусов
Добавлено: 10 дек 2007, 01:10
punKiller
PH@!NToM писал(а):Цитата(PH@!NToM @ 8.12.2007, 23:04) Кстати в СмолГУ уже есть тоже
К чему я это...
Я там и работаю ^^
Добавлено: 10 дек 2007, 08:30
Doping87
И у меня этот вирусняк на компе счас живет. В реестр и в диспетчер задач попасть не могу, касперский 5.383 не удаляет его, неужто придется винду переставлять? Подскажите что нить!
Добавлено: 10 дек 2007, 11:44
at_hacker
Отслеживаем автозапускаемые процессы и убиваем лишние. Потом грузимся с другой винды или с какого-нибудь BartPE, короче, с чего-нибудь, что позволяет чужой реестр подключать и править. И там включаем обратно в групповой политике запуск диспетчера задач и редактора реестра.
Добавлено: 10 дек 2007, 11:53
Doping87
ЦитатаПотом грузимся с другой винды или с какого-нибудь BartPE[/quote]
Что есть BartPE?
Добавлено: 10 дек 2007, 15:59
Vastey
>>Что есть BartPE?
Специально обученная программка, позволяющая делать LiveCD винды.
Добавлено: 10 дек 2007, 21:35
punKiller
Не знаю, каким образом, но NOD32 с AVZ на пару (хотя участие последнего под вопросом) смогли мне вылечить одну машину. Правда вирус на ней до реестра добраться не успел, руками из него выдавил. Часть машин пришлось переставлять. Причём я заметил, что поражены были только диск С (в тему о том, что С только для виныд, чтобы форматить было не жалко) и любую флешку, очистить коорую не составит никакого труда.
Добавлено: 11 дек 2007, 09:52
Denis Tkachenko
at_hacker писал(а):Цитата(at_hacker @ 10.12.2007, 11:44) Потом грузимся с другой винды или с какого-нибудь BartPE, короче, с чего-нибудь, что позволяет чужой реестр подключать и править. И там включаем обратно в групповой политике запуск диспетчера задач и редактора реестра.
Зачем такие сложности?
Блокируется только
RegEdit
Воспользуйтесь сторонним редактором реестра, например
Aezay Registry Commander.
Добавлено: 11 дек 2007, 11:54
Beatle
Вообще Нод спокойно покилял все, надо бытока реестр подправить...
Кстати может кто знает какие ветки? Regedit разблокировать и свойства папки пунктик в меню вернуть? :)
Кстати вирь старый насколько я понимаю (еще 2 месяца назад отловил) и из СГУ нам еще штук 6 вместе с ним принесли, или из Артухи, похоже они общаються компьютерами :D
Добавлено: 11 дек 2007, 12:30
at_hacker
Beatle писал(а):Цитата(Beatle @ 11.12.2007, 11:54) Вообще Нод спокойно покилял все, надо бытока реестр подправить...
Кстати может кто знает какие ветки? Regedit разблокировать и свойства папки пунктик в меню вернуть? :)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, ключ NoFolderOptions -- удалить или поставить в 0.
Regedit разблокировать -- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System, параметр DisableRegistryTools. TaskManager разрешить обратно -- в той же ветке реестра параметр DisableTaskMgr. В обоих случаях обнулить или удалить эти параметры. Всё заработает, возможно, потребуется перезагрузка. Ещё не помешает проверить наличие этих же параметров в аналогичной ветке раздела HKEY_CURRENT_USER.
Добавлено: 11 дек 2007, 12:51
Beatle
Шпасибо! СГУ кстати прочесало бы свои компы, там целый букет вирей...
Добавлено: 11 дек 2007, 20:30
Speller
Прочесывать на предмет вирей можно только в одном случае - если это все идет централизованно и совместно. Ибо если через одного = толку ноль. Доказано буквально сегодня на собственном опыте. Машину чищу - через неделю с соседних столько всего приносят, что я аж даже удивляюсь, где только берут. Принесли виря, которого Nod + Kaspersky всего недельной давности не видят совсем. Свежие - видят. Сами они их чтоли пишут, приносящие? :mellow:
Добавлено: 11 дек 2007, 22:31
D1m0n
В СГУ сейчас как раз ентот и бушует. Чистить беспал. ибо как мне сказали - чистят в воскресение все компы в кабинете. В понедельник к 3 паре опять все заражены. Я уж дома задолбался отстреливать ентих тварей
Добавлено: 11 дек 2007, 23:05
punKiller
Я отсоединился от сервака, и все "мои" 15 компов чисты, и нового ничего на них не появилось. :)
А вирус не то, чтобы совсем новый. Но не такой уж и старый:)
Добавлено: 12 дек 2007, 01:19
at_hacker
В СГУ вообще с компьютерной инфраструктурой всё плохо, о какой там централизованной и грамотной антивирусной политике может речь идти?
