Страница 1 из 4 1234 ПоследняяПоследняя
Показано с 1 по 15 из 58
  1. #1
    Без подписи Аватар для RQ3P
    Регистрация
    03.05.2007
    Адрес
    Оленино, Россия
    Возраст
    63
    Сообщений
    11,127
    Поблагодарили
    7119
    Поблагодарил
    1977

    Борьба с трояном

    Такое дело.Дочь словила на комп трояна Trojan.NtRootKit.779 . Сидит паразит в виде файла С:\windows\system32\nso12k .Этот nso12k лицензионный Dr.Web ver.4.44 определяет как Trojan.NtRootKit.779 удаляет,но после перезагрузки он опять появляется.Работу его в процессах не нашел.Что делать? Командером файл тоже не удаляется.


  2. #2
    Very High Power Аватар для RA6XTD
    Регистрация
    18.09.2007
    Адрес
    Нальчик, Кабардино-Балкария
    Возраст
    43
    Сообщений
    1,223
    Поблагодарили
    209
    Поблагодарил
    112
    1. Попробовать поставить Касперсокго. Мой личный опыт показал, что он куда лучше Др. Веба.
    Но вирусы хитрые - он может просто не дать установитсья антивирусу.
    По крайней мере если касперыч установится, он при перезапуске удалит его.
    2. Загрузившись в безопасном режиме попробовать удалить файл.
    В нем же убрать из процессов или автозагрузки.
    Но обычно они оставляют кучу копий.
    Плюс есть двухмодульные. В памяти сидит безобидная программка, которая запускает, распаковывая вирус, даже если вы снова прибьете его антивирем.
    3. Запустить командную строку.
    Набрать tasklist
    Попробовать поискать в процессах.
    Затем набрать taskkill /FI /PID номер
    где номер - номер процесса полученного через такслист.
    Вирус может мимикрировать под service.exe, svchost.exe
    После этого снова пройтись антивирем.
    4. Есть загрузочные диски. Грузят винду прямо с компакта в память. Специально предназначенные облегченные версии, включают уже несолько антивирусов и возможность выхода в Интернет для обновления баз - самый последний способ.
    Самый действенный без необходимости снимать винт в тяжелых случаях и лечить на чистой машине.

  3. #3
    Standart Power Аватар для RX9UK
    Регистрация
    27.01.2006
    Адрес
    Кемерово
    Возраст
    35
    Сообщений
    117
    Поблагодарили
    36
    Поблагодарил
    48
    Здравствуйте!Попробуйте запуститься в безопасном режиме и удалить вирус, возможно поможет.

  4. #4
    дед Валя Аватар для UA3DTK
    Регистрация
    30.01.2007
    Адрес
    Наро-Фоминск
    Возраст
    74
    Сообщений
    2,871
    Поблагодарили
    2469
    Поблагодарил
    1291
    Попровуйте Spybot

  5. #5
    Без подписи Аватар для RQ3P
    Регистрация
    03.05.2007
    Адрес
    Оленино, Россия
    Возраст
    63
    Сообщений
    11,127
    Поблагодарили
    7119
    Поблагодарил
    1977
    Проблема в том,что я не могу его найти.файл nso12k определяемый как троян-это его производная.Я его удаляю антивирусником-он удаляется и тут же какаято тварь его делает заново.Копий не нашел.Форматировать шибко не хочется-рухнет аутлук с большим архивом.
    Троян еще выбрасывает копии типа А01082хх.sys в system volume. Эти находятся и убиваются. Ладно буду пробовать дальше.

  6. #6
    Very High Power Аватар для RA6XTD
    Регистрация
    18.09.2007
    Адрес
    Нальчик, Кабардино-Балкария
    Возраст
    43
    Сообщений
    1,223
    Поблагодарили
    209
    Поблагодарил
    112
    Начните с самого простого - со скачивания Касперского 8 и пробы его с временным ключом. И если он справится с задачей то раз у вас лицензионный Веб, то будет ответ на вопрос - продять или не продлять и что приобретать на замену.

