Вирус отключает службы..

@Garinsk · Регистрация: 03.02.2009

Author24 — интернет-сервис помощи студентам

Всем привет!
Ситуация такая - есть кучка компов в сетке, есть сетевой принтер, началось с того, что сеть перестала его видеть, переустановили, толку ноль, в сетевом окружении, если нажать "отобразить компьютеры рабочей группы" - эмоций ноль, отключена на всех компах служба "обозреватель компьютеров", включаем, через некоторое время она отключается вновь.. Так же отключена служба "Windows Audio", программы, которые используют звук ругаются, что устройство не найдено, запуск службы помогает только на время..
Похоже, что службы ещё некоторые остановлены..
Сеть останавливать нельзя, переустановка отдельных компов поможет вряд ли, так как заражение прошло моментально и везде, (кроме!! 2-ух компов через вай-фай...)
Ни в C:\WINDOWS, ни в C:\WINDOWS\system32 ничего нового и подозрительного нет, винда стоит SP3
И еще не запускается MSConfig
Установлен NOD32 v3, есть утилита DRWeb CureIt но они не видят нифига..
Чего может быть?

@xToTa · 03.02.2009, 14:27

нод стоит с фиксом? если да - то можете удалять его, либо достать нормальное обновление не только баз, но и модулей, ибо фикс - это пожизненная работа нода, но как триал версии, то есть парочки модулей вместо целого набора...
А вообще все это похоже на вирусы, или на чьи-то проделки =)

@Garinsk · 03.02.2009, 15:01 **[ТС]**

Без фикса и базы имеют обновление от "вчера"...
Чьи то проделки исключаются, только версия "вирь" ..

@xToTa · 03.02.2009, 15:05

обновения от вчера будут и на триальной версии, так что это ни о чем не говорит...
откуда обновляется нод? из локальных баз? получаемых по лицензии? или из зеркал ненадежных?

@Garinsk · 03.02.2009, 15:26 **[ТС]**

Antivirus Software NOD32 > Threat Center > Update info
Update info Print this pageSend
Update 3820 (20090203)
NOD лицензионный...

@xToTa · 03.02.2009, 15:29

да не это, а откуда обновления тянутся, из настроек раздел Updates... какой сервер стоит для обновлений ?

@FilipFray · 03.02.2009, 17:06

Если у вас не win. server и о.с. не x64, можете попробовать сделать лог этой программой. В зависимости от результатов, постараюсь чем-нибудь помочь.

http://z-oleg.com/avz4.zip (3.47 mb)

Извлечь файлы из архива, выбрать: Файл - Cтандартные скрипты, где отметить пункт 2 и нажать Выполнить отмеченные скрипты. После появления окошка с надписью Скрипты выполнены, в папке с AVZ появиться папка с именем LOG, в которой будет архив с именем virusinfo_syscheck.zip, который следует добавить к сообщению.

@Garinsk · 04.02.2009, 08:39 **[ТС]**

FilipFray - LOG готов.. Только особого криминала в нем я не заметил..

@FilipFray · 04.02.2009, 10:39

Process Explorer у вас версии 11.30?
У вас был\есть Kerio Personal Firewall?
D:\Fxdrv.sys - в инете говорят, что это его драйвер, правда странное место.

@Garinsk · 04.02.2009, 12:13 **[ТС]**

Сообщение от FilipFray

Process Explorer у вас версии 11.30?

11.32

Сообщение от FilipFray

У вас был\есть Kerio Personal Firewall?

нет

Сообщение от FilipFray

D:\Fxdrv.sys

не нашел такого.. хм..

@FilipFray · 04.02.2009, 17:18

Сообщение от Garinsk

не нашел такого.. хм..

Скорее всего остатки в реестре...

Это моё ИМХО, но думаю, что есть вероятность, что происходит уделённое воздейстие, т.е. вирус может управлять другими машинами через сеть и т.п.

@Garinsk · 06.02.2009, 08:04 **[ТС]**

Сообщение от FilipFray

есть вероятность, что происходит уделённое воздейстие, т.е. вирус может управлять другими машинами через сеть

Да, так и есть по идее, только бы понять, на какой машине и какой примерно вирус может быть... Что искать?

@bombus · 06.02.2009, 09:29

Сообщение от Garinsk

Установлен NOD32 v3
Чего может быть?

