Ну с ноутбука сильно винт не снимешь, а вот загрузки с дисков под WinPE это самый действенный способ. Если не ошибаюсь, то у Dr.Web есть досовский сканер, только работает ли он с NTFS не знаю. Преимущество аварийного диска касперского в том, что его можно создать уже с сегодняшними базами. Конечно LiveCD можно либо покорректировать добавив свежие базы либо сделать самому, но это сложнее и, если нет опыта, дольше.
Как вариант можно воспользоваться online-сканерами как на сайте касперского так и Dr.Web.

Вот ещё один удачный досовский сканер McaFee Virus Scan (http://www.mcafee.com)
А снять винт не такая уж проблема, тем более учитывая, что вопрос задаёт, как я понял не пользователь ноута, а человек, который пришёл на помощь, а это предполагает, что помощник должен быть опытней пользователя

у Dr.Web есть досовский сканер, только работает ли он с NTFS не знаю. Преимущество аварийного диска касперского в том, что его можно создать уже с сегодняшними базами. Конечно LiveCD можно либо покорректировать добавив свежие базы либо сделать самому, но это сложнее и, если нет опыта, дольше.
Как вариант можно воспользоваться online-сканерами как на сайте касперского так и Dr.Web.

Dr.WEB ничего не находит :(

Насчёт касперского ЛайфСД... Есть готовый бесплатный дистрибутив? Я чёт на сайте в довнлоде не встретил ничего.

Онлайн сканеры не подходят однозначно. т.к. на сайты со словом "антивирус" не выбраться :)

Ну это в принципе не проблема, сделаю диск с помощью PE Builder, знать бы наверняка что каспер именно эту заразу лечит, а то прийдётся потом следующий антивир ЛайфСД делать.... и следующий...

Я гуглил по этому вопросу, практически никаких упоминаний о подобном вирусе нет (мож свежий ещё, или редкий какой). Правда есть программа похожего действия, которая закрывает окна с упоминанием "секс, пенис и т.п.". Создана для защиты от недобросовесных юзеров и как вирус не определяется. Мож её подмодернизировали на слова "антивирус и т.д." и запустили в сеть?

В процессах, вроде, тоже ничего подозрительного. Хотя я не знаток в этом вопросе. Выложу список на "всякий пожарный", может кто узнает что?


ИД,Память,"Исполняемый файл",Приоритет
Idle,0,,,,,,,,,,,
System,8,217.088,,"20 (Normal)
smss.exe,148,413.696,C:\WINNT\\System32\smss.exe,"20 (Normal)
winlogon.exe,184,4.857.856,C:\WINNT\system32\winlogon.exe,"80 (High)
csrss.exe,188,2.002.944,C:\WINNT\system32\csrss.exe,"20 (Normal)
services.exe,236,6.467.584,C:\WINNT\system32\services.exe,"20 (Normal)
lsass.exe,248,1.458.176,C:\WINNT\system32\lsass.exe,"20 (Normal)
svchost.exe,428,4.526.080,C:\WINNT\system32\svchost.exe,"20 (Normal)
atiptaxx.exe,440,3.743.744,C:\WINNT\system32\atiptaxx.exe,"20 (Normal)
spoolsv.exe,456,5.070.848,C:\WINNT\system32\spoolsv.exe,"20 (Normal)
sched.exe,484,2.940.928,"C:\Programme\AntiVir PersonalEdition Classic\sched.exe","20 (Normal)
avguard.exe,496,20.348.928,"C:\Programme\AntiVir PersonalEdition Classic\avguard.exe","20 (Normal)
Ati2evxx.exe,508,1.437.696,C:\WINNT\system32\Ati2evxx.exe,"20 (Normal)
svchost.exe,524,8.880.128,C:\WINNT\system32\svchost.exe,"20 (Normal)
HPConfig.exe,572,3.387.392,C:\WINNT\system32\HPConfig.exe,"20 (Normal)
mdm.exe,604,3.117.056,"C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe","20 (Normal)
ltmsg.exe,644,1.339.392,C:\WINNT\system32\ltmsg.exe,"20 (Normal)
regsvc.exe,692,1.163.264,C:\WINNT\system32\regsvc.exe,"20 (Normal)
MSTask.exe,752,3.731.456,C:\WINNT\system32\MSTask.exe,"20 (Normal)
stisvc.exe,796,1.871.872,C:\WINNT\system32\stisvc.exe,"20 (Normal)
WinMgmt.exe,848,606.208,C:\WINNT\System32\WBEM\WinMgmt.exe,"20 (Normal)
Starter.exe,948,10.006.528,C:\Programme\CodeStuff\Starter\Starter.exe,"20 (Normal)
winser.exe,1032,8.069.120,C:\WINNT\system32\winser.exe,"20 (Normal)
Explorer.exe,1036,1.744.896,C:\WINNT\Explorer.exe,"20 (Normal)
SynTPLpr.exe,1636,1.462.272,C:\Programme\Synaptics\SynTP\SynTPLpr.exe,"20 (Normal)
SynTPEnh.exe,1664,3.002.368,C:\Programme\Synaptics\SynTP\SynTPEnh.exe,"20 (Normal)
Monitor.exe,1684,2.506.752,"C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe","20 (Normal)
ctfmon.exe,1724,2.830.336,C:\WINNT\system32\ctfmon.exe,"20 (Normal)
Msmsgs.exe,1728,6.598.656,C:\Programme\Messenger\Msmsgs.exe,"20 (Normal)
GoogleToolbarNotifier.exe,1736,1.425.408,C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\Goog leToolbarNotifier.exe,"20 (Normal)