    Только Касперского советую ставить не KIS, а KAV и в следующем виде:
    только сканер, веб и почта. Все.
    Веб-антивирус будет смотреть траффик, почтовый почту.
    Приносимые друзьями флешки - сканером.
    Ну и в настройках ессно лечить автоматом, если не лечится - удалять.
    Встроенный файрволл ессно включен.
    И ради бога, отключите автозапуск. Иначе заражение при подтыкании зараженной флешки гарантированно.
    Все, граница на замке и не тормозит.
    100% гарантии не даст никто, но и презерватив ее не дает, хотя его все используют.

  7. #7
    Радиолюбитель
    Регистрация
    04.06.2005
    Адрес
    Яффо, Израиль
    Возраст
    63
    Сообщений
    4,534
    Поблагодарили
    1528
    Поблагодарил
    669
    Насчёт таких вот "паразитов", самое лучшее - Олег Зайцев.

    У меня и комп старенький (3g Intel+4G оперативки), но за четыре года - ни одного сбоя. Только вот недавно переставил ХР. Мамку поменял. А старая, с новыми дровами, не всегда корректно работала.

    Рекомендую иногда сканировать при помощи AVZ в "параноидальном режиме".

  8. #8
    Very High Power Аватар для UA4PCA
    Регистрация
    12.05.2007
    Адрес
    Казань
    Возраст
    56
    Сообщений
    2,039
    Поблагодарили
    568
    Поблагодарил
    182
    Петр, послушайте пожалуйста еще один совет:
    Современные вирусы очень любять сидеть в оперативке. Т.е. Ваш DrWeb добросовестно находит врага, обезвреживает его, ждет когда вы ему повесите на грудь медаль А враг перед перезагрузкой из оперативки опять активируется. Поэтому, попробуйте самый простой путь, при котором пока не надо ничего переустанавливать. Как только DrWeb отчитается об успешной ликвидации угрозы (при этом не должно быть запущено больше ни одно приложение, в т.ч. желательно завершить также ненужные процессы) - грубо выдергиваете комп из розетки. Windows это варварство переживет. Не менее, чем через пару минут включаете, грузитесь в безопасном режиме, вручную удаляете файл, который не могли удалить раньше. Перезагружаетесь и выполняете максимально глубокое сканирование компа. Долго и муторно? Чтож поделать, значит Ваш антивирус не справляется со своими обязанностями. После того, как ликвидируете тварь - переходите на другой.

  9. #9
    Заблокирован
    Регистрация
    15.02.2004
    Адрес
    Ханты-Мансийск
    Возраст
    58
    Сообщений
    1,772
    Поблагодарили
    166
    Поблагодарил
    95
    Заходите через выполнить,набираете REGEDIT то есть вход в реестр,нажимаете поиск контрол + буква F или сами находите этот файл и удаляете его,через поисковик ищите лучше по последнему названию файла(nso12k),он там вам еще найдет всякий мусор от этого вируса,НО ВНИМАТЕЛЬНО СМОТРИТЕ ЧТО УДАЛЯЕТЕ!Это реестр и востановить очень трудно!Еще совет,если это название файла вы найдете гдето в реестре через дробь с каким нибудь системным файлом не вздумайте удалять весь файл,нажмите свойства этого файла и в названии файла просто измените название его то есть уберите все эти лишние дроби и нажмите ок!Ни в коем случае не удаляйте весь файл а просто измените название!73!

  10. #10
    Very High Power Аватар для RA6XTD
    Регистрация
    18.09.2007
    Адрес
    Нальчик, Кабардино-Балкария
    Возраст
    43
    Сообщений
    1,223
    Поблагодарили
    209
    Поблагодарил
    112
    2 skosh
    Бесполезный, имхо, способ.
    Если антивирус не нашел его в памяти, то значит он видит лишь часть вируса, надводную часть айсберга. А следовательно в памяти, на винте и следовательно в автозапуске сидит вторая часть, которая просто может быть тупо распаковывает вирус и запускает его. Причем не обязательно на винт. Так что суть нормального антивируса в том, чтобы заразу из памяти удалить. И распознавать полиморфный код вируса.
    Вы точно успеете вырубить комп сразу как только удалиться файл?
    Ведь на запись на винт каких-то килобайт может понадобиться микросекунды.
    Вы гарантируете, что нет под видом безобидной программки второй части, которая остается еще на винте и спокойно переживет ваше "варварство"?

