|
Вирус - [Архив]
Лежала у меня программка spacekill, я и не знал, что это. И вот через время я ее запустил, и она убила свободное место у меня на винчестере. Подскажите, пожалуйста, как его убить или аннулировать.
|
Pavlik
Запусти антивирус и все......не понимаю проблемы |
Pavlik
Люди, давно у вас не была, но этого топика я не выдержала! Ты читать вообще умеешь? Английский знаешь хоть каким то боком? Пеняй на себя...эта прога честно призналась, что убьет kill все свободное пространство space на твоем винте! Поздравляю! Кстати, привет всем старым знакомым! |
Pavlik
Marie права.....не запускай все подряд...тебе просто антивирусником пробегись и все... Marie Привет....очень рад тебя видеть..:) :kiss: |
Я все понимаю, протупил. Но ведь можно как-то вылечиться. Пробовал с помощью антивирусов. Avp и DrWeb не помогают. Кстати есть исходникик этого вируса в Делфи, но я его знаю не на таком уровне, чтоб разобраться. Может кто-нибудь поможет?
|
Pavlik
А ты с последними базами лечил или как? попробуй еще Trojan Remover |
BigMac
Аналогично:) |
scandisk запусти, должен помочь по идее.
|
антивирус полно еще: NAV, писицилин ect.
|
Скачал Trojan Remover. Не помагает. Может как-то еще можно. Да и на счет обновления AVP. Дело в том, что я пробовал автоматическое обновление. Не получается. Пробовал вручную, тоже не получается. Скачал обновления, а когда обновляю, пишет ошибку файлов, которые обновляются. Подскажите, пожалуйста, что мне делать. Может как-то можно код трояна разобрать, понять как он действует и уже убить его?
Зараннее благодарен. |
Простите за тупой вопрос , но могут ли mpeg, gpeg и прочее , тот же блокнот ? могут ли они содержать вирусы?
|
Могут!
|
Только для их активации из этих форматов нужен уже работающий в системе вирус, в таком виде ему (вирусу) хозяева присылают дополнения.
|
То есть любой файл может содержать вирус или дополнение к нему ? так что ли?
|
APOSTOL
Цитата:
Можно рассмотреть например такую ситуацию, на компьютер засылается вирус в Файле .jpg, он вставляется вместо другого файла, например вместо того файла который показывает картинку при отображении окна как веб-страницы, там сбоку, если я не ошибаюсь есть какая-то цветная полосочка, вот вместо неё, и открывая папку этот файл запускается. Если я не прав, поясните почему :) |
Djoni
Вирусы могут быть везде. Хоть в *.txt но толку с этого он не как не запуститься. Обычно как говорили выши такой способ применяют для загрузки дополнений к уже работаюшиму вирусу. |
Artla
Цитата:
Цитата:
|
Сегодня сканировал диск программой DrWEB 4.29, который обнаружил два файла
C:\Windows\system32\XXX_Action-uninstall.exe и C:\Programs Files\dialers\stmtdr.exe, которым был присвоен статус Dialer.Hotter. Ещё два файла с тем же статусом были обнаружены в папке C:\System Volume Information\. В результате лечения все файлы были удалены! Вопрос: Что это за вирусы? В списке они были помечены значком "X". |
:о)) ну вообще это кажись порно-звонилка :О))
|
Я тоже так подумал. Тем более эта хрень появилась после посещения Internet где одна прога усиленно пыталась себя установить!
|
У меня в компе появляются 2 системных файла - Folder.htt и Desktop.ini
Мне сказали что это вирус. Не знаю как удалить его с компа. Подскажите пожалуйста куда оно поподает. Если подскажите буду признателень. Заранее спасибо... |
Maksim
Это не вирус, это настройки папки :) |
Maksim
А тот кто сказал что это вирус не говорил что это модифицированный SARS? :biglaugh: Добавлю что это файлы настроек _внешнего вида папок. |
:biglaugh: Закусовать надо!!! Это настройки внешнего вида папки. (Фон и т.д.)
|
Maksim
Для более полного ознакомления советую почитать вот эту статью из "Домашнего компьютера" http://www.homepc.ru/school/14333 |
скачай Trojan Guarder c download.com поможет... серийник не забудь найти! на будущее...
|
Доктор веб находит это и определяет как вирус win.exe.При попытке лечения-удаления система наглухо виснет.Руками удаляеца,но после перезагрузки через некоторое время появляеца снова.Что делать?
|
winhlpp32.exe
kdo
У вас вирус из семейства W32.HLLW.Gaobot. Инструкции по ручному удалению есть тут |
Ну, как считаете?ответ аргументировать, плз...
|
считаю что полезна. все что фактически существует в нашем компьютерном мире - имеет относительную пользу.
хорошие мистификации - это один из примеров социальной инженерии. как говорится, многие пользователи не почешутся, пока жареный представитель семейства куриных не клюнет в то место, которым эти пользователи сидят. когда пользователь своими руками убьет что-то в своей системе - у него будет повод мидицируя перед потухшим экраном подумать о вечности или о хорошем бекапе. возможно он будет искать пути восстановления системы (если под рукой не окажется специалиста). к вопросу о специалистах... если пользователи вашей сети ведуться на мистификации - значит вы сами виноваты. либо недостаточно проводите образовательных бесед с пользователями, либо так и не создали систему, в которой пользователь не сможет нанести программному обеспечению компьютера телесные повреждения. и тут уже специалист сидит и медицирует перед монитором, постигает вечность и находит способы противостояния мистификациям. Таким образом, для образовательных целей компьютерного сообщества - мистификации должны быть. з.ы. если мой ответ недостаточно аргументирован - приношу извинения. |
Привет всем! У меня вот такая беда: В каталоге Windows появился какойто файл c именем speedy.pif. В реестре и в win.ini появились записи для автозагрузки его вместе со стартом Винды. Он качает чтото в сеть: видно по индикатору соединения. Дата этого файла 01.08.2106 г. и Win.ini тоже. Всё перерыл, а информацию про это не нашёл. Что это за вирус? Вебом и касперским не лечится.
|
winhlpp32.exe
Инструкцию почитал, но у меня НЕТ таких ключей в реестре:(
Поставил др.веб 4,30а---просто не находит нифига, а файл продолжает появляца:o |
Что за вирус?
Посмотри свойства speedy.pif и увидишь для какой проги этот ярлык.
|
Что за вирус?
Beerpump
Если не ошибаюсь, то это одна из модификаций вируса Opaserv... Что он делает и как с ним бороться почитай здесь: http://www.viruslist.com/viruslist.html?id=1143777 там к сожалению не описана именно твоя модификация, но действия его такие же как в описании, так что от него можно отталкиваться... попадает на комп через 139 порт. Если зараженный комп в сети, вирус использует брешь в системе, называемую как Share Level Password (основанную на несостоятельности защиты общих сетевых ресурсов в операционных системах Windows Me/98/95), для распространения на все остальные компьютеры сети. |
Что за вирус?
Если Win98-ME - перезагрузись в MS-DOS и грохни данное файло
|
winhlpp32.exe
%System%\Svchosl.exe
%System%\Winhlpp32.exe Грохни ети файлы под ДОС в 98 или загрузись с другой системки в 2000 Должно помочь |
Что за вирус?
Beerpump
была такая же бяка:( Цитата:
Делал все ручками Цитата:
Но ... *Кроме того что появились проблемы с принтерами ( в win.ini были потерты описания портов и т.д., кстати это думаю нортон), которые занаво поставил, никаких траблов не наблюдалось. :biggrin: *А после поставил фаирвол :gigi: |
В нашем доме они вредны
ArtemD Нас трое и более 700 юЗверей. И у 95% стоит win98se причем с лицензией так что не удалить и не переставить на 2000. Вот всякие не в меру умные юзвери начитаются мистификаций. И кроме того что на своей машине систему убьют так еще и другим помогают, например разошлют ЭТО всем знакомым и еще и расскажут потом как они не успели вылечить свой комп "и он умер в ужасных агониях от жуткого вируса". Не помогают требования верить нам и касперяну, и просьбы в случае "нового и страшного вируса" звонить нам тоже не прокатывают. Так что мистификации в нашем доме идут во вред. P.S. Бойся юзера ходившего на курсы ПК. :) Сорри, если несколько категоричен. |
Zx
твоя категоричность имеет свои основания. но ещё раз прочитай строки в которых я говорю что "если пользователи вашей сети ведуться на мистификации - значит вы сами виноваты. и т.д." |
ArtemD
Что мне теперь их 3.14зд*ть? Прочитал сегодня. Молитва сис.админа "Боже защити нас от ламеров, а с хакерами сами справимся:)" Хотя может и действительно сами виноваты, разбаловали |
Мистификация - это вред. За этим должны следить админы, а не юзера, а нам мистификация не нужна.
Цитата:
была у меня одна дама. Поставил в отдел комп по просьбе начальника этого отдела. Ну а у них там еще и женщинка работала. Она так обрадовалась, что сразу начала хвалиться, что закончила курсы оператора ЭВМ и теперь может (б*я!) работать за компом. Ну я добрый! Поверил! Потом пожалел. После этого случая не верю никаким корочкам. [s]Исправлено: Negativ, 17:10 3-11-2003[/s] |
Приветсвую всех!
Я пользуюсь почтовой программой The Bat! Во время проверки машини на вирусы Касперский постоянно выдает сообщения что у меня в почте есть вирусы (уже длительно время). Я смотрела адреса инфицированных писем, хотела просто поудалять их с ящиков, но к своему удивлению ни одного из этих писем *The Bat! не видит. Полностью все письма с ящиков удалять не хочется, т.к. очень много разной нужной иформации. Вот что выдает Касперский при проверке: C:\Program Files\The Bat!\MAIL\ukrnet\Inbox\MESSAGES.TBB/[From Lemaitre Beatrice <marketing@i.com.ua>][Date Mon, *7 Oct 2002 14:23:33 +0400 (MSD)]/МТУ-ИнтелИнфицированI-Worm.Tanatos C:\Program Files\The Bat!\MAIL\ukrnet\Inbox\MESSAGES.TBBЛечение невозможноI-Worm.Tanatos C:\Program Files\The Bat!\MAIL\ukrnet\Trash\MESSAGES.TBB/[From Lemaitre Beatrice <marketing@i.com.ua>][Date Mon, *7 Oct 2002 14:23:33 +0400 (MSD)]/МТУ-ИнтелИнфицированI-Worm.Tanatos C:\Program Files\The Bat!\MAIL\ukrnet\Trash\MESSAGES.TBBЛечение невозможноI-Worm.Tanatos C:\Program Files\The Bat!\MAIL\nwork\Inbox\MESSAGES.TBB/[From vasya_super <vasya_super@mail.ru>][Date Fri, 09 Aug 2002 13:51:19 +0400]/htmlПодозрениеExploit.IFrame.FileDownload C:\Program Files\The Bat!\MAIL\nwork\Trash\MESSAGES.TBB/[From vasya_super <vasya_super@mail.ru>][Date Fri, 09 Aug 2002 13:51:19 +0400]/htmlПодозрениеExploit.IFrame.FileDownload Как я уже говорила через поиск The Bat! не находит ни одного письма ни от vasya_super@mail.ru, ни от marketing@i.com.ua. Что можно сделать, подскажите пожалуйста. С наилучшими пожеланиями, Ольга |
Neto
В твоем случае лучше всего просто удалить файл корзины Бата, а именно C:\Program Files\The Bat!\MAIL\nwork\Trash\MESSAGES.TBB он создастся заново при следущем входе в Бат. А ситуация такая происходит потому что в файле почтовой базы (файлы *.tbb) письма только помечаются к удалению и становятся невидны при просмотре. |
Цитата:
|
Blast, спасибо большое за совет.