думаю, для начала можешь вычистить из памяти следующие процессы:
ltmsg.exe,644,1.339.392,C:\WINNT\system32\ltmsg.exe,"20 (Normal)
regsvc.exe,692,1.163.264,C:\WINNT\system32\regsvc.exe,"20 (Normal)
MSTask.exe,752,3.731.456,C:\WINNT\system32\MSTask.exe,"20 (Normal)
winser.exe,1032,8.069.120,C:\WINNT\system32\winser.exe,"20 (Normal)
WinMgmt.exe,848,606.208,C:\WINNT\System32\WBEM\WinMgmt.exe,"20 (Normal)
Starter.exe,948,10.006.528,C:\Programme\CodeStuff\Starter\Starter.exe,"20 (Normal)
SynTPLpr.exe,1636,1.462.272,C:\Programme\Synaptics\SynTP\SynTPLpr.exe,"20 (Normal)
SynTPEnh.exe,1664,3.002.368,C:\Programme\Synaptics\SynTP\SynTPEnh.exe,"20 (Normal)
GoogleToolbarNotifier.exe,1736,1.425.408,C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\Goog leToolbarNotifier.exe,"20 (Normal)
А вообще, попробуй установить антивирус в SafeMode'е и в не м же проверить комп на инфицированность. Опять же - команда msconfig, закладка Автозапуск - убери оттуда все, чего не знаешь.

MadMaks
Снять винт не проблема, сложнее его подключить на обычную машину, если мне не изменяет память без переходника этого не сделать, а вот есть ли он - вопрос.
HohOl78
Готовых нет, на сайте касперского можно загрузить дистрибутив программы, который без активации выполняет абсолютно все функции (включая создание LiveCD со сканером), но не поддерживает обновления. Хотя можно воспользоваться бета-версией, которая и обновляется и полноценно работает, подробнее в этой теме: Совместимость Kaspersky Antivirus с Windows Vista (http://forum.oszone.net/thread-76557.html) - эта версия работает не только с Windows Vista, но и с XP.

В безопасном режиме та же беда... все что напоминает антивирус - закрывается.


Готовых нет, на сайте касперского можно загрузить дистрибутив программы, который без активации выполняет абсолютно все функции (включая создание LiveCD со сканером), но не поддерживает обновления. Хотя можно воспользоваться бета-версией, которая и обновляется и полноценно работает, подробнее в этой теме: Совместимость Kaspersky Antivirus с Windows Vista - эта версия работает не только с Windows Vista, но и с XP.

Так... попробовал поставить триал касперского на Виндовс сервер 2000, несовместимы... Поставил SpyBot S and D и сделал лайфСД - ничего не находит :(

У меня такой набор компов:

1. Больной НР 6100 с Виндовс 2000
2. Основная машина на Висте РЦ1
3. Сервер на Виндовс сервер 2000
4. ещё один ноут на виндовс 2000, но без РВ диска. В принципе есть гиговая флешка.

