Email-Worm.Win32.Scano.f

В диспетчере задач нет процесса EXPLORER.exe Как его запустить

#

Ребят, такая же проблема люди добрые помогите вылечить!!!

На сайте касперского написано как, но не понятно и в safe mode все-равно desktop не открывается!!!

#

Значит суть такова - этот Scano бывает разных модификаций.

У меня был Email-Worm.Win32.Scano.e.

- csrss.exe в папке WINDOWS это и есть вирус

- lsass.exe в той же папке его загрузчик

- csrss.exe можно удалить, но вирус его почти сразу востановит

- lsass.exe вообще не удаляется

* скопируй файл csrss.exe из папки WINDOWS\system32 (это оригинальный файл)

в папку WINDOWS, короче замени вирусный файл оригиналом

* удали в реестре запись "C:\WINDOWS\lsass.exe" в ветке:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

* Перезагрузи комп

- опа! А рабочего стола и нету... жмём Ctrl+Alt+Del - выполнить - regedit.exe

* удаляем в реестре "папку":

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe

- кстати загляни что в ней и поймёшь, почему explorer не запускался...

* теперь перезагружаемся и всё ОК! теперь файлы lsass.exe и csrss.exe из папки WINDOWS можно удалить

#

Лукманов Ильдар - Спасибо!!!

#

Мне тут письмецо на днях прислали...

Здравствуйте! Взяла вас адрес на сайте Компьютерные вести, на форуме по поводу Email-Worm.Win32.Scano.f. А у вас не возникали проблемы с сетью после удаления вируса? А то рабочий стол вроде восстановился, все работает, вот только компьютер вылетел из домена и не хочет в него заходить... Пишет - "Внутренняя ошибка". Помогите пожалуйста, если знаете!

Ответ:

Привет! А у тебя 100% Email-Worm.Win32.Scano.f? Их сейчас столько модификаций с разной буквой на конце :D. Какая операционная система? У меня Windows XP SP2 Professional. Возможно, что на иную систему червь воздействует по иному. Кстати со временем выяснил, что он удалил из ветки HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\ параметр "BootExecute". Если не найдёшь у себя его, то нужно его добавить как "строковый" со значением "autocheck autochk *". Ещё я советую сделать Пуск - Выполнить - ввести sfc /scannow. Перед этим вставить диск с которого устанавливала Windows. Система проверит целостность всех файлов и если чего-то не достаёт или какой-то файл повреждён, то заменит его и всё будет ОК. Кстати тема письма не совсем корректна. Рабочий стол убивает не вирус, а глупость пользователя и антивируса. Вирус делает совсем другое. Можешь прочитать здесь: http://info.drweb.com/virus_description/103883

Удачи тебе, пока!

#

Весь интернет молчит про такое чудо: Email-Worm.Win32.Scano.ag (ae & af) Мне, похож, повезло больше других. Файлы csrss не удаляются. Может, кто что скажет?

#

удалить то csrss можно ....и он даже после не будет появлятся снова ..но вот та штука которая занимается его подкачкой из интернета останется, и ни один антивирус ее ненаходит и не определяет, судя по всему она прописывается в winlogon.exe

#

удалять его так: (делалось на win2000 server)

1. запускаем regedit (именно его а не regedt32) находим папку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe и оставляем открытым

2. запускаем regedt32 (именно его а не regedit) находим папку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe и ставим на нее разрешения (там в меню есть соотв пункт) что в нее не может писать ни система ни администратор, ни кто. после удаляем этот ключ - он заново не восстановится.после удаляем из winnt файл csrcc.exe перегружаемся .... вобщем он должен удалится и после не появляется

#

версия вируса у меня была scano.ag потом подкачался scano.ah (судя по тому что на него писал kav)

еще симптом у меня есть - заражена папка program files\outlook express

если из нее удалить любые файлы они тут же востанавливаются (в течении трех секунд) а если удалять мимо корзины (в far) то выдает ошибку совместного доступа. если посмотреть какой процесс держит папку то оказывается что это winlogon.exe

антивирус показывает что вся система абсолютно чистая

#

ах да ...чуть не забыл.

в document & settings в папке allusers там в подпапках внутри лежала странная dll-ка kav на нее ругается что нет доступа. так вот на мой взгляд ей там не место и во-вторых запуск это dll-ки прописан в реестре в разделе winlogon.

удаление этой dll-ки не помогло.

выводы делайте сами

#

Помогите, пожалуйста, разобраться с Email-Worm.Win32.Scano.aq

Только желательно пошагово (что называется ,куда-когда-где нажать........)

