Вирусы в system32 закол****и

[Fossa]

Есть ли тут знающие вирусоводы?

Касперский с завидной регулярностью находит у меня в системе три зараженных файла.

удалено: вирус Worm.Win32.VB.el Модуль: algssl.exe\algssl.exe
удалено: вирус Worm.Win32.VB.el Файл: c: \windows\system32\msime80.exe
удалено: вирус Worm.Win32.VB.el Файл: c: \windows\system32\msfir80.exe

Визжит, удаляет их, перегружает компьютер. После перезагрузки я проверяю - вирусов нет (не находит, по крайней мере). Еще какое-то время они не находятся. А потом (через день, два дня, неделю - по-разному) все по-новой.

Никакой зависимости пока не нашла - откуда они вновь выскакивают.
Есть какие-нибудь советы кроме глобального - убить систему?

[Alex Rex]

Стопудова проверь в корне каждого диска файлик autorun.inf
99%, что там указан некий ехе-шник, который и является основной заразой
Файл может быть скрыт.

[Delfa]

напомните, как посмотреть скрыте файлы- за ненадобностью ранее- напрочь забыла...

[Alex Rex]

Любая папка -> меню "сервис" ->
либо
Панель управления ->

-> Свойства папки -> Вид -> внизу Скрывать защищённые системные файлы (рекомендуется) и Показывать скрытые файлы и папки

[Delfa]

аха, пасиб, попозжей попробую

[~GZ]

Забей. Пусть живут. Маздай без вирусов - как собака без блох.

[Er.DS]

Цитата:

Сообщение от ~GZ

Маздай без вирусов - как собака без блох.

5% никак не нарадуются, что нафиг никому не нужны? )

[~GZ]

В точку!

[McLane]

отключи наблюдение за дисками (на время лечения и после перезагрузки и полного сканирования обратно галку поставь) - восстанавливаются вирусы системой из предыдущей копии системы (а т.к. вирус лежит в system32 - то он автоматом имеет статус "системного" файла)
ЗЫ ИМХО поставь NAV CE меньше проблем будет. могу поделиться

[atos]

0. Почиститесь несколькими антивирусами, благо, что portable- можно найти почти все.
1. Надо найти источник заражения. Что было за эти два-три дня?
Щас почитаю описание, может еще что умного скажу...

Обычная тварь, которая размножается используя штатные баги вин и человеческое незнание/беспечность.
http://www.1955.msfit.ru/archive/index.php/t-2051.html
http://jaizalblog.blogspot.com/2007/...-infected.html
В общем, лечится всем, что движется.
Только, похоже, после лечения убивать Вам лишние файлы в корнях дисков (если будут сомнения какие - пишите, но, в основном, темпы, корзины и проч. скрытые каталоги, включая System Volume Information) и реестр почистить (указанные ключи в ссылках + автозапуск).
На будущее: плз, отключите в вин автозапуск и открывайте если не коммандером, то, хотя бы, проводником с показом скрытых файлов. :-)

[Alex Rex]

SysVolInfo ещё и не дадут посмотреть, кстати. Надо права прописывать.

[atos]

Кому не дадут? :-)
Права "прописывают"? :-))

[Alex Rex]

Цитата:

Кому не дадут? :-)

Никому не дадут. По умолчанию права дадены только группе SYSTEM. В которую юзер, даже админ, не входит.

Цитата:

Права "прописывают"? :-))

Прописывают-прописывают. Что не устраивает? Сленг? Хорошо, права устанавливают.

[atos]

Остановимся на том, что как только придет топик-стартер, мы ему оба обьясним, что непонятно? Ок? Мы ведь ради него стараемся? А не проверяем собственную начитанность? :-))
А то кому-как, а мне скучно читать банальные для меня вещи. Без обид, ок? :-)

[Alex Rex]

Да я и не возражаю. Мне просто непонятно, что ты мне хотел сказать. Не пояснишь? Ты, похоже, считаешь, что я где-то неправ. Очень хорошо, укажи мне на это, я не отказываюсь от дополнительной возможности исправить косяки в моём образовании, да и остальным полезно будет.

