| Софт вопросы |
Вирус на флешке
,Софт вопросы
Дата публикации:
nazim555, 22.03.2013 - 16:43
Вирус на флешке - autorun.inf + скрытая системная папка "lweka" а внутри папки "basuoas.exe". Корече не стирается и не дает отформатировать, с помощью программы unlocker нашел что этот autorun.inf занять системном "svchost.exe" сделал "kill process" и затем удалил с флешки и отформатировал. Но проблема в том что этот вирус который пришел ко мне вместе с флешкой теперь находится на компьютере и как только подключаю любую флешку или цифровую камеру, то выше названные файлы копируются туда же и не почистив компьютер чистит эти устройства это пустая трата времени. Сканировал компьютер с помощью последней версией программы Dr.Web и еще вручную сканировал тот же "svchost.exe" который в папке "system32", но Dr.Web ничего не находит, и avast тоже ничего не нашел. Как избавиться от этого, вот такой вопрос...Henry723, 22.03.2013 - 16:58
Посмотри здесьДля чистки компа рекомендую поставить Symantec Antivirus
https://softoroom.org/topic1302.html
или Symantec Endpoint Protection
https://softoroom.org/topic37309.html
Удачи !
Ramz, 22.03.2013 - 17:04
из простых чистилок, можно CCleanerА так Dr.Web CureIt! помогает
vic171, 22.03.2013 - 17:09
Запусти AVZ с СД привода, думаю поможет, хотя можно и с HDDAnthony, 22.03.2013 - 19:44
Я такие вещи в ручную бью.Загружаетесь с LiveCD/USB (потому как в безопасном режиме не всё можно прибить), убиваете всю хрень на флешке, а потом смотрите в реестр что там прописалось в автозагрузку. Соответственно убиваете всё что найдёте лишнего.
А Dr.Web CureIt!'ом после этого желательно всё же провериться.
Цитата | Quote(Henry723 @ 22.03.2013 - 17:58)
Для чистки компа рекомендую поставить Symantec Antivirus
Во, во... после таких врагов autorun'ы и прут как вода из дуршлага.
kostya-chist, 22.03.2013 - 20:28
Чего вы всё усложняете? Против авторанов - USB Disk Security незаменим. И существующих покажет/удалит и с флешки не даст заразиться.Anthony, 22.03.2013 - 20:39
Цитата | Quote(kostya-chist @ 22.03.2013 - 21:28)
Против авторанов - USB Disk Security незаменим. И существующих покажет/удалит и с флешки не даст заразиться.
Не юзал никогда. Судя по описанию на оф. сайте - штука нужная до заражения (только если нет антивируса в системе). Потому как тот же Dr.web уже давно имеет по умолчанию запрет на автозапуск с usb-носителей. Тоже самое и с Каспером.
А вот если вирус уже в системе, то этот USB Disk Security вряд ли поможет, потому как не является антивирусом.
nazim555, 22.03.2013 - 20:58
Спасибо за ответы. Не Dr.Web, не AVZ, и не Norton ничего не нашли, только вот NOD32 подтвердил что на флешке вирус, и удалил, но вопрос в том что удалит и я смогу, а вот найти источника в самой системе NOD32 не смог. В диспетчере задач показывает 6 штук этих - "svchost.exe", сколько на самом деле должно там быть? И не один антивирус не жалуется на них.Henry723, 22.03.2013 - 21:08
Цитата | Quote(nazim555 @ 22.03.2013 - 21:58)
Спасибо за ответы. Не Dr.Web, не AVZ, и не Norton ничего не нашли, только вот NOD32 подтвердил что на флешке вирус, и удалил, но вопрос в том что удалит и я смогу, а вот найти источника в самой системе NOD32 не смог. В диспетчере задач показывает 6 штук этих - "svchost.exe", сколько на самом деле должно там быть? И не один антивирус не жалуется на них.
Дубль два...
Посмотри здесь
banzay, 22.03.2013 - 21:12
svchost.exe является вирусом только тот, который запущен от имени пользователя.Проверку все таки лучше проводить с бутового диска антивиря (дрВеб ли, Каспер, - многие их делают), а не из-под системы.
