Вирус который нельзя удалить,поиогите советом!

[Gambrinus]

Тут лучше у спецов спросить... Я бы сказал-у мэтров
У меня как-то была жизненная необходимость спасти систему на машине, не буду врать-не помню почему...
Так я винт слейвом подцепил, проверил его всем чем мог, поудалял файлы. Но затем-пришлось сверху виндой прибить в тот же каталог. Это, не спорю, довольно коряво, но у человека осталась рабочая система, откуда он смог сохранить все, что хотел.
ЗЫ. Часто люди забывают, что им нужно сохранить. Обидно, когда вспоминается это после очередного форматирования и установки винды на голый винт.

[DeaDLock]

Так где же эти спецы,когда они так нужны=)

[Oxygene]

Так где же эти спецы,когда они так нужны=)

Спецы, обычно, заняты работой. В чем проблема? Ставь проблемный диск слейвом или грузись с безопасного CD, сохраняй все важное и лечи проблемный диск.

[DeaDLock]

Спецы, обычно, заняты работой. В чем проблема? Ставь проблемный диск слейвом или грузись с безопасного CD, сохраняй все важное и лечи проблемный диск.

Безопасный СД есть только в виде Убунту.Поэтому надеюсь переписать нужные данные вида музыки,фильмов и образов на второй хард через дистрибутив Линукса.А дальше форматнуть первый жесткий.

[Oxygene]

Безопасный СД есть только в виде Убунту.Поэтому надеюсь переписать нужные данные вида музыки,фильмов и образов на второй хард через дистрибутив Линукса.А дальше форматнуть первый жесткий.

Геморно это. Ежели второй хард загрузочный, то и поставь его первым и грузись с него.
Ежели нет, то сделай его таким.
Кстати, в безопасном режиме откатиться на последнюю рабочую конфигурацию пробовал?

[Fireball]

Безопасный СД есть только в виде Убунту.Поэтому надеюсь переписать нужные данные вида музыки,фильмов и образов на второй хард через дистрибутив Линукса.А дальше форматнуть первый жесткий.

Ты не говори, а делай
Втыкай, копируй и не бойся.
Если эта убунта за последние года полтора, то полные запись\чтение на нтфс (не говоря уже о фате) там есть. Без глюков и прочего.

Геморно это.

LiveCD - его даже устанавливать не надо. Воткнул диск, загрузился, сделал всё, вытащил

[DeaDLock]

Ты не говори, а делай
Втыкай, копируй и не бойся.
Если эта убунта за последние года полтора, то полные запись\чтение на нтфс (не говоря уже о фате) там есть. Без глюков и прочего.

Убунту 7.10 за 18 октября 2007
Я пока ничего предпринимать не буду-жесткий дадут на следующей неделе.Я уже решил,что не буду мучаться-подключу второй жесткий как слейв,вставлю диск Убунту и с него(если он поймет ntfs) перенесу нужные файл,кроме bat и exe

[Cybercop]

(расплодилось этих МВПшников, что даже на сайте не успевают добавлять ).

Вообще на Украине человек 6-8, я просто не всех знаю. Денис Кудин получал в 2007 и 2008, я в 2006, 2007, 2008. Оба имеем MVP Windows Security
В Киеве еще один MVP по SQL есть, еще кто-то в Харькове, не знаю сколько
PS
Я понимаю, что сообщение не по теме, но уж раз засомневались в моем MVP, то пришлось
Кстати, MVP 2008 я получил сегодня, т.е. продлил еще на год

[A.G.P.]

DeaDLock, если работает Пуск-Выполнить, то попробуйте выполнить такую команду (в одну строчку):
REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System /v DisableRegistryTools /t REG_DWORD /d 0 /f
это должно вернуть возможность доступа к реестру
и еще одну -
REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System /v DisableTaskMgr /t REG_DWORD /d 0 /f
(для возврата диспетчера задач, если его вирус не удалил вообще, проверить наличие файла можно здесь - ...\WINDOWS\system32\taskmgr.exe).
Но если вирус есть, то он опять поменяет ключи
Если Вы достаточно опытный пользователь, то можете воспользоваться утилитой Process Monitor от Марка Руссиновича, которую посоветовал Gambrinus. Но при этом необходимо будет самостоятельно проанализировать, какие процессы что запускают и какие действия вообще выполняют.
Поэтому, если запускаются такие утилиты, как AVZ, HijackThis (не требующие установки), то советую обратиться сюда - http://virusinfo.info/forumdisplay.php?f=46 , создав соответствующую новую тему и выполнив требования отсюда - http://virusinfo.info/showthread.php?t=1235
(или создать тему здесь - http://www.forum.oszone.net/forum-87.html , выполнив все условия отсюда - http://www.forum.oszone.net/thread-98169.html ).
Потребуется создать 3 файла, которые нужно будет прикрепить к теме, чтобы специалисты смогли на их основе сгенерировать соответствующий код, который затем необходимо будет выполнить в AVZ. За день-два вы избавитесь с их помощью от этой заразы.