[atos]

Я считаю, что Вы не правы только в одном: что-то обьяснять надо топик-стартеру. :-)
Hint: переключитесь в древовидный и посмотрите, кто первый докапываться начал, ок? :-))

[Alex Rex]

Я считаю, что если в топике возникли какие-то вопросы не от топик-стартера, то почему бы не ответить и на них?
Древовидный просмотр у меня включен, и я заметил, что Вы высказали предложение что-то проделать с папкой System Volume Information. По-моему, Вы ошибаетесь в том, что пользователь сможет просто так с ней что-то сделать. Я пытался указать Вам на эту ошибку. Я неправ?

[atos]

Ага. :-)
Потому что мы оба знаем, как это сделать.
А вот если топик-стартер задаст соответствующий вопрос - то ок, обьясним ему.
Короче, коллега. Хватит занудствовать, а?
Тем более, что со мной, имхо, бесполезно... :-))

[Vetka]

Цитата:

Короче, коллега. Хватит занудствовать, а?

Я ему то же самое сказала. Но его зацепило. Не обращайте внимания. В конце концов, кто-то из двух сисадминов должен остановиться первым?

[Fossa]

Э-э-э... Я это... гуманитарии мы... не все поняла я, что вы сказали...
Ну в общем - вот, что я поняла.

1.
Вирус у меня - точно он. Во первых сам касперский пишет название, во-вторых - на обоих приведенных вами сайтах в точности описаны симптомы. Локальные диски у меня, правда, сейчас открываются, но еще недавно не открывались, я даже Вику жаловалась, но он только руками развел... А скрытые и системные файлы не показываются, хоть пятьсот раз жать в "свойствах папки" на "Показать скрытые файлы"...

2.
На обоих сайтах советуют одинаковую вещь. Зайти HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced\
Folder\Hidden\SHOWALL и поделать там разные штуки.
Но у меня не заходится!!!
На русском сайте эта строчка занесена в командный файл antifun.bat. Я сделала такой файл, но строчка тоже не выполняется. Пишут, что это не найдено. А где это искать? Я ведь не очень понимаю, что делаю, просто честно следую инструкциям...
Я так понимаю, благодаря этому совету я смогу рассмотреть наконец-то скрытые файлы и их удалить, да? Или нет?

Вообще созданный командный файл не выполняет практически ни одной строчки. Видимо, его надо писать не слепо копируя, а под свою систему... А я не умею Я тока кнтрл-цэ, кнтрл-вэ ))

Ну и 3.

Цитата:

Сообщение от atos

Только, похоже, после лечения убивать Вам лишние файлы в корнях дисков (если будут сомнения какие - пишите, но, в основном, темпы, корзины и проч. скрытые каталоги, включая System Volume Information) и реестр почистить (указанные ключи в ссылках + автозапуск).
На будущее: плз, отключите в вин автозапуск и открывайте если не коммандером, то, хотя бы, проводником с показом скрытых файлов. :-)

В принципе, на русском сайте написано, где и что прописал вирус. Но неужто мне прямо вручную их убивать??? А я ничего не напорчу???

В общем, а нельзя поподробнее пжлста, а? Прямо пошагово, че мне делать и как.

Касперский опять нашел все три файла. Перезагружаться я ему не разрешила, поэтому он два файла убил, а третий висит в угрозах. Убивать его касперский хочет только при перезагрузке (это модуль который, algssl.exe\algssl.exe)...

[Alex Rex]

Цитата:

HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced\
Folder\Hidden\SHOWALL

HKLM - это HKEY_LOCAL_MACHINE, в курсе? Просто уточняю.

По поводу убития после перезагрузки и прочее - попробуй загрузиться в Безопасном режиме (Safe mode) - при вкличении компьютера тыкай кнопочку F8, вылезет меню, из которого этот режим выбери. После загрузки запусти опять антивирус, нехай всё проверит и убьёт.

[McLane]

я ж написал !!! http://www.autoforum.nnov.ru/forum/s...763#post978763
см. картинку где отключить восстановление/наблюдение - там обведено красным.
поставь галку - проверь антивирем - согласись на перезагрузку - опять отсканируй - выключи галку

[Delfa]

Цитата:

Сообщение от Fossa

Я ведь не очень понимаю, что делаю, просто честно следую инструкциям...