Добавлено: 12 дек 2007, 13:14
Триальный
ЦитатаПо сходной цене зачищу компы от этого и многих других вирусов
[/quote]
и сколько у нас ща "format с" стоит? :D
ТС, сам ты Ахутнг :) ставь КИС 7(8 не ставь!!!) и все зер гуд, и ни одна, и не верь всей этой хне в виде нода и веба :)
Добавлено: 12 дек 2007, 20:56
Doping87
ЦитатаВообще Нод спокойно покилял все, надо бытока реестр подправить...
Кстати может кто знает какие ветки? Regedit разблокировать и свойства папки пунктик в меню вернуть?[/quote]
Я это решил путем создания новой учетной записи. После этого получил доступ ко всему: реестр, диспетчер задач, свойства папки. Данные все сохранены, единственное, надо офис переустановить, а то он пытается "припомнить" что использовалась старая учетная запись :)
Добавлено: 12 дек 2007, 23:40
at_hacker
Doping87 писал(а):Цитата(Doping87 @ 12.12.2007, 20:56) Я это решил путем создания новой учетной записи. После этого получил доступ ко всему: реестр, диспетчер задач, свойства папки. Данные все сохранены, единственное, надо офис переустановить, а то он пытается "припомнить" что использовалась старая учетная запись :)
"Чего только не придумают люди, лишь бы документацию не читать..." (с)
Добавлено: 13 дек 2007, 09:19
Doping87
Цитата"Чего только не придумают люди, лишь бы документацию не читать..." (с)[/quote]
А то!
Добавлено: 20 дек 2007, 16:15
cLimBER
А у меня в диспечере задач и в process killere несколько процессов svchost.exe причем если их методично убивать то винда завершает работу, давая минуту на завершение программ (такое окошко с обратным отсчетом, приходится перезагружаться). Это тоже вирь? и как его убить. Касперский 7.0.0.125 с месячными базами ни чё не видит.
Добавлено: 20 дек 2007, 17:17
AsWiN
cLimBER писал(а):Цитата(cLimBER @ 20.12.2007, 16:15) А у меня в диспечере задач и в process killere несколько процессов svchost.exe причем если их методично убивать то винда завершает работу, давая минуту на завершение программ (такое окошко с обратным отсчетом, приходится перезагружаться). Это тоже вирь? и как его убить. Касперский 7.0.0.125 с месячными базами ни чё не видит.
Ну да.. что ты хотел, если тебе кислород перекрыть, сколько тебе времени понадобится, чтобы отрубиться? ;) )) ТЫ вначале смотри какие svchost.exe подгружаются.. ))) если из папки System32, то скорее всего это не вирь... у меня был один такой, только он себя пизхал в корень WINDOWS. Его можно убивать без последствий, а вот дальше.. хи.. ))))
SVCHOST.EXE (Generic Host Process for Win32 Services) - Список сервисов (служб).. Там она отвечает примерна за 21 службу. Так что. смотри когда отрубаешь, ты так ненароком можешь вырубить например поддержку общего доступа к файлам, принтерам и именованным каналам для данного компьютера через сетевое подключение... или Обеспечивает корректное распознавание и подключение съемных ОЗУ
Добавлено: 20 дек 2007, 17:22
Denis Tkachenko
А у меня висит процесс Бездействие системы. Грузит проц процентов на 90. Ничем не убивается.
Что делать, ума не приложу.
Добавлено: 20 дек 2007, 17:23
dr. Peter
У меня до 95% доходит!
Добавлено: 20 дек 2007, 17:26
[HC]Samael
У меня 98-99. Раньше вроде не было. Касперский молчит. Щас др.веба скачаю, проверю.