tima: (Default)
tima ([personal profile] tima) wrote2010-01-14 08:55 am

Помощь клуба

Мелкая, похоже, посадила в свой комп нехилый вирус. Началось после вчерашних апдейтс, которые были сделаны майкрософтом. То есть либо совпадение, либо вирус ими триггернулся по какой-то причине.

Проявление: каждую минуту стали выскакивать поп-апы с каким-то текстом про вирусы и malware.

После этого она попробовала запустить МакАфи, чтобы просканировать и почистить компьютер, если что найдется. Макафи не запустился ни с шортката на десктопе, ни с трея, ни с командного меню. Тут мелкая поняла, что дело швах и позвонила мне.

За вчера перепробовано:
1. Запустить МакАфи отовсюду, в том числе и с exe файла в собственно фолдере МакАфи. Не запустился.
2. Сделать рестор системы. Нашли ближайший возможный день, система грузилась и перегружалась с час, после чего выдала сообщение, что на эту дату вернутся не может, "выберите новую дату и пробуйте снова". При повторных попытках уже с любой датой система ничего не пыталась делать, рестор не происходил и даже не запускался.
3. Переустановка МакАфи с их вебсайта. В первую попытку анистолировать имеющуюся версию заняло с час, после чего комп свалился в ребут, поднялся и дальнейшей инсталляции не последовало. Шорткат в "МакАфи центер" с десктопа исчез, программы не стало видно из Контрольной панели в опции "Add/Remove programs", то есть вроде как анистол произошел. Попробовали все сначала, инсталляция пошла "дальше", с сайта компьютер был просканирован на вирусы и началась собственно инсталляция программы на комп, которая окончилась через примерно час. В результате шорткат на десктопе появился взад, программа стала видна из Контрольной панели и из стартового меню. Но символ МакАфи в трее не появился, при попытках запустить программу из любых мест ничего не происходит. Пара дополнительных попыток повторить реинстол МакАфи ничего нового не дала.
3а. Точнее немножко дала - поп-апы про вирусы полностью исчезли, то есть комп ведет себя теперь вполне нормально, если только не учитывать, что нет антивируса.
4. При пробной попытке анистола МакАфи через Контрольную панель система сообщила, что анисталлировать не может, потому что программа ранается! В Процессах нашли процесс под именем mcshell.exe (или что-то похожее, не помню на 100%). После убивания процесса смогли анисталлировать МакАфи из Контрольной панели. То есть похоже, что при инсталляции через сайт что-то все же запускается на компе на бэкграунде.
5. Попытки загрузиться в сэйф моде в последнюю "хорошую" конфигурцию ничего не дали. "Хорошей" оказалась самая последняя со всеми апдейтами от майкрософта за вчера.
6. Попытки загрузиться в сэйф моде и запустить МакАфи успеха не имели - не запускается.
7. Попытка загрузиться в сэйф моде с нетворком и снова сделать полный реинстол МакАфи начата уже поздно ночью, так что результатов пока не знаю, но думаю, что отрицательные.


Какие есть идеи? Что еще можно сделать, чтобы попытаться заполучить антивирус назад и успокоиться?

[identity profile] dikem.livejournal.com 2010-01-14 02:16 pm (UTC)(link)
Загрузиться с LiveCD типа http://www.freedrweb.com/livecd/ и почистить систему.

[identity profile] tima.livejournal.com 2010-01-14 02:23 pm (UTC)(link)
Спасибо, гляну.

[identity profile] smartik.livejournal.com 2010-01-14 04:01 pm (UTC)(link)
Меня обычно спасает http://www.freedrweb.com/cureit/

[identity profile] tima.livejournal.com 2010-01-14 04:29 pm (UTC)(link)
спасибо за подсказку, посмотрю!

