Windows 2000 question

[tut]

Привет!
Может кто знает как.

Windows 2000 РС infected - Маккафи показывает
2 файла: svchost.exe and services.exe. Никак не могу их убить!

1. Если просто замещаю с заведомо чистого РС (предварительно переименовав
хреновые, а потом скопировав "чистые") - Винда, видимо не узнав мною
подставленные как "свои" - замещает откуда то взятыми зараженными.
(подставляемые файлы - такой же версии (Windows 2000 SP2))

2. Просто загружаюсь с Linux CD, тупо убиваю их, копирую чистые - после
перезагрузки те же шары.

Где Винда "прячет" (откуда "достает") файлы, которые я хочу убить?
В ХР есть System Restore Disable/enable опция, в 2000 таковой вроде бы нет...
гуглил - ничего не нарыл...

Всем Спасибо.

[Waterbyte]

Где Винда "прячет" (откуда "достает") файлы, которые я хочу убить?

у меня в хр, помимо system32, svchost ещё живёт в servicepackfiles\i386 и $ntservicepackuninstall$.

места обитания services.exe:
\system32\dllcache\services.exe
\system32\services.exe
\$hf_mig$\kb956572\sp3qfe\services.exe
\$ntuninstallkb956572$\services.exe
\servicepackfiles\i386\services.exe
\$ntservicepackuninstall$\services.exe
\mui\fallback\0419\services.exe.mui

пробегись по ним, посравнивай файлы, авось, и найдёшь, какие заразные. я в своё время так и делал. уж очень сносить и переставлять было лениво.

пыс. щас подниму w2k, гляну, где они в ней.

[tut]

Спасибо!

В 2К в winnt\sys32\. оба.
Мне кажется я все же убил их. Каждый раз после перезагрузки, Маккафи все равно показывал их
инфицированными, сейчас нашел KillBox - у которого есть опция - убивать при перезагрузки, выносить
их из системы и еще к тому же замещать тем, чем покажу. Несколько раз после этого перезагружался,
вроде бы чисто. А может притаились. Завтра будет видно. Противно что сеть, а выключать из нее все подряд
не имею возможности...

[Waterbyte]

В 2К в winnt\sys32\. оба.

дык, это сабо сомой. я думал, ты другие места ищешь. глянул в 2000. svchost есть ещё в dllcache, а services - в servicepackfiles\i386. проверь версию и там на всякий случай. кста, по-моему, в dllcache можно просто прибить. оно туда сё равно попадёт, коли надо будет.

[Billy]

Рекомендую также взять вот эту утилитку и просканировать системные директории на предмет наличия NTFS-потоков. Вот так например:

Код: Выделить всё

streams -s c:\windows\*.*

Ею же (с опцией -d) можно и грохнуть обнаруженные.
Подробно почитать можно здесь, в описании утилиты.
Если найдутся какие-то потоки, прицепленные к системным файлам, скопируйте имена и поищите в реестре, там точно будут прописаны автозапуски этой хрени.
Мне лично не раз приходилось выколупывать вирусы, живущие в NTFS-потоках, прицепленных к services.exe в том числе.

[tut]

Всем большое спасибо.

2Waterbyte - Даже если убийство состоялось и завтра ничего не вылезет,
все равно интересно покопаться. Я пытался искать, и она мне, зараза, (вроде и правильно поиск
делал, но все же видимо не правильно, коль не нашел!) ни фигашеньки кроме как в sys32 не показала.

2Billy - спасибо за ссылку - очень любопытная вещь. Не слышал про такое.

[Stanislav]

Ну это просто пестня...
Интересно, сколько народу из присутствующих в теме стебутся, а сколько говорит серьезно...

[Waterbyte]

Ну это просто пестня...

незаметно присоединяйтесь...

[Billy]

Интересно, сколько народу из присутствующих в теме стебутся, а сколько говорит серьезно...

Ну я то однозначно стебусь.

[Stanislav]

Интересно, сколько народу из присутствующих в теме стебутся, а сколько говорит серьезно...

Ну я то однозначно стебусь.

На самом деле я колеблюсь между цифрой 2 и 3