к своему огромному разочарованию, я не могу сам похерить вирус. в чем сосбно трабла-недавно залетел с сети какой то вирус. (вероятно аутпост тогда был выключен), прописался в автозагрузке как svcchosst. посылает запросы потсоянно в сеть, ессно я его аутопостом блокировал. через диспеьтчер завершал, каспером сканил(с вирусом запущенным и нет) результата 0. каспер его не видит. гружу лайвсд проверяю нодом-нод не видит. захожу вручную в систем 32(и с жесткого и с лайва пробовал) там нет такого файла. пробовал уже и по размеру искать-хрен, нет такого. скрытые файлы ессно сделал видимыми. так вот-как его похерить, кроме формат с? плюс к этой байде еще стала вылезать реклама(когджа в нете) типа систем еррор реестр, и ссылка на лечащую прогу за nn$. скрин к сожалению не сделал(чуть позже добавлю) за ночь вылетает штук 10 этих окон. да чуть не забыл-каждый раз удаляю вирус из автозагрузки, но при след загрузе винды, он опять появляется.
Изображения
   

   

[Ответ]

strangern, такой вирус нормально убивается и ВИДИТСЯ Каспером!!! Обнови у себя антивирусные базы. Кстати, он не под один, а под два системных процесса маскируется. Прибиваешь процессы нафиг и сажаешь каспером файлы в карантин с удалением.
Эти файлы прописываются не в System32!!! Ищи лучше.
К слову говоря - этот вирь ещё и ветки реестра рандомом подтирает.

ЗЫ: Смени аватар, иначе получишь бан на раздел! [Ответ]

Leo, базы сегодняшние. каспер ниче не видит. какой второй процесс? там тока один лишний свссчосст. как я посажу на карантин если не вижу его ни так ни каспером? аватар сменю ток попозже чуть, щас занят. [Ответ]

вот че поиск нашел-я так понял это сам исполняемый файл, но ведь чтото его прописывает каждый раз при загрузке? и как убрать эту злоепучую рекламу?
Изображения
  [Ответ]

strangern, Установи себе програмку ProcessExplorerNt .
Она покажет все пути этого червя. [Ответ]

strangern, файл с вирусом ищи в Temp, он должен быть там. Если хочешь ручками грохнуть, то сначала убиваешь процесс, а затем файл.
Ну и плюс в реестре пошерсти на предмет ссылок на запуск и установку данного процесса. [Ответ]

Roni, это мне надо будет запускать его, а он гад реестр чистит. другого способа нет? [Ответ]

Leo, ок. попробую. пасиб за помощь. [Ответ]

Процесс неубиваемый - да? Т.е. файл стереть не удаётся? [Ответ]

процесс убиваемый, а вот файл нет. кст а в темпе действительно оказались тоже 3 файла вирусных. но ни на один из них ни нод ни каспер не среагировали, даж когда спецом заставлял их проверять именно эти файлы. щас с лайва удалю.
еще вопрос в префетче много странных файлов-для винды они нужны или эт вирус наплодил.
Изображения
  [Ответ]

А у меня тоже такой был... Я его из процессов удаляла... И конце концов он удалился вроде. Но Доктор его тоже не видел. [Ответ]

Error (F), вряд ли он сам удалился. проверь папку префетч и темп. и сетевую активность через файрвол желательно тож посмотреть. [Ответ]

Сообщение от strangern:
Roni, это мне надо будет запускать его, а он гад реестр чистит. другого способа нет?