ПопробЫвала сделать так как Вы сказали. И вот результаты проверки после этого: C:\Program Files\The Bat!\MAIL\ukrnet\Inbox\MESSAGES.TBB/[From Lemaitre Beatrice <marketing@i.com.ua>][Date Mon, *7 Oct 2002 14:23:33 +0400 (MSD)]/МТУ-ИнтелИнфицированI-Worm.Tanatos C:\Program Files\The Bat!\MAIL\nwork\Inbox\MESSAGES.TBB/[From vasya_super <vasya_super@mail.ru>][Date Fri, 09 Aug 2002 13:51:19 +0400]/htmlПодозрениеExploit.IFrame.FileDownload C:\Program Files\The Bat!\MAIL\nwork\Inbox\MESSAGES.TBB/[From vasya_super <vasya_super@mail.ru>][Date Fri, 09 Aug 2002 13:51:19 +0400]/dlsИнфицированI-Worm.Klez.h Т.е. те вырусы которые были в корзине действительно пропали, а в папках "входящие" остались. Что можно сделать? |
могу предложить немного изратный способ :о)
1. в The Bat! создаёте папку (например 111) 2. если письма с вирусами есть во входящих (Inbox) адаляете их 3. выделиьт всё во входящих (Inbox), скопировать и вставить в новой папке 111 4. закрыть The Bat! и удалить файл C:\Program Files\The Bat!\MAIL\ukrnet\Inbox\MESSAGES.TBB (главное убедиться что удаляете именно из того ящика что сохранили в 111, а не из другого) 5. запустить THe Bat! , она сама создаст Inbox\MESSAGES.TBB и скопировать обратно из 111 все сообщения %О) вот такой изврат:gigi: |
Guest 80 247 100, спасибо Вам большое!
Сделала как Вы сказали и все ОК! |
Guest 80 247 100
Не знаю почему, но сжатие решает проблему не во всех случаях и единственное, что помогает - это "немного изратный способ" |
Из за этой "порно-звонилки" мне сегодня пришлось форматировать винчестер!!! Эта заподлянка переименовывает русскоязычные файлы, портит фаты и остаётся при переустановке виндов!!!
|
Guest 80.82.38.*
Цитата:
Uliss (вижу что пост старый) В System Volume Information она попала видимо при работе System Restore. |
Я у себя обнаружил вирус не помню каой имено ,win32......., он заразил все файлы .exe DrWeb вылечил, но в результате лечения были испорчено половина дистриба!
Кто знает подскажите пожалумста как востановить??? |
|
Да канечно это всё я знаю , с виндой у меня всё нормально-переставлял,проверял!!!
НАВЕРНО МНЕ ПРИДЁТСЯ ПОПРОЩАТСЯ С МОИМ ДИСТПРИБОМ!!! |
winhlpp32.exe
Такая же проблема!!! нифика не могу с ней сделать... сношу эти файлы но они снова появляются. Пробовал сам создать файлы с такими именами, но эта скотина их заменяет. Ща попробую снести все ключи, мож поможет!
Добавлено: коросче.... нифика не помогает, все ключи я и до этого сам нашел и снес, а эта скотина появляется снова,!!! при чем она у меня это делает на пару с файлом explore.exe который находится также в system32 ! снос этих файлов на пару с удалением ключей ни чего не дает.. точнее дает избавление от них на мин 30-60.. как повезет:/..... кто узнает как с ним справляться напишите плиззззз |
Решил проблему следующим образом:
поставил заплатку от мелкософта http://www.microsoft.com/downloads/d...displaylang=en потом не перегружаясь прошелся доктором вебом и проблема исчезла!(операционка у меня win2k SP4) да, все это сделать посоветовали в суппорте др.веба |
он у меня появлялся под именами
winhpp32.exe wmpupdate.exe svchost1.exe и прочее... как они попали на комп не знаю висят в процессах и грохнуть никак. стираю... один хрен... появляются хотя я потом понял что это из за открытого 135 порта... все полезло в комп. |
патчить систему надо.
сетевой вирус скорей всего. через дыру каждый раз и залазиет |
Данный вирус добавляет в HTML файлы свой код, который способствует созданию в каждой папке 2-х файлов: desktop.ini и folder.htt
Свиду — безобидные файлы, но когда их более 7000 — это уже проблема. И каждый файл HTML несёт в себе кусок вируса. Поэтому, если останется хоть один заражённый файл — всё сначала. Заражает только системы с Win32. А теперь ручной метод удаления: Загружаешь компьютер в безопасном режиме. Находишь через поиск все файлы folder.htt и desktop.ini Удаляешь из через Shift+Del (минуя корзину) Таким же образом удаляешь файл «С» — он без расширения и лежит в C:\ Перезагружаешь комп и загружаешься опять в безопасном режиме. Проводишь проверку диска (Scandiskw.exe) всех физических дисков. Перезагружаешься в обычном режиме. Делаешь проверку Drweb 4.29 всех дисков и удаляешь все заражённые файлы. При надобности (при глюках) переустановить систему. Пользуйтесь. :up: |
Система Windows XP Pro Rus. У меня немного другая проблема. Есть симптомы заражения вирусом ("Сетевой червь W32.Blaster.Worm"). Однако Dr.Web 4.29 ничего не находит. Спец. утилиты от Каспеского (Clrav.com) и аналогичная от Symantec тоже ничего не находят. Что еще можно предпринять? Можно ли избавиться от этой гадости, если полностью переустановить систему? И есть ли вероятность заражения при сохранении перед этой процедурой своих документов Word, избранного IE и Opera 7.11, сейвов от игр, Outlook (адресная книга, папки)? Буду благодарен за любую информацию или ссылку на ее источник.
|
Какие симптомы? Появились файлы, или просто вылетает ошибка RPC? Может быть, это или проблема с системой, или новая версия вируса, или новый вирус.
|
Taiss22
MSBlast не заражает файлы на твоем компьютере. Попробуй установить заплатку и пользоваться файрволом. Ссылка на заплатку и методы решения проблемы ты найдешь здесь: http://forum.oszone.net/topic.cgi?fo...amp;topic=2561 |
Симптомы такие. Во время работы в интернете с "Opera 7.11" (ОС Windows XP Pro Rus) несколько раз появлялось окно с надписью: "Система завершает работу. Сохраните данные. Все не сохраненные данные будут утеряны. Отключение системы связано с NT AUTHORITU\SYSTEM. Необходимо перезагрузить Windows поскольку произошла непредвиденная остановка службы Удаленный вызов процедур (RPC)". И идет отсчет времени (одна минута), по истечении которого ПК перезагружается. Во время поиска в реестре Windows (regedit) я обнаружил два два параметра "msblast" по адресу "HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603" и аналогичных два параметра по адресу "HKEY_USERS\S-1-5-21-839522115-1202660629-854245398-1003\Software\Microsoft\Search Assistant\ACMru\5603".
Очень похоже на то, что описано по указанной мне ссылке. Вот только спец. утилиты ничего не находят. Может все-таки глюк? |
Taiss22
Нет, врядли глюк. У меня было тоже самое. Излечил поиском по реестру по словам "blast", "mslaugh" и "penis". Цитата:
Кстати, окошко можно отключить, набрав "shutdown -a" |
Taiss22
Скачай утилиты снова, они обновились. _ftp://ftp.kaspersky.com/utils/clrav.zip _http://securityresponse.symantec.com/avcenter/FixBlast.exe Ну как уже говорил UZER, используй файрвол и своевременно обновляй базы антивируса. |
Доброго всем дня!
Похоже мой комп Вин 2000 Сервак словил одного из червей и никак не могу его вытравить. Касперский не находит, а clrav.com дает сбой дойдя до этого файла. Файл сам находится Documents &Settings\Administrator\LocalSetttings\Tepm\Temporary INternet files\content ie.5\89arwx6f. Странная папка и сам файл около 3 строчек названия переплетенных букв и цифр. Не могу ни удалить, ни переименовать, ничего. Сlrav обрывается на нем и все. Кстати почему на некоторые файлы clrav дает Access denied. Спасибо.... |
запустите Internet Explorer
зайдите в меню "Сервис - свойства обозревателя" - раздел Временные файлы интернета - и нажмите кнопку "Удалить файлы". |
новый червь, распостраняющийся через аску - если вы получили
сообщение со ссылкой (www.jokebox.biz/indeх.html :-)) LOL - ) (ссылка немного модифицирована, что сделать ее нерабочей! - ) ни в коем случае не открывайте - работает вирус JAVA_BYTEVER.A! После заражения ваша ася начинает рассылать эту ссылку по контакт-листу Если такое сообщение пришло от Ваших знакомых - скажите ему о возможном заражении. |
Пробовал не получилось. ЭТот файл не реагирует ни на что. Пробовал через фар/коммандер, говорит что он имеет атрибут, я смотрел. Стоит archive, но сменить не могу.
|
Guest
Дело скорее в том что файл сидящий во временных интернета занят запущенным процессом, посмотри тем же фаром (F11 - список процессов) что там и напиши здесь |
По работе прислали письмо, а в нем добавлено сообщение:
"Всем студентам! Зайди на сайт суперкинотеатра Nescafe-IMAX получи 25% скидку на билеты и бесплатную игру на игровых автоматах! h t t p://r .mail. ru/cln 2208/ww w.nescafe-imaxcinema.ru/price_coupon.asp" Позвонил, говорят это из инета к почте присоединяется. А как письмо открыл, OutPost сразу поймал файл Nhupdater.exe, в инет по нужде запросился. И каждый раз просится, как только какую папку открываю. Поисковиком нашел три файла с этим имям: C:\WINDOWS\Prefetch\NHUPDATER.EXE-269FC1C1.pf 29кб C:\Program Files\NavExel\NavHelper\v2.0.4\NHUpdater.exe 140кб C:\Program Files\NavExel\NavHelper\v2.0.4\v2.0.4.cab (в кабе NHUpdater.exe) 140кб В каталоге NavExel есть и длл и исталер и деинсталер и помощь в формате HTML. Помощь перевел - вроде для проверки URL из Exel. Все эти папки и фаилы созданы раньше, а пиф-файл сегодня, и у него постоянно меняется время создания на текущее. Может эта прога просто используется вирусом как транспортом? Доктору Веберу (v4.31a) в нос и письмо тычу и эти файлы - не видит. Может и не вирус это, а сбой? Help..., если кто знает, или хоть свои предположения, совет. Ссылку загубил пробелами, чтоб ни влез кто случайно, а то будете благодарить потом... |
поищи имя программы в реестре. очень похоже на вирус (троян). попробуй чем-нибудь вроде spybot'а.
