Свежие обсуждения
Компьютеры

Вирус Win32.HLLW.Shadow задолбал!

1 3 9

AN1440: При наличии активного вируса в памяти лечение - совершенно пустая трата времени.
Хм, именно сегодня Аваст обнаружил в системной памяти "Сист. память заражена, работа на комп. представляет опсность" и спросил, тип Продолжить сканирование или перезагрузится для удаления... Пошёл на перезагруз
До старта системы, Аваст начал сканирование и поудалял некую хрень (выбор "2" удаляет всё заражённое)
После того как он закончил сканирование после прохождения по Documents and Settings. (там была гадость, оттуда видать запускалась) прервал сканирование, (потому как до запуска системы, сканируется очень долго, и было влом ждать)
Затем, Вошёл в систему - ОЗУ чистое > Запустил сканирование (Аваст) уже в системе, > нашлось-удалилось пара руткитов, и ещё один троян.
Система чистая. (с чего началось, описал в соседнем топике про AnVir ).
А ушло на всё про всё, после обнаружение, ну.. немногим более часа, (время скан-удаление),в обычном рабочем порядке..
(А тут, да и не только, вечно стооолько разливается...)

А с флешкой..вот и х.з. чо уж стоко расписано. неужто у кого то с ними проблемы с удалением заразы.. Ну уж и х.з.
На фирме вечно приносят с заразой, и никогда с удалением... проблем не было.

А про сабжевый ведь расписно - Особенности и лечение червя Win32.HLLW.Shadow.based

 

идея не моя, в мартовском хакере статья была про защиту флешек, это оттуда. советую почитать. нет смысла создавать "болванки", при совпадении имен вирус будет себя переименовывать

 

D.Watson: Вот методика ( одна из ) http://www.3dnews.ru/software-news/osobennosti_i_lechenie_chervya_win32_hllw_sha...

Там рекомендуют:

{ установить патчи, указанные в следующих информационных бюллетенях Microsoft:

MS08-067;
MS08-068;
MS09-001.
}
Скачал я их, а теперь не знаю : как их влимонить в систему? Никогда не имел практики пропатчивания системы

 

Bul_d_Ozer: влимонить
Самое простое, это нажать на ссылку в "свойствах системы"

 

Cherema: Хм, именно сегодня Аваст обнаружил
- хорошо, что обнаружил. А есть гарантия, что он ВСЁ обнаружил?
Попробуйте полечить какой-нибудь "сектор". Последний я лечил Win32.Sector.17 - так даже при загруженной с КД системе вылезла проблема. Оказалось, он невесть каким образом пробил защиту защищенной от записи флэшки (отформатирована в НТФС, запрещена запись для всех возможных пользователей), а ее я воткнул после загрузки, т.к. на ней был набор антивирусов.
Вобщем, более 3 часов потребовалось на убиение заразы, а потом еще и на устранение последствий (восстановление настроек безопасного режима, свойств папки, центра безопасности и проч.).
А при активном вирусе он даже не позволяет стартовать антивирус, даже переименованный. Кроме того, при попытке старта убивает исполняемый файл антивируса.
-------
Кому как нравится, красиво жить не запретишь. Лично я запускаю КуреИт!, и при первом же найденном вирусе перезагружаюсь с КД, а дальше - по полной программе.

 

AN1440: А есть гарантия, что он ВСЁ обнаружил?
До 16.03.09 всё было чисто, пока не прихватил хе.. при загрузке-скачке...
Аваст предупреждал, но я его не послушался и отключил (образ всегда в резерве, посему и знал на что шёл.отключая)
А предупредил не Аваст, изначально, так как на этот момент был отключен, а AnVir...
Ну и т.д (дабы всё это сложить, нужно читать иной, соседний топик про AnVir)
Уверен.. нет.. Ну скажем на 99.9% что нет заразы.. 0.1% на раскумарку "А поговорить".
(AVZ то же "молчит!")
Аваст не первый год стоит, и проблем с системой не былО!
И если раньше с руткитами у него не всё ладилось (обнаружение удаление) то с версии >
avast! вepcия 4.8 Professional
( Текущая > Cбopкa: Feb2009 (4.8.1335))
и с этой заразой он справляется успешно, в чём вчера, лично, и убедился!

AN1440: А при активном вирусе он даже не позволяет стартовать антивирус, даже переименованный. Кроме того, при попытке старта убивает исполняемый файл антивируса.
А х.в. В Авасте стоит защита от несанкционированного отключения, и если что, Аваст просто заблокирует систему,
заставит уйти в перезагрузку, и начнёт сканировать-удалять всяку нечисть ДО старта системы.
(Аваст, "без его согласия - отключение его защиты все его ..exe) хрен что (некая сволочь ) удалит из процессов!)
Это фирменная фишка Аваста - При невозможности сканирования- удаления из системы (озу заражено, или нечто не даёт Вынь удалять) Аваст сканирует диски-файлы, до старта системы ( рестарт)

AN1440: Кому как нравится
+1

 

Cherema: сканирует диски-файлы, до старта системы
Тоже вопрос интересный. Чтобы ему запуститься, хотя бы ядро системы должно уже работать. А если враг в ядре?
Перезагрузка обычно употребляется для удаления заблокированных системой файлов, причем после перезагрузки они самой же системой и удаляются.

 

AN1440: Тоже вопрос интересный. Чтобы ему запуститься, хотя бы ядро системы должно уже работать
Можно пробовать войти в систему в Безопасный..и из него... Если и это не поможет >
(Не уверен, нужно смотреть..) >
Но раз работает до запуска системы, должна быть возможность запуска из NC (для НТФС) неким...exe
Как нибудь посмотрю-попытаю.

Ну и Live CD ("скорая помощь") всегда в кармане (на мини CD)

PS
AN1440
Своим постом, сам того не подозревая, натолнул на.. "Не поискать ли.." Нашёл (коли прывык к Авасту, и не уважаю ДВеба + Каспера и прочие >
Самое ОНО >
Portable Avast! 1.0.133
Вот и возьму и это добро "на вооружение"

 

Cherema: Live CD ("скорая помощь") всегда в кармане
+1

Что-то мне кажется, те кто упорно не хотят лечиться с ЦД - у них его просто нет, и не знают где взять.
У меня тоже не было. Были большие проблемы с чечением, хотя и не часто, но крайне неприятно. Приходилось на отдельном разделе держать вторую, чистую систему (тоже выход!).
Потом как-то попал ко мне этот ЦД - "Windows XPE". Он был плохо сделан - из-под него не работали флэшки. Потом нарыл в интернете технологию изготовление и сделал сборку сам. Потратил на разбирательство несколько дней. Получилось все прекрасно. И теперь - "всегда в кармане". И не только для укрошения вирусов, но и для подъема упавших систем.
Позднее попала в руки еще чья-то сборка, оказалась еще лучше моей, теперь пользуюсь ей.

 

Однако, нет ничего проще и надёжнее восстановления системы из последнего здорового образа системы с помощью ACRONIS True Image.
Лишь несколько условий: не держать на Рабочем столе личные файлы, папку Мои документы перенести на второй раздел (или диск) и также базу почтовой программы держать на втором диске/разделе.