Вообщем, мой горе племянник на моем домашнем компе, втыкал свою флешку, стоит антивирус AVG, на предупреждения о том, что там вирусы, он нажимал Ignore

Итог, включаю компутер, заметно дольше грузится и работает неторопливо. Через некоторое время AVG говорит нашел Win32 Heur (также на его флешке Win32 Tanatos.M). Каждый раз новые бинарники и их в карантин все сует... Заблокирован диспетчер задач, но через Process Explorer ничего странного не увидел, видимо внедряется в существующие процессы. Вырубает интернет через некоторое время.

Как быть? Я пока вижу такой алгоритм действий, найти утилиту/антивирус который убъет всю заразу с системы (что лучше взять?), потом забекапить куда-нибудь нужные данные, проекты, фотки, видео, все кроме бинарников (или оно еще и картинки и видео заражает?) переустановить систему (с форматирование раздела винта).

ЗЫ: Ах да, ОС Виста Хоме 32-бит.

Здравствуйте, yumi, Вы писали:

Y>Итог, включаю компутер, заметно дольше грузится и работает неторопливо. Через некоторое время AVG говорит нашел Win32 Heur (также на его флешке Win32 Tanatos.M). Каждый раз новые бинарники и их в карантин все сует... Заблокирован диспетчер задач, но через Process Explorer ничего странного не увидел, видимо внедряется в существующие процессы. Вырубает интернет через некоторое время.

Поставь касперского или нортона.
У меня стоял раньше нод — полный отстой, помогал только в самых простых случаях. Не думаю, что бесплатный авг может быть лучше.

Здравствуйте, yumi, Вы писали:

Y>Вообщем, мой горе племянник на моем домашнем компе, втыкал свою флешку, стоит антивирус AVG, на предупреждения о том, что там вирусы, он нажимал Ignore

Y>Итог, включаю компутер, заметно дольше грузится и работает неторопливо. Через некоторое время AVG говорит нашел Win32 Heur (также на его флешке Win32 Tanatos.M). Каждый раз новые бинарники и их в карантин все сует... Заблокирован диспетчер задач, но через Process Explorer ничего странного не увидел, видимо внедряется в существующие процессы. Вырубает интернет через некоторое время.

Y>Как быть? Я пока вижу такой алгоритм действий, найти утилиту/антивирус который убъет всю заразу с системы (что лучше взять?), потом забекапить куда-нибудь нужные данные, проекты, фотки, видео, все кроме бинарников (или оно еще и картинки и видео заражает?) переустановить систему (с форматирование раздела винта).

Y>ЗЫ: Ах да, ОС Виста Хоме 32-бит.

Поставьте себе Doctor Web — проблем не будет. Для начала можно воспользоваться бесплатным CureIt

Здравствуйте, Karamat, Вы писали:

K>Поставь касперского или нортона.
K>У меня стоял раньше нод — полный отстой, помогал только в самых простых случаях. Не думаю, что бесплатный авг может быть лучше.

Бесплатный AVG — чуть усеченная версия платного AVG. В недавно опубликованном рейтинге на CNews Nod32 не выдержал тесты, а AVG выдержал (видимо нод собирает 100% вирусов только в своих тестах). А для лечения компа можно попробовать следующее:

*Запустить полную проверку дисков AVG
*Провериться с помощью Kaspersky Online Scanner
*Провериться с помощью live cd, например: Dr.Web LiveCD
*Можно конечно еще попробовать скачать триал версию того же каспа.

;-)

Здравствуйте, yumi, Вы писали:

Y>на предупреждения о том, что там вирусы, он нажимал Ignore

Вот такой возможности ни у племянников, ни у жены, ни у любимой тёщи, когда они работают на твоём компе, быть не должно.

Типа ССЗБ, да.

Здравствуйте, yumi, Вы писали:

Y>Вообщем, мой горе племянник на моем домашнем компе, втыкал свою флешку, стоит антивирус AVG, на предупреждения о том, что там вирусы, он нажимал Ignore

Y>Итог, включаю компутер, заметно дольше грузится и работает неторопливо. Через некоторое время AVG говорит нашел Win32 Heur (также на его флешке Win32 Tanatos.M). Каждый раз новые бинарники и их в карантин все сует... Заблокирован диспетчер задач, но через Process Explorer ничего странного не увидел, видимо внедряется в существующие процессы. Вырубает интернет через некоторое время.

Y>Как быть? Я пока вижу такой алгоритм действий, найти утилиту/антивирус который убъет всю заразу с системы (что лучше взять?), потом забекапить куда-нибудь нужные данные, проекты, фотки, видео, все кроме бинарников (или оно еще и картинки и видео заражает?) переустановить систему (с форматирование раздела винта).

Y>ЗЫ: Ах да, ОС Виста Хоме 32-бит.

Найди/установи касперского на другой комп.
Обнови базы и создай диск восстановления (нужен PEbuilder).
Загрузишься с этого диска и проверишь.
Я так делаю на чужих компах в подобных ситуациях.

1) Поставить Касперского
2) Не пускать племянника под админом

yumi пишет:

> ЗЫ: Ах да, ОС Виста Хоме 32-бит.

gmer еще бы прогнать перед тем как антивирусами ковырять
к дрвебу у меня в последнее время стойкое отвращение — пропускает много.
cureIt недавно не нашел одну хрень на компе у знакомых (dll-ka
запускалась через svchost), вычищал гмером
каспер весьма шустр и хорош, но не знаю как он себя поведет если его на
уже зараженную систему поставить.