|
если файл не занят программой/процессом, можно попровать войти админом, забрать файл себе (стать хозяином), после этого проставить атрибуты и удалить...
|
Как посмотреть реестр?
|
Merson
Цитата:
|
посмотри в выполняемых задачах,
win.ini и в автозагрузке |
Я сделал так. Переместил папку в другое место, открыл и удалил это злосчастный файл, вернул папку на место. Дальше все пошло как по маслу. Всем спасибо за участие. :)
|
Похоже с письмом просто совпадение по времени. Обычный спам. Пришел ответ на почту от Веба:
"ничего подозрительного в присланных файлах не найдено. Эта программа может устанавливаться в составе условно-бесплатных программ. Если она Вам мешает то удалите ее просто через "Add/Remove Programs" в Control Panel." А после того, как я снес эти неподозрительные, у меня комп заработал нормально. До этого перестали работать инет-ссылки из экселя. Я просто не связывал это с тем, что кто-то просился в инет. Приходилось их в Exel копировать как текст и вставлять в браузере. Теперь снова счелк - и в инете. И ни кто не просится в инет. Ведь там в файле помощи было сказано, что прога для обновления проверки URL в Exel. Класная подстава - сначала загубить выход по ссылкам из экселя, а потом предолжить выйти в инет, якобы обновиться именно по этой теме. Что-то упало доверие к Веберу. Вот еслибы они заменили в своем письме слова "Эта программа..." на "Этот вирус..." , я бы сказал - они честные. Может поделитесь, кто чем вирей ловит. |
Вирус JAVA_BYTEVER.A
обзор Алекса Экслера "Вирус через ICQ" в котором расписаны рекомендации по предотвращению заражения и ликвидации последствий заражения, раз уж заразились
|
появилять проблемма.... :(
запускаю флешь гет. трафик увеличивается до максимума потом скорость флешь гета падает, но трафик не уменьшается... вырубаю флешь гет... а трафик по прежнему 100% через некоторое время драфик падает до нуля, но не сразу! отсюда появилось подозрение на вирус... проанализировав статистику АТГАРД выяснил что у меня много входящего трафика на MySQLadmin.exe убил его.... всеравно таже самая картина! что вообще происходит и как с этим бороться? |
Vlad Drakula
файервол стоит? если да, то какой процесс жрет трафик, если нет, то поставь и отследи злодея. |
Blast
ла стоит АТГАРД в томто и дело что никакой, это похоже на дос атаку... |
ну вот теперь чтонибуть(и не только флешь гетом!) качать как тут же трафик пабает :(
|
TCPMon'ом посмотри кто лезет и куда..
|
Ethereal - анализатор сетевого трафика.
|
Подхватила какую-то дрянь на свой комп и не знаю что это, т.к. антивирусы его не "видят". Из-за этого вируса сильно грузится система, не работает диспетчер задач и реестр. К каждому видео-аудио, докам и рисункам создаются зараженные вордовские файлы с именем исходного файла+его расширение. Кто-нить знает что это такое и с чем его едят?
|
|
В данный момент у меня дома нет инета :( Тем более что антивирусы у меня есть. Я просто хочу знать, мож кто с таким сталкивался? Как этот вирус называется?
|
Если антивиру есть (с новыми базами)- он должен вирус определить и сказать как называется. если не определяет - то базы старые или настройки неправильные
|
I-Worm.MyDoom.g
|
http://www.pandasoftware.com/virus_i...?idvirus=45296
http://dials.ru/inf/vsearch.php?vname=mydoom [s]Исправлено: ilan, 17:48 18-03-2004[/s] |
Скрипт-вирусы | pretty.ru
|
Guest
Во-первых надо не ходить по таким сайтам:) Ну а убить можно так: 1. Пуск - Выполнить - regedit.exe Там находишь ветку: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main И меняешь значение параметра: Start Page на тот который нужен. 2. Прописать в файле HOSTS данный нехороший сайт 127.0.0.1 www.pretty.ru Данный совет - для XP . Но думаю в девятых тоже сработает. Если в реестре другая ветка у тебя, то сделай поиск по слову: www.pretty.ru И обязательно найдешь эту гадость:) -walker- |
К сожалению это не всегда помогает :( *на W98 , казалось бы подчищаешь реестр до конца :o *но на следующий день всплывает опять эта же или подобная страница.Кто сталкивался плизз помогите?
|
Guest
Я уже сказал - запиши в файл HOSTS эту гадость. Это тчоно поможет. Просто появится страница - невозможно отобразить эту страницу. Но это будет работать только если ты подключаешься к тому сайту напрямую, не через прокси. -walker- Ну а другой совет - используй броузер, где не так много дыр, но это уже не в тему:) Добавлено: Или файерволл поставь. |
Спасибо.
В реестре я изменял Start Page неоднократно. Поиск текста <www.pretty.ru> по реестру и всему компьютеру результата не дал. Ad-watch периодически, весело, раз 1-3 дня, фиксирует попытку изменения реестра и сообщает: 01.06.2004 6:54:22 - Обнаружено изменение реестра Корень:HKEY_CURRENT_USER Ключ:Software\Microsoft\Internet Explorer\Main Значение:Start Page Данные:http://www.aport.ru/ Новые данные:http://www.pretty.ru Возможно, взлом броузера (Запрещено) Т.е. на Win_Me теплится какой-то процесс или скрипт или .... Настороить NBG Registry Monitor на эту ветку не получается... Ползать по LOG-у очень грусно... ведь может быть любая прога заражена... У меня NAV и NPF обновлены и активны. Напоролся я на эту гадость когда искал Serial и Keygen. Вот уж пользуйся лицензионными прогами. |
Читайте FAQ
http://www.oszone.net/software/faq/faq_4.shtml#6 |
у меня тоже эта гадость, тоже подцепил когда инст игры. все делал как тут советовали, вот только один вопрос - где и как найти файл HOSTS (я не профи в этих делах)? у меня win 98. помогите кто нибудь!!!!! спасибо за раннее.
|
Macarena
Файла HOSTS может и не быть. Тогда его можно создать. Лежать он должен в папке Windows, и называтся именно просто "hosts", т.е. расширения никакого у него нет. Вот еще ссылки на программы по поиску и уничтожению троянов: Ad-Aware Bazooka Adware and Spyware Scanner Spybot - Search & Destroy И программы-монитора: WinPatrol Цитата:
|
Эта гадость у меня тоже была.Предлагаемые способы-дают нулевой эффект.Мой способ-ищем в инете проогу IEDoctor(у меня версия 3.6),сливаешь на винт,далее ключи,потом русификатор,и ключ к русификатору,инсталлируем,затем в настройках все есть,-все защиты,все блокировки,вкл попап,в общем прога супер,сам разберешься,и забудешь про все такие типа проливсекс.ру,претти,и прочие.Не забудь потом сказать спасибки;)
|
Было и у меня такое, чистка всего реестра не помогла.
Зато АВП 5 версии всё вылечил, оказалось это *.php такую хернь творил. Теперь норм живу. |
Есть еще:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchURL и многие иже с ними... кроме того проверь HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curentversion\run на предмет всякой левой фигни (чем меньше всего тем лучше и не забудь что такие вещи называются очень страшно ... ну типа System33.exe :gigi: |
Цитата:
А в реестре прописывается бывает не только pretty, но еще и другой сайт. При этом в системном каталоге лежит фальшивый файл с именем, похожим на system.exe, который все это и делает(частично), на других(незараженных) компах такого файла нет.Pretty все равно становится страницей по-умолчанию в IE и затирает нормальную страницу. 127.0.0.1 не исправит страницу по-умолчанию. |
"..2. Прописать в файле HOSTS данный нехороший сайт
127.0.0.1 www.pretty.ru.." за этот совет огромная спасиба |
Тем у кого ничего не получилось - есть радикальный метод. Какая бы там гениальная хрень не была - моя лучше. В двух словах: вы мне пишете на ...e-mail указываем в профиле... и забываете навсегда про ВВВ.Претти и все остальные. У них нет шансов!!!
Я пользуюсь 2 месяца, вполне доволен. З.Ы. По поводу моего мыла - а что вы хотели? Это дежурное, для всяких случаев типа этого. [s]Исправлено: ArtemD, 13:54 30-07-2004[/s] |
Я spybot юзаю, ссылку ShaRP дал. Всем рекомендую, отличная штука.
Такого рода проблемы должна решать. А еще есть такое - spyware blaster - щас не помню откуда брал, но это производит "иммунизацию" браузера к всяким нехорошим штукам, которые например измываются над hosts... |
Добрый день!
Нужен совет. Система Вин ХР проф SP1. С недавних пор «задолбал» вирус Win32.HLLW.MyBot, заражает он файл C:\WINDOWS\system32\bling.exe. Об этом мне сообщает монитор Dr.Web. Он, антивирус сразу удаляет инфицированный файл. Базы новые. Все это происходит во время работы с Интернетом. За час примерно 3-4 сообщения об вирусе. Не подскажите. Что это за вирус такой, не критичен он для ПК. Как «бороться» с ним. Спасибо. |
|
Цитата:
Причем у меня тоже ХР, но материться АВП 5.0 с сегодняшними базами данных! Еще с инета что-то тянет! Если кто знает - напишите! |
YDen
Во-первых, есть топик Описание вирусов. Поэтому с разборками "что-такое" следует ехать туда (уж я б точно туду и посла бы...:). Тогда довольно легко с ним разберешься (для особо ленивых ссылка для примера). По поводу «задолбал» - когда почитал описание, опять убедился, что я был прав в своих догадках :). Просто он пользует для проникновения незакрытые уязвимости системы. Так-что смотри в сторону многократно упоминаемого BLSA (чтоб не вдоваться особо в типы различных уязвимостей), различных антишпионов (например того-же ad-aware со свежими сигнатурами), использования персонального сетевого экрана, ограничение использования активного веб-содержимого (флеши, актив-иксы, ява, вба). Ну и неплохо-бы таки глянуть мельком созданный мной топик - Защита информации - зачем это нужно *» Доступные объяснения простыми словами необходимости решения вопросов ЗИ. Успехов в ворьюе с мировым злом!...:) |
Цитата:
Hack attempt! at topic.cgi line 59. For help, please send mail to the webmaster (support@phpdevs.com), giving this error message and the time and date of the error. Это на счет во-первых. :down: Цитата:
Это во-вторых. :down: Конечно, спасибо за то, что ты старался помочь.... Но почему я не могу зайти ни на один сайт?!! Да и сюда я зашел ТОЛЬКО потому, что гугль выдал ЕДИНСТВЕННУЮ ССЫЛКУ. До этого я не был на озоне..... Дак как же мне бороться? Кстати, ребята из Касперского морозяться. Дескать, мол ты нам чистый файл от винды прислал.... Ну да чистый! ЭТо потому что АВП5 не находит в нем вируса?! А то, что чистый файл занимает на 50 кб меньше места их видно не сильно смущает. ;-) А жаль, видно вирус таки в нем и сидит! Да и не только в этом файле! Я его вытирал, все равно трафик кто-то создает. ;-) Кстати, есть подозрение, что у меня несколько вирусов. wuauclt1.exe 168*728 байт wuauclt.exe - 114*456 байт ХР СП1 |
NickiSpeaki
У тебя явно какие-то проблемы. У меня совсеми ссылками и с работы и из дома все в порядке. Полное сканирование вэбом делал? Ну а если антивирус сам не работает (хотя у вэба с этим ИМХО проблемы не д/б), то попробуй в он-лайне провериться - http://housecall.trendmicro.com/ Хотя если у тебя с инетом такие проблемы, то может тоже не получеться. В_общем, ИМХО уже все д/б понятно. Почему вирус переодически появляетс яи как этого избежать я тебе уже написал. Избавиться от заражения - это полное сканирование, например тем же вэбом. |
ВОПРОС 1. как *удалить вирус из трэша?
