Компьютеры
Общие вопросы

Вирусы

Брат
20 апреля 2008, 00:50

Продолжение из той же серии вирусов.
В корне дисков появились файлы xpbkh.com autorun.inf. (возможно "amvo.exe" в процессах). Как их удалить?
Дали мне вчера флешку и вот что обнаружил в ней:
autorun.inf - сведения для установки;
BOOTEX.LOG - текстовый документ червя;
xpbkh.com - Приложение MS-DOC;
Поискал информацию в сети, нашел не так много:
=============
...Вчера пришлось долго и упорно повоевать с червями марки Worm.Win32.AutoRun.bdg - ошибка amvo.exe, xpbkh.com и т.п. К девушке, называется, с флешкой съездил...
-----
...про то, что флешку в чужую машину втыкал- ЗАБЫЛ...
-----
...можно избавиться так: 1.ctrl+alt+del - завершаем все подозрительные процессы (если вы точно не знаете, какой процесс для чего нужен - наберите поиск в "гугле" 2.Отключаемся от сети 3.Пуск - выполнить: msconfig - снимаем галочки со всего, что стоит во вкладке автозапуск (если не знаете, что эта строчка в автозапуске точно относится к той или иной проге, стоящей на компе - можете не снимать) 4.На вкладке "службы" отрубаем все службы с изготовителем, отличным от Microsoft 5.Перезагружаемся 6.Открываем диски через проводник (а желательно - вообще far manager или total comander) ("Мой компьюетер" не трогаем!!!), удаляем все указанные вами файлы, в.т.ч. и из корзины, перезагрузиться, но может не помочь...
-----
...Касперский обнаружил и удалил вирус xpbkh.com на всех дисках самостоятельно. Далее я вручную добил файл авторан. После этого у меня перестали нормально открываться диски через мой компьютер - после двойного клика на значке диска вылезало окошко с выбором программы для окрытия...
-----
...После удаления вируса не открываются диски в "Моем компьютере" В последнее время часто встречается Virus.VBS.Small.a и другие подобные ему, после удаления которых антивирусом перестают открываться диски в "Моем компьютере". Выдается сообщение о том, что не удается найти файл autorun.vbs (либо copy.exe, ms32dll.dll.vbs и т.п.). Для долечивания и устранения этих последствий необходимо сделать следующее:
1.Запустить проводник, включить показ скрытых и системных файлов: "Сервис" - "Свойства папки" - снять галку "Скрывать защищенные системные файлы" и отметить "Показывать скрытые файлы и папки". /не получится, червь уже скрыл или скрывает системные папки, необходимо ипользовать "total comander" /Брат//
2.Просмотреть корневые каталоги всех разделов на жестких дисках и всех имеющихся съемных дисков (вплоть до фотоаппаратов и мп3-плееров), а также папку Windows\System32 и удалить там все файлы с именем autorun и любым расширением. Важно: открывать указанные места исключительно щелчком в левой части окна проводника, в дереве каталогов, а не двойным по иконке диска, ибо в последнем случае, открывая зараженный диск, опять заражаете комп.
3.Запустить редактор реестра (Пуск - Выполнить - regedit) и сделать две вещи:
а) Раскрыть ключ
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/Current Version/Winlogon
и проверить значение параметра Userinit. В нем должно быть C:\WINDOWS\system32\userinit.exe, и ничего более.(Если система у вас установлена в другой раздел или папку, вместо C:\WINDOWS будет путь вашей системной папки)
б)Удалить целиком ключ
HKEY_CURRENT_USER/Software/Microsoft/Windows/Current Version/Explorer/MountPoints2.

Последний пункт повторить для всех пользователей системы, затем перезагрузиться...
-----------
...скорее всего на флешке притащил. Дело было так: я вставил, решил зайти на локальный диск, но содержимое диска открылось в новом окне, сразу понял, что сидит зараза. Доктор Веб молчал. Тотал командер показал на моих локальных дисках, mp3 плеере и флешке 2-файла xpbkh.com и autorun.inf. Командером они не удалялись.
Выводил так:
1.Скачал *** и с помощью нее убил процесс amvo.exe.
2.Удалил нечисть отсюда:
C:\WINDOWS\= system32\amvo.exe
C:\WINDOWS\system32\amvo1.dll
но может называться C:\WINDOWS\system32\amvo1.dll (удалял тотал командером)
3.Удалил с ветки реестра: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\amvo.exe
4.Использовал "anti_autorun"...
------------
...06.03.2008/Касперский с последними базами не определяет их как вирус. Пытался очистить их с помощью утилиты anti-autorun - синий экран и перезагрузка. Эти файлы у меня в корне всех дисков. Простым shift+del удалить невозможно, тк. после удаления они автоматически восстанавливаются...
------------
...нет ни одного антивируса, который бы очистил систему и устранил все последствия и злонамеренные изменения , вызванные нечистью (да и убитые системные файлы антивирус не родит)) и именно поэтому я с недавних пор таскаю с собой основные ветки реестра и системные файлы в архиве... /как это сделать? задавайте вопросы в теме "Реестр"/Брат//
==============
/записи отредактировал/ - Ну что ж, пробуйте, как написано, но рекомендую скачать комплект утилит о которых я писал выше и дал ссылку, там именно об этом, почитайте описания вирусов (html стр. в архиве). Как я поступил со своей флешкой? Были у меня подозрения, поэтому - Закрыл системное окно, которое предлагало открыть папку для просмотра файлов. Щелкнул по значку "Мой компьютер" (или по значку "Пуск") правой кнопкой мыши, открыл "Проводник" и как написано выше - "исключительно щелчком в левой части окна проводника" открыл "Съемный диск" и удалил все 3 файла, минуя корзину нажав Shift+Delete. BOOTEX.LOG и autorun.inf до удаления из любопытства просмотрел блокнотом, но не щелкайте по - xpbkh.com! Таким образом я не успел заразить свой компьютер. После чего проверил и флешку и комп. Все оказалось чисто. При испльзовании Anti_autorun ничего подобного не было (про "синий экран").
-------

Назад в тему

Общие вопросы
Список форумов
На главную

0.027 сек
SQL: 3