субота, 17 січня 2009 р.

Боремся с вирусом, вызывающим ошибку svchost.exe

Два дня работы - полет нормальный... Вчера утром воспользовался бесплатной утилитой Касперского, и пока ни одной проблемы не возникло! Естественно, она работает только если сделать всё правильно. ;)

А секрет, я думаю, вот в чем...

Просто утилита klwk только удаляет вирусы и лечит компьютер. А после завершения ее работы, червь пролезает назад из сети и спокойно продолжает свою работу, как ни в чем не бывало. Чтоб этого не происходило, нужно снова ставить заплатки Майкрософта против этой гадости непосредственно перед запуском утилиты.

И снова я поигрался с bat-файлами (и чего я раньше не замечал сего чуда? :)) Несколько минут работы и получилась уже, можно сказать, новая утилита для борьбы со следующими вирусами:

  • I-Worm.Zafi.b

  • I-Worm.Bagle.at,au,cx-dw

  • Virus.Win32.Implinker.a

  • Not-a-virus.AdWare.Visiter

  • Trojan.Win32.Krotten

  • Email-Worm.Win32.Brontok.n

  • Backdoor.Win32.Allaple.a

  • Trojan-Spy.Win32.Goldun.mg

  • Email-Worm.Win32.Warezov

  • Virus.Win32.VB.he

  • IM-Worm.Win32.Sohanad.as

  • P2P-Worm.Win32.Malas.b

  • Virus.Win32.AutoRun.acw

  • Worm.Win32.VB.jn

  • Trojan.Win32.KillAV.nj

  • Worm.Win32.AutoRun.cby

  • Trojan.Win32.Agent.aec

  • Trojan-Downloader.Win32.Todon.an

  • Trojan-Downloader.Win32.Losabel.ap

  • Worm.Win32.AutoRun.czz,daa,dhq,dfx

  • Net-Worm.Win32.Rovud.a-c

  • Trojan.Win32.ConnectionServices.x-aa

  • Worm.Win32.AutoRun.dtx

  • Worm.Win32.AutoRun.hr

  • Backdoor.Win32.Agent.lad

  • not-a-virus:FraudTool.Win32.UltimateDefender.cm

  • Trojan-Downloader.Win32.Agent.wbu

  • Backdoor.Win32.Small.cyb

  • not-a-virus:FraudTool.Win32.XPSecurityCenter.c

  • not-a-virus:Downloader.Win32.VistaAntivirus.a

  • not-a-virus:FraudTool.Win32.UltimateAntivirus.an

  • not-a-virus:FraudTool.Win32.UltimateAntivirus.ap

  • Trojan-Spy.Win32.Zbot.dlh

  • Trojan-Downloader.Win32.Small.abpz

  • Rootkit.Win32.Ressdt.br

  • Worm.Win32.AutoRun.lsf

  • Worm.Win32.AutoRun.epo

  • Worm.Win32.AutoRun.enw

  • Backdoor.Win32.UltimateDefender.a

  • Worm.Win32.AutoRun.pwi

  • Worm.Win32.AutoRun.pfh

  • Worm.Win32.AutoRun.qhk

  • Worm.Win32.AutoRun.ouu

  • Worm.Win32.AutoRun.bnb

  • Worm.Win32.AutoRun.ll

  • AdWare.Win32.Cinmus.sxy

  • Trojan.Win32.Autoit.eo

  • Worm.Win32.AutoRun.sct

  • Worm.Win32.AutoRun.qkn

  • not-a-virus:AdWare.Win32.Cinmus.wsu

  • Trojan-Ransom.Win32.Taras.a,c

  • Trojan-Dropper.Win32.Agent.ztu

  • Trojan-Downloader.Win32.Agent.Apnd

  • Worm.Win32.Autorun.qpa

  • Net-Worm.Win32.Kido.j

  • Worm.Win32.Autorun.dcw

  • Trojan.Win32.Feedel.gen

  • Trojan.Win32.Pakes.mak

  • Net-Worm.Win32.Kido.r

  • Net-Worm.Win32.Kido.t

  • Worm.VBS.Autorun.cq

  • Worm.Win32.Pinit.ac

  • Worm.Win32.Pinit.ae

  • Worm.Win32.Pinit.af

  • Worm.Win32.Pinit.gen

  • Net-Worm.Win32.Kido.bw

  • Net-Worm.Win32.Kido.db

  • Net-Worm.Win32.Kido.fk

  • Net-Worm.Win32.Kido.fx

  • Net-Worm.Win32.Kido.fo

  • Net-Worm.Win32.Kido.s

  • Net-Worm.Win32.Kido.dh

  • Net-Worm.Win32.Kido.ee

  • Net-Worm.Win32.Kido.gh

  • Net-Worm.Win32.Kido.fa

  • Net-Worm.Win32.Kido.gy

  • Net-Worm.Win32.Kido.ca

  • Net-Worm.Win32.Kido.by