[identity profile] inka-kakadu.livejournal.com 2010-01-14 04:53 pm (UTC)(link)
последний раз, когда я словила трояна, МакАфи мне ни хрена не помог (официальная новейшая копия, дубликат рабочей - нас типа обеспечивают и на дому). После перегрузки комп реагировал хоть на что-то вообще в течение пяти секунд, потом мертво вис. Т.е. за эти пять секунд нужно было успеть хоть что-то сделать. Предустановленный МакАфи запустить - получалось, но не помогало.
Спас меня DrWeb. Т.е. натурально с первого прохода трояна определил и обезвредил.
Как я сам DrWeb скачивала, умудряясь последовательно за пять секунд проделывать все необходимые для этого действия - это отдельная история.

[identity profile] tima.livejournal.com 2010-01-14 05:10 pm (UTC)(link)
ты имеешь в виду тот же сайт, что дали выше?

[identity profile] tima.livejournal.com 2010-01-14 06:08 pm (UTC)(link)
Учтено, пороюсь там

[identity profile] lolaley.livejournal.com 2010-01-14 05:33 pm (UTC)(link)
рекомендую на будущее:
три партишнс, в одной операционка, в другой данные, в третьей имидж системы
при разных трудностях, отформатировать первую партишн и установить новую систему занимает десять минут, все лучше, чем так мучиться

Умная, да?

[identity profile] tima.livejournal.com 2010-01-14 06:05 pm (UTC)(link)
или опять дочь все сделала?

[identity profile] lolaley.livejournal.com 2010-01-14 06:23 pm (UTC)(link)
у меня на работе так было, дома, по причине отсутствия своего собственного комрьютера, и важности того, что я на нем делаю, мне лень заниматься всем этим

я тебе просто завидую красной нитью!

[identity profile] tima.livejournal.com 2010-01-14 06:50 pm (UTC)(link)
Сначала дочь-умелица, теперь лень-матушка! просто малина, а не жисть!

[identity profile] lolaley.livejournal.com 2010-01-14 06:56 pm (UTC)(link)
а еще меня все любют, почти все :)

слушай, прекрати, а?!

[identity profile] tima.livejournal.com 2010-01-14 07:10 pm (UTC)(link)
я шас слюной захлебнусь!

[identity profile] lolaley.livejournal.com 2010-01-14 07:19 pm (UTC)(link)
mmmva-mmmva, kiss-kiss :)

да не твоей!!!!

[identity profile] tima.livejournal.com 2010-01-14 07:20 pm (UTC)(link)
намазала на меня! Вытирайся теперь сиди тут

[identity profile] lolaley.livejournal.com 2010-01-14 07:24 pm (UTC)(link)
у нас это называется обмусолила

а у нас

[identity profile] tima.livejournal.com 2010-01-14 07:30 pm (UTC)(link)
обмуслякала

потому что у нас - Муся

[identity profile] lolaley.livejournal.com 2010-01-14 07:37 pm (UTC)(link)
у нас Муси нету

[identity profile] dudl.livejournal.com 2010-01-14 05:51 pm (UTC)(link)
тырнет работает? я бы попробовал он-лайн сканирование кантупера на вирусы: http://www.spyware-ru.com/online-scanners/
или загрузил и установил бесплатный антивирус типа Панды или Аваста, авось что и найдет
а макафи таки дрянь, я им попользовался один день, снес и вернулся к любимиму NOD32

[identity profile] tima.livejournal.com 2010-01-14 06:06 pm (UTC)(link)
Работает. Уверен, что скан не поможет. Похоже эта гадость порушила что-то системное, то есть надо править систему сначала. Буду пробовать.

Спасибо за идею.

[identity profile] lengo.livejournal.com 2010-01-14 05:56 pm (UTC)(link)
Tima I had something similar once. It happened after I ignored updating an expired version of the antivirus and firewall program for several months. I installed a fresh version of TrendMicro. Updated TrendMicro and then scanned computer with the Internet off. Someone at our IT told me that some malware and viruses have the ability to replicate themselves as long as the network access is on and then insert themselves back into a scanned system.

[identity profile] tima.livejournal.com 2010-01-14 06:05 pm (UTC)(link)
Thanks but I don't think it's the case here. The main issue is - it disallows to do a normal install of McAfee. I am not sure how much it would help with any other AV brands. My best guess is - there is something fucked up in the system, so I have to find that first.