От чего он реестр чистит?
Запускаешь программу и этого червя, можешь во время запуска от интернета отключится, что бы он рекламу не качал.
Смотришь где этот червь прописан. Запоменаешь таблицу.
Заходишь в безопасный режим. Удаляешь все пути. [Ответ]

К слову говоря - этот вирь ещё и ветки реестра рандомом подтирает.
в реестре нашел записи svcosst снес все что с ним было, еще нашел связанную с ним запись srchasst-папка в винде сношу папку-а там не удается удалить, через анлокенр нахожу связанный процесс-винлогон. терзают смутные сомнения что этот файлик терь так измененным и останется. вот, черезх анлокер завершаю этот процесс сношу папку перегружаю-свчоста в памяти нет, в реестре по свчост пусто, но папка срчаст опять появилась, но теперь она пустая. всем огромное спасибо за помощь!!! надеюсь реклама теперь тоже пропадет. из префетча тож все снес, но файлы опять такие же появляются, наверно гдето часть вируса все таки осталась [Ответ]

Отправь зараженный файл аналитикам из Каспера, и вскоре зафигачишь свой вирус [Ответ]

Я честно не очень разбираюсь во всяких родах хвостов от вирусов. Просто я как заметила вирус этот.. У меня BWMMeter стоял... и я увидал как траф "утекает"... В процессах порылась нашла.. А дальше сами знаете...

Вот скрин папки темп.. Здесь что-то не так должно быть или ещё глубже смотреть?

Зы. У меня нет файрвола.
Изображения
  [Ответ]

Error (F),

А что у тебя за облачко справа внизу? [Ответ]

Сообщение от :
А что у тебя за облачко справа внизу?

ЭТо скин такой для квипа.

Кстати. А икто не знает откуда этот svcchhosst можно было подцепить??... Я вроде и бываю редко где...
Изображения
  [Ответ]

Error (F),

В домолинковских ресурсах много вирусов. [Ответ]

Сообщение от :
В домолинковских ресурсах много вирусов.

Ну да.. была такая мысль... Но тогда по идее заражённых должно было быть достаточно много... [Ответ]

я из информсвязи, и из домолинка ну никак не мог его подцепить. Error (F), дай лучше скрин папки префетч, и скрин диспетчера процессов. красивенький такой квип получился
подцепила скорей всего не ты его где нть, а как и мне его всунули. то есть была удачная атака. поставь аутпост-без него жить страшно, антивир уже не спасает.
кстати лучше всего проверить вирус можно так-пуск-стандартные-командная строка-набираем regedit-выбираем найти-svcchosst-вуаля! если ниче нет, значит все супер, если есть то тут уже надо подробней смотреть, где и что есть. между прочим вирус не обяз будет называться svcchosst-у меня до этого были svchoost svcchost ssvchost [Ответ]

strangern, ты грузился в безопасном режиме и запускал Каспера? Снимал автозагрузки через services.msc? [Ответ]

DonVitaly, и через обычный режим капсера прогонял, и через лайв-нодом и каспером опятьже гонял. автозагрузки снимал через еур унинсталлер. кста это первый тип вируса который каспер пропустил. [Ответ]

Ну... я ни в процессах ни в Префетч ничего не обнаружила... Вроде ))

А вот в реестре кое-что нашлось.
Изображения
   

  [Ответ]

Error (F),в реестре удаляй все что справа и саму папку msvccc666 и еще какая то странная помойму запись johnj315
и в диспетчере пара странных процессов, хотя точно не скажу, можт и проги какие пароверь прогой, которую мне Roni, дал, она покажет с чем какой процесс взаимодействует.
X0R, да чет тупанул, похерил его, а ведь надо было отослать. [Ответ]

вирус сам восстал. удалил опятьже через безопасный режим. так ктонть знает как его снести навсегда? [Ответ]

Наверно это рекламная шпионская шняга, следит за перемещениями в сети и отправляет отчеты, наверно ты ее сам установил как плагин к какой-нибудь проге вдовесок, поробуй каспер-интернет-секьюрити он удаляет всякие рекламные примбамбасы. [Ответ]

Пля да отправь же ты уже файл аналитикам! [Ответ]

X0R, я нахожу только пф файл. а им нуже ехе. а где я его возьму?? [Ответ]

Этот виус добавлен в антивирусную базу ещё в середине мая.
Странно, что его каспер не определяет... [Ответ]