Вот в этом вся и беда.
удалите нод и скачайте с сайте касперского антивирус. они дают демо-ключ на месяц. поставте, обновите базы и поищите вири
в безопасном режиме.

@xToTa · 06.02.2009, 10:25

А почему если НОД, то это и есть проблема?

@bombus · 06.02.2009, 11:30

Сообщение от xToTa

А почему если НОД, то это и есть проблема?

проблема скорее всего в вирусах, просто НОДу нельзя доверять
антивирусную защиту компа. Поэтому нод удалите и поставте нормальный антивирус, обновите базы и поищите вирусы.

@xToTa · 06.02.2009, 12:34

А я вот с тобой совсем не согласен...
Если мыслить глобально, то нельзя доверять ни одному антивируснику...
А если более приземленно, то НОД такой же нормальный антивирус как и все другие...
Его ненормальность у некоторых особ заключается только в кривости рук пользователей и их полной невнимательности...
Просто один умник когда-то сделал NOD32FIX, который продлевает НЕ лицензию, А триал!.. И теперь уже который год другие "умники" юзают этот фикс и орут "НОД - лох! Удаляйте его, он не лечит ничего"... А то что вы сами себя на это обрекли - это все фигня, да ?.. Кто вам доктор что вы от Триальной версии требуете полного функционала?

@Vitaly · 07.02.2009, 14:24

xToTa, Не согласен! Когда у меня стоял лицензионный Каспер 7-й версии, то система висла напрочь и регулярно. Снес, поставил НОД, сразу пишу, что НОД - лицензионный. Так вот, НОД показывал как зараженные такие проги, которые такими просто не являются. После выхода Каспера 8-й версии(KIS 2009), снова поставил Каспера, тем более, что ключ еще не просрочен. Пока работает без замечаний и таких сообщений, как НОД - не выдает. Вообще, понимаю конечно, что это мое личное мнение, но Каспер - более надежен! Тут я полностью согласен с bombus. А то, что антивирей со 100% защитой нет, кто же с этим спорит?!

@Xee · 13.03.2009, 18:37

Сообщение от Garinsk

Всем привет!
Ситуация такая - есть кучка компов в сетке, есть сетевой принтер, началось с того, что сеть перестала его видеть, переустановили, толку ноль, в сетевом окружении, если нажать "отобразить компьютеры рабочей группы" - эмоций ноль, отключена на всех компах служба "обозреватель компьютеров", включаем, через некоторое время она отключается вновь.. Так же отключена служба "Windows Audio", программы, которые используют звук ругаются, что устройство не найдено, запуск службы помогает только на время..
Похоже, что службы ещё некоторые остановлены..
Сеть останавливать нельзя, переустановка отдельных компов поможет вряд ли, так как заражение прошло моментально и везде, (кроме!! 2-ух компов через вай-фай...)
Ни в C:\WINDOWS, ни в C:\WINDOWS\system32 ничего нового и подозрительного нет, винда стоит SP3
И еще не запускается MSConfig
Установлен NOD32 v3, есть утилита DRWeb CureIt но они не видят нифига..
Чего может быть?

День добрый, та же история сетка 30 компиков зараза мгновенно цепляется на другие, не обнаруживается Nod32,KAV 8,Cureit,AVZ
не знаю что поделать

@FilipFray · 13.03.2009, 19:10

Лог сделайте, инструкция в теме...

@Garinsk · 14.03.2009, 16:42 **[ТС]**

Сообщение от xee

не знаю что поделать

Здесь полное описание пошагово...

@Garinsk 0 / 0 / 0 Регистрация: 03.02.2009 Сообщений: 7
		1
	Вирус отключает службы.. 03.02.2009, 12:00. Показов 33118. Ответов 23 Метки нет (Все метки) Всем привет! Ситуация такая - есть кучка компов в сетке, есть сетевой принтер, началось с того, что сеть перестала его видеть, переустановили, толку ноль, в сетевом окружении, если нажать "отобразить компьютеры рабочей группы" - эмоций ноль, отключена на всех компах служба "обозреватель компьютеров", включаем, через некоторое время она отключается вновь.. Так же отключена служба "Windows Audio", программы, которые используют звук ругаются, что устройство не найдено, запуск службы помогает только на время.. Похоже, что службы ещё некоторые остановлены.. Сеть останавливать нельзя, переустановка отдельных компов поможет вряд ли, так как заражение прошло моментально и везде, (кроме!! 2-ух компов через вай-фай...) Ни в C:\WINDOWS, ни в C:\WINDOWS\system32 ничего нового и подозрительного нет, винда стоит SP3 И еще не запускается MSConfig Установлен NOD32 v3, есть утилита DRWeb CureIt но они не видят нифига.. Чего может быть? 0

