Проблема с антивирусами или Поймал хороший вирус

[Fedorych]

В общем у меня такая проблема. Около 3 месяцев назад у меня начал виснуть комп. Когда начинаю его отключать, в сд роме раздается странный звук и он виснет, а сд ром как будто пытается что-то читать. Я сперва думал что у меня шлейф полетел. Но дело другое, у меня стоял NOD32 , когда я его удалил, проблемы исчезли, я подумал что вирус и ставлю KIS 7.0 , якобы думал что нод не нашел вируса.Поставил KIS теперь комп включается и работает 3 минуты, издается тот же звук и он виснет. Удалил KIS все исчезло. Что это может быть ??? Вирус или железо и что можно сделать ???

[regist]

раздел открыт

[dimasky]

Не берусь утверждать но видимо вирусяка засела хорошая, по описанным явлениям. Дело в том что у антивируса возникает конфликт с вирусом который в свою очередь поселился там хорошо в автозагрузке и по причине того что вирус грузится раньше антивиря то от него нет никакой пользы. Ну и следовательно удалил и все нормально но мысль же не покидает что он там сидит.
Решение попробовать антивирусом с диска проверить так называемым безустановочным, либо ... сносить Винду форматнуть диск хотя я могу конечно ошибатся. Но опыт показывает что именно этот вариант иногда более быстрый чем пытатся победить вирусяку. А если там уже их более сотни то шансов почти нет. Чисто мое мнение.

[Fedorych]

Ну это все фигня, беру я ща антивирусник, который не устанавливается, запускаю, проверяю, ничего, нет вирусов и все...

[Eugenius_V]

Совсем не факт, что именно вирь - может быть и аппаратная проблема, и глюки ОС. Или все вместе...

Например: драйвер антивируса перехватывает обращение к диску (и это правильно), а нестабильный контроллер IDE берет и подвешивает всю систему.

Или: нестабильный контроллер IDE дает аппаратные ошибки, драйвер пытается их исправить (у меня такое было), забирает 100% системных ресурсов, на пару с антивирьным монитором перегружает систему и...

Или: конфликт драйвера антивируса\чипсета\дискового контроллера с драйверами StarForce. Или с DaemonTools\Alcohol 120%.

В общем, конфиг бы. Да поподробнее.

На случай, если все же вирь: загрузиться с CD-версии ОС. Тогда вирус точно не сможет пролезть в память до антивируса и устроить ему темную.

Ну и: руткиты. Они могут сотворить с системой практически что угодно, и хороший руткит антивирус не обнаружит. Для этого нужны специальные программы класса Sysinternals RootkitRevealer и Rootkit Unhooker (бесплатны, к счастью).

Самый радикальный метод - переустановка ОС, конечно же (с удалением и повторным созданием логического диска). Затем установка заведомо чистого софта и проверка на работоспособность.

[Elektron2006]

Попробуй при загрузке войти в безопасний режим. После загрузки Windows запусти антивиря. Или поиграйся с Avastом. Он после установки, при первой перезагрузке лезет под Винду, и проверяет все, что питается вылезть с винта.

[SSNik]

Описанная ситуация больше напоминает проблемы с железом, чем с вирями )
Первое - попробовать переставить ось, либо поставить вторую временно рядом и посидеть под ней, посмотреть.
Если глюк остаётся - начать тестить железо.

[pioner]

О !!! меня явно сюдой
- вчера 08.08.07 одна машина в сети начала отсылать че-то
на разные SMTP сервера на порт 25

Подробно:
1. анализирую трафик на проксе замечаю что с определенной машины вовсю чтото уходит в инет
2. смотрю в COMODO показывает что с этой машины идет что - то
на 25 порт разных там айпи (много разных всяких)
3. Отсоединяю комп от сети
к слову на компе стоит NOD 32 2_70_39 и базы обновляються регулярно и нод "молчит"
4. Убираю НОД 32 ставлю Касперский персонал 7 KAV (не KIS)
сразу после перезагрузки он мне сообщает что
services.exe - мылит куда зря -- типа отключить процес -?
--- да отключаю ---- выскакивает окно и начинается отсчет 60 секунд и комп отключается
5. Обновляю KAV 7 ----- сканю комп , тоже ниче не видит

6. Ставлю OutPost, включаю сеть - фаер сообщает что тотже
services.exe ломиться куда нипопадя.
С помощью OutPost удалось "запереть" процесс (но этож не дело)

ПОПЫТКИ ЛЕЧЕНИЯ:
стартовал с InfraCD (Live-CD) --- сканил антивирусом NOD32 ---ничего не нашел

ремезю: мне уже даже интересно как отловить то что с помощью services почту то отправляет.

Добавлено: 13.08.07 --- все нижекуказанные методы результатов не принесли
проверка (аналогами Ad-Aware) тоже ничего не принесла

по видимому что то новое (

[[K7]]

Как вариант проверить Ad-Aware или альтернативной AVZ , Spybot – Search & Destroy если нечего не найдут, смотреть список ниже, то что может выдавать или цепляться на services.exe. Изучаем описание каждого, ищем похожие симптомы (записи в реестре, левые файлы и т.д) в системе.
Отключить Службу сообщений (Messenger) хотя по умолчанию она должна быть выключена.
Установить обновления.