от я также с сознанием дела второй антивирусник устанавливала-)

зы карочи, думаю просче кого нить попросить "за пиво, соки, воды"-))) имхо

[atos]

Давайте попробуем пошагово...
1. Выгружайтесь в безопасный режим. До начала загрузки Вин жать клавишу Ф8, там в меню выбирать и жать ентер.
2. В безопасном режиме запустить редактор реестра (пуск - выполнить - набрать regedit).
3. В редакторе реестра убить все подозрительное в ключах автозагрузки (HKEY_CURRENT_USER\software\Microsoft\Windows\Curr entVersion\Run и в ключе HKEY_LOCAL_MACHINE\software\Microsoft\Windows\Curr entVersion\Run).
4. Заодно в ключе HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL удалить параметр CheckedValue.
5. Каким-нибудь коммандером, типа far или total commander с включенным режимом отображения скрытых файлов убить на каждом диске файлы autorun.inf, каталоги Recycled и похожие на него по имени.
6. В обязательном порядке убить файлы
CProgram Files%\winupdates\winupdates.exe, cs.tmp, CWindows\System32\bszip.dll, ca.zip, CUploads.
7. После этого, заодно, убейте содержимое CWindows\Temp, CDocuments and Settings\_ВашЮзер_\Local Settings\Temp
8. Попробуйте перезагрузится в обычный режим, обновить касперского и проверить систему еще раз.


По идее, для этой твари должно быть вполне достаточно.

P.S. Наличие файла autorun.inf как раз и дает картину "неоткрытия" любого жесткого диска.

[Fossa]

ок. Щас распечатаю на бумагу и попробую все сделать пошагово.

Вызывает сомнение (в плане - сумею ли я это сделать? ) вот этот пункт:

3. В редакторе реестра убить все подозрительное в ключах автозагрузки (HKEY_CURRENT_USER\software\Microsoft\Windows\Curr entVersion\Run и в ключе HKEY_LOCAL_MACHINE\software\Microsoft\Windows\Curr entVersion\Run).
4. Заодно в ключе HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL удалить параметр CheckedValue.

Когда я увижу редактор реестра, мне сразу будет понятно, где ключи автозагрузки и как убивать все подозрительное? Для меня ведь понятия "редактор реестра", "ключи автозагрузки" и пр. пока только набор звуков для запоминания...

Что я уже сделала (полчаса назад, когда еще не читала этот последний пост Атоса):
1. перезагрузилась в безопасном режиме (предварительно отключив восстановление дисков).
2. запустила касперского, он сразу нашел этот гадкий agssl.exe с вирусом.
3. Мы с касперским его удалили.
4. Проверились еще раз - ниче нету.
5. перезагрузилась в обычном режиме - проверилась - ниче нету.

Но что-то мне подсказывает, что ниче не убито, ниче не забыто Скрытые файлы по-прежнему не показываются, agssl.exe сидит в систем32 как у себя дома (а он вообще должен там сидеть? Это нужный файл, только с вирусом? Или весь файл - это вирус и без него тоже можно жить?)

В общем, щас попробую еще раз зайти в безопасный режим и поглядеть на "редактор реестра"

[atos]

Редактор реестра - не более чем программка, очень похожая на проводник. Там есть большие распахивающиеся дерево-подобные списки, в них надо искать ключи. При "тыканьи" на соответствующий ключ появляеться в правом окне его содержимое.
В частности у меня в автозагрузке - ничего кроме защиты.
Если сомневаетесь в правильности своих действий - на самом ключе, в левой части окна, нажмите правую мышь и скажите ЭКСПОРТ. Это позволит сделать некую "резервную копию". Если прикрепите сюда, то вместе посмотрим. :-)

По части "никто не убит" - относительно верно.
Руками почистите указанные мной папки.

Т.е. надо сделать "экспорт" ключей, где будете что-то менять.
Потом изменить их, удалилить в нашем случае.
Почистить файлы.
Перегрузиться.