@xToTa 13 / 13 / 1 Регистрация: 26.01.2009 Сообщений: 156
	03.02.2009, 14:27	2
	нод стоит с фиксом? если да - то можете удалять его, либо достать нормальное обновление не только баз, но и модулей, ибо фикс - это пожизненная работа нода, но как триал версии, то есть парочки модулей вместо целого набора... А вообще все это похоже на вирусы, или на чьи-то проделки =) 0

@Garinsk 0 / 0 / 0 Регистрация: 03.02.2009 Сообщений: 7
	03.02.2009, 15:01 [ТС]	3
	Без фикса и базы имеют обновление от "вчера"... Чьи то проделки исключаются, только версия "вирь" .. 0

@xToTa 13 / 13 / 1 Регистрация: 26.01.2009 Сообщений: 156
	03.02.2009, 15:05	4
	обновения от вчера будут и на триальной версии, так что это ни о чем не говорит... откуда обновляется нод? из локальных баз? получаемых по лицензии? или из зеркал ненадежных? 0

@Garinsk 0 / 0 / 0 Регистрация: 03.02.2009 Сообщений: 7
	03.02.2009, 15:26 [ТС]	5
	Antivirus Software NOD32 > Threat Center > Update info Update info Print this pageSend Update 3820 (20090203) NOD лицензионный... 0

@xToTa 13 / 13 / 1 Регистрация: 26.01.2009 Сообщений: 156
	03.02.2009, 15:29	6
	да не это, а откуда обновления тянутся, из настроек раздел Updates... какой сервер стоит для обновлений ? 0

@FilipFray 2667 / 655 / 45 Регистрация: 13.01.2009 Сообщений: 2,159
	03.02.2009, 17:06	7
	Если у вас не win. server и о.с. не x64, можете попробовать сделать лог этой программой. В зависимости от результатов, постараюсь чем-нибудь помочь. http://z-oleg.com/avz4.zip (3.47 mb) Извлечь файлы из архива, выбрать: Файл - Cтандартные скрипты, где отметить пункт 2 и нажать Выполнить отмеченные скрипты. После появления окошка с надписью Скрипты выполнены, в папке с AVZ появиться папка с именем LOG, в которой будет архив с именем virusinfo_syscheck.zip, который следует добавить к сообщению. 0

@FilipFray 2667 / 655 / 45 Регистрация: 13.01.2009 Сообщений: 2,159
	04.02.2009, 10:39	9
	Process Explorer у вас версии 11.30? У вас был\есть Kerio Personal Firewall? D:\Fxdrv.sys - в инете говорят, что это его драйвер, правда странное место. 0

@Garinsk 0 / 0 / 0 Регистрация: 03.02.2009 Сообщений: 7
	04.02.2009, 12:13 [ТС]	10
	Сообщение от FilipFray Process Explorer у вас версии 11.30? 11.32 Сообщение от FilipFray У вас был\есть Kerio Personal Firewall? нет Сообщение от FilipFray D:\Fxdrv.sys не нашел такого.. хм.. 0

@FilipFray 2667 / 655 / 45 Регистрация: 13.01.2009 Сообщений: 2,159
	04.02.2009, 17:18	11
	Сообщение от Garinsk не нашел такого.. хм.. Скорее всего остатки в реестре... Это моё ИМХО, но думаю, что есть вероятность, что происходит уделённое воздейстие, т.е. вирус может управлять другими машинами через сеть и т.п. 0

	14.03.2009, 16:42

@Garinsk 0 / 0 / 0 Регистрация: 03.02.2009 Сообщений: 7
	06.02.2009, 08:04 [ТС]	12
	Сообщение от FilipFray есть вероятность, что происходит уделённое воздейстие, т.е. вирус может управлять другими машинами через сеть Да, так и есть по идее, только бы понять, на какой машине и какой примерно вирус может быть... Что искать? 0