На основную машину ставить бетку Касперского - страшновато (плохие воспоминания). Но на крайняк, конечно, рискну...
Каспер станет на 2000 ? ? при условии создания ЛайфСД в виде образа ? ? что бы я его на флэшку... а потом прожгу на основной машине. Думаю, это лучший вариант.

Каспер станет на 2000 ? да, но не на сервер
Предварительно не забудьте обновить сигнатуры, иначе смысла немного от такого диска.На основную машину ставить бетку Касперского - страшновато у меня работает сейчас на Vista Ultimate сборки 6000 - из-под нее и пишу, установлен Kaspersky Internet Security
Для создания аварийного диска касперского вам понадобится установленный PE Builder не ниже 3.1.3 и дистрибутив Windows XP SP2

И ещё из сделанного:

Проверил систему относительно свежим (октябрьським) Avast! Bart CD 2 - тоже всё чисто показывает, хотя достаточно авторитетный сканер для меня.
В автозапуске выключил всё... запустился в безопасном режиме и потом руками выключил все процессы оставшиеся, что выключались (не системные). Результата нет... установки антивирусов не запускаются...


у меня работает сейчас на Vista Ultimate сборки 6000 - из-под нее и пишу, установлен Kaspersky Internet Security
Для создания аварийного диска касперского вам понадобится установленный PE Builder не ниже 3.1.3 и дистрибутив Windows XP SP2

Виста 5600 RC1, PE Builder 3.1.10 ругается на несовместимость :??????

А бетка каспера для висты без PE Builder диск не прожгёт?

Щя буду пробовать ставить касперского на Висту... с богом...

мне нужен kav6.omp2 или kis6.omp2 ???

Впрочем, оба не пошли. Судя по всему по причине совместимости с моим билдом винды

Алелуйа!!!!

Итак... найдена "зараза"!

Поиск:
После очистки автозагрузки (руками) один из файлов постоянно обновлялся (прописывался снова). WinNT/System32/winser.exe Запрос в гуглях сразу дал результат Adware.IEPlugin

Лечение:
Подробную информацию (на англ.) и утилиту для удаления можно найти на сайте Symantec (http://sarc.com/avcenter/venc/data/adware.ieplugin.html)

Судя по всему эта дрянь ищет слова в контексте окна или в запускаемом файле. Если в окне, надо подумать... А если в файле, то ставьте filеmonitor и подсуньте ей файлик с антивирусом, отследите кто после запуска полез в exe и по наглой рыжей морде :)

riissk: ты оччень внимателен... перечитай сообщение автора №12 (http://forum.oszone.net/thread-76878-2.html#post530837) ;).

Да ... новый год не прошёл зря :)

Вырубай из автозагрузки то, что написали:
ltmsg.exe,644,1.339.392,C:\WINNT\system32\ltmsg.exe,"20 (Normal)
MSTask.exe,752,3.731.456,C:\WINNT\system32\MSTask.exe,"20 (Normal)
winser.exe,1032,8.069.120,C:\WINNT\system32\winser.exe,"20 (Normal)
GoogleToolbarNotifier.exe,1736,1.425.408,C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\Goog leToolbarNotifier.exe,"20 (Normal)

MSTask.exe - точно вирь.

Остальное указанное - либо сервисы самой Windows, например, служба управления WinMgmt, или доступ к реестру по сети regsvc.exe

А вообще - вырубай из автозагрузки все, лечи, то, что осталось, как правило - нормальные софтины, вроде управления тачпадом, звуком и т.д. т.п. (никогда их не понимал)...

З.Ы. Смотря на даты поста думаю, а не поздно ли :-)

Смотря на даты поста думаю, а не поздно ли да это ладно, вот если бы еще правильно советовали... MSTask.exe - точно вирь. серьезно? а не процесс Планировщика заданий Windows?Вырубай из автозагрузки то, что написалину-ну...
ltmsg.exe - процесс драйвера модема Lucent
MSTask.exe - уже выше говорил
GoogleToolbarNotifier.exe - процесс панели инструментов Google
winser.exe - единственное угаданное, да и то автор темы уже сообщил, что это и был процесс вируса

вот и слушай потом "советов"...

