Преглед за печат
Нуждая се от помощ как да махна този вирус. В сайта на Symantec пише, че това е Welchia.Worm, но след сканирането пачът не намери абсолютно нищо. Има и още нещо, което е много обезпокоително. Когато стартирам Regedit той се затваря автоматично! Не ми дава да направя операциите по изтриването на вируса. Също така ще ви бъда *много* благодарен ако ми кажете коя антивирусна програма да използвам. Аз си мислех за McAfee защото май Norton-а не е толкова съвършен, колкото го изкарват. Вашето мнение?
Мисля, че файла на Welchia не се казваше така, но ще проверя все пак и ще допълня поста.
По принцип тук положението е много деликатно, тъй като Windows си има оригинален такъв файл [svchos<font color="red">t</font id="red">.exe] и той със сигурност не е за триене.
Дълго е за обяснение за какво точно служи, но най общо казано, проблема не е в него, а в някой от dll-ите, които хоства.
За втория въпрос.
Няма съвършена антивирусна програма. Аз лично, от много години насам никога не съм ползвал друга освен NAV и съм изключително доволен.
Преди това ползвах DOS варианта на F-Prot, просто друга безплатна не знаех, а и се намираха твърде трудно лекарства за такива програми.
При NAV всичко опира до редовeн update на дефинициите.
Всички по известни имат плюсове и минуси.
Нортъна е тежък, не отричам, но лично мен не ме бърка защото имам ресурс. При редовен ъпдейт [от 4-5 месеца насам си изградих навика да проверявам поне два пъти седмично] има изключителна защита.
Опитай с F-prot, Win версията разбира се.
Казват, че е много лек, а и лекарство за него се намира. Не знам коя е актуалната версия, виж в официалния сайт.
//edit
Виж дали имаш два файла в Windows/System32.
Единия е svchos1.exe, а другия svchos1.poly
Дори и само първия да е, пак следвай процедурата.
Ако е така изключи се от всякакви мрежи.
Изключи System Restore.
Стартирай в Save mode [F8 докато зарежда]
След това изтрий двата файла.
Start --> Run --> Regedit
Потърси записи за двата файла в HKEY_Local_Machine и ги изтрий.
Рестартирай.
Включи System Restore.
Включи се в мрежата.
Update-вай си дефинициите на автивирусната програма НЕЗАБАВНО.
И update НЕЗАБАВНО на Windows-а със всички патчове до момента, ако не си го направил вече де. Те запушват точно тези дупки.
Направи си full scan на цялата система, обаче в Save mode.
Вирусът може би е AGOBOT Worm или някой от неговите варианти. От безплатните антивирусни програми предпочитам F-Prot под DOS. Ако искаш пробвай с него. Ето линк за download:
ftp://ftp.f-prot.com/pub/f-prot.zip
За информация за вируса виж тук:
http://www.trendmicro.com/vinfo/viru...OBOT.R&VSect=T
Не е зле да си update-неш Windows-a със последните patch-ове за RPC DCOM Buffer Overflow. Успех!
В C:\Windows\system32 намерих svchos1.exe и svchos1.poly.exe и ги изтрих. След това намерих и string в msconfig, който указва да се зарежда на startup. Изтрих и него. Стартирах regedit и намерих още един string. Изтрох го. Сега не се появява в Task Manager-а. Дано да е убит. Ще си изтегля и patch от Symantec Security Response.
Дайте някакъв точен адрес за vulnerability пачове на Microsoft ако може.
Не си написал с каква версия на Windows-a си точно... Все пак ето един линк, от където можеш да изтеглиш всички необходими update-и за всички засегнати от тези проблеми версии на Windows:
http://www.microsoft.com/security/security_bulletins/
Ако си с Windows XP ти препоръчвам като минимум да си инсталираш IE6 SP1 и следните patch-ове:
KB823980
KB828035
KB824146
October 2003, Cumulative Patch for Internet Explorer 6 Service Pack 1 (828750)
P.S. Запомни стъпките, които ти написа Malone. Те важат за почистване при 99% от случаите на заразяване с вируси. Има и дребни изключения разбира се, където трябва и малко повече от това (който се е опарил от Roron-a го знае най-добре... [;)])
Благодаря. Иначе аз съм с dual boot Win XP/ME машина, но ползвам XP-то за всичко, включително Интернет. Понякога е много трудно да изчистя един вирус от registry-то ако не му знам key-овете. Само не разбрах за DOS версията на F-Prot...
DOS версията все още чисти доста голяма част от вирусите. Но си е DOS версия все пак... Колкото и да му бях фен на добрия стар F-PROT. Като утеха остава това, че все пак е безплатна и от FRISK Software поддържат още дефинициите на вирусите. Това е за DOS версията...
Инсталирах си Symantec Antivirus Corporate Edition 800.9374 и ъпдейтнах амтивирусните дефиниции направо чрез Live Update модула. Това как ви се струва? Какво мислите за ZoneAlarm като защита срещу евентуални пролуки в LAN мрежата?
Аз лично ползвам ZoneAlarm и смятам, че е най-добрия персонален firewall и най-добрата защита... Използвам го от години. Разбира се това си е лично мое мнение. Ако се настрои добре работи перфектно и не създава никакви проблеми.
http://v4.windowsupdate.microsoft.com/en/default.asp
Отвори го с IE обаче ...
Така са си го направили MS
Там пише всичко ... scan for updates ... нататък е ясно.
Не си длъжен разбира се да сложиш всичко което MS искат, но поне Security Updates Patches си ги сложи.
Имаш възможност да си избираш едно по едно нещата, които искаш да инсталираш.
Благодаря за полезната информация. Ще си изтегля пачовете. Май трябва доста да наваксвам: "Windows Update has found 15 critical updates for your computer."
Има някои от тях ... да кажем три, които според мен не са чак толкова жизнено необходими, но ако имаш скорост, време и място инсталирай ги.
Просто прочети ... ако засягат неща, които въобще не си инсталирал [имам предвид някои services] просто е излишно.
Не е лошо, даже е препоръчително, но заема място.
Scan type: Manual Scan
Event: Virus Found!
Virus name: W32.HLLW.Gaobot.gen
File: C:\WINDOWS\system32\scvhost.exe
Location: Quarantine
Action taken: Clean failed : Quarantine succeeded :
Date found: Sun Dec 07 15:25:04 2003
Докато писах този post Symantec Antivirus откри още три вируса:
Scan type: Realtime Protection Scan
Event: Virus Found!
Virus name: W32.HLLW.Gaobot.gen
File: C:\WINDOWS\system32\winhlpp32.exe
Location: Quarantine
Computer: RAWSTEEL
User: SYSTEM
Action taken: Clean failed : Quarantine succeeded : Access denied
Date found: Sun Dec 07 16:42:16 2003
Чакам предложения какво да правя. Положението става напечено. Изтрих всичките файлове защото карантината не ми вдъхва доверие. Току установя LAN връзка и вирусите скачат на компа!!!
Аз мисля, че ти бях написал как точно да процедираш.
Поредността на стъпките е важна, точно поради възможността да лепнеш нещо незабавно след като се включиш в мрежата.
И пак ти повтарям, в твоя случай пусни антивирусната програма, когато си в Save Mode.
Има подробна инструкция как точно да махнеш този вирус в Symantec.
Прочети <font color="red">тук</font id="red">
Ако нещо не е ясно, пиши.
Разбрах те много добре, но при първия вирус инфектираният файл се казваше svchos1.exe, а после станаха winhlpp32.exe и scvhost.exe. Работата се усложнява доста...