Боремся с вирусом, вызывающим ошибку svchost.exe
Два дня работы – полет нормальный… Вчера утром воспользовался бесплатной утилитой Касперского, и пока ни одной проблемы не возникло! Естественно, она работает только если сделать всё правильно. ;)
А секрет, я думаю, вот в чем…
Просто утилита klwk только удаляет вирусы и лечит компьютер. А после завершения ее работы, червь пролезает назад из сети и спокойно продолжает свою работу, как ни в чем не бывало. Чтоб этого не происходило, нужно снова ставить заплатки Майкрософта против этой гадости непосредственно перед запуском утилиты.
И снова я поигрался с bat-файлами (и чего я раньше не замечал сего чуда? :)) Несколько минут работы и получилась уже, можно сказать, новая утилита для борьбы со следующими вирусами:
- I-Worm.Zafi.b
- I-Worm.Bagle.at,au,cx-dw
- Virus.Win32.Implinker.a
- Not-a-virus.AdWare.Visiter
- Trojan.Win32.Krotten
- Email-Worm.Win32.Brontok.n
- Backdoor.Win32.Allaple.a
- Trojan-Spy.Win32.Goldun.mg
- Email-Worm.Win32.Warezov
- Virus.Win32.VB.he
- IM-Worm.Win32.Sohanad.as
- P2P-Worm.Win32.Malas.b
- Virus.Win32.AutoRun.acw
- Worm.Win32.VB.jn
- Trojan.Win32.KillAV.nj
- Worm.Win32.AutoRun.cby
- Trojan.Win32.Agent.aec
- Trojan-Downloader.Win32.Todon.an
- Trojan-Downloader.Win32.Losabel.ap
- Worm.Win32.AutoRun.czz,daa,dhq,dfx
- Net-Worm.Win32.Rovud.a-c
- Trojan.Win32.ConnectionServices.x-aa
- Worm.Win32.AutoRun.dtx
- Worm.Win32.AutoRun.hr
- Backdoor.Win32.Agent.lad
- not-a-virus:FraudTool.Win32.UltimateDefender.cm
- Trojan-Downloader.Win32.Agent.wbu
- Backdoor.Win32.Small.cyb
- not-a-virus:FraudTool.Win32.XPSecurityCenter.c
- not-a-virus:Downloader.Win32.VistaAntivirus.a
- not-a-virus:FraudTool.Win32.UltimateAntivirus.an
- not-a-virus:FraudTool.Win32.UltimateAntivirus.ap
- Trojan-Spy.Win32.Zbot.dlh
- Trojan-Downloader.Win32.Small.abpz
- Rootkit.Win32.Ressdt.br
- Worm.Win32.AutoRun.lsf
- Worm.Win32.AutoRun.epo
- Worm.Win32.AutoRun.enw
- Backdoor.Win32.UltimateDefender.a
- Worm.Win32.AutoRun.pwi
- Worm.Win32.AutoRun.pfh
- Worm.Win32.AutoRun.qhk
- Worm.Win32.AutoRun.ouu
- Worm.Win32.AutoRun.bnb
- Worm.Win32.AutoRun.ll
- AdWare.Win32.Cinmus.sxy
- Trojan.Win32.Autoit.eo
- Worm.Win32.AutoRun.sct
- Worm.Win32.AutoRun.qkn
- not-a-virus:AdWare.Win32.Cinmus.wsu
- Trojan-Ransom.Win32.Taras.a,c
- Trojan-Dropper.Win32.Agent.ztu
- Trojan-Downloader.Win32.Agent.Apnd
- Worm.Win32.Autorun.qpa
- Net-Worm.Win32.Kido.j
- Worm.Win32.Autorun.dcw
- Trojan.Win32.Feedel.gen
- Trojan.Win32.Pakes.mak
- Net-Worm.Win32.Kido.r
- Net-Worm.Win32.Kido.t
- Worm.VBS.Autorun.cq
- Worm.Win32.Pinit.ac
- Worm.Win32.Pinit.ae
- Worm.Win32.Pinit.af
- Worm.Win32.Pinit.gen
- Net-Worm.Win32.Kido.bw
- Net-Worm.Win32.Kido.db
- Net-Worm.Win32.Kido.fk
- Net-Worm.Win32.Kido.fx
- Net-Worm.Win32.Kido.fo
- Net-Worm.Win32.Kido.s
- Net-Worm.Win32.Kido.dh
- Net-Worm.Win32.Kido.ee
- Net-Worm.Win32.Kido.gh
- Net-Worm.Win32.Kido.fa
- Net-Worm.Win32.Kido.gy
- Net-Worm.Win32.Kido.ca
- Net-Worm.Win32.Kido.by
