Я конкретно попал:-(

[taki_net]

Как говорится, по семейным обстоятельствам - я вынужден пускать детей на комп играть в Варкрафт (комп работает с антивирусом, но без файрвола). Пару дней назад система зависла так, что не реагировала на три кнопки (но не висела вмертвую), а после холодной перезагрузки - схватила трояна.

Выглядит все так: сразу после перезагрузки антивирус (DrWeb) сообщает о зараженном файле (Trojan Downloader IRC-type) во временном каталоге. Файл удаляется и дальше все нормально работает. До перезагрузки. Сканирование других зараженных файлов не находит.

Иными словами, на компе стоит прога P0, которую антивирус не опознает как вирус, которая запускается при загрузке и загружает программу P1 (из инета), которая уже опознается.

Я отключил (утилитой starter) все стартовые задачи, кроме собственно антивирусного сторожа, эффект не исчез - т.е. дело, очевидно, не в программе, а в изменении настройки самой системы (и понятно, что никакой антивирус не поймает).

Два вопроса. (1) Не имеет ли уважаемый All совета, что еще сделать кроме переустановки?

(2) Работает ли Варкрафт нормально из-под обычного (неадминистративного) юзера?

Comments

[gosha.livejournal.com]

А я бы в реестре покопался.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Вот тут вот.

[gosha.livejournal.com]

2) Должен работать.

[vaysburd.livejournal.com]

Я не спец. Но я бы начал с того, что попробовал запустить комп, физически отключив его от сети, чтобы проверить версию о загрузке Р1. Ну, а уж если она подтвердится, м/б поискать другой антивирус, который опознает Р0. У меня давно стоит NOD32, работает быстро и пока все, что надо распознает.

[avantiurist.livejournal.com]

Вдобавок к антивирусу полезно запустить spyware detector, что-то типа ad-aware.

[kiryan.livejournal.com]

отключить восстановление системы и попробовать вот это: http://z-oleg.com/secur/avz/download.php

[fantom-pain.livejournal.com]

По вопросу 1:
Во-первых, есть много специализированных программ, заточенных именно под забарывание троянов (Trojan Remover, Anti-Trojan Shield, PC DOORS GUARD и т.п.). Можно поискать, попробовать.
Во-вторых, можно попробовать другой антивирус. У меня NOD32 нашёл в старой почте несколько троянов, которых ранее не находили ни NAV, ни DrWeb.

[object.livejournal.com]

Не знаю, был ли у меня тот вирус или другой, но в подобной ситуации после двух дней бестолковых попыток я все переформатировал. Правда у Антона свой комьютер был.

[zerokol.livejournal.com]

я сам в варкрафт играю, с файерволом, но без антивируса, пока ничего не словил. советую попробовать запустить онлайн проверку с сайта www.avp.ru

[leonid-smetanin.livejournal.com]

заглянуть в регистри, посмотреть в hklm-software-microsoft-windows-run кто, кроме очевидно нужного, грузится. Потом найти этого гада и ПЕРЕИМЕНОВАТЬ (просто стереть вряд-ли удастся), потом перегрузиться ресетом и вычистить из регистри и стереть переименованный трупик.

2. поставить нормальный фаерволл. Outpost стоит 500 рублей в год честная лицензия, но и даже с левыми ключами он тоже нормально работает, разве что зверушек новых не видит. Если стоит фаерволл, то антивирус можно удалить, он становится не нужен.

3. world of warcraft работает из под любого логина, хоть гостевого, лишь бы папку с файлами видел, даже права запись не нужны.

[q-w-z.livejournal.com]

есть прога Unlocker - она позволяет заблокированные файлы удалять

и ещё Process Explorer показывае твсе процессы, файлы к ним, нити и всё позволяет убивать без проблем и возгласов "нет доступа", "нет прав"

Идея о том, что подгружается вирус из интернета

[ex-alex-arg.livejournal.com]

- неправильная:) Просто сидит скрытый резидент, который активируется при запуске системы.
Самое простое решение - набрать разных антивирусов, и просканировать машину. Мне обычно помогало.
К сожалению нет универсальных антивирусов, каждая фирма сильна в определенном направлении.
Например если стоит NOD - нужно попробовать Dr.Web, AVG, Касперского и т.п. Это не будет стоить ни копейки, так как практически все антивирусы можно использовать в тестовом режиме.

