Борьба с трояном

[RQ3P]

Такое дело.Дочь словила на комп трояна Trojan.NtRootKit.779 . Сидит паразит в виде файла С:\windows\system32\nso12k .Этот nso12k лицензионный Dr.Web ver.4.44 определяет как Trojan.NtRootKit.779 удаляет,но после перезагрузки он опять появляется.Работу его в процессах не нашел.Что делать? Командером файл тоже не удаляется.

[RA6XTD]

1. Попробовать поставить Касперсокго. Мой личный опыт показал, что он куда лучше Др. Веба.
Но вирусы хитрые - он может просто не дать установитсья антивирусу.
По крайней мере если касперыч установится, он при перезапуске удалит его.
2. Загрузившись в безопасном режиме попробовать удалить файл.
В нем же убрать из процессов или автозагрузки.
Но обычно они оставляют кучу копий.
Плюс есть двухмодульные. В памяти сидит безобидная программка, которая запускает, распаковывая вирус, даже если вы снова прибьете его антивирем.
3. Запустить командную строку.
Набрать tasklist
Попробовать поискать в процессах.
Затем набрать taskkill /FI /PID номер
где номер - номер процесса полученного через такслист.
Вирус может мимикрировать под service.exe, svchost.exe
После этого снова пройтись антивирем.
4. Есть загрузочные диски. Грузят винду прямо с компакта в память. Специально предназначенные облегченные версии, включают уже несолько антивирусов и возможность выхода в Интернет для обновления баз - самый последний способ.
Самый действенный без необходимости снимать винт в тяжелых случаях и лечить на чистой машине.

[RX9UK]

Здравствуйте!Попробуйте запуститься в безопасном режиме и удалить вирус, возможно поможет.

[UA3DTK]

Попровуйте Spybot

[RQ3P]

Проблема в том,что я не могу его найти.файл nso12k определяемый как троян-это его производная.Я его удаляю антивирусником-он удаляется и тут же какаято тварь его делает заново.Копий не нашел.Форматировать шибко не хочется-рухнет аутлук с большим архивом.
Троян еще выбрасывает копии типа А01082хх.sys в system volume. Эти находятся и убиваются. Ладно буду пробовать дальше.

[RA6XTD]

Начните с самого простого - со скачивания Касперского 8 и пробы его с временным ключом. И если он справится с задачей то раз у вас лицензионный Веб, то будет ответ на вопрос - продять или не продлять и что приобретать на замену.

Только Касперского советую ставить не KIS, а KAV и в следующем виде:
только сканер, веб и почта. Все.
Веб-антивирус будет смотреть траффик, почтовый почту.
Приносимые друзьями флешки - сканером.
Ну и в настройках ессно лечить автоматом, если не лечится - удалять.
Встроенный файрволл ессно включен.
И ради бога, отключите автозапуск. Иначе заражение при подтыкании зараженной флешки гарантированно.
Все, граница на замке и не тормозит.
100% гарантии не даст никто, но и презерватив ее не дает, хотя его все используют.

[4Z5ML]

Насчёт таких вот "паразитов", самое лучшее - Олег Зайцев.

У меня и комп старенький (3g Intel+4G оперативки), но за четыре года - ни одного сбоя. Только вот недавно переставил ХР. Мамку поменял. А старая, с новыми дровами, не всегда корректно работала.

Рекомендую иногда сканировать при помощи AVZ в "параноидальном режиме".

[UA4PCA]

Петр, послушайте пожалуйста еще один совет:
Современные вирусы очень любять сидеть в оперативке. Т.е. Ваш DrWeb добросовестно находит врага, обезвреживает его, ждет когда вы ему повесите на грудь медаль А враг перед перезагрузкой из оперативки опять активируется. Поэтому, попробуйте самый простой путь, при котором пока не надо ничего переустанавливать. Как только DrWeb отчитается об успешной ликвидации угрозы (при этом не должно быть запущено больше ни одно приложение, в т.ч. желательно завершить также ненужные процессы) - грубо выдергиваете комп из розетки. Windows это варварство переживет. Не менее, чем через пару минут включаете, грузитесь в безопасном режиме, вручную удаляете файл, который не могли удалить раньше. Перезагружаетесь и выполняете максимально глубокое сканирование компа. Долго и муторно? Чтож поделать, значит Ваш антивирус не справляется со своими обязанностями. После того, как ликвидируете тварь - переходите на другой.

[RW9JQ]

Заходите через выполнить,набираете REGEDIT то есть вход в реестр,нажимаете поиск контрол + буква F или сами находите этот файл и удаляете его,через поисковик ищите лучше по последнему названию файла(nso12k),он там вам еще найдет всякий мусор от этого вируса,НО ВНИМАТЕЛЬНО СМОТРИТЕ ЧТО УДАЛЯЕТЕ!Это реестр и востановить очень трудно!Еще совет,если это название файла вы найдете гдето в реестре через дробь с каким нибудь системным файлом не вздумайте удалять весь файл,нажмите свойства этого файла и в названии файла просто измените название его то есть уберите все эти лишние дроби и нажмите ок!Ни в коем случае не удаляйте весь файл а просто измените название!73!

[RA6XTD]

2 skosh
Бесполезный, имхо, способ.
Если антивирус не нашел его в памяти, то значит он видит лишь часть вируса, надводную часть айсберга. А следовательно в памяти, на винте и следовательно в автозапуске сидит вторая часть, которая просто может быть тупо распаковывает вирус и запускает его. Причем не обязательно на винт. Так что суть нормального антивируса в том, чтобы заразу из памяти удалить. И распознавать полиморфный код вируса.
Вы точно успеете вырубить комп сразу как только удалиться файл?
Ведь на запись на винт каких-то килобайт может понадобиться микросекунды.
Вы гарантируете, что нет под видом безобидной программки второй части, которая остается еще на винте и спокойно переживет ваше "варварство"?

