Anton

Лечение Scano.e

В этой теме 12 сообщений

Вы тут говорили про Scano.e, который заражает csrss.exe...

Сейчас у меня полетелела оболочка виндоуса, пытался просто переименовать explorer.exe на exlorer1.exe (например)...Но толку мало, максимум что открылось это "проводник"...

Если не трудно, объясните тупому как справится с этой зловредной штукой...

Если можно по подробнее, а то вы начнете всякие умные компьютерные термины выводить, а я ничерта непойму :D

Spyware Doctor, CCleaner, ad ex-terminator- Register Medic, Kaspersky и так далее ничего ненаходят...Правда касперский орёт что нашел csrss, но толку 0, в ручную удалить этот фаил неполучается, ибо после удаления он сразу же появляется вновь...Кстать + ещё процесс sfc.exe довольно часто появляется...только изчезает быстро и само собой удалятся нехочет...

На сайте Анти-Вируса Sophos написано как его удалять, но даже с переводчиком я ничерта непонял(прочитать можно здесь http://www.sophos.com/support/disinfection/worms.html)

Заранее благодарен!

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Anton, какая версия Касперского стоит?

Вероятно придется вручную чистить комп, жаль что пока описания этого зверя нет.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вижу Personal Pro написано, а вот где версию посмотреть-незнаю :)

А каким образом в ручную чистить? и как хотя бы оболочку востановить? если что, оболчка Xp sp 2

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Нужно ключик реестра один удалить.... Запускаем Task Manager, в нем запускаем regedit, добираемся до:

[HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsexplorer.exe]

В этой ветке должно быть что-то типа debugger со ссылкой на c:windowscsrss.exe

Удаляем эту запись, затем вручную запускаем explorer.exe и вуаля! :)

Ну или вот этот способ:

http://z-oleg.com/secur/advice/adv1103.php

Кстати, вышла новая версия подарка. Читаем тут:

http://virusinfo.info/showpost.php?p=71441&postcount=27

И касп червя(если это червь) не детектит:

http://85.249.23.37/e/444.exe

проверял сегодня в 16 часов.

Anton, какая версия Касперского стоит?

жаль что пока описания этого зверя нет.

Есть! Но более ранней версии:

http://info.drweb.com/virus_description/103883

screen1.jpg

post-88-1145796030.jpg

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Да да да, такое письмо мне пришло...в AVZ у меня нету такой менюшки...востановление системы там вижу, а дальше нету...всё что связано с csrss я из реестра удалил, ребутнулся, и попробовал запустить explorer.exe, толку 0....csrss до сих пор висит в процессах..

Я думаю мне скорее всего со словами "Формат С: тебя спасет" идти и сносить винду или делать востановление системы через диск с виндой...

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
в AVZ у меня нету такой менюшки...востановление системы там вижу, а дальше нету

А у меня есть. AVZ обязательно обновить нужно сначала!

Добавлено спустя 2 минуты 8 секунд:

Я думаю мне скорее всего со словами "Формат С: тебя спасет" идти и сносить винду или делать востановление системы через диск с виндой...

Я сегодня уже 2 системы через AVZ восстановил. Так что не стоит паниковать раньше времени. Все проще-простого!

avz.jpg

post-88-1145797583.jpg

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Да, правда появилось после обновления...А дальше..? :D

А то всё равно он после ребута весит в процессах csrss, через "выполнить" запускаю винду и он пишет что то типа ненайдено или переменуйте...

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А дальше ставим галочку, как на картинке выше, жмем на "выполнить отмеченные операции", закрываем AVZ и вручную запускаем explorer.exe через Файл - Новая задача в Task Manager'е. Даже ребут не нужен.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вощем ничего невышло...Винда при ребуте у меня вообще отказалась грузится...пришлось востановление системы через cd делать...) ща норм...Но спасибо всем огромное...а то я дурак не посмотрел по пьяне что флэш фаил не sfw или как он там а exe...

В принципе зачем мучатся удаляя какой то вирь? сделайте востановление через cd и всё, причем на диске С: ни накроется ни рисунки, ни какие то файлы, ни избранное, ни драйвера ( хотя хз)...

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

У меня такая херь пришла только на адреса @mail.ru .. странно, что то на mail.ru много вирусов стало появляться..

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Вощем ничего невышло...Винда при ребуте у меня вообще отказалась грузится...пришлось востановление системы через cd делать...

В принципе зачем мучатся удаляя какой то вирь? сделайте востановление через cd и всё, причем на диске С: ни накроется ни рисунки, ни какие то файлы, ни избранное, ни драйвера ( хотя хз)...

Видать - лишнего чего-то удалили. После банального удаления ключа с debugger такого не должно было случиться. Кстати, переустановка в режиме восстановления ни к чему не приведет, если линк с дебагером оставить - проверено... Вернемся ко все тому же фону рабочего стола да и только.

5456.jpg

post-88-1145820349.jpg

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Вы тут говорили про Scano.e, который заражает csrss.exe...
А то всё равно он после ребута весит в процессах csrss,

Я думаю, что просто несколько неправильно сформулированно. Scano не заражает csrss.exe, а лишь создает собственный файл в папке Windows, а настоящий лежит в system32 и он , между прочим, должен быть в списке процессов. У меня попался экземпляр Scanoe.i

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти

Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • Facebook выплатил исследователю 10 000 $ за обнаруженную уязвимость, которая позволяла удаленно удалить любое видео с сайта. Читать далее
    • Хакеры Карим Рахаль и Ибрам Марзук обнаружили несколько уязвимостей межсайтового скриптинга в HTML Comment Box, которые позволили скомпрометировать данные пользователей около двух миллионов веб-сайтов. Читать далее
    • В любом случае если будет автомат, то он будет опцией. Я вижу это примерно так: 1. возможность сделать и прислать карантин как сейчас (что хорошо например при недоступности Инет на том ПК, на котором собираются карантины ... или например если опытный специалист хочет сам вручную или скриптом что-то закарантинить и отправить карантин на анализ) 2. В качестве альтернативы будет некий автомат, который выполнит п.п. 1 автоматически. Техничски это EXE, который проверит связь с Инет, запустит AVZ с необходимыми параметрами для сбора карантина, дождется формирования архива, отправит его с контролем успешности отправки, и выдаст пользователю квитанцию об успешности операции... по ходу показывая прогресс-индекатор и понятное пользователю описание того, что делается в текущий момент. Плюс всякие опциональные фишки типа отправки емейла вместе с карантином (как сейчас в форме на сайте - чтобы сервису было куда слать рапорт о завершении анализа), или например создание на рабочем столе ярлыка со ссылкой на результат анализа (как альтернатива указанию емейла), или например запись в реестр или в некий INI/XML данных об отправленных карантинах, чтобы пто можно было быстро открывать результаты их анализа в браузере. Такие фичи могут выбираться чекбоксиками или запускаться отдельными кнопками после выполнения основных операций. ege.org.ru ege.net.ru
    • Недавно обнаруженный вариант вредоносной программы для Android HummingBad был загружен миллионы раз после заражения 20 приложений в Google Play, предупреждают исследователи в области безопасности Check Point. Обнаруженный в начале 2016 года, HummingBad уже стал одним из самых популярных вредоносов для Android. На его долю приходится 72% атак на Android-устройства в первой половине года. Читать далее
    • Группа компаний (ГК) InfoWatch сообщает о выпуске InfoWatch Integrated Platform — нового инструмента для интеграции ИТ-систем сторонних разработчиков с решением для предотвращения утечек конфиденциальной информации и защиты бизнеса от внутренних угроз InfoWatch Traffic Monitor. Читать далее