вопрос 2. каспер определил вирусв the Bat, (в задаче *было проставлено по умолчанию - если не лечится то удалять.) И вот была удалена папка сначала в инфицированую папку, . оказалось что была удалена папка "входящие". Так как по сле очередного запуска бата, папка "входящие" была пуста. Что делать, как восстановить? [s]Исправлено: ArtemD, 8:23 17-09-2004[/s] |
Igoris
эээмн... уважаемый :О) вы предыдущие посты читали ли? точно также как я описаль "извратный способ" с Inbox делается и с вашим Trash-ем! ну а если он ван не нужен то можно соответственно пропустить первый три пункта ;о)) и перейти сразу к 4. - удалению! это по поводу Цитата:
Цитата:
Цитата:
|
А не проще ли прикрутить avp плагином к The Bat? или же DrWeb воткнуть для проверки во время принятия почты?
Если же нужно удалить имеющиеся вирусы, сжатие помогает если аттачи храняться в теле письма, если же нет, то можно их ручками(антивирусом) прибить из диры attach в ящике... |
1-как я понял, траш папка, это сообственно корзина и есть. и туда поступают все удаленные ранее письма. Так нафига она нужна. я ее удалил без зазрения совести. Но вот почему не восстанавливается папка "Входящие" я ее скопировал обратно из инифицированой папки обратно в Майл/имя/входящие/
но все осталось по прежнему. Пробовал другим способом - гл. панель The Bat!- инструменты-восстановить из резервной копии- выбрать- и.д. Но это видимо функция на восстановления из архива при запуске новой проги. Может попробовать удалить The Bat! и инсталировать заново, тока даст это какой нить ризалт. не знаю. 2-и еще, в проге The Bat! создал кучу папок, получения почты из разных предлагаемых сайтов. На данный момент (что-то где то случилось, :( *) открывается только одна. Остальные перестали отправлять и принимать письма, в одной папке всплывает окно и *"получение почты" где отображен мой емайл и пароль. внизу окошко для галки - обновить данные ящика *пару кнопок - *ОК и Отмена. нажимаю ОК но все возвращается на круги своя. то есть ничего в итоге. Как мне кажется, что эта беда пришла с применением фичи - SpamPal для Виндовс. *(настройки требовали кое каких изменений при получения почты ) Думал спамы блокировать ей. Но спамы идут, правда уже с обзначением что это спам и все. сорри, за длину мысли :) [s]Исправлено: Igoris, 22:13 19-09-2004[/s] [s]Исправлено: Igoris, 22:17 19-09-2004[/s] |
archy
А вот не проще (как для меня лично) учитываю количество от полутора до двух тысяч писем в некоторых папках, тормоза получаются безбожные... |
Igoris
Цитата:
|
CyberDaemon пока спасибо. пойду разбираться. А вообще то вот не знаю, какое отличие файлов формата (*.tbb) (msg) (msb) и т.д.? Где почитать можна?
Добавлено: ниче не получается, то есть не могу восстановить "импортом" из папки входящие. messages.tbb Хотя там лежит файл весом около 200 mgb. Пишет что там ноль файлов. Странно, хотя из других (для проверки сделал тесты) идут нормально а что есть файл tbi? |
Я тоже у себя этот блинг нашёл. Посмотри ещё файл regsvr32.exe он скрытый.
|
Всем привет
у меня вопрос в инете полазил по сайтам и нахватался всякой гадости. Говорят, против этой мерзости хорошо помогает IEdoctor. Скачал инсталляцию, но ни описания к программе, не русификатора не могу найти. Может кто знает, где я могу их достать? заранее спасибо. |
izsede
А что мешает воспользоваться тем, что предложено здесь? |
Greyman Я тут столкнулся с этой гадостью месяц назад. Сколько не лечу, и руками, и ададварем, спустя несколько дней мужик опять приходит и говорит, что "тётки вернулись". Уже несколько раз. Причём он не лазает туда больше, вроде серьёзный кекс. Правда, мне некогда им заниматся совсем уж вплотную... Как только выясню, в чём причина, напишу. Но всё, что выше, во всяком случае, "с кондачка", не работает. Вот так-то.
|
Короче, пришлось удалять весь (блуждающий) профиль пользователя и переустанавливать ОС на одной машине (заражёным был локальный админ). АдАваре так и не справился, хотя я пытался с его помощью чистить и примонтированый на ходу профиль, и по-всякому :(
Вот так-то. |
hasherfrog
вышли мне на мыло тело этой вредоносной программы в архиве с паролем... я поковыряюсь и возможно найду как лечится. |
ArtemD
"И следов от него не осталося" (c) Тараканище Я один раз отловил трояна руками, положил в папочку C:\Temp с именем cs_trojan.exe (на будущее), а удалить забыл... и что из этого вышло, как думаешь :) |
Всем привет!
Где-то подцепила тоже эту заразу, автоматически открывается страница http://find.naupoint.com, все что здесь рекомендовано делала - не помогает, проверяла всем чем только можно: Ad-aware 6.0, Spybot-Search обновленный, Trojan Guarder, WinPatrol - ничего не находят. Натолкнулась на какую-то программку AdwareSpy, находит 100 с лишним гадости, но не чистит - платить надо, я могу ручками , конечно почистить все что она находит, но что-то сомнения терзают, если ни одна из предыдущих программ ничего не нашла, а эта аж 100... Уже и не знаю, как эту заразу еще искать. Люди добрые, помогите! Что делать? |
Еще раз запустила Spybot-Search, вот что выдал:
Possible extension hijack 1 entries в этой папке Default executable handler Registry change HKEY_CLASSES_ROOT\exefile\shell\open\command\!="%1"% и маленький крестик наверху, нажала Fix selected problems, все вроде сказал что исправил, тут же еще раз запускаю сканирование, опять тоже самое. В ручную нашла эту штуковину, крому нее больше ничего в этих папках нет, пока не удалила, незнаю можно ли? Поскажите, кто знает, если ее удалить, не накроется комп? И если ее удалять, удалять ли папки тоже, в них кроме нее больше ничего? |
Цитата:
HTH |
Vse nakrilos', pishus drugogo komputera, esli probuyu otkrit' lyubuyu programmu vihodit okno:
C:\Programm Files\McAfee.com\Agent\mcagent.exe (ili kakaya drugaya, smotrya chto pitayus' otkrit') This file does not have a program associated with it for performing this action. Create an association in the Folder Options control panel. |
Kogda otkrivayu Control Panel i probuyu otkrit' cho-libo (Add or Remove Programs i dr. pochti vse) vihodit takoe je okno.
Pls help!!! Chto mne delat'???? Spasibo za pomosch. |
Eglantine
Откройте Пуск, Выполнить, regedit Идите в папку HKEY_CLASSES_ROOT Найдите ключ HKEY_CLASSES_ROOT\exefile\shell\open\command Выделите в левой части окна слово command В правой будет написано [ab]По умолчанию REG_SZ ??? Кличките дважды в <<[ab]По умолчанию>> В открывшемся окошке напишите "%1" %* Закройте regedit. Попробуйте что-нибудь запустить. Если ключа HKEY_CLASSES_ROOT\exefile\shell\open\command нет, его надо создать. Сами сможете? |
Извините, что в 2-х местах спросила, просто в таком шоке нахожусь.
|
>> Извините, что в 2-х местах спросила,
Ничего страшного, я просил просто дать знать всем, кого Вы спрашиваете, что решили проблему, когда Вы её решите, а не оставлять "подвешенную" темую Переименуйте regedit.exe в regedit.com (лучше скопируёте), потом попробуйте запустить. |
Цитата:
Где-то подцепила тоже эту заразу, автоматически открывается страница http://find.naupoint.com, все что здесь рекомендовано делала - не помогает, http://www.spynet.com/spyware/spywa...-Installer.aspx HTH Что-то цитировать у меня не получается. Vadikan, спасибо за программку, но у нас видно все было так запущено, что сначала вроде все хорошо, я как 1-ый раз запустиал ее наловила с 10-к и среди них был http://find.naupoint.com, все почистила, но стартовой все равно эта страничка вылазила, второй раз запустила, еще пару левых программок вычистила - этой уже не было, опять почистила, но та всеравно в Инете вылазила, но потом программка стала виснуть, потом наковыряла другую программку, которая все сделала. Я ее уже удалила, завтра найду напишу,где ее можно скачать и как называется точно. Всем огромное спасибо!!!!!! |
Вот нашла, называеься HijackThis 1.98.0.2
Можно найти здесь: http://www.spywareinfo.com/~merijn/downloads.html |
Скрипты-вирусы | JS.Exception.Exploit
Залез ко мне JS.Exception.Exploit NortonAntiVirus обнаружил его.
Но я не понял он прописан в C:\Docum. and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\SXIRGTIF\opa[1].htm , но я не нашёл даже папки Local Settings. Я не особо в этом разбираюсь может кто-нибудь объяснит мне что за фигня? :confused: |
папка Local Settings является скрытой и системной. по умолчанию проводник не показывает её пользователю.
в данном случае могут быть две рекомендации: 1. Очистить историю IE (Tools - Internet Option - General - Temporary Internet Files - Delete files) 2. Удалить файлы вручную, включив опцию отображения скрытых и системных файлов в проводнике (Tools - Folder options - View - Show hidden files and folders ) з.ы. возможно пути немного отличаются в различных операционных системах |
Если Нортон обнаружил его, то значит удалил. А вообще скрытые папки можно спокойно просматривать через любой файловый менеджер, Far например.
|
Ну что мешает забить на осла и юзать Оперу ?
