Раздел форума:
Подхватил Email-Worm.Win32.Scano.f
Определяет, но лечит. Последнее обновление баз KAV за 26.04.06
Может кто какие могут быть последствия...
На WInXP пропал рабочий стол, но вроде все службы грузятся и приложения можно запустить через TASK MANAGER. Как бороться.
Страницы
На сайте касперского написано как, но не понятно и в safe mode все-равно desktop не открывается!!!
У меня был Email-Worm.Win32.Scano.e.
- csrss.exe в папке WINDOWS это и есть вирус
- lsass.exe в той же папке его загрузчик
- csrss.exe можно удалить, но вирус его почти сразу востановит
- lsass.exe вообще не удаляется
* скопируй файл csrss.exe из папки WINDOWS\system32 (это оригинальный файл)
в папку WINDOWS, короче замени вирусный файл оригиналом
* удали в реестре запись "C:\WINDOWS\lsass.exe" в ветке:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
* Перезагрузи комп
- опа! А рабочего стола и нету... жмём Ctrl+Alt+Del - выполнить - regedit.exe
* удаляем в реестре "папку":
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
- кстати загляни что в ней и поймёшь, почему explorer не запускался...
* теперь перезагружаемся и всё ОК! теперь файлы lsass.exe и csrss.exe из папки WINDOWS можно удалить
Здравствуйте! Взяла вас адрес на сайте Компьютерные вести, на форуме по поводу Email-Worm.Win32.Scano.f. А у вас не возникали проблемы с сетью после удаления вируса? А то рабочий стол вроде восстановился, все работает, вот только компьютер вылетел из домена и не хочет в него заходить... Пишет - "Внутренняя ошибка". Помогите пожалуйста, если знаете!
Ответ:
Привет! А у тебя 100% Email-Worm.Win32.Scano.f? Их сейчас столько модификаций с разной буквой на конце :D. Какая операционная система? У меня Windows XP SP2 Professional. Возможно, что на иную систему червь воздействует по иному. Кстати со временем выяснил, что он удалил из ветки HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\ параметр "BootExecute". Если не найдёшь у себя его, то нужно его добавить как "строковый" со значением "autocheck autochk *". Ещё я советую сделать Пуск - Выполнить - ввести sfc /scannow. Перед этим вставить диск с которого устанавливала Windows. Система проверит целостность всех файлов и если чего-то не достаёт или какой-то файл повреждён, то заменит его и всё будет ОК. Кстати тема письма не совсем корректна. Рабочий стол убивает не вирус, а глупость пользователя и антивируса. Вирус делает совсем другое. Можешь прочитать здесь: http://info.drweb.com/virus_description/103883
Удачи тебе, пока!
1. запускаем regedit (именно его а не regedt32) находим папку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe и оставляем открытым
2. запускаем regedt32 (именно его а не regedit) находим папку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe и ставим на нее разрешения (там в меню есть соотв пункт) что в нее не может писать ни система ни администратор, ни кто. после удаляем этот ключ - он заново не восстановится.после удаляем из winnt файл csrcc.exe перегружаемся .... вобщем он должен удалится и после не появляется
еще симптом у меня есть - заражена папка program files\outlook express
если из нее удалить любые файлы они тут же востанавливаются (в течении трех секунд) а если удалять мимо корзины (в far) то выдает ошибку совместного доступа. если посмотреть какой процесс держит папку то оказывается что это winlogon.exe
антивирус показывает что вся система абсолютно чистая
в document & settings в папке allusers там в подпапках внутри лежала странная dll-ка kav на нее ругается что нет доступа. так вот на мой взгляд ей там не место и во-вторых запуск это dll-ки прописан в реестре в разделе winlogon.
удаление этой dll-ки не помогло.
выводы делайте сами
Только желательно пошагово (что называется ,куда-когда-где нажать........)
