Azamat Posted October 20, 2010 Share Posted October 20, 2010 Сегодня брат попросил проверить свой ноут, мол там че-то слизистое *цензура*ожее на Чужой-2 - гуляет. Позырил. Оказалось вот оно что: Есть вирус с названием файла QGS.exe (находится в корневой папке), который закреплен за wuauolts.exe (находится в папке windows/system32), который в свою очередь за файлом mosss.exe (находится в папке Program Files). При включении компьюютера обычно Касперский сам загружается автоматом, если вы вручную не отключили. Но - после появления этого вируса в вашем компе Каспер наглухо блокируется этим вирусом. Обновление за 3-ю декаду сентября 2010-года - не канает, так как тот же вирус не распознался в моем компе с таким обновлением. Что делать? Конечно вы попробуете удалить вирус вручную (если вы технарь). Но не тут-то было. Даже после удачного удаления вручную этих файлов (moss.exe вы никак не сможете удалить) - после перезагрузки компа - все вышеуказанные файлы восстановятся и будут на своих местах. Так что делать? Сначала прочитаем от А до Я текст по этой ссылке. НЕ ЛЕНИСЬ! А ТО СТАНЕШЬ ЛЕНКОЙ! Дальше выполняем скрипт в той проге. begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Program Files\mosss.exe',''); DeleteFile('C:\Program Files\mosss.exe'); QuarantineFile('E:\autorun.inf',''); QuarantineFile('C:\qgs.exe',''); QuarantineFile('E:\QGS.exe',''); QuarantineFile('C:\WINDOWS\system32\.dll',''); QuarantineFile('C:\autorun.inf',''); QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\.lnk',''); QuarantineFile('C:\WINDOWS\system32\drivers\BGS.sys',''); TerminateProcessByName('c:\windows\system32\wuauolts.exe'); QuarantineFile('c:\windows\system32\wuauolts.exe',''); DeleteFile('c:\windows\system32\wuauolts.exe'); DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\.lnk'); DeleteFile('C:\autorun.inf'); DeleteFile('C:\WINDOWS\system32\.dll'); DeleteFile('E:\QGS.exe'); DeleteFile('C:\qgs.exe'); DeleteFile('E:\autorun.inf'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(9); ExecuteRepair(13); RebootWindows(true); end. Комп перезагрузится. После перезагрузки Касперский восстановится и в некоторых случаях попытается активировать себя заново. Можете нажимать хоть на Да, хоть на Нет (и.т.п.). После этого запускаете Касперский (любого типажа ;)), и Добавляете в Карантин файл mosss.exe, который находится в папке Program Files. ЕСЛИ КОНЕЧНО ВАМ ЛЕНЬ ВСЕ ЭТО ДЕЛАТЬ - ТО МОЖЕТЕ СНЕСТИ СИСТЕМУ И ЗАНОВО ПЕРЕУСТАНОВИТЬ. НО СВЕЖАК ВИНДЫ НЕ ГАРАНТИРУЕТ ВАМ ПОЛНОГО ИЗБАВЛЕНИЯ ОТ ЭТОГО ВИРУСА! Испытано. Проверено. Одобрено! Quote Link to comment Share on other sites More sharing options...
0ndas Posted October 20, 2010 Share Posted October 20, 2010 как это:? полный формат винта не убивает это вир? Quote Link to comment Share on other sites More sharing options...
Guest ака_Учкун Posted October 21, 2010 Share Posted October 21, 2010 Перезагрузится в линукс, и уже из-под линя без проблем удалить эти файлы на виндозном локальном диске и все дела...... Quote Link to comment Share on other sites More sharing options...
Guest Posted October 21, 2010 Share Posted October 21, 2010 как это:? полный формат винта не убивает это вир?Лучше поставь Drweb 6.00 антивирус, это лучший антивирус чем касперского.у меня тоже был такой проблема. я решел проблема с DRWEB 6.00. скачай оргинал из Drweb.ru. и иши журналный ключи в инете. Quote Link to comment Share on other sites More sharing options...
Azamat Posted October 21, 2010 Author Share Posted October 21, 2010 Лучше поставь Drweb 6.00 антивирус, это лучший антивирус чем касперского.Не тут то было! Если червь в карантине (файл moss.exe) вдруг проснется когда-нибудь - он и ваш дрвеб заблокирует. Протестировал на 6-ой версии. В последних не пробовал. как это:? полный формат винта не убивает это вир?Если полный формат полного винта - то помогает конечно. Но если форматнуть только один из разделов (C, D, E и.т.д.) - то бестолку. Quote Link to comment Share on other sites More sharing options...
Iplan Posted November 2, 2010 Share Posted November 2, 2010 Не тут то было! Если червь в карантине (файл moss.exe) вдруг проснется когда-нибудь - он и ваш дрвеб заблокирует. Протестировал на 6-ой версии. В последних не пробовал. Если полный формат полного винта - то помогает конечно. Но если форматнуть только один из разделов (C, D, E и.т.д.) - то бестолку. После этого зайди на панель управления->службы->расширенные службы. ;-) а винду надо будет восстанавливать Quote Link to comment Share on other sites More sharing options...
Xayrullo Xoshimov Posted November 22, 2010 Share Posted November 22, 2010 Man bu holatni quyidagicha hal etdim: win+r, regedit, ctrl+r va avp.exe ni poisk berdim. oynani chap tomonidagi avp.exe ni udalit qildim va kasperni ishga tushirdim. kasper ishga tushdi va kriticheskie oblastni tekshirdim, kasper moss.exe ushladi va perezagruzkadan keyin udalit qlishini aytdi. Haqiqatda ham moss.exe ni uchirdi. Lekin bu usul ba'zida komplarda ish bermayapti. Natijada Nod32 ni urnatmoqdaman va hammasi OK bulyapti. Man uchun baribir antiviruslarni ichida 1-urinda kaspersky turadi. Quote Link to comment Share on other sites More sharing options...
Xayrullo Xoshimov Posted November 22, 2010 Share Posted November 22, 2010 Uzr kechirasizlar win+r, regedit, ctrl+f va avp.exe Quote Link to comment Share on other sites More sharing options...
rkn69 Posted November 22, 2010 Share Posted November 22, 2010 Я делаю так. Вынимаю винт из компа, ставлю на другой комп и там уж либо удаляю файл, либо антивирем на этом компе убиваю этот вирь. И затем уж восстанавливаю антивирь на зараженном раннее компе. Предпочитаю ставить на всех своих компах нод32, мало места занимает, мало жрет памяти, да и бесплатное обновление всегда есть. Quote Link to comment Share on other sites More sharing options...
Guest ака_Учкун Posted November 23, 2010 Share Posted November 23, 2010 А на каспера бесплатного обновления нету что ли? Ключи всегда есть.... Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.