Эт точно...Список страниц плохо заметен. В одном форуме тут, в другом там. Часто пропускаю. :search:

:) а я то думаю, что народ постит (просто у меня настроено отображение 20 постов на странице и, соответственно эта тема пока умещается на одной странице)

На прошлой неделе столнулись со следующей ситуацией. Благо не в своей сети.
На комне стоит прокся и настроен DNS. Вдруг начались бесконечные запросы DNS и побежал траффик. Посмотрели соседскую сеть, а у них "песня". Касперский полгода не работает, юзверы разводят руками, типа, ну да ключик кончился, бывает. Начинаю искать, что может гнать траффик. Мучаю, мучаю комп, который в той сети считается главным, посмотрела ветки реестра, Автозагрузки, прогнали AdAware, Norton (пришлось установить) - ничего. Поставили сниффер, показывает, что по 25 порту бежит траффик. На файрволе закрыли 25ый порт. Траффик остановился. Но ведь это не решение проблемы...

На следующий день опять возвращаюсь к главному компу, сижу за ним час с открытым 25ым портом - тишина. Врубаю еще один комп из их сети и вот оно! Опять бесконечные запросы DNS и страшные перегрузки :) на 25ом порту. Заразная машинка оказалась также без антивиря. Установили Norton, обновили базы, прогнали AdAware. Нортон только со второй попытки нашел Trojan.Goldun. Удалил файлик msvcrl.dll и сказал, что комп здоров. Врубаю этот комп обратно в сеть и инет, поначалу тишина, а потооом... Весь экран усыпан проверкой писем, уходящих по 25ому порту (это Нортон работает). Смотрю сниффером и вижу: сначала идет запрос на 64.62.171.141:7711, дальше открывается 25ый порт и поперли письма во все концы света. Причем когда начинаются mail-бомбежки задействован Explorer.exe, т.е. родной виндусовый проводник. Проверяю его на подлинность - от Майкрософт. Дальше сниффер показывает, что после соединения с 64.62.171.141 на некоторое время задействуются процессы: wmiprvse.dll и netsh.exe. Если отрубить explorer.exe, то бомбежки прекращаются. В безопасном режиме меняю explorer.exe на такой же, но с соседнего компа. Не помогает...

Может, кто-то уже победил сей троян и подскажет где искать? Кстати, применяли утилиты по удалению какой-то разновидности этого Goldun'а - не помогает.
Заранее спасибо!

Аналогичная ситуация обнаружилась некоторое время назад.
Процесс explorer.exe ломится на порт 17001 следующих IP (возможно выбираются случайно):

64.62.171.141
66.45.232.75
81.95.148.18

В данный момент с машины доступ на шлюзе по этим портам не открыт. Если открыть - начинается рассылка спама по самым разным адресам.
То есть похоже с перечисленных хостов загружаются адреса для рассылки (или собственно письма).

Если кому-то удалось победить - подскажите.
Ad-aware, антивирус ничего не находят. Пробовал смотреть списки автозагрузки утилитой Hijackthis - абсолютно никаких "лишних" вещей.

Уважаемый, Access Denied! Знаете? чем все закончилось с этим нечаянным злополучным спам-сервером? Переустанавливали винды. Но до этого были попытки поймать зверя за хвост в течение 8ми часов. Единственный антивирь, отреагировавший на червя был NOD32. Он сказал, что это Spambot, к сожалению, не помню точного названия :( На работе посмотрю и скажу, если остался листок с распечаткой как его побороть. Никакие рекомендации по этому зверю, найденные в инете, не помогли. Систему снесли и поставили заново. Да! NOD32 всего лишь блокировал попытки червя выйти на "папу". А самого червя так и не нашел и ничего не вылечил!
.
Это точно какая-то новая бяка. Пока она распространяется не очень активно. Люди с зараженного компа говорят, что получили картики от знакомых (прикрепленные файлы) и среди них был этот спам-червь.
.
Как итог могу сказать следующее: обновляйте антивирусные базы!!! Ни в коем случае не закрывайте глаза на то, что каспер или любой другой ругается на лицензии! Кончился антивирь - купите новый или скачайте ;) Но обязательно ра-бо-та-ю-щий!!! Иначе - головная боль!
Удачи!