Virus:
I-Worm.Mydoom.y
W32.Mydoom.AL@mm
W32.Mydoom.BA@mm
W32.Mydoom.AZ@mm
W32.Mydoom.BB@mm
W32.Mydoom.AX@mm
W32.Neveg.B@mm
W32.Neveg.C@mm
W32.Sober.O@mm
W32.Sober.N@mm
W32.Sober.N@mm!dr
W32.Sober.S@mm
W32.Sober.Q@mm
Email-Worm.Win32.Sober.s
TrojanDownloader.Win32.Krepper.i
W32.Antiman.E@mm
W32.Conycspa.G@mm
W32.Autex.C
Backdoor.Foobot
W32.Secefa.A
W32.Secefa.C
Email-Worm.Win32.Anker.a

Spyware:
Spyware.NSKeyLogger
CWS
W32.Bobax.AA
Spyware.WALogger
TrojanDownloader.Win32.Krepper.i
W32.Ahker.B@mm
Trojan.Ascetic.C

[Intro]

pioner, отписал в личку, но для информации пользователям отпишу тут

Удаление червя, вируса

Для лечения можно воспользоваться следующим набором:
а) Dr.Web CureIt (http://download.drweb.com/drweb+cureit/)
б) утилита Process Explorer (http://www.microsoft.com/technet/sys...sExplorer.mspx )
в) драйвер трезвой головы и контроллер прямых рук.
Если с пунктом в) есть сомнения, то лучше пригласите опытного товарища.

Дальнейшие действия (предполагается, что а) и б) уже скачены):
1) отключаемся от сети/internet. Закрываем все ненужные приложения.

2) распаковываем и инсталируем утилиту Process Explorer. Если в процессе инсталляции будет предупреждение о недостающем компаненте DebuggingTools - не пугайтесь, ето нормально.

3) Запускаем утилиту Process Explorer. По-умочанию, в верхней части окна Process Explorer расположено дерево процессов. Итак, опускаемся в самый низ сего дерева и находим 2 процесса по имени services.exe и один svchost .exe. Все эти процессы идут в дереве процессов один за одним в самом конце дерева. Внимание! в зависимости от модификации данного червя возможно появление одного процесса services.exe и двух svchost .exe.Но опять же - они расположены один за одним в самом конце дерева процессов.

4) После того как мы определили процессы червя в п. 3), необходимо их просто убить. Здесь нужно "бить больно, но аккуратно". Для етого в дереве процессов Process Explorerа выбираем нужный процесс из п 3) , далее правой кнопкой мыши по нему, выбираем "Kill". Эту простую операцию нужно проделать для всех трёх процессов из п. 3). Внимание!ВСЕГО ПРОЦЕССОВ ИМЕННО 3, НЕ 2 , НЕ 4...

5) Запускаем утилиту Dr.Web CureIt, либо, если имеется, антивирусный дисковый сканер. Цель проверки - директория С:\WINDOWS. Действие для объектов зараженных - удалить.

6) Запусаем редактор реестра Windows: Пуск-Выполнить-набираем regedit-ok. Ищем и аккуратно (!!!) удаляем ветку реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
Закрываем редактор реестра.

7) Далее рекомендую провести антивирусную проверку всей системы, т.к. мало ли что ещё подхватили.

[DrWeb]

Саша_:
Такая же ситуация: комп все время отправляет почту... по Вашему рецепту ничего не нашел.... Нету у меня в дереве процессов один за одним в самом конце дерева 2 процесса по имени services.exe и один svchost .exe... перепроверил секции автозагрузки в реестре - тоже ничего... Похоже что вирус внедряет себя как DLLину, потому как никаких подозрительных запускных файлов я не нашел....

[Intro]

DrWeb, а Dr.Web CureIt в безопасном режиме пробовали сканировать?
Фаервол какой нибудь стоит?

[DrWeb]

Цитата: Сообщение от Саша_ Dr.Web CureIt в безопасном режиме пробовали сканировать? Фаервол какой нибудь стоит?

В качестве фаервола поставил Касперского for Windows Workstations (ставил уже после обнаружения факта рассылки писем)
Ганял в защищенном режиме и каспером и Dr.Web CureIt - ничего не находят.
соединения идут от имени процесса services.exe
убивание этого сервиса приводит до перезагрузки компа через 60 секунд.

[[K7]]

Смотри форум http://www.nowa.cc/forumdisplay.php?f=532

[pioner]

Только я собрался попробовать рекомендации из предъидущего поста
как неожиданно помог symantec antivirus (я использовал его из набора Norton Internet Security) .
Нашел что-то похожее на предидущий пост ...lzx32.sys
и сам его удалил

ВСЕМ УЧАСТВОВАМШИМ В ОБСУЖДЕНИИ ПАСИБКИ