Azamat Опубликовано 20 Октября 2010 Поделиться Опубликовано 20 Октября 2010 Сегодня брат попросил проверить свой ноут, мол там че-то слизистое *цензура*ожее на Чужой-2 - гуляет. Позырил. Оказалось вот оно что: Есть вирус с названием файла QGS.exe (находится в корневой папке), который закреплен за wuauolts.exe (находится в папке windows/system32), который в свою очередь за файлом mosss.exe (находится в папке Program Files). При включении компьюютера обычно Касперский сам загружается автоматом, если вы вручную не отключили. Но - после появления этого вируса в вашем компе Каспер наглухо блокируется этим вирусом. Обновление за 3-ю декаду сентября 2010-года - не канает, так как тот же вирус не распознался в моем компе с таким обновлением. Что делать? Конечно вы попробуете удалить вирус вручную (если вы технарь). Но не тут-то было. Даже после удачного удаления вручную этих файлов (moss.exe вы никак не сможете удалить) - после перезагрузки компа - все вышеуказанные файлы восстановятся и будут на своих местах. Так что делать? Сначала прочитаем от А до Я текст по этой ссылке. НЕ ЛЕНИСЬ! А ТО СТАНЕШЬ ЛЕНКОЙ! Дальше выполняем скрипт в той проге. begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Program Files\mosss.exe',''); DeleteFile('C:\Program Files\mosss.exe'); QuarantineFile('E:\autorun.inf',''); QuarantineFile('C:\qgs.exe',''); QuarantineFile('E:\QGS.exe',''); QuarantineFile('C:\WINDOWS\system32\.dll',''); QuarantineFile('C:\autorun.inf',''); QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\.lnk',''); QuarantineFile('C:\WINDOWS\system32\drivers\BGS.sys',''); TerminateProcessByName('c:\windows\system32\wuauolts.exe'); QuarantineFile('c:\windows\system32\wuauolts.exe',''); DeleteFile('c:\windows\system32\wuauolts.exe'); DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\.lnk'); DeleteFile('C:\autorun.inf'); DeleteFile('C:\WINDOWS\system32\.dll'); DeleteFile('E:\QGS.exe'); DeleteFile('C:\qgs.exe'); DeleteFile('E:\autorun.inf'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(9); ExecuteRepair(13); RebootWindows(true); end. Комп перезагрузится. После перезагрузки Касперский восстановится и в некоторых случаях попытается активировать себя заново. Можете нажимать хоть на Да, хоть на Нет (и.т.п.). После этого запускаете Касперский (любого типажа ;)), и Добавляете в Карантин файл mosss.exe, который находится в папке Program Files. ЕСЛИ КОНЕЧНО ВАМ ЛЕНЬ ВСЕ ЭТО ДЕЛАТЬ - ТО МОЖЕТЕ СНЕСТИ СИСТЕМУ И ЗАНОВО ПЕРЕУСТАНОВИТЬ. НО СВЕЖАК ВИНДЫ НЕ ГАРАНТИРУЕТ ВАМ ПОЛНОГО ИЗБАВЛЕНИЯ ОТ ЭТОГО ВИРУСА! Испытано. Проверено. Одобрено! Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0ndas Опубликовано 20 Октября 2010 Поделиться Опубликовано 20 Октября 2010 как это:? полный формат винта не убивает это вир? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Гость ака_Учкун Опубликовано 21 Октября 2010 Поделиться Опубликовано 21 Октября 2010 Перезагрузится в линукс, и уже из-под линя без проблем удалить эти файлы на виндозном локальном диске и все дела...... Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Гость Опубликовано 21 Октября 2010 Поделиться Опубликовано 21 Октября 2010 как это:? полный формат винта не убивает это вир?Лучше поставь Drweb 6.00 антивирус, это лучший антивирус чем касперского.у меня тоже был такой проблема. я решел проблема с DRWEB 6.00. скачай оргинал из Drweb.ru. и иши журналный ключи в инете. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Azamat Опубликовано 21 Октября 2010 Автор Поделиться Опубликовано 21 Октября 2010 Лучше поставь Drweb 6.00 антивирус, это лучший антивирус чем касперского.Не тут то было! Если червь в карантине (файл moss.exe) вдруг проснется когда-нибудь - он и ваш дрвеб заблокирует. Протестировал на 6-ой версии. В последних не пробовал. как это:? полный формат винта не убивает это вир?Если полный формат полного винта - то помогает конечно. Но если форматнуть только один из разделов (C, D, E и.т.д.) - то бестолку. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Iplan Опубликовано 2 Ноября 2010 Поделиться Опубликовано 2 Ноября 2010 Не тут то было! Если червь в карантине (файл moss.exe) вдруг проснется когда-нибудь - он и ваш дрвеб заблокирует. Протестировал на 6-ой версии. В последних не пробовал. Если полный формат полного винта - то помогает конечно. Но если форматнуть только один из разделов (C, D, E и.т.д.) - то бестолку. После этого зайди на панель управления->службы->расширенные службы. ;-) а винду надо будет восстанавливать Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Xayrullo Xoshimov Опубликовано 22 Ноября 2010 Поделиться Опубликовано 22 Ноября 2010 Man bu holatni quyidagicha hal etdim: win+r, regedit, ctrl+r va avp.exe ni poisk berdim. oynani chap tomonidagi avp.exe ni udalit qildim va kasperni ishga tushirdim. kasper ishga tushdi va kriticheskie oblastni tekshirdim, kasper moss.exe ushladi va perezagruzkadan keyin udalit qlishini aytdi. Haqiqatda ham moss.exe ni uchirdi. Lekin bu usul ba'zida komplarda ish bermayapti. Natijada Nod32 ni urnatmoqdaman va hammasi OK bulyapti. Man uchun baribir antiviruslarni ichida 1-urinda kaspersky turadi. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Xayrullo Xoshimov Опубликовано 22 Ноября 2010 Поделиться Опубликовано 22 Ноября 2010 Uzr kechirasizlar win+r, regedit, ctrl+f va avp.exe Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
rkn69 Опубликовано 22 Ноября 2010 Поделиться Опубликовано 22 Ноября 2010 Я делаю так. Вынимаю винт из компа, ставлю на другой комп и там уж либо удаляю файл, либо антивирем на этом компе убиваю этот вирь. И затем уж восстанавливаю антивирь на зараженном раннее компе. Предпочитаю ставить на всех своих компах нод32, мало места занимает, мало жрет памяти, да и бесплатное обновление всегда есть. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Гость ака_Учкун Опубликовано 23 Ноября 2010 Поделиться Опубликовано 23 Ноября 2010 А на каспера бесплатного обновления нету что ли? Ключи всегда есть.... Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.
Внимание:Ваше сообщение не будет отображаться другим пользователям, пока не будет одобрено модератором.