Не бойтесь, пока ничего страшного не делаете. :-)

[Fossa]

Значит, так. реестр - это не страшно)) Я его нашла. И все указанные вами пути тоже нашла. Но пока ниче не убила, потому что решила уточнить - что такое "подозрительное".

Первый джипег - это HKEY_CURRENT_USER\software\Microsoft\Windows\Curr entVersion\Run

Мне сильно тут подозрителен 4 файл сверху. Именно он выскакивает в тройке регулярно нахождаемых вирусов. Убивать его? Еще что-то убивать тут?

Второй джипег - HKEY_LOCAL_MACHINE\software\Microsoft\Windows\Curr entVersion\Run

То же самое. Шестой файл сверху. Название файла из тройки вирусов. Убивать? Еще что-то тут есть подозрительное?

Третий джипег - собственно HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

Я выделила что-то с названием CheckedValue На всякий случай уточню - именно это просто взять и удалить?

Посмотрите пжлста нет ли чего еще подозрительного на фотографиях... Я тогда щас снова перегружусь в безопасном режиме, все удалю и полезу фаром уночтожать далее по списку.

[atos]

Сорри, но не вижу джипегов... :-(
И, если можно, снимок диска С с показом скрытых файлов бы...

[Fossa]

Не грузились джипеги чего то...
Заодно они с вирусом видимо

[atos]

Джипеги с этим вирусом быть не могут. :-)
1. Дважды щелкните на параметре CheckValue и задайте ему параметр "1". Без кавычек, естественно. :-)
2. Я бы грохнул все, за исключением Logitech, Pinnacle ну и, естественно, Касперского. CoolSwitch по вкусу. :-) Обосновать удаление каждой оставшейся строки могу. Если попросите. :-)
3. Оставьте только ActiveSync.

Напоминаю: удалять лучше через безопасный режим. :-) И пришлите, все же, список файлов на диске С.

[Fossa]

Я правильно поняла?

В ключе USER я убиваю все кроме ActiveSync.
В ключе MACHINE я убиваю все кроме трех файлов Logitech, Pinnacle и AVP.
Правильно???

И еще два вопроса. Фото С с файлами в какой программе? В тотал коммандере?
И второй вопрос - как в тотал коммандере включить режим скрытых файлов?
(я прошу прощения за кучу идиотских вопросов - я редко с этим дело имею ).

[Fossa]

Ой, а что у меня на с такое сидит? Это разве не вирус? А почему его тогда касперский не видит???

[atos]

Любой антивир не есть "всезнайка" или "абсолютная панацея". :-)
Конкретно Каспер - базоориентированный, знает только о том, что четко содержится в его базе знаний.

Убить все, КРОМЕ
ntloader
ntldr
bootfont.bin
ntdetect.com
boot.ini
hybernate.sys (убить не дадут)
pagefile.sys (убить не дадут)
и вашего звука mmm.wav
И рекомендую убить папку корзины, Recycler.

Удалять все безвозвратно, т.е. используя комбинацию shift+del.

[atos]

Не забудьте грохнуть скриншот на форуме...
Не надо показывать свои пиратки. :-))
----------------------
Добавлено позже.
----------------------
Еще раз присмотрелся...
Откройте, плз, Блокнотом файлик Cboot.ini и дайте сюда его содержимое, плз... Как бы не было ситуации с мультизагрузкой, тогда надо немного подкорректироваться.

[Fossa]

Все поудаляла, автозагрузка практически девственно чиста, посносила с обоих дисков все лишние пакости. Касперский щас проверяет С и молчит... Все, вроде бы, в норме, но... скрытые файлы не кажут себя Несмотря на единичку в CheckedValue...

Бут.ини:

[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOW S
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Micro soft Windows XP Professional RU" /noexecute=optin /fastdetect

[atos]

По идее, можно сказать, что типа все. :-)
А как заставиться показывать скрытые файлы - хороший способ в начале ветки.
Про мультизагрузку тему закрыли не начав. :-)
Поздравляю. :-)

P.S. Антивирус, надеюсь, обновили? :-)

[Fossa]

Если хороший способ показать файлы - это через Свойства папки "показать скрытые файлы", то он по прежнему не работает((
Щас касперский допроверяет все и попробую перезагрузиться еще раз. Авось все совсем восстановится...