Самое простое, повторю, поставить тежелую артиллерию - нормальный антивирус.
В особо серьезных случаях, когда вирус сложный и просто не дает устанавливаться или нормально работать антивирусу, грузимся со специального диска (есть даже образы, развертываемые на флешки) и лечимся оттуда. Крайний, но 100% способ - несем винт другу и лечим там (если там стоит нормальный антивирус).

Не менее, чем через пару минут включаете,

Ну а это-то зачем?

Добавлено через 6 минут

Заходите через выполнить,набираете REGEDIT то есть вход в реестр,нажимаете поиск контрол + буква F или сами находите этот файл и удаляете его,через поисковик ищите лучше по последнему названию файла(nso12k),он там вам еще найдет всякий мусор от этого вируса,НО ВНИМАТЕЛЬНО СМОТРИТЕ ЧТО УДАЛЯЕТЕ!Это реестр и востановить очень трудно!73!

Большинство современных вирусов это пресекает.
Поэтому вы забыли уточнить - в безопасном режиме.

Последний виденный мной на работе в детском саду у жены (кстати, доктор веб показал там свою полную беспомощность) просто вырубал комп если набрать msconfig или regedit. А вирус делал что - вставляешь чистую болванку, он себя с автозапуском записывал.

Такой тривиальный способ подойдет лишь для самых простых вирусов.
Вирусы как правило кидают свои клоны под разными именами, миммикрируя под системные процессы (explorer.exe, svchost.exe) так что или пропустите, или удалите не то.

Но в данном случае, наверное подойдет.
Вот что пишут.
http://www.greatis.com/appdata/d/n/nso12k.sys.htm
Вот инструкция, правда на инглише.
http://www.spywareremove.com/removenso12ksys.html

[UA9FY]

Такое дело.Дочь словила на комп трояна Trojan.NtRootKit.779 . Сидит паразит в виде файла С:\windows\system32\nso12k .Этот nso12k лицензионный Dr.Web ver.4.44 определяет как Trojan.NtRootKit.779 удаляет,но после перезагрузки он опять появляется.Работу его в процессах не нашел.Что делать? Командером файл тоже не удаляется.

Если точно известен файл вируса, то загрузись с загрузочной дискеты . Запусти например Нортон командер и грохни эту заразу . Из под ДОС,а убивается все .

Удачи

[RW9JQ]

Большинство современных вирусов это пресекает.
Поэтому вы забыли уточнить - в безопасном режиме.

Зачем безопасный режим нужен когда вы заходите в сердце винды реестр,абсолютно не нужно!Те вирусы которые прописываются именно так я выковыривал только так и никакой касперский лицензионный тут не помогает,он рубит только верхушки а зараза сидит в самом ядре то есть в реестре!

[RQ3P]

Попровуйте Spybot

Попробовал-не помог.

Добавлено через 6 минут

3. Запустить командную строку.
Набрать tasklist

Пробовал-запускается окно и сразу сбрасывается.

Добавлено через 29 минут

Заходите через выполнить,набираете REGEDIT то есть вход в реестр,нажимаете поиск контрол + буква F или сами находите этот файл и удаляете его,через поисковик ищите лучше по последнему названию файла(nso12k),он там вам еще найдет всякий мусор от этого вируса,НО ВНИМАТЕЛЬНО СМОТРИТЕ ЧТО УДАЛЯЕТЕ!Это реестр и востановить очень трудно!Еще совет,если это название файла вы найдете гдето в реестре через дробь с каким нибудь системным файлом не вздумайте удалять весь файл,нажмите свойства этого файла и в названии файла просто измените название его то есть уберите все эти лишние дроби и нажмите ок!Ни в коем случае не удаляйте весь файл а просто измените название!73!

Попробовал-удалил три файла.После перезагрузки Dr.Web сразу его опять определил на томже самом месте.

[RA6XTD]

Зачем безопасный режим нужен когда вы заходите в сердце винды реестр,абсолютно не нужно

Хех. Вы видимо не сталкивались с серьезной угрозой.
Набираете regedit и вам выводится: отключено администратором.
Конечно, после уничтожения вируса манипуляции в gpedit.msc помогут это вылечить, но пока в реестр не удасться зайти.
Только сейв мод и врубание через политику груп доступ к реестру.

Еще они любят отрубать ctrl+alt+del.

Пробовал-запускается окно и сразу сбрасывается.

Стоп. Вы не из Выполнить... набирайте.
А Программы->Стандартные->Комнадная строка

Короче не мучайтесь - качайте касперского и ставьте в указанной конфигурации.
Он конечно весит прилично, но что ж делать.
Обновляйте базы и вперед.
Если нужен ключ так сказать в ознокомительных целях, чтобы сравнить с др. вебом - обращайтесь в приват.

Попробовал-удалил три файла.После перезагрузки Dr.Web сразу его опять определил на томже самом месте.

Только в безопасном режиме это делайте. В обычном смысла нет - вы удалите, а вирус опять строки добавит.

[RW9FM]

Попробуйте AviraAntivir-Free(Germany),а в качестве первого сканера,я использую Dweb.CureIt.Между собой они не конфликтуют и ресурсов потребляют немного.Удачи!