Как вычистить вирус

[bella]

Мой decktop с ХР зацепил вирус "Fake Microsoft Security Essentials Alert", вот этот:
http://www.spywarevoid.com/remove-fake- ... alert.html
Кто-нибудь знает как его убить? В safe mode не грузится, идет на перезагрузку (не знаю почему),
но в safe mode with networking загрузился.
Я убила процесс Hotfix.exe и вычистила file Hotfix.exe в Application Data, больше нигде не нашла.
Registry не чистила.
Windows XP запустился, но потом снова завис. Опять запустила safe mode with networking, но Hotfix.exe процесса не нашла. Зато есть svchost.exe (несколько штук) который жрет CPU.
Как почистить этот svchost.exe?
Кто-нибудь сталкивался с Hotfix.exe (Fake Microsoft Security Essentials Alert) и знает как его чистить?

[Stanislav]

Загрузите на какой-нить комп, прожгите диск и пользуйтесь.

http://www.avira.com/en/support-downloa ... cue-system

[Gatchinskiy]

Accessories > System Tools > System restore, roll back to week ago ot whatever date where everything was OK

[white_raven]

конечно же вирус себя в копии системы не прописал....
http://www.microsoft.com/security_essentials/

[mikei]

конечно же вирус себя в копии системы не прописал....
http://www.microsoft.com/security_essentials/

Is it a good one? Compared to AVG?

[bella]

Запустила Avira AntiVir Rescue System с CD, выбрала в конфигурации "try to repair infected files" with "rename files, if they cannot be removed".
программа работала часа 1.4, после чего зависла. Я ее остановила и попробовала загрузиться в windows safe mode.
Не загружается, т.к. file system32\DRIVERS\isapnp.sys corrapted или отсутствует.
Похоже, что файлы с .sys (не знаю еще какие) были переименованы или пофиксены.
Я могу что-то сделать, чтобы восстановить файлы или капец котенку?

[Stanislav]

Запустила Avira AntiVir Rescue System с CD, выбрала в конфигурации "try to repair infected files" with "rename files, if they cannot be removed".
программа работала часа 1.4, после чего зависла. Я ее остановила и попробовала загрузиться в windows safe mode.
Не загружается, т.к. file system32\DRIVERS\isapnp.sys corrapted или отсутствует.
Похоже, что файлы с .sys (не знаю еще какие) были переименованы или пофиксены.
Я могу что-то сделать, чтобы восстановить файлы или капец котенку?

Сами - уже вряд ли. Это было ошибкой - "try to repair infected files" with "rename files, if they cannot be removed".

[bella]

Так что Avira нельзя использовать как антивирус, как AVG? я раньше этой программой не пользовалась, поэтому посчитала, что это обычный антивирус. Для чего она нужна, если не чистит вирусы?

[Stanislav]

Так что Avira нельзя использовать как антивирус, как AVG? я раньше этой программой не пользовалась, поэтому посчитала, что это обычный антивирус. Для чего она нужна, если не чистит вирусы?

Хм... ну, скажем так - это как машина: если пользоваться ей разумно - она перевезет вас из дома на работу, а если не разумно, то она перевезет вас из дома на кладбище...
Что произошло: был найден вирус в системном файле, попытка полечить не удалась и файл был весело переименован. При загрузке Винды, не найдя файл, растрерянно лупают глазами и недоумевают: "ихто зъив моэ сало" (с)
Кароче:
1. Извините, что сразу не дал подробных инструкций
2. Загрузите Авиру снова и запустите на поиск вирусов (не лечить! не переименовывать!) - только обнаружение.
3. Зафиксируйте, какие и где вирусы были обнаружены - если сможете - распечатку в студию.
4. Download что-нить типа Ubuntu desktop - прожгите диск - загрузитесь в режиме лайв-СД (т.е. без модификации ХДД)
5. Найдите во что был переименован C:\Windows\system32\DRIVERS\isapnp.sys --> т.е. мы определили как Авира переименовывает файлы
6. Найдите все переименованные файлы - зафиксируйте список
7. На незараженном компе (надеюсь, вы обновляете свои компы) найдите все файлы из списков по пп. 3 и 6 и скопируйте их на юсбишку.
8. Воткните юсбишку на зараженный комп, где все еще болтается Ubuntu и скопируйте их на свои места.
9. Попробуйте загрузить Винды.

П.С. Не убивайте svchost - он хороший и нужный сервис!!!

[bella]

Это я все уже ночью проделала. Загрузилась с ubuntu life CD, посмотрела в system32/drivers/* all renamed files, увидела, что Авира дает екстеншн ХХХ и все обнаруженные переименованные драйверы переименовала обратно. после чего safe mode не загружается, а safe mode with networking вылетает с нарушением памяти. Видимо каким-то системным файлам Авира сделала "repair", каким именно - не знаю как поймать. Я пользовалась SpyBot & AVG, ранее Касперским, ни одна из этих программ мне пока не портила системные фаилы при "лечении".
Доктор Веб мне никак не помог, но ничего и не попортил. Так что да, Авира похоже отправила мой комп на кладбище.

[Правильные пацаны]

Лучший антивирус:

http://store.apple.com/ca/

[Stanislav]

Это я все уже ночью проделала. Загрузилась с ubuntu life CD, посмотрела в system32/drivers/* all renamed files, увидела, что Авира дает екстеншн ХХХ и все обнаруженные переименованные драйверы переименовала обратно. после чего safe mode не загружается, а safe mode with networking вылетает с нарушением памяти. Видимо каким-то системным файлам Авира сделала "repair", каким именно - не знаю как поймать. Я пользовалась SpyBot & AVG, ранее Касперским, ни одна из этих программ мне пока не портила системные фаилы при "лечении".
Доктор Веб мне никак не помог, но ничего и не попортил. Так что да, Авира похоже отправила мой комп на кладбище.

Переименовать обратно - нет смысла - надо их восстановить. Легче всего взять с соседнего компутера.
П.С. Хороший, грамотно написанный вирус как правило не лечится. SpyBot & AVG, Касперский, Доктор Веб работают под Виндами - Винда не дает им попортить системные файлы - они просто говорят, что лечение невозможно.

[mikei]

Лучший антивирус:

http://store.apple.com/ca/

Про ускорители было полезнее

[levak]

не знаю как в вашем замороченном случае,но иногда сканер он лайне, сам находит и чистит вирусы по простому без заморочек.
попропуйте этот
http://www.f-secure.com/en_EMEA/securit ... e-scanner/

[bella]

Да мне пока поздно пить боржоми. Я тут сижу зубочисткой пытаюсь кое-какие файлы найти и скопировать на external drive. У меня тут пара вопросов параллельно вылезло:
1. что неправильно в комманде:
sudo mount -t fat32 -o iocharset=utf8,umask000 /dev/sdc1 /home/mydir

ubuntu message: mount: unknown filesystem type 'fat32' ?
автоматически почему-то флешку не монтирует, хотя вчера вечером монтировал.
internal drives с NTFs смонтировались нормально.

2. Я первый раз этот вирус Hotfix.exe поймала недели 2 назад. Я его подумала, что убрала вручную, пользуясь инструкцией по линку вверху. Но после перезагрузки ХР пошел "фиксировать" подсоединенный external drive with backups. После чего этот external drive перестал читаться и стал восприниматься ХР как local drive without formatting. Т.е. бекапа у меня нет.
Вирус может вызвать такое "фиксирование"? svchost.exe я тогда так и не вычистила.