Там все есть, и никакие кривые извраты там не работают. Агнитум в придачу -и никто вам ничего не сделает. Я к Опере нормальных эксплойтов не могу найти - они все пашут как-то криво и не делают то, чего должны делать. А под ие вся эта дрянь прекрасно пашет. Рекомендую сменить браузер, кстати спецы из CERT тоже сейчас это рекомендуют. |
Предупреждение о вирусе и Spyware, Adware
Второй день уже достают выскакивающие окна о предупреждении, что, мол, компьютер инфецирован какой-то заразой. Проверял и NOD32 и PestPatrol. Они ничего не находят. Вот эти сообщения. И еще несколько других. Я не стал их все писать. Думаю смысл и так понятен.
Цитата:
|
...имхо... эти сообщения являются одной из форм спама... особенно если сходить по ссылке и посмотреть, куда у них настроена переадресация... :)
|
Вы будете смеяться, но я рискнул скачать Spyware Nuker и установить его. Эту программу предлагают как раз на сайте, который прописан в предупреждении. (www.Adware-Nuker.com). Скачал, установил начал проверять. При сканировании нашлись 4 ключа в реестре и 1 кукис. Т.к. программа небесплатная она сказала, что сначало купи, а потом я удалю найденные гадости. Через час с грехом пополам нашел patch. Эти 4 ключа были от программы, на который раньше ругался и NOD32 и PestPatrol, но похоже, что они не удалили их доконца. Теперь всё нормально. Окна больше не выскакивают. :)
|
Trojn
Это реклама. Рано или позно появится что-то еще, тоже что-то предлагающее и сообщения тоже прекратятся, когда ты это установишь. А на счет конкретного примера с перекращением сообщений - если бы ты установил прогу, вычистил все что она говорит, а потом бы настроил себе файрвол так, чтобы блокировался весь инет-трафик, кроме netmessages (с портами - см. соответствующие темы), а этому приложению запретил бы выход в инет совсем - то сообщения тебе слаись бы так же как и раньше. Вот так, ты просто поставил себе очередного спая, который правда убивает (или пытается - я не так наивен, чтобы проверять это абы-как, а для нормальных эксперементов нет времени) другиз спаев...:down: |
не стоило качать
это спам я столкнулся с этой проблемой, весь ком перевернул на вирусы и трояны а их не было сообщения выскакивали только стоило подключиться к инету помогло - в службах выключил службы сообщений и более не выскакивали такие сообщения спасибо, тут подсказали |
А я то обрадовался, что избавился от этих чертовых окон, скачав эту прогу. Их какое-то время не было, но они опять стали выскакивать. Теперь ясно, что это реклама. :( Я тоже отключил службу сообщений. Теперь они не достают.
|
Не удаляется вирус W32.Pinfi
у меня Windows ME (RU) из DOCa и Safe mode не помогло,при новой загрузке он появляется снова.Format C не предлагать.
|
Цитата:
а антивирус его не удаляет? |
а в какой папке эти копии?
|
дык в том то и дело, что их искать надо.
Возьми антивирусник (Каперского например), обнови базы и проскинируй все диски, он должен все копии вируса найти и убить. |
OT4IM
При каждом запуске компа этот вирус заражает несколько файлов и, так сказать, прячется в какое-либо другое место под новым именем *.tmp Описание с Viruslist (W32.Pinfi также известен как Win32.Parite.b): Цитата:
|
Я инсталировал себе Касперского,а вирус не даёт ему прописаться в реестр,поэтому Касперский не запускается
|
Найди себе антивирус, работающий из DOS (в Касперском тоже такой есть), загрузись с дискеты. Лечись, сколько влезет. Никакие реестры и заблокированные файлы не помешают.
|
Можно еще винт к другой машине подключить и на ней проверить.
|
Симптомы Boot-вируса
Существуют ли симптомы поражения вирусом Boot-секторов?
Какие? Методы борьбы? Чем опасен Boot-вирус? Можно ли для борьбы с Boot-вирусом создать стартовую дискету? |
Operating System not found при включении компа после POST.
Вирус Чернобыль так делает 26 апреля (другие модификации его - каждый месяц). |
Цитата:
|
treiber
Цитата:
Цитата:
|
Я не силен в ДОС-командах. Пара уточняющих вопросов.
1. Что действительно, если запуск PC идет с "чистого" незараженного носителя - дискетты, то обращение к жесткому диску не происходит. Ведь в BIOS он виден. При выполнении команды fdisk /mbr не указывается к какому диску она будет применена. Означает ли это, что удаление boot-вируса происходит с boot-сектора только диска С: ? 2. После выполнения команды fdisk /mbr надо ли переустанавливать Win98SE или после этой команды с Windows в этом случае уже не содержит вируса на диске С: и с ней сразу можно начать работать? |
При запуске с чистого диска обращение идет в зависимости от системы - как правило да. Но чтение и запуск - разные вещи. DOS только ищет рабочие диски с распознаваемой им файловой системой (таких маловато). А вот насчет fdisk /MBR не скажу. Ведь есть еще и sys C:, что тоже немаловажно...
|
treiber
Цитата:
Цитата:
Цитата:
Однако... У подавляющего количества загрузочных вирусов кроме функции заражения загрузочного сектора присутствует и функция заражения файлов. По этой причине, очистка только загрузочных секторов - не эффективна с точки зрения очистки системы. Это может помочь толь при полной переустановке всей системы вместе с программи с предварительной очисткой диска (т.е. устанавливая системы с чистого насителя на чистый диск ты получаешь и чистую систему). Вызывает недоумение тот факт, почему применяется такая сложная система очистки от загрузочного вируса? Почему только о него? Почему нельзя воспользоваться нормальным антивирусом со свежими базами (запустив его с "чистого" носителя при "чистой" загрузке, в том числе и подключая его вторым винчестером к незараженному компьютеру). |
Цитата:
2. Это вопрос ко мне или к разработчикам антивирусов? |
garober
Цитата:
Цитата:
1) Ты в курсе, что есть антивирусы (в том числе те, что обновляют свежие базы), которые могут работать в режиме DOS? Так вот, можно загрузиться с "чистого" загрузочного насителя (например с дискеты). У тебя будет режим ДОС. Далее, ты либо сразу запускаешь с компакт диска антивирусник, либо предварительно копируешь его во временный диск в виртуальной памяти (можно и на винчестер, но в памьть - надежнее). Минус этого способа, что так можно проверить только разделы диска, отформатированные в форматах FAT и FAT32 (есть конечно и определенные исключения, но для простоты мы их щас рассматривать не будем). Однако загрузочные сектора он все равно проверит. 2)Допустим у тебя есть кде-то компьютер (на работе, у друга, в институте и т.п.), в "чистоте" которого ты абсолютно уверен. Тогды ты берешь, отключаешь свой винчестер из своего компьютера, идешь к "чистому" компьютеру и подключаешь свой винчестер к нему. При этом загружаться надо как и раньше - с "родного" винчестера, чтобы случайно не заразить и вторую машину. Вот в этом случае твой винчестер и будет "вторым". После загрузки ОС на "чистом" ПУ ты можешь запустить с него проверку антивурусом своего диска и всех его разделов (при условии, что если на твоем разделе есть NTFS разделы, то у пользователя стоит Win2000 или WinXP). В этом сучае ты кроме проверки и лечения всех файлов также вылечишь и возможный загрузочный вирус (только убедись, чтобы в настройках антивируса не была отменена проверка загрузочных секторов). А вопрос касался в том числе и того, почему тебя интересует избавление именно от загрузочного вируса? В настоящее время это уже считается очень большой редкостью, относительно всех остальных. |
Цитата:
Не обратил внимания, что не произвел вход со своей учетной записью, тем более на экране не видно какой пользователь активен в настоящее время, даже и предварительном просмотре сообщения. |
Цитата:
Точного текста не помню, надо поискать. При проверке же программой "Antivir" указывается также имя вируса "Parity". Поэтому и возник вопрос о boot-вирусах и простых способах борьбы с ними. |
вирусы в локалке
У нас есть LAN. Несколько улиц. Я не админ - всех не знаю. У некоторых челов завёлся червячок.
Происходит присоединение удалённого компа к моему через порт 139 (netbios / шары короч.) после этого на моём компе "svchost.exe ... не может быть read по адресу... " и всё виснет. Ещё на ВСЕХ заражённых машинах открыт слушающий TCP порт 5000. Что это за зверь? ЗЫ я не админ локалки - я её участник. Повторюсь - с этими челами нет никакой связи (тел/мэйл/адрес - секрет). Спасибо всем ответившим :) |
Настроеный firewall с антивирусом стоят?
|
Krezzy
Слишком мало информации. 139 порт для проникновения на машину используют очень многие вирусы. На viruslist.ru не нашел ничего похожего на представленное описание. Проще действительно провериться антивирусом со свежими базами, он и покажет что это за зверь. |
(решено) поймал вирус
Из-за слабого пароля на систему (qaz) получил троян Backdoor.Rbot.gen (ntsf.exe): предполагаю, что вирус сканировал диапазон адресов и проверял, возможен ли под админом вход с таким-то паролем(они были изначально заложены в программу, атака по словарю), затем по фтп троян получал дополнительные "примочки".
Хорошо, что успел отловить сразу же как поймал, потому что трафика в тот момент идти не должно было никакого, а трафик шел. Так что, народ, ставьте хорошие (сложные) пароли на систему :) |
Пиратские 98 винды с вирусом
У меня есть пиратские финды с вирусом. Название не помню, но там есть файл speedy.bat. Так вот, эти винды (98) были поставлены УЖЕ с вирусом, т.е. вирус был заботливо упакован в .cab-файл. Так что бесплатный сыр от наших пиратов "чреват боком".
|
Речь только о Windows 2000 SP3, компьютер домашний.
Сменил провайдера, и начались проблемы. Периодически после подключения к инету: 1. svchost.exe начинает загружать проц на 99% 2. svchost.exe вылетает с ошибкой. До сих пор не знаю как с этим бороться, и почему возникает эта проблема. Может быть, это попытки атак на срыв стека? Далее запустил очень подозрительный файл из письма, заранее зная, что это вирус. Вирус Prorat.j по классификации Касперского. Сам справиться не смог, из-за того, что не понял, как он запускается, пришлось систему, в которой я проработал 1,5 года(!) сносить к чертовой бабушке. Ни к сему на момем компе иметь шпионов. Вирус создавал в корневом каталоге винды файл с заголовками окон и не давал запускаться AVP сканеру. Установил новую систему (с форматированием), настроил с хорошим паролем, все дела. Через 2 дня (!) умудрился подцепить вирус. Оказалось, что вирус был передан на мой компьютер с помощью tftp.exe. По классификации Касперского - Delf.aae. На вируслисте инфу об этом вирусе и как с ним бороться не нашел. Чтобы убедиться, что система будет чистой, 2 дня назад поставил еще одну, настроил, все дела, Поскольку постоянная двухмесячная борьба с троянами и червями мне надоела, установил AVP монитор на постоянную работу, несмотря на то, что он подтормаживает систему. Дальше переименовал cmd.exe и tftp.exe так, чтобы их как будто бы не было. :) Но все равно работа Svchost.exe и глюки меня очень смущают. |
Регулярно вирусы с моего же сайта, борьба?
