Добро пожаловать! Это — архивная версия форумов на «Хакер.Ru». Она работает в режиме read-only.
 
журналы новости статьи video форум подписка на «Хакер»

Как избавиться от этого вируса ?

Пользователи, просматривающие топик: none

Зашли как: Guest
Все форумы >> [Софт] >> Как избавиться от этого вируса ?
Имя
Сообщение << Старые топики   Новые топики >>
Как избавиться от этого вируса ? - 2009-04-07 13:04:24.976666   
nuroto

Сообщений: 11
Оценки: 0
Присоединился: 2009-04-06 15:56:41.606666
 Как избавиться от этого вируса ?
Фишка: Как избавиться от этого вируса без антивируса
Может в реестре надо что-то исправить?
Может файл переименовать?
Вставил флешку в комп, на ней появилось два файла
autorun.inf
ilxsap.dll

Содержимое autorun.inf такое
[autorun]
open=
shell\open=Explore
shell\open\Command=rundll32.exe .\\ilxsap.dll,InstallM
shell\open\Default=1

Видно, что из dll'ки ilxsap.dll загружается функция InstallM

проверка на virustotal.com файла autorun.inf
AVG8.5.0.2852009.04.07Worm/AutoRun.FCBitDefender7.22009.04.07Worm.AutoRun.VCSF-Secure8.0.14470.02009.04.07Worm.Win32.AutoRun.dpzGData192009.04.07Worm.AutoRun.VCSKaspersky7.0.0.1252009.04.07Worm.Win32.AutoRun.dpzNorman6.00.062009.04.06BAT/Autorun.BJSophos4.40.02009.04.07Sus/AutoInf-ATrendMicro8.700.0.10042009.04.07Mal_Otorun1
проверка на virustotal.com файла ilxsap.dll
a-squared4.0.0.1012009.04.07Virus.Win32.AutoRun.sd!IKAhnLab-V35.0.0.22009.04.06Win32/Autorun.worm.114688.BAntiVir7.9.0.1382009.04.07Worm/Autorun.Byt.25Avast4.8.1335.02009.04.06Win32:AutoRun-SDAVG8.5.0.2852009.04.07BackDoor.Generic_r.HClamAV0.94.12009.04.07Worm.Autorun-1854DrWeb4.44.0.091702009.04.07Win32.HLLW.Autoruner.5122Kaspersky7.0.0.1252009.04.07Worm.Win32.AutoRun.bytMicrosoft1.45022009.04.07Worm:Win32/Yacspeel.A.dllPanda10.0.0.142009.04.06Trj/Autorun.RNNOD3239912009.04.07Win32/AutoRun.COB
Post #: 1
RE: Как избавиться от этого вируса ? - 2009-04-07 13:07:24.960000   
Flint_ta

Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
 довай сюда оба файла
Post #: 2
RE: Как избавиться от этого вируса ? - 2009-04-07 13:15:25.663333   
D. Scandal

Сообщений: 1360
Оценки: 345
Присоединился: 2007-12-01 16:39:35.550000
 Пример избавления через реестр:

а) Удаление параметров из ключей:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
DisableTaskMgr = 1

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
NoFolderOptions = 1

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"Worms" = "%System%\logon.bat"

б) Удаление файлов:
%System%\config\csrss.exe
%WinDir%\media\arona.exe
%System%\logon.bat
%System%\config\autorun.inf
h:\autorun.inf
f:\autorun.inf
i:\autorun.inf
g:\autorun.inf
k:\autorun.inf
l:\autorun.inf
o:\autorun.inf
j:\autorun.inf
Post #: 3
RE: Как избавиться от этого вируса ? - 2009-04-07 13:15:49.726666   
nuroto

Сообщений: 11
Оценки: 0
Присоединился: 2009-04-06 15:56:41.606666
 http://ifolder.ru/11472770
пароль fkaytvauwbyaowvw
Post #: 4
RE: Как избавиться от этого вируса ? - 2009-04-07 16:56:30.373333   
nuroto

Сообщений: 11
Оценки: 0
Присоединился: 2009-04-06 15:56:41.606666
quote:

ORIGINAL: D. Scandal
Удаление файлов:
%System%\config\csrss.exe
%WinDir%\media\arona.exe
%System%\logon.bat
%System%\config\autorun.inf
h:\autorun.inf
f:\autorun.inf
i:\autorun.inf
g:\autorun.inf
k:\autorun.inf
l:\autorun.inf
o:\autorun.inf
j:\autorun.inf


Этих файлов у меня вообще нет
%WinDir%\media\arona.exe
%System%\logon.bat
%System%\config\autorun.inf

Переменной %System% у меня нет.

Удалил csrsrv.dll и csrss.exe
windows xp sp 2 rus вообще перестала загружаться!
Post #: 5
RE: Как избавиться от этого вируса ? - 2009-04-07 17:08:12.790000   
D. Scandal

Сообщений: 1360
Оценки: 345
Присоединился: 2007-12-01 16:39:35.550000
 nuroto, ты вместо вируса удалил критический системный файл.

Грузись c WinXpLive и переписывай файлы из папки C:\System Volume Information\_restore*\*\Snapshot
_REGISTRY_MACHINE_SECURITY
_REGISTRY_MACHINE_SOFTWARE
_REGISTRY_MACHINE_SYSTEM
_REGISTRY_MACHINE_SAM
Post #: 6
RE: Как избавиться от этого вируса ? - 2009-04-07 17:12:16.846666   
nuroto

Сообщений: 11
Оценки: 0
Присоединился: 2009-04-06 15:56:41.606666
 Взял со второго компа без вируса эти csrsrv.dll и csrss.exe
скопировал на первый из линукса.
результат - первый комп загружается.
вставляю флешку - на ней опять появился файл ddvaw.dll
(имя этой dll каждый раз меняется)
а вот autorun.inf не появился, потому что я создал
на флешке папку с именем autorun.inf
Post #: 7
RE: Как избавиться от этого вируса ? - 2009-04-07 17:58:37.463333   
Flint_ta

Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
 Имя dll каждый раз разное :)

Качай отсюда две программы
Autorun и RemoteDLL
Запускай Autorun и ищи в ветке реестра
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

ключ
UpdateCheck                      Java Virtual Mashine    Microsoft Corporation    c:\windows\system32\имя_dll.dll



Так узнаешь имя dll, затем запускай RemoteDLL, тыкай галку Free DLL и выбирай процесс explorer.exe
из него выбирай dll имя которой было в реестре и выгружай!. Затем из Autorun удаляй ключ. Потом в system32 удаляй файл.
Post #: 8
RE: Как избавиться от этого вируса ? - 2009-04-07 18:06:37.533333   
nuroto

Сообщений: 11
Оценки: 0
Присоединился: 2009-04-06 15:56:41.606666
 Flint_ta, спасибо.

А можно ссылки на оффициальные сайты программ Autorun и RemoteDLL.
Да, я знаю, что существует гугл,
но он может выдать ссылки на неофициальные сайты.
Post #: 9
RE: Как избавиться от этого вируса ? - 2009-04-07 18:13:46.526666   
Flint_ta

Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
 sorry, ссылку забыл дать :)
Все программы по поиску вирусов найдешь в этой ветке
http://forum.xakep.ru/m_1202761/tm.htm
Post #: 10
Страниц:  [1]
Все форумы >> [Софт] >> Как избавиться от этого вируса ?







Связаться:
Вопросы по сайту / xakep@glc.ru

Предупреждение: использование полученных знаний в противозаконных целях преследуется по закону.