получилось след.:
////утром включила компьютер, он тут же выдал сообщение ,что у меня вирус:
""Внимание! обнаружен объект ,зараженный вирусом. доступ к объекту ...... заблокирован. объект заражен вирусом Email-Worm.Win32.Scano.aq . Рекомендуется удалить этот объект"""
Как всегда в подобных случаях делаю(когда не лечится) , нажала "удалить (рекомендуется)",
на это мне появилось сообщение,что надо вставить диск с sp2 ,чтобы чего-то куда-то скопировалось
......диск вставила, так теперь все утро он делает какую-то проверку по кругу:
"""""2Выполняется проверка целостности и соответсвия исходной версии для защищенных файлов Windows""""""///////
но кроме этого ничего не делается....
Удалили весь Windows, а потом переустановили с диска. Программы и документы все восстановились (версия хр). Касперского пришлось переустанавливать.
ЭТО ВСЁ ВИРУСА!!! точнее один и тотже вирус, так как помоему у них одно тело с "C:\Windows\csrss.exe"
ВООЩЕМ, Ганите их в Шею с вашего компа!
А если увидите автора этого произведения, оторвите ему РУКИ, заодно Ноги и Голову... :) а остальное на ваше усмотрение :) И помоему ВИРУСА на машине Более нет. Да тока вот я так и не въехал, с кеда он мне попал :( вот ето лажа :(
Всём удачи в Борьбе с фирусами, предохраняйтесь :)
"1001 Sex and more.rtf.exe"
"3D Studio Max 6 3dsmax.exe"
Обновил AntiVir PersonalEdition Classic
после нашел откуда он взялся
D:\Мои документы\Защита\Epidem Warez - Настройка Agnitum Outpost Firewall 2_1 - Скачать - Download.files\XXX hardcore pics.jpg .scr
[DETECTION] Contains signature of the worm WORM/Scano.AQ.
[INFO] The file was deleted!
D:\Мои документы\Защита\Epidem Warez - Настройка Agnitum Outpost Firewall 2_1 - Скачать - Download.files\Matrix 3 .mpg.exe
[DETECTION] Contains signature of the worm WORM/Scano.AQ.
[INFO] The file was deleted!
D:\Мои документы\2\hiptex\tex\generic\public\Eminem.mp3.scr
[DETECTION] Contains signature of the worm WORM/Scano.AQ.
[INFO] The file was deleted!
D:\Мои документы\hiptex\tex\generic\public\Windows XP crack.scr
[DETECTION] Contains signature of the worm WORM/Scano.AQ.
[INFO] The file was deleted!
D:\Мои документы\2\hiptex\fonts\type1\public\WinXP eBook newest.doc.exe
[DETECTION] Contains signature of the worm WORM/Scano.AQ.
[INFO] The file was deleted!
D:\Мои документы\2\hiptex\fonts\type1\public\Ulead Keygen 2004.pif
[DETECTION] Contains signature of the worm WORM/Scano.AQ.
[INFO] The file was deleted!
D:\Мои документы\2hiptex\fonts\tfm\public\Eminem Spears porn.jpg .scr
[DETECTION] Contains signature of the worm WORM/Scano.AQ.
[INFO] The file was deleted!
D:\Мои документы\2\hiptex\fonts\tfm\public\Saddam Hussein.jpg.exe
[DETECTION] Contains signature of the worm WORM/Scano.AQ.
[INFO] The file was deleted!
D:\Мои документы\2\hiptex\fonts\afm\public\Windows Vista Sourcecode.doc.exe
[DETECTION] Contains signature of the worm WORM/Scano.AQ.
[INFO] The file was deleted!
D:\Мои документы\2\hiptex\fonts\afm\public\Norton Antivirus 2005 beta.pif
[DETECTION] Contains signature of the worm WORM/Scano.AQ.
[INFO] The file was deleted!
D:\сохр\Мои документы\Защита\Epidem Warez - Настройка Agnitum Outpost Firewall 2_1 - Скачать - Download.files\RFC compilation.doc.pif
[DETECTION] Contains signature of the worm WORM/Scano.AQ.
[INFO] The file was deleted!