[identity profile] lengo.livejournal.com 2010-01-14 06:21 pm (UTC)(link)
The system cold be screwed up by the virus, but it could also be that McAfee did not uninstall properly and the other brand may install. In any case this sucks and I feel your pain. Had too much problems with computers myself in the past year.

[identity profile] tima.livejournal.com 2010-01-14 06:49 pm (UTC)(link)
McAfee was all right few times on the PC and few other I owe, so the issue is with the OS for sure.

I am calm and patient, no need to be grouchy and get crazy over PCs, they not worth our life and feelings.

Anyway, here is my wise thought #1 from around 10 years ago:

"Disgruntled employees should be given gruntle as soon as possible, otherwise they can get nasty."

Tim Borodin, programmer-junk collector. Thought #1.

[identity profile] lolaley.livejournal.com 2010-01-14 08:52 pm (UTC)(link)
может, переустановить windows installer? у меня недавно были проблемы с ним и тоже после апдейта

поковыряюсь в системе сначала

[identity profile] tima.livejournal.com 2010-01-15 02:33 am (UTC)(link)
большое подозрение, что что-то там зарыто

[identity profile] lolaley.livejournal.com 2010-01-15 02:48 am (UTC)(link)
расскажи потом, что откопаешь, удачи

[identity profile] tima.livejournal.com 2010-01-15 12:42 pm (UTC)(link)
непременно

спасибо

попутное

[identity profile] tima.livejournal.com 2010-01-14 06:09 pm (UTC)(link)
почему у такой доброй девочки как ты такой злой мальчуковый юзерпик?! Я все время пугаюсь!

Re: попутное

[identity profile] lengo.livejournal.com 2010-01-14 06:19 pm (UTC)(link)
'cause she has a lot of work to do during her winter break. Is this better?

much better, thanks

[identity profile] tima.livejournal.com 2010-01-14 06:46 pm (UTC)(link)
P.S. Everyone has a lot of things to do. Try to be nice, happy, smiley, things turn to the better, trust me.

Re: much better, thanks

[identity profile] lengo.livejournal.com 2010-01-14 07:39 pm (UTC)(link)
*giggles* You're very nice.

thanks dear

[identity profile] tima.livejournal.com 2010-01-14 07:49 pm (UTC)(link)
I am trying to be.

P.S. Not to everyone though.

[identity profile] bbb.livejournal.com 2010-01-14 07:54 pm (UTC)(link)
Был точно в такой же ситуации. Антивирусы эту гадость не берут. Перепробовал много способов, ничего не помогало. Потом использовал http://www.malwarebytes.org - как рукой сняло. Вот инструкция - http://www.bleepingcomputer.com/virus-removal/uninstall-antivirus-2009

[identity profile] tima.livejournal.com 2010-01-14 08:04 pm (UTC)(link)
Спасибо, Боря, записано!

[identity profile] greenrose18.livejournal.com 2010-01-15 12:42 am (UTC)(link)
У меня вчера выскочили попапы с текстом типа ваш компьютер заражен. Я их просто всех закрыла и прогнала MS Forefront Endpoint Protection. Проверилa всю систему и все. Почему же Макафи не работает?

я б уже пофиксал

[identity profile] tima.livejournal.com 2010-01-15 02:32 am (UTC)(link)
если б знал почему не работает. Беда еще, что компьютер в Мичигане, а я в Бостоне.

[identity profile] 2-kopeiki.livejournal.com 2010-01-15 07:34 am (UTC)(link)
Одной перезагрузки в safe mode недостаточно. Перед загрузкой в Safe Mode рекомендуется отключить System Restore (right click on My Computer -> Properties -> System Restore -> mark "Turn Off System Restore" box).
Иначе вирус, или иная гадость восстановит себя при следующем рестарте.

[identity profile] tima.livejournal.com 2010-01-15 12:13 pm (UTC)(link)
беда в том, что сэйф мод в принципе ничего не дал.