- Net-Worm.Win32.Kido.if
- Net-Worm.Win32.Kido.eo
- Net-Worm.Win32.Kido.bx
- Net-Worm.Win32.Kido.bh
- Net-Worm.Win32.Kido.bg
- Net-Worm.Win32.Kido.ha
- Net-Worm.Win32.Kido.hr
- Net-Worm.Win32.Kido.da
- Net-Worm.Win32.Kido.dz
- Net-Worm.Win32.Kido.cg
- Net-Worm.Win32.Kido.eg
- Net-Worm.Win32.Kido.eq
- Net-Worm.Win32.Kido.bz
- Net-Worm.Win32.Kido.do
- Net-Worm.Win32.Kido.fw
- Net-Worm.Win32.Kido.du
- Net-Worm.Win32.Kido.cv
Вобщем, качаем то, что получилось, отсюда: Kichrum KLWK и проверяем в действии.
Как воспользоваться?
- Разархивировать.
- Запустить RUS.bat, если у вас русскоязычная Windows XP, или ENU.bat, если англоязычная (в большинстве случаев можно определить по языку написания слова “Пуск” (”Start”) в левом нижнем углу экрана).
- Устанавливать все, что предложит утилита. Если первая заплатка не устанавливается по причине несовместимости языков, вместо нажатия любой клавиши по требованию, просто закройте окошко и запустите другой bat-файл.
- Дождитесь завершения процесса сканирования и нажмите любую клавишу для выхода с программы.
Напоминаю, что рано радоваться, если сразу после завершения работы утилиты вы не получили ошибку svchost.exe! Она еще вполне может вернуться через некоторое время и в этом случае не надо говорить, что я плохой и не предупредил. Но мне кажется, она мне помогла :P
Самого главного данный .bat файл не делает. Ключевым моментом является принудительная перезагрузка после установки обновлений (необходимая для их актуализации), иначе, если антивирус и вычистит тело червя из системы, то произойдет повторное заражение.
З.Ы. Можно обойтись 1 .bat файлом определив язык системы по написанию слова “Version”/”Версия” выдаваемом в консоли по команде ver.
З.Ы.Ы. На самом деле красивым было бы решение с принудительным выключением сетевого интерфейса через netsh, что гарантирует полноценную отработку обновлений и утилиты. С подсовыванием самоуничтожающегося .bat в автозагрузку Windows, который включит сетевой интерфейс после перезагрузки.
Это второй bat-файл в моей жизни. Он просто не может быть идеальным =)
P.S. Я не написал о галочке “Отложить перезагрузку”… Каждая заплатка способна перезагружать компьютер после установки…
P.P.S. Тогда можно сказать, что лучше всего запускать его в безопасном режиме…
Без сомнения, с определенными оговорками им можно правильно воспользоваться. Но для рядового пользователя это порой бывает слишком затруднительно, предлагаю доработать .bat файл, заодно заглянув в (WindowsXP-KB921883-x86-RUS.exe /?) или любое другое обновление ;-)
Кто-то мешает доработать?.. ;)
/quiet – это пожалуй хорошо. Буду знать :)
P.S. Вот думаю, кто у нас там “Сергей”, админ 5server… Петров, что ли? =)
Сергей – сорее всего Харченко. Борец вирусов всея библиотека :)
Спс, хорошо знать в лицо комментаторов =)
Нашёл вашу статью, сейчас сделаю себе так же…
Раньше мой свхост жестоко дрючил какой-то вирус, вроде как-то даже незаметно от него избавился.
Больше бы таких факов, полезное дело :)