Мне регулярно раз-два в ДЕнь(1) приходят сообщения с ящика user@mysite.ru с вирусами внутри.
Где user@mysite.ru это мной же открытый ящик на моем же сайте. Так с нексольких мэйл боксов с него идут мэйлы о недоставке и т.п.. AVG слава богу отсекает, но что это может быть? Раньше такого не было. Я переехал с одного хостинга на другой и началось! Кто и каким образом от моих имен (п\ящиков) рассылет мерзость эту? Как боороться. Попутно: со старым провайдером разошлись без уведомления с моей стороны (они досталти в свое время меня), однако user@mysite.ru открыт остался у них по прежнему (через HTML форму), как и на новой площадке! То есть одно сообщение я читать могу на новом хосте и устарого прова. Как такое могет быть и не месть ли это провайдера старого -рассылка дряни этой? И разве компании не сносят ящики ушедших юзеров? И нет конфликтов в этом случае софта серверного? Как и туда и туда идет расслыка? Кто ее форвардит ( смоего нового что ли хостинга)? Извините конечно за мальчишеские предположения. Но я вижу в это какую-то систему и просто болезнь а как это пролечить не понятно. Спасибо! |
GaryD
Заголовок рассылаемых писем смотрел? Вероятно это подставка обратного адреса, а это делают многие вирусы, использующие адресную книгу. Вероятно где-то заражет компьютер (или несколько), на котором "засветился" и твой адрес. Нужно разбираться с заголовком. Цитата:
|
вот что в теле письма:
--------------------------------------------- X-EMS: wait 10s Return-path: <postmaster@strel-ka.ru> Envelope-to: lena@strel-ka.ru Delivery-date: Wed, 29 Jun 2005 05:11:31 +0400 Received: from [82.117.161.10] (helo=strel-ka.ru) by sr3.myhostnet.net with esmtp (Exim 4.44) id 1DnR6b-0000U7-An for lena@strel-ka.ru; Wed, 29 Jun 2005 05:11:31 +0400 From: "MAILER-DAEMON" <postmaster@strel-ka.ru> To: lena@strel-ka.ru Subject: Delivery reports about your e-mail Date: Wed, 29 Jun 2005 08:10:51 +0700 X-Priority: 3 X-MSMail-Priority: Normal X-Mailer: Microsoft Outlook Express 6.00.2600.0000 X-MIMEOLE: Produced By Microsoft MimeOLE V6.00.2600.0000 X-Antivirus: AVG for E-mail 7.0.323 [267.8.1] Mime-Version: 1.0 Content-Type: multipart/mixed; boundary="----=_NextPart_000_0014_815D224D.C0DB6981" ------=_NextPart_000_0014_815D224D.C0DB6981 Content-Type: text/plain; charset=us-ascii Content-Transfer-Encoding: 7bit The original message was received at Wed, 29 Jun 2005 08:10:51 +0700 from strel-ka.ru [167.88.236.5] ----- The following addresses had permanent fatal errors ----- lena@strel-ka.ru ------=_NextPart_000_0014_815D224D.C0DB6981 Content-Type: text/plain; x-avg=cert; charset=us-ascii Content-Transfer-Encoding: quoted-printable Content-Disposition: inline Content-Description: "AVG certification" Viruses found in the attached files. The file file.zip: Virus identified I-Worm/Mydoom.O. The attachment was mov= ed to the virus vault. Checked by AVG Anti-Virus. Version: 7.0.323 / Virus Database: 267.8.1/28 - Release Date: 24.06.2005 ------=_NextPart_000_0014_815D224D.C0DB6981-- ---------------------------------------------------------------- При смене провайдера имя ессно сайта осталось (я владелец). IP? - сменился думаю, они же не коллеги -Х-провайдеры. Спасибо! |
Вирус, звонящий по модему
Вирус, звонящий по модему на разные междугородние номера (для установки связи с сервером на этом номере) - кто в последний раз про такое слышал? Насколько я понимаю, вирус то ли устанавливает прямое соединение комп - комп, то ли "выходит в интернет" таком образом, используя номер, по которому звонит, как "провайдера". Тут нужно проконсультировать человека, а я в последний раз слышал про такое давным-давно, когда какой-то наш вирусописатель написал бяку, звонившую 02 :]
Вопрос срочный. |
hasherfrog
Пстоянно такие сыпятся. Если смотреть, например, DrWeb, то у него такой класс вирусов в описаниях к базам (*.txt), помечен как "Dialer". Есть те, к-ые действительно звонят для получения доступа на управление зараженным компом к одному из ранее зараженных ("зомби", на свой комп только кретин может такой дозвон делать). Значительно больше тех, к-ые с аналогичной целью (получение контроля) звонят на интернет-шлюзы. Но подавляющее большинство (ИМХО около 90% или больше) - это "накрутчики". Они звонят на различные платные ресурсы, в результате чего с пользователя снимается плата за звонки (как правило - международные). Такие вирусы очень выгодны владельцам этих ресурсов, т. к. по соглашениям с телефонными компаниями они получают определенный процент с таких звонков. Среди специалистов ИБ распространено мнение, что практически все такие вирусы - "заказуха" либо плоды работы "вирусных конструкторов". |
Greyman, спасибо, понял.
|
Да и еще, хотя наверное уже и не актуально, но поправится все же стоит.
В последнее время в связи с ростом "моды" да фишинг, когичество вирус-диалеров в этом направлении тоже увеличилось. Т. е. щас становится заметным количество вирусов, которые звонят не для накрутки, а для потключения к интернет провайдеру или "зомби", но не для установки контроля над вирусованой машиной, а для более скрытной отправки получателю собраных с компьютера данных. Хотя фишинг-вирусов-диалеров гораздо меньше, чем фишинг-вирусов отсылающих данные по ЭП или на какой-либо вэб-ресурс непосредственно с вирусованой машины, но заметно больше, чем вирусов-диалеров для установления контроля над ПК. Фишеры иногда используют дозвон с целью увеличения гарантии доставки собранной информации, т. к. информация, отсылаемая по существующим каналам, м/б заблокирована на шлюзовых серверах (ЭП, МЭ, IDP и др.) плюс возможность многофакторной идентификации доступа к сетевым ресурсам (ввод пароля "вручную", ключи доступа, биометрические считыватели и т. п.), при которой информация может не успеть уйти в максимально сжатые сроки или вообще оказатся неотправленной... |
Я боюсь, уже не выяснить, "что это было". Программа от Зайцева (скачанная, кстати, отсюда из софт-раздела) нашла два каких-то трояна. Касперский нашёл потом ещё хвост от одного из троянов. и всё. В определениях троянов (по выданным ремувером) именам либо ничего нет про звонки, либо разновидностей подобных троянов очень много. Да я уже даже не пытаюсь детально разобраться, что это было... Надежда на то только, что оставленный касперский хотя бы полгодика ещё сдержит оборону...
|
А дистрибутивы у тебя вирус не хавал? Может он у тебя в дистрибе сидит, и когда ты очередной раз ставишь систему и проги он у тебя активируется. Советую снять винт, пойти к товарищу и там проверить весь винт на вирусы.
|
Храните дистрибутивы на CD, или на FTP, который писать не можете.
|
Проблема, указанная в постинге 2, решена. Причина появления вирусов - мое рас***яйство и нежелание ставить заплатки (KB823980, KB835732). Вирус забирался через дыру в RPC
|
В компе вирус а удалить не могу. Помогите
У меня такая проблэм: Антивирус Касперский Personal выдаёт сообщение, что на моём ПК вирус. Проверяю, антивирусник выдаёт сообщение о том что есть вирус и не выдаёт мне предложение удалить или пропустить сам себе на уме, что-то делает, а я не могу понять, что именно, но показывает, что вирус есть не помню названия, но понял, что это Троян. Как мне его убить. Сразу скажу что с БИОСам я не дружу и через него не смогу удалить вирус. На ПК 2 диска: С:\ SYS и D:\ DATA На С:\ вся инфа.
И ещё: во время работы с понтанно появляется ДОСовское окно. И на Панели задач В правом трейе, торчат два овала, когда на них указываешь там написано “Your computer is infected. Думаю поможете в этом вопросе Заранее благодарю P.S. стоит Win 2000 |
Удалите Каспера, поставьте Symantec или подключите винчестер к другой машине с антивирусом и попробуйте вылечить.
|
переношу в "Информационную безопасность"
|
united
Попробуй воспользоваться сове том monkkey о проверке винчестера с другой машины (со свежими антивирусными базами). Если такой возможности нет, то советую воспользоваться бесплатным сканером CureIT от DrWeb (предварительно удалив каспера или хотя бы отключив его резидентный монитор). Он не проверяет архивы, зато они его регулярно перекомпиляют с новыми версиями, а встроенная проверка компонентов не даст ему заразиться самому. Единственное, если у тебя на компе что-нить на столько серьезное, что маскирует себя перехватывая обращения системы (т. н. аналоги руткитов), то тогда помочь может только проверка на другой машины, либо при загрузке с внешнего носителя (при которой не используются ресурсы проверяемого винчестера) и никакая замена антивирусного ПО на другое - не поможет... |
Цитата:
|
Нет, не в папке.
Он на том же сайте :) Цитата:
прямая ссылка |
united
Цитата:
|
Вирус в блокноте
Касперский обнаружил вирус Trojan.Win32.StartPage.adh в файле блокнота notepad.exe. Зараженый файл был по ошибке удален, после чего блокнот перестал запускаться, а попытка восстановить из резервного хранилища Касперского удаленный файл ни к чему не привела. Как бороться с такой проблемой? Можно ли восстановить приложение блокнот и при этом избавиться от вируса?
|
Дистрибутив винды есть? Вот и вытащи этот файл оттуда.
|
Вирус в блокноте
Хорошо, а если у установочного диска нет, есть только ОЕМ-версия?
И вообще что делать, как избавляться от таких вирусов, которые заражают непосредственно программыне файлы Windows? |
Интересный народ... Это все равно что я скажу типа: "у нас зима, а у меня нету теплого свитера, что же делать??? пришлите мне теплый свитер!!!"
|
Вирус в блокноте
Извините, за глупые вопросы.
Но вот возникает вопрос, что будет с операционной системой, если Блокнот не будет восстановлен? Повлияет это на ее работоспособность? |
нет, за исключением того, что в твоей системе не будет блокнота. Но его с успехом заменяют другие приложения, более функциональные.
|
Есть очень много похожих программ которые не только заменяют стандартный блокнот, но и превосходят его по своим функциональным возможностям.
|
Вирус в блокноте
Вы немного меня успокоили.