получилось след.:

////утром включила компьютер, он тут же выдал сообщение ,что у меня вирус:

""Внимание! обнаружен объект ,зараженный вирусом. доступ к объекту ...... заблокирован. объект заражен вирусом Email-Worm.Win32.Scano.aq . Рекомендуется удалить этот объект"""

Как всегда в подобных случаях делаю(когда не лечится) , нажала "удалить (рекомендуется)",

на это мне появилось сообщение,что надо вставить диск с sp2 ,чтобы чего-то куда-то скопировалось

......диск вставила, так теперь все утро он делает какую-то проверку по кругу:

"""""2Выполняется проверка целостности и соответсвия исходной версии для защищенных файлов Windows""""""///////

но кроме этого ничего не делается....

#

Как удалить C:\WINDOWS\lsass.exe. У меня не получается.Его нет

#

Словил scano.aq долго мурыжил касперским его, пытался ручками файлы править, решил другим вирем попробовать, вирь установился и перезагрузил систему , как вы понимаете ОС уже не загрузилась, заменил csrss.exe из system32 загрузки это не помогло :( не могу скопировать скопировать из папки пользователя папки: мои документы, избранное, главное меня, раб стол итд :( помогите чем могите, мне бы заставить ОС опять запустится, а дальше уж я разобрался по вашим описаниям как, вот только как её заставить запустится :((

#

Вчера была такая же фигня со Scano.aq

Удалили весь Windows, а потом переустановили с диска. Программы и документы все восстановились (версия хр). Касперского пришлось переустанавливать.

#

Сначала загрузили VC с диска, через него удалили Windows, потом установили его с диска заново. Программы остались в Program files в основном неповрежденные, кроме Касперского.

#

Для справки сделал как описала Елена, всё ок, вирусов нет, личные папки на месте.

#

Вирус удалил, но постоянно прут другие не большиеобъекты которые заражены этим вирусом.

#

Очень, ну просто очень благодарен тебе Tazik за инфу. (Тока не пойму зачем НИК такой :) ) Но ты можно сказать, спас не жизнь :) а точнее жизнь моей ХР-юши :)вообщем, оч. полезное дело делаете товарищи. Дополню чуть твою инфу. файл "C:\Windows\csrss.exe" содержит в себе начальный код "MZKERNEL32.DLL" вообщем, я сделал поиск всех файлов на всех дисках, содержащих эдакое барахло нутри тела. Их нашлось, шота около 100 штук? с разными именами...

ЭТО ВСЁ ВИРУСА!!! точнее один и тотже вирус, так как помоему у них одно тело с "C:\Windows\csrss.exe"

ВООЩЕМ, Ганите их в Шею с вашего компа!

А если увидите автора этого произведения, оторвите ему РУКИ, заодно Ноги и Голову... :) а остальное на ваше усмотрение :) И помоему ВИРУСА на машине Более нет. Да тока вот я так и не въехал, с кеда он мне попал :( вот ето лажа :(

Всём удачи в Борьбе с фирусами, предохраняйтесь :)

#

Это их имена:

"1001 Sex and more.rtf.exe"

"3D Studio Max 6 3dsmax.exe"

#

"1001 Sex and more.rtf.exe", "3D Studio Max 6 3dsmax.exe", A0061808.exe , "Britney sex xxx.jpg.exe", "Britney Spears.jpg.exe"

#

Ну и множество других... Не могу выложить весь список сюда, не выходит:(

#

Сегодня KAV определил вирус Scano.aq.Запустила сканер. Найдено тел вирусов 83, удалено 83. Запустила снова. Найдено 59 , удалено 59. Запустила в 3-й раз. В инет больше не выходила. Вроде 0 показал. Может еще подкачается откуда - нить?

#

Здрасьте! Вот-вот, из инета и подкачивается! А откуда? У меня такая же беда - Scano.aq, мать эго ... Просканировал Касперским в он-лайн режиме. Он все обнаружил,что-то заблокировал,что-то удалил, но именно эту версию (aq) КАV не лечит! Что посоветуете? Может винду переустановить или др антивирус поможет?

#

Доброго времени суток! Поймал и я его,правда вопрос остался открытым Когда???????? - Scano . aq , сканировал Antivir . Он все обнаружил но не вылечил,Плюнул переставил винду (а жаль года два ее юзал). Опосля поставил Акронис (создал имидж диска для востановления )

Обновил AntiVir PersonalEdition Classic

после нашел откуда он взялся

D:\Мои документы\Защита\Epidem Warez - Настройка Agnitum Outpost Firewall 2_1 - Скачать - Download.files\XXX hardcore pics.jpg .scr