    Самое простое, повторю, поставить тежелую артиллерию - нормальный антивирус.
    В особо серьезных случаях, когда вирус сложный и просто не дает устанавливаться или нормально работать антивирусу, грузимся со специального диска (есть даже образы, развертываемые на флешки) и лечимся оттуда. Крайний, но 100% способ - несем винт другу и лечим там (если там стоит нормальный антивирус).

    Цитата Сообщение от skosh Посмотреть сообщение
    Не менее, чем через пару минут включаете,
    Ну а это-то зачем?

    Добавлено через 6 минут
    Цитата Сообщение от A.N.Z Посмотреть сообщение
    Заходите через выполнить,набираете REGEDIT то есть вход в реестр,нажимаете поиск контрол + буква F или сами находите этот файл и удаляете его,через поисковик ищите лучше по последнему названию файла(nso12k),он там вам еще найдет всякий мусор от этого вируса,НО ВНИМАТЕЛЬНО СМОТРИТЕ ЧТО УДАЛЯЕТЕ!Это реестр и востановить очень трудно!73!
    Большинство современных вирусов это пресекает.
    Поэтому вы забыли уточнить - в безопасном режиме.

    Последний виденный мной на работе в детском саду у жены (кстати, доктор веб показал там свою полную беспомощность) просто вырубал комп если набрать msconfig или regedit. А вирус делал что - вставляешь чистую болванку, он себя с автозапуском записывал.

    Такой тривиальный способ подойдет лишь для самых простых вирусов.
    Вирусы как правило кидают свои клоны под разными именами, миммикрируя под системные процессы (explorer.exe, svchost.exe) так что или пропустите, или удалите не то.

    Но в данном случае, наверное подойдет.
    Вот что пишут.
    http://www.greatis.com/appdata/d/n/nso12k.sys.htm
    Вот инструкция, правда на инглише.
    http://www.spywareremove.com/removenso12ksys.html

  11. #11
    High Power Аватар для UA9FY
    Регистрация
    01.01.2007
    Адрес
    Пермский край
    Возраст
    68
    Сообщений
    656
    Поблагодарили
    322
    Поблагодарил
    419
    Цитата Сообщение от RW3PF Посмотреть сообщение
    Такое дело.Дочь словила на комп трояна Trojan.NtRootKit.779 . Сидит паразит в виде файла С:\windows\system32\nso12k .Этот nso12k лицензионный Dr.Web ver.4.44 определяет как Trojan.NtRootKit.779 удаляет,но после перезагрузки он опять появляется.Работу его в процессах не нашел.Что делать? Командером файл тоже не удаляется.
    Если точно известен файл вируса, то загрузись с загрузочной дискеты . Запусти например Нортон командер и грохни эту заразу . Из под ДОС,а убивается все .

    Удачи

  12. #12
    Заблокирован
    Регистрация
    15.02.2004
    Адрес
    Ханты-Мансийск
    Возраст
    58
    Сообщений
    1,772
    Поблагодарили
    166
    Поблагодарил
    95
    Цитата Сообщение от RA6XTD Посмотреть сообщение
    Большинство современных вирусов это пресекает.
    Поэтому вы забыли уточнить - в безопасном режиме.
    Зачем безопасный режим нужен когда вы заходите в сердце винды реестр,абсолютно не нужно!Те вирусы которые прописываются именно так я выковыривал только так и никакой касперский лицензионный тут не помогает,он рубит только верхушки а зараза сидит в самом ядре то есть в реестре!

  13. #13
    Без подписи Аватар для RQ3P
    Регистрация
    03.05.2007
    Адрес
    Оленино, Россия
    Возраст
    63
    Сообщений
    11,127
    Поблагодарили
    7119
    Поблагодарил
    1977
    Цитата Сообщение от Valek Посмотреть сообщение
    Попровуйте Spybot
    Попробовал-не помог.

    Добавлено через 6 минут
    Цитата Сообщение от RA6XTD Посмотреть сообщение
    3. Запустить командную строку.
    Набрать tasklist
    Пробовал-запускается окно и сразу сбрасывается.