Но меня волнует вот что. В меню быстрого запуска, ярлык блокнота заменился ярлыком неизветного мне приложения twunk_16.exe. А в меню пуск, ярлык заменился на sort.exe. Что это за приложения и почему произошла такая смена ярлыков (после удалаения блокнота)? И еще, не возникнет ли проблем с теми файлами, которые прежде открывались в блокноте? Я имею в виду файлы конфигурации и log файлы? |
файлы которые заменили notepad.exe скорее всего трояны!
а с лог и текстовыми файлами ничего не случится! не бойся |
Цитата:
|
Цитата:
|
Цитата:
Цитата:
|
|
Вирус в блокноте
Спасибо всем за помощь, блокнот восстановлен.
|
Вирус syslog32. Как защититься.
Подскажите, какой заплаткой закрыть дыру от это твари.
|
http://www.securinfo.ru/WormDonkS во-первых вирус называется по-другому. Во-вторых заплатками от вирусов не спасешься. Так что ставь антивирь и обновляй чаще.
|
Как поймать вирус
Здравствуйте! У меня есть вопрос, может кто знает, значит:
вот например - каспер нашёл вирус, или не каспер, не важно, но вирус залез в расшаренную папку по сети и антивирус поймал его - как определить, откуда он пришёл (например имя компа или IP) Спасибо |
применить ясновидящих телепатов.
Буду краток: никак. ЗЫ: клиенты вот как -то за три дня завирусили комп - штуки три виров в нескольких тысячах ипостасий;) Так тож грят - А можно узнать из какой игры или с какого диска они взялись? |
Жалко конечно!
Спасибо за ответ! |
В *nix Samba ведет журнал, из него можно узнать. В windows есть специальные приложения, которые такую функциональность поддерживают (типа killwatcher). Но, как уже сказано, что сделано - то сделано. Теперь ничего не узнать.
|
ram38
Как-то сам ловил подобную гадость с помощью Outpost'а - в момент засечения DrWeb'ом - не закрывая Alert-окошка, смотрел активные соединения. Наверное, можно сравнить логи антивируса и файрволла. |
вирус на ящике YANDEX
Краткая история такова: есть ящик на YANDEX. не подключенный к почтовой программе, чтобы не светился на рабочем компе. Получаю на него различные бесплатные рассылки, личные письма и т.д. В один прекрасный день открываю ющик, просматрваю письма в папке "входящие", потом, прочитав письмо, нажимаю "удалить". Письмо не удаляется! То есть не переносится в папку "корзина" ящика, а остается на месте. Также не очищается и вся папка "входящие" при попытке ее очистить полностью. Потом смотрю - есть письмо в папке "сомнительные". Захожу в папку (в эту папку иногда попадают например, сообщения о получении ответов с форумов), обнаруживаю неизвестный zip-файл (или rar уже не помню), и что делаю? Догадайтесь сами. Естественно, открываю, чтобы посмотреть, что за фигня такая. Наверное, на таких идиоток, как я и рассчитано. Компьютер служебный, о последствиях я умолчу. Яшик тот бросила, сделала переадресовку. Опустив эмоции, хочу спросить: файлы не удалялись из-за этой дряни или это был глюк компьютера? Как удалить файл с ящика, если он действует по принципу бомбы - при попытке удалить, копировать и т.д. Или таких не существует? В почтовой программе есть функции проверки почты до загрузки их на сервер, а в YANDEX-ящике как быть? Не бросать же каждый раз ящик. Очень рассчитываю на ответ опытных юзеров, поделитесь, пожалуйста, опытом.
|
helga
Бывают глюки с удалением их режима просмотра. В этом случае можно их удалять из списка писем в конкретной папке. При этом можно либо отметить нужные письма и нажать "крест" ("удалить"), либо выбрать в пункте "перенести в папку" папку "Удаленые" и нажать там кнопку "ОК". Если и в этом случаене удаляются, то возможно проблема со скриптами. Можно попробовать выйти, очисить кэш браузера и зайти занова. Каким браузером пользуешся, версия? Цитата:
Цитата:
Цитата:
На будущее - имеет смысл дерджать несколько ящиков - один только для знакомых или по работе, а другой для регистрации на различных сайтах. Ко второму, при этом, нужно быть максимально аккуратным, т. к. он будет максимально "загажен" спамом и вредоносным содержимым (даже независимо от антивирусов). |
Насчет "ну и...". В моей практике такое первый раз. Обычно словишь вирус - Касперский тут же вылезет и сообщает адрес или пару-тройку, где засела дрянь. Заходишь и удаляешь. Проблемы закончились. Здесь после распаковки файла через пару-тройку секунд (условно) вылез Касперский и стал выдавать один адрес за другим. Я запустила тут же сканер и с ужасом увидела, что вирус благополучно в считанные секунды засел практически во все файлы диска C:, 181 тело випуса!
естественною пришлось вызывать нашего приходящего системника, меня тут же отключили от сети, мне пришлось доказывать, что вирус пришел по почте, а не в результате лазания по разным сомнительным сайтам (спасла репутация серьезного работника). Правда, системник сказал, что это был обычный червь, и в течение где-то часа-двух он все вычистил. Но я это теперь надолго запомню. |
Вирус. Очень нужна Ваша помощь
Добрый день. У меня ОС Windows XP SP2. Появиля вирус троян в Dll-ке labdmo.dll. Антивирус Касперский никак не может ни лечит и ни удалять этот файл. Вручную также не можно удалять этот файл. Думаю что этот файл сам и является вирусом, т.к. дата свежая 2006-06-09. Подскажите пожалуйста, как не снимая жесткий диск удалить этот инифицированный файл?
Очень нужна Ваша помощь. |
GreenStar
Способов не один десяток. Уточните название зверюги (как его пишет KAV) О способах. - Можно просто загрузиться с диска в консоль и попытаться оттуда. (для начала набирать комманду help) - Загрузиться с любого liveCD и, затем, выкосить P.S. первое, что пришло в голову ну и попробовать другой антивирус |
существуют Досовкие утилиты, для удаления таких зараз
У тогоже Касперского шестой версии, McAfee тоже может, да и просто из под доса можно файл удалить если ты уверен, что он опасен |
GreenStar
попробуй загрузиться в безопасном режиме (держи F8 после перезагрузки), найди этот файл и попробуй удалить. Если не получится, то делай как pos2man советует. |
Спасибо за все ответы. Но знаете что. После очистки реестра регклинером а также вручную рабочий стол у меня потерялся. Компьютер загружается, а рабочего стола (ярлыки панель задач) нет. В безопасном режиме точно так же. В реестре я удалил все пункты где встречался этот длл (labdmo.dll) и не только. Подскажите пожалуйста, как восстановить рабочий стол?
СПАСИБО ЗА ВСЕ ОТВЕТЫ |
GreenStar
надо было все-таки сделать резервную конию реестра, прежде чем... ну, впрочем, теперь поздно... Это тебе на будущее, так сказать. А теперь по существу. Попробуй вызвать Диспетчер задач (Ctrl+Alt+Del) потом нажимай "Новая задача" запусти explorer.exe пиши - получилось, или нет? Как зовут вирус? глупо описался, вот, пришлось править |
Попоробовал (из диспетчет задач), не получается. Также попробовал из far и cmd. Никакого сообщения и никакого эффекта.
Пожалуйста, помогите |
1. Название вируса все-таки приведите.
2. У вас сам файл C:\Windows\explorer.exe есть? 3. Попробуйте запустить восстановление системы. |
pos2man!!!
GreenStar, может ты написал - Цитата:
Если всё таки рабочего стола нету, то пиши в том же "Новая задача" слово "control". Ето откроет контрольную панель. А там уже выбирай "Учетные записи пользователей" и делай новый аккаунт... Все своё можешь найти в X:\Documents and Settings\y\, где X - это диск с виндовсом, а y - бывший пользователь(аккаунт). Удачи! |
Название вируса: Trojan-Downloader.Win32.ConHook.ab
Да, файл explorer в каталоге Windows имеется А воосстановить как, с инсталляшки? Вирус все таки удалил и не один а целых 3 (три) с помощью того же Касперского (запустил из диспетчер задач). Но проблема с рабочим столом все таки осталась. |
GreenStar - прочитай выше мой пост.
|
Самый простой способ (если у вас KAV 6.0) это создать диск спасения, загрузиться под ним и проверить комп.
|
Вирус XXex10.modul32.exe
У меня на компе вирусняк, который реально тормозит комп. когда он включается в процесс, то проц сразу под сотку начинает думать. Так и до X недалеко. первые два знака XX - это цифры, которые он постоянно меняет. Например 21ex10.modul32.exe или 73ex10.modul32.exe
В поисковике прописал название вируса. Но так ничего и не нашлось. Может кто-то имел дело с этит вирусом? Подскажите как мне его удалить. |
Попробуй проверится бесплатным CureIT! от DrWeb (смотри у них на сайте).
|
Harry Potter
Он у тебя стартует при загрузке системы? Посмотри автозагрузку и убери оттуда все лишнее. Можно скачать Prio и с его помошью посмотреть где сидит файл, и что это за файл. Потом натровить на него NOD32 |
Harry Potter
Похоже на это: http://www3.ca.com/securityadvisor/v....aspx?id=57036 там же и места куда прописывается |
Итак. у вас типичный вирус-резидент. Что делать? Проще всего вычистить его, работая под заведомо чистой системой. Как это сделать? Возможны два варианта.
1. Вынуть винт, прикрутить на чистую систему и проверить. 2. Создать диск спасения под Kaspersky AV6.0 или Kaspersky Internet Security 6.0 Потребуется кроме антивируса PE Builder версии выше 3.10 и инсталляционный диск Windows XP c SP2. Учтите,если антивирус русский, то и Windows желательно русский Иначе, если вы не работали, то придется угадывать символы, что неудобно! Создавать диск спасения лучше сразу же после обновления системы. |
Вложений: 1
Помогите оприделить заражённый файл...
|
Один простой вариант грохни винду... печальный но вариант........!
|
duhetэто плохой вариант. "Болит голова - отрубите!"
1. Вы уверены что там вирус? 2. Каким антивирусом пользуетесь? 3. И вообще, поподробнее! |
|
Попробуйте создать "Диск спасения" (под KAV (KIS) 6.0) Затем загрузитесь с него и проверьте вашу систему.
|
Поймал вирус. Помогите.
Чистил жёсткий и случайно наткунлся на фаил "Britney Spears fuck.exe" или что то в этом роде. Запустил, он не открылся, ну я его удалил, потом перезагрузил комп, а у меня при загурзке выскочило окно подключения к интернету, я сразу догнал что вирус, скачал новые базы для dr.web, проверил, ни чё нашёл, проверил на spyware (agnitum), тоже не чего не нашёл. Потом увидел у себя ещё один левый фаил "Nero 8.scr" который появился только сегодня. Посмотрел дату создания (19.04.2003) ввёл в поиске, поиск по дате и нашёл ещё штук 30 (все в разных местах) фаилов с разными названиями и с расширением *.scr, удалил все, но при загрузке всё равно появляется подключение к интеренту. Проверил пути автозапуская, всё в норме.