PS: сейчас поставил себе бесплатный комодо антивирус, было 2 ложных
срабатывания, наблюдаю дальше... для бесплатного очень даже неплохой ав
я вам скажу...

Здравствуйте, yumi, Вы писали:
Жена ловила подобную заразу. Вылечилось установкой Comodo Internet Security.
Бесплатный. При полной проверки нашел 4 зараженных файла, после удаления всё заработало. Плюс, что кроме антивируса там ещё файровол есть.

РД>gmer еще бы прогнать перед тем как антивирусами ковырять
РД>cureIt недавно не нашел одну хрень на компе у знакомых (dll-ka
РД>запускалась через svchost), вычищал гмером

А я всё ждал когда же про Gmer люди вспомнят. Да, ещё AVZ можно попробовать вдруг если Gmer не поможет.

РД>каспер весьма шустр и хорош, но не знаю как он себя поведет если его на
РД>уже зараженную систему поставить.

+1

em_res пишет:

> Бесплатный. При полной проверки нашел 4 зараженных файла, после удаления
только осторожно — я уже писал выше про ложные срабатывания

> всё заработало. Плюс, что кроме антивируса там ещё файровол есть.
...а также проактивная защита для продвинутых юзеров

по всей видимости ребята потихоньку копают под KIS-у...

Здравствуйте, yumi, Вы писали:

лечил так — скачал авиру загрузочную на линухе работает (были проблемы при загрузке висла — отключил в биосе флоппи —
заработало)
нашел 3 заразы — хотя был почти уверен что ничего нет ( неудобно что он сам не удаляет пришлось на бумашку записывать )
но тут можно записать загрузочный ВинПЕ и с него загрузиться и удалить , чтобы не грузить родную — а то могут и спрятаться.

чтобы избежать дальнейшего заражения — отключение автозапуска не помогает , авира видит — но на совет —
аццесс дениед — вирус всеравно пытался запустиься .
Помогло — выставление запрета на запуск с определенного пути — в данном случае — путь диска куда монтируеться флешка
— вроде как все... точную последовательность действий не скажу — но если погуглить по словам — автозапуск
флешка локальные политики ...

Снес AVG, т.к. он эту заразу лечить не может, несколько файлов в свой Vault положил (кстати как их оттуда обратно вытащить?). Скачал по совету em_res Comodo Internet Security, не помог, ничего не нашел. Запустил CureIt, до сих пор сканирует, но вроде находит и лечит, правда он находит Win32.Sector.11 (наверное у каждого антивируса свои названия? то есть это то же самое, но AVG звало его Win32.Heur/Win32.Tanatos.M?).

Надеюсь заразу полностью уберет, хотя в интернете пишут, что она жутко живучая. Но вот в чем вопрос, если даже очистит от нечисти, то как мне востанивить последствия заражения? Не запускается regedit, task manager, в safe mode не заходит, наверняка еще чего-нибудь сделал нехорошего. И мог ли он стереть какие-нибудь мои данные? Видимо придется сносить всю систему... но в таком случае, через что он распространяется, только exe, dll? Или может через картинки, видео, ...?

Здравствуйте, Роман Дубров, Вы писали:


РД>PS: сейчас поставил себе бесплатный комодо антивирус, было 2 ложных
РД>срабатывания, наблюдаю дальше... для бесплатного очень даже неплохой ав
РД>я вам скажу...

Ага, только вот сейчас новая версия с эвристикой вышла. Забавная там эвристика я скажу
Попробуйте ее ради интереса на какой-нибудь дельфи натравить

Sergey Chadov пишет:

> Ага, только вот сейчас новая версия с эвристикой вышла. Забавная там
> эвристика я скажу
> Попробуйте ее ради интереса на какой-нибудь дельфи натравить

ой, лучше не надо

Здравствуйте, Роман Дубров, Вы писали:

РД>PS: сейчас поставил себе бесплатный комодо антивирус, было 2 ложных
РД>срабатывания, наблюдаю дальше... для бесплатного очень даже неплохой ав
РД>я вам скажу...

А подробнее о впечатлениях можно? У меня их файрволл стоит, уже довольно давно. А вот антивирус все никак не подключу. Файрволл, надо сказать, классный.

yumi пишет:
> Не запускается regedit, task manager,

REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"DisableRegistryTools"=dword:0

это дело сохранить через блокнот в .reg файл и запустить
потом регедитом зайти по вышеуказанному пути и посмотреть что там еще
понаотрублено

> мог ли он стереть какие-нибудь мои данные? Видимо придется сносить всю
> систему... но в таком случае, через что он распространяется, только exe,
> dll? Или может через картинки, видео, ...?

через картинки была jpeg уязвимость, но там не так все просто чтобы с
ходу так взять и запустить... надо чтоб юзер картинку посмотрел
определенным образом.

еще могут быть драйвера .sys, иногда активиксы .ocx

Privalov пишет:

> А подробнее о впечатлениях можно? У меня их файрволл стоит, уже довольно
> давно. А вот антивирус все никак не подключу. Файрволл, надо сказать,
> классный.

подробнее будет через пару месяцев, я его недавно поставил
из первых впечатлений — повышенная придирчивость и как следствие —
ложные алерты.
файрволом я тоже доволен, если б ему еще реалтайм траффик-индикацию как
в Керио... а то только коннекты и сколько передано показывает

Интересно, я не могу нигде найти описания этой заразы (зараз), Win32.Sector.11 (Dr.Web), Win32.Heur/Win32.Tanatos.M (AVG).