    Добавлено через 29 минут
    Цитата Сообщение от A.N.Z Посмотреть сообщение
    Заходите через выполнить,набираете REGEDIT то есть вход в реестр,нажимаете поиск контрол + буква F или сами находите этот файл и удаляете его,через поисковик ищите лучше по последнему названию файла(nso12k),он там вам еще найдет всякий мусор от этого вируса,НО ВНИМАТЕЛЬНО СМОТРИТЕ ЧТО УДАЛЯЕТЕ!Это реестр и востановить очень трудно!Еще совет,если это название файла вы найдете гдето в реестре через дробь с каким нибудь системным файлом не вздумайте удалять весь файл,нажмите свойства этого файла и в названии файла просто измените название его то есть уберите все эти лишние дроби и нажмите ок!Ни в коем случае не удаляйте весь файл а просто измените название!73!
    Попробовал-удалил три файла.После перезагрузки Dr.Web сразу его опять определил на томже самом месте.

  14. #14
    Very High Power Аватар для RA6XTD
    Регистрация
    18.09.2007
    Адрес
    Нальчик, Кабардино-Балкария
    Возраст
    43
    Сообщений
    1,223
    Поблагодарили
    209
    Поблагодарил
    112
    Цитата Сообщение от A.N.Z Посмотреть сообщение
    Зачем безопасный режим нужен когда вы заходите в сердце винды реестр,абсолютно не нужно
    Хех. Вы видимо не сталкивались с серьезной угрозой.
    Набираете regedit и вам выводится: отключено администратором.
    Конечно, после уничтожения вируса манипуляции в gpedit.msc помогут это вылечить, но пока в реестр не удасться зайти.
    Только сейв мод и врубание через политику груп доступ к реестру.

    Еще они любят отрубать ctrl+alt+del.

    Цитата Сообщение от RW3PF Посмотреть сообщение
    Пробовал-запускается окно и сразу сбрасывается.
    Стоп. Вы не из Выполнить... набирайте.
    А Программы->Стандартные->Комнадная строка

    Короче не мучайтесь - качайте касперского и ставьте в указанной конфигурации.
    Он конечно весит прилично, но что ж делать.
    Обновляйте базы и вперед.
    Если нужен ключ так сказать в ознокомительных целях, чтобы сравнить с др. вебом - обращайтесь в приват.

    Цитата Сообщение от RW3PF Посмотреть сообщение
    Попробовал-удалил три файла.После перезагрузки Dr.Web сразу его опять определил на томже самом месте.
    Только в безопасном режиме это делайте. В обычном смысла нет - вы удалите, а вирус опять строки добавит.

  15. #15
    Standart Power
    Регистрация
    15.06.2006
    Адрес
    Соликамск
    Возраст
    64
    Сообщений
    264
    Поблагодарили
    118
    Поблагодарил
    509
    Попробуйте AviraAntivir-Free(Germany),а в качестве первого сканера,я использую Dweb.CureIt.Между собой они не конфликтуют и ресурсов потребляют немного.Удачи!

Похожие темы

  1. Борьба с радиотелефонами
    от RA0CFR в разделе УКВ аппаратура
    Ответов: 11
    Последнее сообщение: 05.02.2009, 14:58
  2. Борьба с аккумуляторами
    от RA1QFV в разделе Телефонная, сотовая связь
    Ответов: 6
    Последнее сообщение: 08.08.2008, 10:13
  3. Борьба с вирусами и троянами
    от RJ7M в разделе Компьютеры и сети
    Ответов: 34
    Последнее сообщение: 23.12.2007, 15:15
  4. Борьба с глушителями сигнала GPS и GSM
    от AKIRA в разделе Радиолюбительские технологии
    Ответов: 0
    Последнее сообщение: 13.09.2007, 19:36
  5. Борьба с самовозбуждением
    от RZ3AGI в разделе Общие вопросы
    Ответов: 8
    Последнее сообщение: 05.01.2004, 23:22

Социальные закладки

Социальные закладки

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Похоже, что вы используете блокировщик рекламы :(
Форум QRZ.RU существует только за счет рекламы, поэтому мы были бы Вам благодарны если Вы внесете сайт в список исключений!
как отключить
×
Рейтинг@Mail.ru
eXTReMe Tracker


Похоже, что вы используете блокировщик рекламы :(
Форум QRZ.RU существует только за счет рекламы, поэтому мы были бы Вам благодарны если Вы внесете сайт в список исключений!
как отключить
×