Урсу, 22.03.2013 - 21:12
nazim555, отправь файл в лабораторию Касперского, через пару дней его добавят в базы. Поставь KAV или KIS (хотя бы временно) и жди.
Я когда-то делал именно так. 
Anthony, 22.03.2013 - 21:13
Цитата | Quote(nazim555 @ 22.03.2013 - 21:58)
В диспетчере задач показывает 6 штук этих - "svchost.exe", сколько на самом деле должно там быть?
Может и больше. Дело не в этом, а в том что:
а) вирус использует нормальный файл - 99,9%
б) вирус подменил нормальный файл - 0,1%
Нужна проверка автозагрузки. Кстати этот USB Disk Security вроде бы умеет показывать её и даже убивать её содержимое. Как пути в реестре, так и сами файлы вируса. А их может быть несколько. Многие вирусы плодятся в зависимости от продолжительности работы заражённой системы.
Если Вы смогли зайти в ДЗ, то скачать HijackThis думаю не бутет проблемой.
Скачайте запустите и покажите лог.
Инструкция:
nazim555, 22.03.2013 - 21:18
Henry723,Конечно же я посмотрел, но там написано про то что если файл находится в другой папке и маскируется под систему, я это и без этого знаю, но unlocker указывает только на файл в папке system32, а удалит этот файл я не смогу, если инфицирован надо чтоб сперва антивирус об этом сообщал, а любой антивирус пишет что файл в норме.
nazim555, 22.03.2013 - 21:53
Урсу,Спасибо, так и сделаю.
Anthony,
вот лог:
» Нажмите, для открытия спойлера | Press to open the spoiler «
Anthony, 23.03.2013 - 0:05
nazim555, В запущенных приложениях у Вас имеется - Avast4.А в автозагрузке -
Code
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
Это первая проблема. Удалите и то, и другое. Напрочь. Используя утилиты удаления от производителей этого безобразия. Поставьте нормальный антивирус.
Вторая проблема - C:\Program Files\Internet Explorer\iexplore.exe
Не пользуйтесь IE никогда!
Удалите в HijackThis все BHO.
Вирусов не вижу.
nazim555, 23.03.2013 - 0:27
Цитата | Quote(Anthony @ 23.03.2013 - 1:05)
Не пользуйтесь IE никогда!
Это зачем?
Цитата | Quote(Anthony @ 23.03.2013 - 1:05)
Поставьте нормальный антивирус.
А что за нормальный антивирус?
Finist, 23.03.2013 - 4:25
Симпатичное решения для защиты флешки от autorun.inf:Скрипт AUTOSTOP 2.6:
Для тех кому интересно - хорошая статья по вопросу защиты флешек.
На практике не было выявлено вируса autorun.inf, который обходил бы предложенный скрипт.
Цитата | Quote(nazim555 @ 23.03.2013)
А что за нормальный антивирус?
Юмор ясен
. Посмотрите MSE от Microsoft - о нем мало пишут, при этом качество, насколько оно возможно - на высоте. Настроек немного, ОС "не тормозит", уровень - как у ведущих антивирусов и выше.
Anthony, 23.03.2013 - 11:44
Цитата | Quote(nazim555 @ 23.03.2013 - 1:27)
Это зачем?
За шкафом обычно.Цитата | Quote(nazim555 @ 23.03.2013 - 1:27)
А что за нормальный антивирус?
Dr.web или Касперский. Предпочитаю первое.
kostya-chist, 23.03.2013 - 11:57
Цитата | Quote(Anthony @ 23.03.2013 - 1:05)
Не пользуйтесь IE никогда!
9 версия уже очень сильно похожа на браузер
К тому же он единственный открывает абсолютно всё. С остальными регулярно возникают проблемы. Это предрассудок, сохранившийся с начальных его версий. (Хотя сам я его использую только для проблемных сайтов)Цитата | Quote(Anthony @ 23.03.2013 - 1:05)
Вирусов не вижу.
Не факт, вирус не обязательно является ехе файлом. Нужно ещё смотреть, какие dll грузятся. Тот же svchost, userinit, explorer вполне успешно тянут за собой библиотеки
nazim555, 23.03.2013 - 12:45
Цитата | Quote(Anthony @ 23.03.2013 - 12:44)
Dr.web
Но Dr.web не справился с задачей, и единственно что раздражает это как Dr.web сует нос во все что ты делаешь на своем компьютере, каждую минуты выходят какие то нелепые сообщение, надоедает и не дает нормально работать на компьютере, останавливает все самое нужное но при этом дал вирусу попасть в компьютер с флешки.
