Anton

Лечение Scano.e

В этой теме 12 сообщений

Вы тут говорили про Scano.e, который заражает csrss.exe...

Сейчас у меня полетелела оболочка виндоуса, пытался просто переименовать explorer.exe на exlorer1.exe (например)...Но толку мало, максимум что открылось это "проводник"...

Если не трудно, объясните тупому как справится с этой зловредной штукой...

Если можно по подробнее, а то вы начнете всякие умные компьютерные термины выводить, а я ничерта непойму :D

Spyware Doctor, CCleaner, ad ex-terminator- Register Medic, Kaspersky и так далее ничего ненаходят...Правда касперский орёт что нашел csrss, но толку 0, в ручную удалить этот фаил неполучается, ибо после удаления он сразу же появляется вновь...Кстать + ещё процесс sfc.exe довольно часто появляется...только изчезает быстро и само собой удалятся нехочет...

На сайте Анти-Вируса Sophos написано как его удалять, но даже с переводчиком я ничерта непонял(прочитать можно здесь http://www.sophos.com/support/disinfection/worms.html)

Заранее благодарен!

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Anton, какая версия Касперского стоит?

Вероятно придется вручную чистить комп, жаль что пока описания этого зверя нет.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вижу Personal Pro написано, а вот где версию посмотреть-незнаю :)

А каким образом в ручную чистить? и как хотя бы оболочку востановить? если что, оболчка Xp sp 2

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Нужно ключик реестра один удалить.... Запускаем Task Manager, в нем запускаем regedit, добираемся до:

[HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsexplorer.exe]

В этой ветке должно быть что-то типа debugger со ссылкой на c:windowscsrss.exe

Удаляем эту запись, затем вручную запускаем explorer.exe и вуаля! :)

Ну или вот этот способ:

http://z-oleg.com/secur/advice/adv1103.php

Кстати, вышла новая версия подарка. Читаем тут:

http://virusinfo.info/showpost.php?p=71441&postcount=27

И касп червя(если это червь) не детектит:

http://85.249.23.37/e/444.exe

проверял сегодня в 16 часов.

Anton, какая версия Касперского стоит?

жаль что пока описания этого зверя нет.

Есть! Но более ранней версии:

http://info.drweb.com/virus_description/103883

screen1.jpg

post-88-1145796030.jpg

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Да да да, такое письмо мне пришло...в AVZ у меня нету такой менюшки...востановление системы там вижу, а дальше нету...всё что связано с csrss я из реестра удалил, ребутнулся, и попробовал запустить explorer.exe, толку 0....csrss до сих пор висит в процессах..

Я думаю мне скорее всего со словами "Формат С: тебя спасет" идти и сносить винду или делать востановление системы через диск с виндой...

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
в AVZ у меня нету такой менюшки...востановление системы там вижу, а дальше нету

А у меня есть. AVZ обязательно обновить нужно сначала!

Добавлено спустя 2 минуты 8 секунд:

Я думаю мне скорее всего со словами "Формат С: тебя спасет" идти и сносить винду или делать востановление системы через диск с виндой...

Я сегодня уже 2 системы через AVZ восстановил. Так что не стоит паниковать раньше времени. Все проще-простого!

avz.jpg

post-88-1145797583.jpg

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Да, правда появилось после обновления...А дальше..? :D

А то всё равно он после ребута весит в процессах csrss, через "выполнить" запускаю винду и он пишет что то типа ненайдено или переменуйте...

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А дальше ставим галочку, как на картинке выше, жмем на "выполнить отмеченные операции", закрываем AVZ и вручную запускаем explorer.exe через Файл - Новая задача в Task Manager'е. Даже ребут не нужен.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вощем ничего невышло...Винда при ребуте у меня вообще отказалась грузится...пришлось востановление системы через cd делать...) ща норм...Но спасибо всем огромное...а то я дурак не посмотрел по пьяне что флэш фаил не sfw или как он там а exe...

В принципе зачем мучатся удаляя какой то вирь? сделайте востановление через cd и всё, причем на диске С: ни накроется ни рисунки, ни какие то файлы, ни избранное, ни драйвера ( хотя хз)...

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

У меня такая херь пришла только на адреса @mail.ru .. странно, что то на mail.ru много вирусов стало появляться..

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Вощем ничего невышло...Винда при ребуте у меня вообще отказалась грузится...пришлось востановление системы через cd делать...

В принципе зачем мучатся удаляя какой то вирь? сделайте востановление через cd и всё, причем на диске С: ни накроется ни рисунки, ни какие то файлы, ни избранное, ни драйвера ( хотя хз)...

Видать - лишнего чего-то удалили. После банального удаления ключа с debugger такого не должно было случиться. Кстати, переустановка в режиме восстановления ни к чему не приведет, если линк с дебагером оставить - проверено... Вернемся ко все тому же фону рабочего стола да и только.

5456.jpg

post-88-1145820349.jpg

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Вы тут говорили про Scano.e, который заражает csrss.exe...
А то всё равно он после ребута весит в процессах csrss,

Я думаю, что просто несколько неправильно сформулированно. Scano не заражает csrss.exe, а лишь создает собственный файл в папке Windows, а настоящий лежит в system32 и он , между прочим, должен быть в списке процессов. У меня попался экземпляр Scanoe.i

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти

Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • В данной статье рассматривается платформа JaCarta, поддерживающая технологии электронной подписи и строгой аутентификации, приводится краткий обзор продуктов и описание принципов их работы. Читать далее
    • santy Как по мне, так разница тотальная.
      Одно дело мониторинг по умолчанию - ( как функция ) другое дело, мониторинг по требованию.
      Не нужен - не делай настройку и не используй. Не раз уже такие случаи в истории были: появляется новый вирус\червь и начинает прыгать по сети.
      А в базе антивируса он может появиться на следующий день, или ещё позже.
      А может система безопасности не предполагает наличие антивируса.
      А так: выявили > прикончили и для профилактики включили проверку машины через задачу.    
    • И хорошо, что этого нет, поскольку uVS не предназначен для мониторинга.
    • Vitokhv На данный момент это возможно только в альтернативно реальности Варкрафт.
      И там это работает так: Оператор добавляет сигнатуру вируса в базу > Проверяет список, при необходимости корректирует длину сигнатуру
      Настраивает австоскрипт: settings.ini  ( как реагировать на угрозу и метод удаления )
      Далее...
      Оператор добавляет uVS \ start.exe в автозапуск системы.
      При старте uVS автоматически определяет  тип своего запуска ( например start.exe через задачу )
      Далее работает настройка по settings.ini  ( при запуске через task проверять список по базе вирусов и критериев )
      После чего работает ранее настроенный австоскрипт: settings.ini  ( реакция  на угрозу и метод удаления )
      Вирус/Adware удаляется - копия угрозы помещается в карантин.
      Информация об угрозе пишется в лог. ( + копия лога пересылается на указанный в настройке адрес ) ------ А в нашем мире этого ничего нет.