жуткие вирусы 21.01.2010 и борьба с ними - вопрос №17231

Я делал так. На многих установочных дисках есть Partition Magic

Делаете все разделы невидимыми кроме системного (активный раздел).
Уничтожаете (удаляете) этот раздел. Создаете снова. Делаете активным (ОБЯЗАТЕЛЬНО). Это все можно проделать при установке Винды. Помните: укажите раздел ..., удалить выделеннный раздел — нажмите D ...? Ставите новую винду. Устанавливаете антивирус. Настраиваете на полные функции, главное, чтобы отслеживал процессы. Ставите PM для Винды. Делаете разделы видимыми. Не заходите пока в эти разделы, при открытии дается команда "авторан" с запусками многих вмрусов в память (резидентные), а они уже внедряют, что хотят. Никогда не удаляли вручную найденные вирусы? Только удалил--секунды, опять появился. Пусть сначала антивирус поработает. Можно разделы сделать видимыми с установочного диска. Если нет такого диска, то наоборот, в самом начале делайте разделы невидимыми (Hidden) с помощью PM под Виндой.
Смысл, думаю понятен.
Есть приемы и еще резче, но это писать много. И разделы все уничтожать--получить "нулёвый" хард. Вы слышали о бутовых вирусах? Прога Disk Editor. Под DOS. С установочного. Но это не просто без навыка. Это не антивирус. Я стираю начисто сектора с 0 по 96. Вы эти сектора никогда просто так не увидите.

В вашем случае можно обойтись и малой кровью, но уже видимо поздо. Надо чистить временные интернет папки, кэш и еще кое-что. Но Инт. Експлоер, Опера, Мозила хранят их в разных местах и по разному кличут. Это для спецов. Согласен с предыдущим экспертом--Винду под корень. Не стоит тратить массу времени с неясным результатом.

Здравствуйте.

Ну для начала — не надо паниковать. Всё излечимо, на крайний случай делается переустановка Windows.

Главное, с чего нужно начать — выяснить название этого вируса (у Вас кажется NOD показывает его). С этого и начинать плясать. Посмотреть его описание, чем он лечится, куда внедряется, какие особенности. А активет вирус потому, что он сидит глубже, чем NOD. Скорее всего это так называемый "руткит" — вирус, засевший в ядро системы, у него более высокий приоритет, чем у других программ, даже антивирусных. Борьба же с руткитами — дело более сложное, хотя попадаются они реже.

Далее, наилучший вариант, действительно, подключить винчестер к другому компьютеру и просканировать антивирусной программой. Предварительно отключив на компьютере автозапуск новых дисков при подключении (либо удалив в DOS из корня диска файл autorun.inf). Если с этого диска ничего не запускать и не загружаться с него — вирус не выйдет. Как Вы заразили этим винчестером другие компьютеры — не понятно. Видимо, не соблюдение сказанного выше.

Если подключить винчестер нельзя — можно скачать образ диска с антивирусом, загрузиться с него и провести проверку. Так Вы сможете проверить винчестер без возможности вирусу выйти или перехватить какие-то действия.

На зараженном компьютере запускать антивирус — дело плохое. Редко можно получить результат.

Для проверки советую пользоваться антивирусом касперского или бесплатной утилитой от Dr.Web на freedrweb.ru. Нод немного хуже справляется с вирусами, в особенности руткитами. Еще есть утилита AVZ (z-oleg.com), с помощью которой можно избавиться как от вирусов и руткитов, так и от последствий их работы (отключения запуска программ, отключения диспетчера задач и других)

Узнаете подробнее, что за вирус — пишите, подумаем, что можно сделать.

Не забываем о компетентности пользователя в этом вопросе )

предлагать копаться в системе нет смысла.

И выполнять последовательные шаги тоже.

самый верный способ это, ftp://ftp.drweb.com/pub/drweb/livecd/minDrWebLiveCD-5.0.1.iso (записать на диск) скачать и запустить на больном компьютере.

Еще вернее способ, отнести винт в компьютерную контору, там  вылечат на заведомо здоровом компьютере.

прикиньте примерно сколько уже вы сделали не верных шагов? Сколько компьютеров заразили и сколько уже в не рабочем состоянии.

Окошечко с непристоностями наверняка просила послать СМС разблокировки ?

Если да, то выход был гораздо проще ,

http://virusinfo.info/deblocker/   вот сайт на котором введя номер и текст сМС можно получить ормальный код и введя его избавиться от смс попрошайки.

Попробуйте для начала, самый простой и действенный способ — это откат системы на более раннее состояние компьютера. Для этого, зайдите в Пуск-->Все программы-->Стандартные-->Служебные и выберите там вкладку Восстановление системы. Перед Вами появится окно программы восстановления системы. В этом окне выберите Восстановление более раннего состояния компьютера и нажмите кнопку Далее. В следующем окне с помощью календаря (если ОС Vista то будет просто список контрольных точек) слева выберите  день на который Вы хотите восстановить систему (например, если это произошло вчера, то сделайте откат на позавчера или более раний день), рядом с календарем появится список конторольных точек сделанных в этот день, если в этот день ни сделано ни одной контрольной точки, то выберите другой день. В этом списке выберите контрольную точку и нажмите далее, потом нажмите ОК. После этого, система восстановиться и компьютер перезагрузится. После перезагрузки состояние Вашего компьютера будет соответствовать дню выбора, например, как если бы сегодня было позавчера.

В случае неприличностей помогает 100% и минимум усилий. Удачи.

  В папке  файлы в System Volume Information операционная система хранит файлы для восстановления системы или по другому — это слепки Вашей системы (просто файлы и в данный момент не активные), имеющие определеную структуру. ЭТО НЕ ПАПКА ВИРУСА, ЭТО СИСТЕМНАЯ ПАПКА, ЗАЩИЩЕНА ОТ УДАЛЕНИЯ И ЗАХОДА В НЕЕ. Для удаления какого либо файла из нее, нужно сначала отключить наблюдение за диском и только потом удалять какой либо файл. Если антивирус нашел в этой папке вирус, то удалить его очень просто. Для этого идите в Пуск-->Панель управления--> Система-->Восстановление ситемыи в появившемся окне выберите Отключить восстановление системы  (для Vista Пуск-->Панель управления--> Система-->Защита ситемы и снимите галочку с нужного диска) и нажмите кнопку Применить. После этого идите в папку  System Volume Information и удаляйте файл, который заражен, НО только его. После этого включите восстановление системы так же как выключили.

Я знаю эту вредоносную программу (это даже не вирус) и другие компьютеры, как Вы описываете, она заразить не могла. В Вашем случае, так как Вы не опытный пользователь, "лечится" простым откатом системы. А вот как раз в папке System Volume Information наверное хранятся старые вирусы, которыми Вы заразились гораздо ранее и к этой вредоносной программе они врядли имеют отношения.

можно, конечно, попробовать радикальные меры — польностью форматируйте жесткий диск. Т.к. не известно, как вирус поведет себя в последующем… у меня был случай, когда после блокировки вирусом файлов или папок, потом вирус принимался за систему, а в конце концов "убил" жесткий… все это произошло за считанные дни. Т.ч. предлагаю не рисковать.