D:\сохр\Мои документы\Защита\Epidem Warez - Настройка Agnitum Outpost Firewall 2_1 - Скачать - Download.files\Britney Spears porn.jpg.exe
[DETECTION] Contains signature of the worm WORM/Scano.AQ.
[INFO] The file was deleted!
D:\сохр\Мои документы\Epidem Warez - Настройка Agnitum Outpost Firewall 2_1 - Скачать - Download.files\Britney Spears Song text archive.doc.scr
[DETECTION] Contains signature of the worm WORM/Scano.AQ.
[INFO] The file was deleted!
D:\сохр\Мои документы\Epidem Warez - Настройка Agnitum Outpost Firewall 2_1 - Скачать - Download.files\Lightwave 9 Update.exe
[DETECTION] Contains signature of the worm WORM/Scano.AQ.
[INFO] The file was deleted!
D:\сохр\Мои документы\Защита\Epidem Warez - Настройка Agnitum Outpost Firewall 2_1 - Скачать - Download.files\Norton Antivirus 2005 beta.pif
[DETECTION] Contains signature of the worm WORM/Scano.AQ.
[INFO] The file was deleted!
D:\сохр\Мои документы\Защита\Epidem Warez - Настройка Agnitum Outpost Firewall 2_1 - Скачать - Download.files\Adobe Premiere 10.exe
[DETECTION] Contains signature of the worm WORM/Scano.AQ.
[INFO] The file was deleted!
D:\сохр\Мои документы\Защита\Epidem Warez - Настройка Agnitum Outpost Firewall 2_1 - Скачать - Download.files\ACDSee 10 full.scr
[DETECTION] Contains signature of the worm WORM/Scano.AQ.
[INFO] The file was deleted!
D:\сохр\Мои документы\Защита\Epidem Warez - Настройка Agnitum Outpost Firewall 2_1 - Скачать - Download.files\XXX hardcore pics.jpg .pif
[DETECTION] Contains signature of the worm WORM/Scano.AQ.
[INFO] The file was deleted!
D:\работа\Epidem Warez - Настройка Agnitum Outpost Firewall 2_1 - Скачать - Download.files\source code.exe
[DETECTION] Contains signature of the worm WORM/Scano.AQ.
[INFO] The file was deleted!
D:\\Epidem Warez - Настройка Agnitum Outpost Firewall 2_1 - Скачать - Download.files\Osama Bin Laden.jpg.scr
[DETECTION] Contains signature of the worm WORM/Scano.AQ.
[INFO] The file was deleted!
D:\Защита\Epidem Warez - Настройка Agnitum Outpost Firewall 2_1 - Скачать - Download.files\Harry Potter all e.book.doc.pif
[DETECTION] Contains signature of the worm WORM/Scano.AQ.
[INFO] The file was deleted!
D:\Защита\Epidem Warez - Настройка Agnitum Outpost Firewall 2_1 - Скачать - Download.files\Smashing the stack full.rtf.scr
[DETECTION] Contains signature of the worm WORM/Scano.AQ.
[INFO] The file was deleted!
D:\Epidem Warez - Настройка Agnitum Outpost Firewall 2_1 - Скачать - Download.files\Eminem.mp3.scr
[DETECTION] Contains signature of the worm WORM/Scano.AQ.
[INFO] The file was deleted!
D:\Epidem Warez - Настройка Agnitum Outpost Firewall 2_1 - Скачать - Download.files\Eminem sex xxx.jpg.scr
[DETECTION] Contains signature of the worm WORM/Scano.AQ.
[INFO] The file was deleted!
Вот еще одно - от такая ситуация..
Я скачал настройки фаервола давненько и видать с картинками которые шли с ним "в придачу" о чем я ни сном ни духом не знал, и эту дрянь подхватил.
кто ловил? помогите!!!
каспом 6, кто знает толк будет нет? :)
У меня вирусы обнаруживались и после переустановки. Только У меня был Scano.aq.Просканировала 4 раза подряд, только на 3-й раз было чисто. В 4-й раз тоже.
Страницы