[sergeyr.livejournal.com]

Запомнить что говорит DrWeb и поискать контекстным вот тут:
http://virusinfo.info/forumdisplay.php?f=46
Если нету - выполнить инструкции (http://virusinfo.info/showthread.php?t=1235) и запостить запрос, выполнить инструкции спецов.

[zinaida-s.livejournal.com]

Я только знаю, что моя детка играет в эту пакостную игру и у него ничего не виснет и не ломается. Но у него свой комп.

[taki-net.livejournal.com]

У нас тоже до поры до времени. Видимо, именно из-за перезагрузки вирусу удалось проломать антивирус.

[pessimist2006.livejournal.com]

Вас спасет фаервол. Как только эта пакость ломанется в инет чего-то скачивать - тут же ей ручонки и обломать.
Аутпост это делает "на ура"...
Ну и автозагрузку проверить в реестре обязательно.

[ymarkov.livejournal.com]

Zonealarm - тоже хороший firewall, и даже бесплатная его версия (http://download.zonelabs.com/bin/free/1025_update/zlsSetup_70_337_000_en.exe) работает весьма надёжно, ИМХО.

[pessimist2006.livejournal.com]

Выбор конкретного софта - вопрос эстетики. ИМХО.
Аутпост выбран мной за качественный рускоязычный интерфейс.

[bukvoyeditsa.livejournal.com]

Попробуйте Касперского и другие антивирусы.

Если у Вас WinXP, то есть возможность вернуться к прошлому состоянию системы. Возможно, таким образом удастся избавиться от заражённого файла.
( Система время от времени запоминает себя и отмечает эти даты в своём календаре. Надо кликнуть ПУСК->СПРАВКА И НАСТРОЙКА->ВОССТАНОВЛЕНИЕ СИСТЕМЫ. Дальше она всё сама будет рассказывать. Операция обратимая и абсолютно безвредная. Наверно, сначала надо полечить, а потом восстанавливать.)

[scooperfield.livejournal.com]

Если ничего не помогает, есть надежный (хоть и кондовый, не спорю) метод:

1. Найти "чистую" машину с антивирусом. 2. Снять "грязный" винт со своей. 3. Прикрутить к "чистой" машине. 4. Убедиться, что загрузка пойдет с "чистого" винта. 5. Отсканировать "грязный" винт.

[bachelor.livejournal.com]

Если еще есть проблема - мои две копейки, может, поможет. Здесь http://www.microsoft.com/technet/sysinternals/ProcessesAndThreads/Autoruns.mspx есть весьма хорошая программа, которая покажет все, что стартует автоматически про загрузке (она сама лезет в Registry и во все прочи места.) Прямо оттуда можно вычистить все подозрительное. Учтите, что полоно пакости, которая обнаруживает зачистки из Registry и мгновенно восстанавливает их. Что я обычно делаю - убиваю подозрительные процессы (или через Task Manager, или еще лучше - этой программой http://www.microsoft.com/technet/sysinternals/ProcessesAndThreads/ProcessExplorer.mspx , а после этого уже чищу всю дрянь с помощью Autoruns.

Удачи.

[shalti-bolti.livejournal.com]

1) eсли у тебя Windows XP проверь какой у тебя сервис пак.
если не второй - обзаведись, иначе снаружи к тебе
можно прекрасно влезть c нета и ты поймаешь аккурат то, что
похоже на сиптомы по твоим описаниям. без второго сервис пака
влазит как пить дать.

2) после вычистки антивирусом и приведения в порядок
поставь firewall http://www.comodo.com/
он бесплатный. настроишь на русский язык. будет тебе сообщать
обо всех кто пытается вылезть в нет без твоего одобрения.
снаружи однозначно никого пускать не будет.