Cybercop, просто меня несколько смутил Ваш ответ в том сообщении (да и не ожидал в наших краях увидеть MVP) поэтому и засомневался.
Просматривал сегодня www.forum.oszone.net и наткнулся на http://www.forum.oszone.net/post-913497.html#post913497 , увидел подпись http://vladbez.spaces.live.com и понял что Cybercop и VladimirB - одно и то же лицо . Так что я уже в курсе на счет MVP 2008, с получением которого, собственно, и поздравляю!
P.S. (надеюсь без обид)

[Cybercop]

Все нормально. Приятно было увидеть человека, который знает что такое MVP.
На Украине редко кто знает и понимает за что это дают.
Но все же по теме
Итак, вы имеете неизвестный резидентный вирус. Я бы делал следующее:
1. Загрузиться с чистой системы (это может быть что угодно за система, загрузка с CD, флешки, другого жесткого диска, в смысле другого компьютера)
2. Желательно, вернее необходимо, чтобы при загрузке с другого носителя вы имели возможность запустить антивирус, а лучше если и антивирус и AVZ, как антишпионский модуль. Какой при этом вы выберете антивирус - дело ваше. Но нужно чтобы он умел так запускаться.
По поводу AVZ - с тех пор, как его автор, Олег Зайцев стал вирусным аналитиком Лаборатории Касперского, а это уже порядка года, работа над AVZ продвигается естественно медленнее, чем раньше. НО! В качестве антишпионского ПО - пожалуй это одно из лучших приложений, на мой взгляд.
Сам предпочитаю то, что знаю лучше. Вам советовать буду только в личку, чтобы не обвиняли в рекламе.
PS
А о Касперском говорил только потому что я их сертифицированный инженер, а следовательно, предпочту (повторюсь) работать с тем, что знаю лучше

[DeaDLock]

A.G.P.,Cybercop
Спасибо за советы.
Пока возможности загрузиться с чистой системы нету.
AVZ и CureIt не запускаются.При попытке скачать-перезагружается компьютер.
HijackThis работает.
Но не думаю,что данных с этой одной программы будет достаточно.

На http://virusinfo.info не могу зарегистрироваться...
Как варинат,может из-за того,что я сижу на матрице и у меня нету выделенного ИП?

You have been denied access to this forum. The reason is that you are visiting us from a place that has been blacklisted as an Open Proxy. You have to fix this, and return.

If you want to know exactly where you are blacklisted, go see www.tornevall.net/cgi-bin/ip.cgi.

[TigerS]

[
AVZ и CureIt не запускаются.

Что даже в защищенном режиме на запускаются?

1.Выложи скрин запущенных процессов (Диспетчер задач >> Процессы)
2.Выложи скрин что у тебя в автозагрузке
(Пуск >> Выполнить... >> введи msconfig >> Enter >> закладка Автозагрузка)

Может что дельное и подскажем.

[Cybercop]

Что даже в защищенном режиме на запускаются?

1.Выложи скрин запущенных процессов (Диспетчер задач >> Процессы)
2.Выложи скрин что у тебя в автозагрузке
(Пуск >> Выполнить... >> введи msconfig >> Enter >> закладка Автозагрузка)

Может что дельное и подскажем.

Хотелось бы добавить, что существуют способы автозагрузки, которые не отражаются в msconfig. Если кому-то захочется - могу дать ссылку на свою статью по автозагрузке Windows Vista. Разница с автозагрузкой Windows XP в одном ключе.
PS
Стоит учесть, что далеко не всегда вы сможете определить то или не то приложение будет у вас загружаться. Как пример - сделайте ярлык на батник, в котором пропишите запуск вируса+запуск нормального приложения (официального). Вы увидите ярлык официального приложения, а о вирусе и не подумаете.

[DeaDLock]

TigerS
Диспетчер задач и Реестр,как я уже говорил,заблокированы.
При входе в безопасный режим компьютер уходит в ребут.
а при входе в систему выдает такое интересное сообщение.

[akitala]

Хотелось бы добавить, что существуют способы автозагрузки, которые не отражаются в msconfig.

Зато в Диспетчере будет видно "левака".
Тогда уж можно будет плясать дальше

[Cybercop]

Зато в Диспетчере будет видно "левака".
Тогда уж можно будет плясать дальше

Если написан не грамотно, то будет виден. Если грамотно, то нет. Ну да что спорить. В любом случае лучше всего проверка из-под чистой системы

[TigerS]

TigerS
Диспетчер задач и Реестр,как я уже говорил,заблокированы.
При входе в безопасный режим компьютер уходит в ребут.
а при входе в систему выдает такое интересное сообщение.

Давай по порядку. Сначала попробуем разблокировать доступ к реестру.

жми :
Пуск –> Выполнить… –> вводи gpedit.msc –> OK –>
консоль Групповая политика –>
Конфигурация пользователя –>
Административные шаблоны –>
Система –>
справа в окне Система двойным щелчком левой кнопки мыши по строке "Сделать недоступными средства редактирования реестра" вызвать окно Свойства: Сделать недоступными средства редактирования реестра –>
установить переключатель Отключен –> Применить –>OK.

Закрыть окно Групповая политика.

Пиши есть ли доступ к реестру

[DeaDLock]

TigerS
Я уже пытался это сделать-административные шаблоны вмещают в себя только "Компонетны Windows".Хотя у знакомого смотрел-все есть

[Gambrinus]

Может не в тему, но коль тут собрались мэтры, задаю вопрос.
Прошу посоветовать, чем сканить систему на предмет всяких radmin-ов и прочей напасти?

[TigerS]

TigerS
Я уже пытался это сделать-административные шаблоны вмещают в себя только "Компонетны Windows".Хотя у знакомого смотрел-все есть

Попробуй тогда лекарство:
http://sv.od.ua/pro/virusvaccine.rar

не мое.
скинул только на сегодня.
нет времени искать ссылку на первоисточник.
прогнал на тестовой машине - вроде ничего не наломало.
впрочем тебе уж нечего боятся