@bombus 3080 / 534 / 11 Регистрация: 29.08.2008 Сообщений: 1,687
	06.02.2009, 09:29	13
	Сообщение от Garinsk Установлен NOD32 v3 Чего может быть? Вот в этом вся и беда. удалите нод и скачайте с сайте касперского антивирус. они дают демо-ключ на месяц. поставте, обновите базы и поищите вири в безопасном режиме. 0

@xToTa 13 / 13 / 1 Регистрация: 26.01.2009 Сообщений: 156
	06.02.2009, 10:25	14
	А почему если НОД, то это и есть проблема? 0

@bombus 3080 / 534 / 11 Регистрация: 29.08.2008 Сообщений: 1,687
	06.02.2009, 11:30	15
	Сообщение от xToTa А почему если НОД, то это и есть проблема? проблема скорее всего в вирусах, просто НОДу нельзя доверять антивирусную защиту компа. Поэтому нод удалите и поставте нормальный антивирус, обновите базы и поищите вирусы. 0

@xToTa 13 / 13 / 1 Регистрация: 26.01.2009 Сообщений: 156
	06.02.2009, 12:34	16
	А я вот с тобой совсем не согласен... Если мыслить глобально, то нельзя доверять ни одному антивируснику... А если более приземленно, то НОД такой же нормальный антивирус как и все другие... Его ненормальность у некоторых особ заключается только в кривости рук пользователей и их полной невнимательности... Просто один умник когда-то сделал NOD32FIX, который продлевает НЕ лицензию, А триал!.. И теперь уже который год другие "умники" юзают этот фикс и орут "НОД - лох! Удаляйте его, он не лечит ничего"... А то что вы сами себя на это обрекли - это все фигня, да ?.. Кто вам доктор что вы от Триальной версии требуете полного функционала? 0

@Vitaly 85 / 43 / 1 Регистрация: 28.09.2008 Сообщений: 384
	07.02.2009, 14:24	17
	xToTa, Не согласен! Когда у меня стоял лицензионный Каспер 7-й версии, то система висла напрочь и регулярно. Снес, поставил НОД, сразу пишу, что НОД - лицензионный. Так вот, НОД показывал как зараженные такие проги, которые такими просто не являются. После выхода Каспера 8-й версии(KIS 2009), снова поставил Каспера, тем более, что ключ еще не просрочен. Пока работает без замечаний и таких сообщений, как НОД - не выдает. Вообще, понимаю конечно, что это мое личное мнение, но Каспер - более надежен! Тут я полностью согласен с bombus. А то, что антивирей со 100% защитой нет, кто же с этим спорит?! 0

@Xee 0 / 0 / 0 Регистрация: 30.05.2015 Сообщений: 6
	13.03.2009, 18:37	18
	Сообщение от Garinsk Всем привет! Ситуация такая - есть кучка компов в сетке, есть сетевой принтер, началось с того, что сеть перестала его видеть, переустановили, толку ноль, в сетевом окружении, если нажать "отобразить компьютеры рабочей группы" - эмоций ноль, отключена на всех компах служба "обозреватель компьютеров", включаем, через некоторое время она отключается вновь.. Так же отключена служба "Windows Audio", программы, которые используют звук ругаются, что устройство не найдено, запуск службы помогает только на время.. Похоже, что службы ещё некоторые остановлены.. Сеть останавливать нельзя, переустановка отдельных компов поможет вряд ли, так как заражение прошло моментально и везде, (кроме!! 2-ух компов через вай-фай...) Ни в C:\WINDOWS, ни в C:\WINDOWS\system32 ничего нового и подозрительного нет, винда стоит SP3 И еще не запускается MSConfig Установлен NOD32 v3, есть утилита DRWeb CureIt но они не видят нифига.. Чего может быть? День добрый, та же история сетка 30 компиков зараза мгновенно цепляется на другие, не обнаруживается Nod32,KAV 8,Cureit,AVZ не знаю что поделать 0

@FilipFray 2667 / 655 / 45 Регистрация: 13.01.2009 Сообщений: 2,159
	13.03.2009, 19:10	19
	Лог сделайте, инструкция в теме... 0

@Garinsk 0 / 0 / 0 Регистрация: 03.02.2009 Сообщений: 7
	14.03.2009, 16:42 [ТС]	20
	Сообщение от xee не знаю что поделать Здесь полное описание пошагово... 0