Всем огроменнейшее спасибо!!!! За участие и за советы!!! Спасибки!!!


************
Атос...
У нас уже миллион поводов есть длы встречи у ангара с пивом... Обсудить последние работы Григория Петровича , да и пива выпить за здоровые компьютеры... А?

[atos]

Не верю, что не работает...
Рассказывайте подробно, что делаете.
А вообще - вэлком. :-)
***
Я без машины... И, типа, слишком ленив топать пешком с Сенной до "ангара"... :-(
И вообще - "пиво это хорошо", но пиво под работы Г.П. - безвкусица!, увольте! :-)))) Как-нить уж лучше просто пиво. :-))

[Fossa]

Не работает, потому что жив еще курилка

Только что касперский нашел всю троицу заново. Я тут же залезла в регедит - в ЮЗЕРе в загрузках уже сидит один, гад собачий)) И на обоих корневиках уже прописались sals.xlx или как он там называется... Вот живучий, таракан прям...
Все поубивала, перезагрузилась, щас еще раз перегружусь, пока их нет...
Но видимо где то еще их гнездо есть...

[atos]

Итак, все с самого начала.
Система на диске C:, имеем обычную ХР. Кстати, хоум или про?

Выгружаемя в безопасный режим.
Контролируем вредные процессы (по ctrl-alt-del не должно быть этих хреней).
Чистим реестр (автозагрузки).
Чистим файлы.
Выключаем восстановление системы и чистим каталог System Volume Information.
Чистим еще раз файлы (те, что в корне, плюс те, что писал ранее плюс темпы в профиле пользователя).
Удаляем корзину.
Перегружаемся еще раз в безопасный режим и контролируем невозниконовение всяких этих какашек откуда вычистили.
Перегружаемся в нормальный режим, обновляем антивир и запускаем полную проверку.

Если какой-то пункт не выполнен - плохо. :-)
Если же все пункты выполнены точь-в-точь, то надо или думать, или увидеть этот винчестер.

[Delfa]

Цитата:

Сообщение от Fossa

Атос...
У нас уже миллион поводов есть длы встречи у ангара с пивом... Обсудить последние работы Григория Петровича , да и пива выпить за здоровые компьютеры... А?

если в тот же день, что со мной- я пас, он меня "дурой" обозвал...

кста, а терь скажи мне, плиз, где найти автозагрузку- надо оттуда аську снести...

[atos]

Вы-то здесь причем, девушка?
И не обозвал, а спросил.
Да и вообще - нет мысли, что мне слишком все равно? :-))

[Delfa]

Цитата:

Сообщение от atos

Да и вообще - нет мысли, что мне слишком все равно? :-))

есть уверенность, что коммент был НЕ Вам!

[atos]

Фи!
:rofl:

[atos]

Да, все верно. :-)
За одним ньюансом: "Logitech" в "MACHINE" два. Т.е. в "MACHINE"оставляете
AVP
LogitechCommunication
LogitechQuickCamera
PinnacleDriverCheck.

Фото С из любой программы. :-)
В тотале сказать "показать скрытые файлы" так: Конфигурация - Настройка - Экран; поставить первые две галки "показывать скрытые/системные файлы" и "длиннные имена файлов". :-)

[Fossa]

Тогда фото выше подойдет? (у меня оказалось, что в Тотале коммандере уже стоит галка на показе скрытых файлов и длинных файлов).

Давайте я дождусь от вас еще напутствия какого нибудь и полезу в безопасный режим все удалять

[atos]

Ответил выше...
Пропустил, пока сочинял ответ. :-))

[Reboot]

Возможно, Ad-Aware вам поможет?

[atos]

Он удаляет содержимое autorun.inf, если грохнул то, что он запускает?
Идеальный вариант - что он удаляет сам этот файл...
Я просто не знаю антивиров, подчищающих полностью. Буду рад, если ошибаюсь.