Win32/Exprio virus leirtása

Üdv,

Egy (inkább kettő) elég érdekes gépbe futottam bele a minap. Windows XP SP3. Próbáltam telepiteni Acrobat readert, viszont a telepités folyton elhasal (Váratlan hiba). Végigfuttattam egy nod32 full scant, de nem talált semmit. A rendszergazda fiók is rendben van, még újat is csináltam.

A másik gép ennél rosszabb. Virust kellene rajta pucolni (XP SP3 szintén), de van rajta egy olyan féreg (feltehetőleg), ami blokkolja az ismert virusirtók szervizeit. A Nod konkrétan fel se települ, a telepités végén egyszer csak visszaáll az elején létrehozott rendszervisszaállitási pontra. AVG, Avast feltelepül, viszont a védelmük és a háttérfolyamatok nem futnak és nem is indithatóak. Ezért viruskeresést sem lehet futtatni. Egy program megy, az pedig a McAfee Stinger, az talált pár ártalmatlan virust, de a probléma nem oldódott meg. Próbáltam egy új Hiren's-t és a rajta lévő Spybot S&D-t, Clamwavot, meg még valami egyéb viruskergetőt, találtak pár cookie férget, le is pucolták őket, de a probléma továbbra is fennáll, nem tudok normális viruskergetőt telepiteni.

Mit lehetne még tenni? Nincs olyan gép amibe bele tudnám tenni a winyót, meg tartok attól hogy megfertőzné a rendszert...

Hozzászólások

Hdd-t át kell tenni egy másik gépbe. Vagy imageből újrahúzni. Vagy újratelepíteni. Kb ezekből választhatsz, utóbbi kettőt preferálnám a helyedben.

esetleg az Eset Online Scanner ha sikerül futtatni

Eset SysRescue, ingyen letölthető, gyakorlatilag egy Ubuntu rajta a Linux-os NOD-dal, végignézetni vele a gépet. És egyébként adatokat menteni és újratelepíteni.

http://www.eset.com/int/support/sysrescue/

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Tipphalmaz:
0. lépés: LAN kábel kihúz...
Ha már van Hiren's, akkor onnan indított oprendszer alatt a cél winyón az összes TEMP könyvtár tartalmát törölni (különös képpen a futtatható állományokra), összes böngésző összes cache és temp állományait törölni, ...\etc\hosts file megvizsgálása, majd Winternals-ban átnézni a automatikusan elinduló programokat és rendszerfolyamatokat, és minden felesleges és gyanús dolgot kikapcsolni. Ezután egy csökkentett módú indítást próbálni. Utána egy normálist. Ha valami bent maradt a registryben, akkor nagy valószínűséggel mikor indítani szeretné magát a féreg, kapni fogsz egy hibaüzentet, hogy mit nem tud betölteni. Ez alapján még a kulcsot is meg lehet találni, és törölni. Amint lehetséges, minden felesleges program eltávolítása (gigatoolbarok és egyebek)
Ezek után meg lehet próbálni valami víruskergetőt telepíteni, de szigorúan offline módban. Ja, és cserélhető meghajtók automatikus lejátszását kikapcsolni (ezzel kezdeni!)
Én kb. így indulnék neki, bár viszonylag régen csináltam ilyesmit, nem tudom, hogy a mai férgek mennyire immunisak az ilyen módszer ellen...

Ne kattints ide!

Kaspersky trial, telepítés után restart, ha elindulnak a szervizei, akkor minden ok, frissítés után kiszúr mindent.
Ha nem indulnak el a szervizei, akkor csökkentett módban restart hálózattal, vírusdb frissítése és full system scan.

Megvan a virus pontos tipusa: Win32/Expiro

Utánaolvasva ez a kis rohadék minden futtatható állományba beleeszi magát.

Amit próbáltam de nem vált be:
AVG Expiro remover

Most egy Microsoftos célszoftver fut: Microsoft Safety Scanner - erről azt irták Microsofték hogy képes kipucolni. Reggelre kiderül, remélem nem kamuztak...

-------------------------
Dropbox refer - mert kell a hely: https://db.tt/V3RtXWLl
neut @ présház