  • Net-Worm.Win32.Kido.if

  • Net-Worm.Win32.Kido.eo

  • Net-Worm.Win32.Kido.bx

  • Net-Worm.Win32.Kido.bh

  • Net-Worm.Win32.Kido.bg

  • Net-Worm.Win32.Kido.ha

  • Net-Worm.Win32.Kido.hr

  • Net-Worm.Win32.Kido.da

  • Net-Worm.Win32.Kido.dz

  • Net-Worm.Win32.Kido.cg

  • Net-Worm.Win32.Kido.eg

  • Net-Worm.Win32.Kido.eq

  • Net-Worm.Win32.Kido.bz

  • Net-Worm.Win32.Kido.do

  • Net-Worm.Win32.Kido.fw

  • Net-Worm.Win32.Kido.du

  • Net-Worm.Win32.Kido.cv


Вобщем, качаем то, что получилось, отсюда: Kichrum KLWK и проверяем в действии.

Как воспользоваться?




  1. Разархивировать.

  2. Запустить RUS.bat, если у вас русскоязычная Windows XP, или ENU.bat, если англоязычная (в большинстве случаев можно определить по языку написания слова "Пуск" ("Start") в левом нижнем углу экрана).

  3. Устанавливать все, что предложит утилита. Если первая заплатка не устанавливается по причине несовместимости языков, вместо нажатия любой клавиши по требованию, просто закройте окошко и запустите другой bat-файл.

  4. Дождитесь завершения процесса сканирования и нажмите любую клавишу для выхода с программы.


Напоминаю, что рано радоваться, если сразу после завершения работы утилиты вы не получили ошибку svchost.exe! Она еще вполне может вернуться через некоторое время и в этом случае не надо говорить, что я плохой и не предупредил. Но мне кажется, она мне помогла :P

7 коментарів:

Sergey сказав...

Самого главного данный .bat файл не делает. Ключевым моментом является принудительная перезагрузка после установки обновлений (необходимая для их актуализации), иначе, если антивирус и вычистит тело червя из системы, то произойдет повторное заражение.

З.Ы. Можно обойтись 1 .bat файлом определив язык системы по написанию слова "Version"/"Версия" выдаваемом в консоли по команде ver.

З.Ы.Ы. На самом деле красивым было бы решение с принудительным выключением сетевого интерфейса через netsh, что гарантирует полноценную отработку обновлений и утилиты. С подсовыванием самоуничтожающегося .bat в автозагрузку Windows, который включит сетевой интерфейс после перезагрузки.

Kichrum сказав...

Это второй bat-файл в моей жизни. Он просто не может быть идеальным =)

P.S. Я не написал о галочке "Отложить перезагрузку"... Каждая заплатка способна перезагружать компьютер после установки...

P.P.S. Тогда можно сказать, что лучше всего запускать его в безопасном режиме...

Sergey сказав...

Без сомнения, с определенными оговорками им можно правильно воспользоваться. Но для рядового пользователя это порой бывает слишком затруднительно, предлагаю доработать .bat файл, заодно заглянув в (WindowsXP-KB921883-x86-RUS.exe /?) или любое другое обновление ;-)

Kichrum сказав...

Кто-то мешает доработать?.. ;)

/quiet - это пожалуй хорошо. Буду знать :)

P.S. Вот думаю, кто у нас там "Сергей", админ 5server... Петров, что ли? =)

potapuff сказав...

Сергей - сорее всего Харченко. Борец вирусов всея библиотека :)

Kichrum сказав...

Спс, хорошо знать в лицо комментаторов =)

Владислав сказав...

Нашёл вашу статью, сейчас сделаю себе так же...

Раньше мой свхост жестоко дрючил какой-то вирус, вроде как-то даже незаметно от него избавился.

Больше бы таких факов, полезное дело :)