Цитата | Quote(kostya-chist @ 23.03.2013 - 12:57)
К тому же он единственный открывает абсолютно всё.
Именно это я хотел сказать, даже старые версии у меня открывают все страницы, но вот другие браузеры один не открывает какую-то страницу, другой не открывает вторую. Последняя версия оперы у меня мучается с yandex почтой, иногда вообще не открывает, safari грузит жесткий диск и черт знает чем занимается тогда как открыта всего одна вкладка.
Цитата | Quote(Finist @ 23.03.2013 - 5:25)
Настроек немного, ОС "не тормозит"
Спасбо Finist !!! Это очень важный пункт! Некоторые антивирусы вообще пытают интернет, замедляют открытие страниц, а люди обвиняют при этом IE за то что такой заторможенный
В практике у меня случается вот что - если я не использую антивирус то у меня все отлично, а когда использую приходится мирится с капризами антивируса и с тем что ос будет затормаживать и антивирус будет жевать все что я делаю в поисках вируса, а когда будет такой серьезный вирус с чем я не справлюсь вручную, то и антивирус не найдет этот вирус, тогда зачем мирится с тем что антивирус иногда хуже самого вируса Еще надо учесть то что изобрели скоростные процессоры, шины и все такое, но вот жесткий диск все еще остается слабым звеном в компе, и производительность жестких дисков реально не подходят в наши дни, HDD не успевает считывать нужные информации, а тем временем в неподходящий момент антивирус начнет загружать жесткий диск еще больше. И тем временем антивирусы стоят не мало и при этом продают вам всего навсего лицензию на какой-то период.
nazim555, 23.03.2013 - 13:02
"Зачем мне устанавливать Microsoft Security Essentials?*Незаметная защита. Microsoft Security Essentials не мешает компьютеру работать. Приложение работает в фоновом режиме и сканирует компьютер, во время его бездействия. Вы получите уведомления, только если вам будет необходимо предпринять какое-либо действие."
Звучит очень даже неплоха, но вот беда, мой windows не прошел тест на подлинность, вот и отказали
TAPZAH, 23.03.2013 - 14:35
Я бы сделал так (т.к. все инструменты под рукой):1. С помощью AntiWinLocker'a в автоматическом режиме сделал проверку, потом посмотрел бы на файлы в автозагрузке пользователя и системы
2. Проверка из-под LiveCD сканером Kaspersky Virus Removal Tool.
Для постоянной защиты системы рекомендую использовать KIS или ESS.
Если мои варианты не помогут, остается запустить антивирус с жесткими параметрами проверки (т.е. все на максимум, все галочки поставить) и оставить на сутки
Finist, 23.03.2013 - 15:33
Цитата | Quote(nazim555 @ 23.03.2013 - 14:02)
Звучит очень даже неплоха, но вот беда, мой windows не прошел тест на подлинность, вот и отказали
Это не беда. Вот как его поставить (делала эту статейку для одного ресурса):
Настройка использования антивируса без срока ограничения:
По заявлению Microsoft считается, что антивирус работает без ограничения только на официальных версиях Windows или на версиях которые проходят проверку подлинности. На самом деле это немного не так. Для работы антивируса без ограничения достаточно чтобы ОС не считалась контрафактной. Подлинность самой ОС при этом не проверяется.
Есть несколько способов обхода такой проверки, например, удаление WGA, более корректным является следующий:
1. В файле Windows\system32\drivers\etc\hosts делаем запись: 127.0.0.1 mpa.one.microsoft.com (для XP), sls.microsoft.com, validation.sls.microsoft.com (для Vista, Seven)
Удобный редактор HOST:
2. Очистка локального кеша DNS, где мог быть прописан предыдущий ip адреса mpa.one.microsoft.com - 31.107.115.40,65.55.28.12 (для ХР), 65.55.52.62 (Vista, Seven)
"Пуск" - "Выполнить": ipconfig /flushdns
Для очистки кеша DNS в автомате можно воспользоваться утилиткой СCleaner:
Утилитка также обладает рядом других индивидуальных функций, например выборочное удаление контрольных точек восстановления.
3. При проверки ОС на подлинность результаты проверок записываются в файл data.dat, в Windows XP :
C:\Documents and Settings\All Users\Application Data\Windows Genuine Advantage\data\data.dat.
Данный файл лучше удалить.
4. Если ключ ОС занесен в список "черных" ключей, то, WGA может сделать проверку по этому списку без соединения с сервером Microsoft.
Существует несколько способов обойти этот момент, наиболее простым является создание папки data.dat по соответствующему пути, что не позволит ОС Windows создать файл с одноименным названием.
kostya-chist, 23.03.2013 - 15:42
Цитата | Quote(TAPZAH @ 23.03.2013 - 15:35)
Я бы сделал так (т.к. все инструменты под рукой):
1. С помощью AntiWinLocker'a в автоматическом режиме сделал проверку, потом посмотрел бы на файлы в автозагрузке пользователя и системы
2. Проверка из-под LiveCD сканером Kaspersky Virus Removal Tool.
1. С помощью AntiWinLocker'a в автоматическом режиме сделал проверку, потом посмотрел бы на файлы в автозагрузке пользователя и системы
2. Проверка из-под LiveCD сканером Kaspersky Virus Removal Tool.
Autoruns от Sysinternal в безопасном режиме. Весь левак (абсолютно весь) будет как на ладони
Цитата | Quote(TAPZAH @ 23.03.2013 - 15:35)
Для постоянной защиты системы рекомендую использовать KIS или ESS.
Нафиг, нафиг, нафиг. Особенно ESS. И с учётом того, что при просроченной лицензии даже мощный комп начинает жутко тормозить ...
Цитата | Quote(TAPZAH @ 23.03.2013 - 15:35)
Если мои варианты не помогут, остается запустить антивирус с жесткими параметрами проверки (т.е. все на максимум, все галочки поставить) и оставить на сутки
AVZ4, начинать надо с неё.
Finist, 23.03.2013 - 15:55
Цитата | Quote(kostya-chist @ 23.03.2013 - 16:42)
AVZ4, начинать надо с неё.
AVZ -хорошее средство для отслеживания действий зловредов, поскольку имеет функцию снятия дампов ОС, а также определенные настройки для ее защиты. Как единственное антивирусное средство - не подходит. Скорее это в большей степени техническая утилита, чем антивирус. Еще раз повторюсь - о MSE почти не пишут, поскольку продукт является бесплатным и поэтому нет пиара. Т.е на нем не заработать. Первоначально, когда он был выпущен - был весьма посредственным, антивирус "обругали" и "забыли" о нем. Но через некоторое время его качество значительно повысилось. Сейчас антивирус представляет действенную и надежную систему защиты.
nazim555, 23.03.2013 - 16:29
Цитата | Quote(Finist @ 23.03.2013 - 16:33)
Вот как его поставить
Получилось
Вспомнил что пару лет назад пользовался именно этим антивирусом, но потом меня объявили вне закона что windows мой не подлинный
kostya-chist, 23.03.2013 - 20:19
Цитата | Quote(Finist @ 23.03.2013 - 16:55)
Скорее это в большей степени техническая утилита, чем антивирус.
Именно так и есть, предназначена для нахождения зловредов и частично - лечения. Я её использую для нахождения проблем.
Цитата | Quote(Finist @ 23.03.2013 - 16:55)
Еще раз повторюсь - о MSE почти не пишут
Меня агитировать не надо, сидю на нём почти с самого начала
nokeMoH, 23.03.2013 - 22:35
советуем заглянуть
Finist, 24.03.2013 - 4:24
Цитата | Quote(nokeMoH @ 23.03.2013 - 23:35)
советуем заглянуть... Активировали данный способ на всех имеющихся флешках, винтчестерах...
Собственно там частично описано то что предлагается скриптом. Да и сам скрипт можно использовать и для HDD. Про NTFS - момент известный, при этом замечу что на практике не было выявлено ни одного вируса autorun.inf, который обошел бы предложенный скрипт. Да и для флешек - FAT32 - лучше - побыстрее