все фаилы имеют расширение *.scr или *.exe, размер 24 или 26кб, дата создания 19.04.2003. Чё делать? Помогите пожалуйста. |
RAY
*.scr - это файл отвечающий за экранную заставку. Набери в Выполнить msconfig и посмотри что у тебя стоит в автозагрузке. Заодно можешь и нам сказать, а мы все вместе подумаем. :) Убери все, что тебе подозрительно и проверь. |
RAY
Цитата:
|
RAY
Это довольно простой вирус.., наверно... ;) Запустись в SafeMode. Найди их по именам... и просто удали их. Все exe и scr. Ихняя защита не сработает, так как это СКОРЕЕ-ВСЕГО простые вирусы - и в безопасном режиме они не работают. (Но может быть и нет...) Напиши, что получилось. И как сказал Grub - напиши также сюда данные msconfig и Win.ini. |
Всем спасибо! Справился.
Я удалил фаилы через сэйфмод, потом сделала стандартное восстановление системы, вроде всё нормально. Да к стати, ещё появлялись какие то фаил на с:\ около 10 штук, имена примерно такие adasfdsfsdd@mail.ru.msg и т.д. Теперь все гуд. Спасибо. |
RAY Фух... ну вот и славненько. ;) знач несерйозный вирус попался. И запомни - не открывай больше файлы типа таких как ты писал... халявы не бывает! :)
|
Похоже на вот этого червя. Советую проверить не остались ли какие нибудь файлы которые создает червь.
|
Цитата:
|
Помогите избавиться от вируса!
При подключении к интернет стапо периодически выскакивать окно:
Cooбщeниe oт SYSTEM для ALERT нa 26.11.2006 0:13:14 STOP! WINDOWS REQUIRES IMMEDIATE ATTENTION. Windows has found CRITICAL SYSTEM ERRORS. To fix the errors please do the following: 1. Download Registry Cleaner from: www.set32.com 2. Install Registry Cleaner 3. Run Registry Cleaner 4. Reboot your computer FAILURE TO ACT NOW MAY LEAD TO DATA LOSS AND CORRUPTION! KIS на это никак не реагирует. Один раз только сработала защита, но ни вылечить не переместиь он не сумел. В разделе "Обнаружено" запись: потенциально опасное ПО Trojan.generic Процесс: C:\WINDOWS\System32\recsl.exe В папке System32, recsl.exe я не нашёл. Запускал KIS на полную проверку "Мой комп"- всё чисто. Dr.Web даёт тот-же результат. Оба антивирусника с последними обновлениями. Где-то я про эту дуриловку читал. Наверное троян маскируется под какой-то процесс. Как его победить? Окно продолжает выскакивать. |
Sergey60
Похоже вам просто пытаются впарить трояна, под видом новой версии Registry Cleaner. Вот только домашний адрес Registry Cleaner немного другой ;) я сам им пользуюсь Так что смотрите через Process Explorer кто именно пытается впарить своего трояна. А там уже видно будет, что делать дальше. |
То что один троян пытаеться впарить другого, более солидного я понял сразу.
В System32 файла - mysvcc.exe нет. В реестре ключей таких тоже нет. Кстати сегодня получил мэйл спамовский с вложением (давно таких не получал). KIS его проигнорировал. Я его удалил не открывая. В инете был минут 30, окно не выскакивало. Затаился гад. В крайнем случае Винду из образа восстановлю, но интересно его побороть! Вобщем будем посмотреть! |
Sergey60
Цитата:
|
Vovchick1
Цитата:
я все-таки думаю, что надо изничтожать источник проблемы, а не прятаться от нее :) |
Borodunter
Цитата:
Но если посмотреть с другой стороны, просто так не чего не бывает!!! :) Так что я с тобой согласен, разобраться нужно. Цитата:
|
Удалил всё с системного диска, отформатировл. Загрузился с образа (100% без вирусов). Дня 3 работал в итернете без проблем, и тут тоже самое.
KIS обнаруживает вирус , пишет что удалить не может (хотя потом выясняется что удалено: троянская программа Backdoor.Win32.Small.eo), тут же ещё один, снова не удаляется, предлагает сделать откат внесённых изменений, откат сделать не удалось. И снова постянно выскакивает это окно с предложением загрузить Registry Cleaner. Более подробно (отчёт KIS): Защита ------ Всего проверено: 2091 Обнаружено: 2 Не обработано: 0 Заблокировано атак: 0 Запуск: 03.12.2006 21:38:45 Длительность: 00:33:50 Обнаружено удалено: троянская программа Backdoor.Win32.Small.eo Файл: C:\WINDOWS\system32\.exe/PE_Patch/MEW обнаружено: потенциально опасное ПО Trojan.generic Процесс: C:\WINDOWS\System32\recsl.exe События ------- Время Событие ----- ------- 03.12.2006 14:08:55 Сигнатуры угроз устарели. 03.12.2006 16:25:28 Обновление успешно завершено. 03.12.2006 16:55:08 Попытка процесса с PID 3284 получения доступа к процессу Kaspersky Internet Security 6.0 с PID 1368 была заблокирована. Это результат срабатывания механизма самозащиты. 03.12.2006 16:55:11 Попытка процесса с PID 3284 получения доступа к процессу Kaspersky Internet Security 6.0 с PID 1832 была заблокирована. Это результат срабатывания механизма самозащиты. 03.12.2006 21:43:33 Файл C:\WINDOWS\system32\.exe/PE_Patch/MEW, обнаружено: троянская программа Backdoor.Win32.Small.eo 03.12.2006 21:43:34 Обнаружены вредоносные объекты. Рекомендуется обезвредить их немедленно. 03.12.2006 21:44:17 Процесс C:\WINDOWS\System32\recsl.exe, обнаружено: потенциально опасное ПО Trojan.generic (модификация) 03.12.2006 21:44:21 Файл C:\WINDOWS\system32\.exe удален. 03.12.2006 21:44:25 Процесс C:\WINDOWS\System32\mysvcc.exe (PID 228) успешно завершен. 03.12.2006 21:44:37 Откат не выполнен. 03.12.2006 21:44:37 Процесс C:\WINDOWS\System32\recsl.exe, обнаружено: потенциально опасное ПО Trojan.generic (модификация) 03.12.2006 21:44:42 Процесс C:\WINDOWS\System32\mysvcc.exe (PID 228) успешно завершен. 03.12.2006 21:44:48 Откат не выполнен. Отчеты ------ Компонент Статус Начало Окончание Размер --------- ------ ------ --------- ------ Анти-Хакер работает 03.12.2006 21:38:45 0 б Анти-Шпион работает 03.12.2006 21:38:51 0 б Анти-Спам работает 03.12.2006 21:38:51 0 б Почтовый Антивирус работает 03.12.2006 21:38:51 0 б Веб-Антивирус работает 03.12.2006 21:38:51 18.2 КБ Проактивная защита работает 03.12.2006 21:38:51 29.2 КБ Файловый Антивирус работает 03.12.2006 21:38:51 383.8 КБ **************************************************************************************************** ************************************************************************************************** Полная проверка Мой компьютер. Как и в прошлый раз ничего не обнаружено. Службу оповещений отключить конечно можно, но зараза то осталась! Т.к. наблюдалась передача инфы на мой комп при нулевой моей активности! KIS молчал. Сведения по этим вирусам на www.viruslist.ru: Backdoor.Win32.Small.eo Другие версии: .cz, .fp, .v Другие названия Backdoor.Win32.Small.eo («Лаборатория Касперского») также известен как: Exploit-DcomRpc.g.gen (McAfee), W32.Wallz (Symantec), BackDoor.Restrict (Doctor Web), W32/Hwbot-A (Sophos), BKDR_SDBOT.GAA (Trend Micro), BDS/Small.EO (H+BEDV), BackDoor.Small.27.AQ (Grisoft), Backdoor.Small.EO (SOFTWIN), Bck/Small.HI (Panda) Детектирование добавлено 22 мар 2005 Обновление выпущено 25 мар 2005 13:36 MSK Описание опубликовано 08 апр 2005 Поведение Backdoor, троянская программа удаленного администрирования Технические детали Троянская программа, предоставляющая злоумышленнику удаленный доступ к компьютеру. Файл программы обычно называется HWCLOCK.EXE и имеет длинну около 7КБ. Для обеспечения доступа подключается к IRC-каналу и ждет команд удаленного пользователя. По команде может скачавать другие (троянские) программы, а также, используя одну из сетевых уязвимостей MS Windows, может попытаться проникнуть на другие машины в сети. Регистрируется в системе как сервис: Service name: hwclock Display Name: Hardware Clock Driver Service Description: Enables a computer to save and restore system time information using the hardware clock. Stopping or disabling this service will result in system instability. Создает ключи реестра: [HKLM\software\microsoft\ole] "enabledcom"="n" [HKLM\system\currentcontrolset\control\lsa] "restrictanonymous"="1" Содержит строки: symantec.loves.the.cock.pheer.biz owjgp.game2max.net Данных ключей в реестре нет. Потенциально опасное ПО Trojan.generic Процесс: C:\WINDOWS\System32\recsl.exe Этот процесс мной не обнаружен. Вот такой хвалёный KIS. Думаю переходить на Outpost Firewall Pro в связке с другим антивирусом. |
Так как в Windows я не силён, просто укажу что есть в реестре и процессах
[HKLM\software\microsoft\ole]"enabledcom"="n"по-умолчанию ="Y" - "Y" [HKLM\system\currentcontrolset\control\lsa]"restrictanonymous"="1"по-умолчанию="0" - "0" [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] - Пo yмoлчaнию Знaчeниe пo yмoлчaнию нe пpиcвoeнo [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] - Пo yмoлчaнию Знaчeниe пo yмoлчaнию нe пpиcвoeнo [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]: Cmaudio RunDll32 cmicnfg.cpl,CMICtrlWnd kis "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" CTHelper CTHELPER.EXE UpdReg C:\WINDOWS\UpdReg.EXE Jet Detection "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe" FinePrint Диcпeтчep v5 "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /runonce Пo yмoлчaнию Процессы: MsPMSPSv.exe SYSTEM 00 1 644 КБ UIWatcher.exe Cepж 00 4 388 КБ PS.EXE Cepж 00 4 984 КБ WDFMGR.EXE LOCAL SERVICE 00 1 796 КБ ChamClock.exe Cepж 00 10 260 КБ CTHELPER.EXE Cepж 00 5 060 КБ AVP.EXE Cepж 00 4 424 КБ SVCHOST.EXE SYSTEM 05 3 948 КБ AVP.EXE SYSTEM 00 2 176 КБ ATI2EVXX.EXE SYSTEM 00 1 980 КБ ALG.EXE LOCAL SERVICE 00 4 236 КБ SPOOLSV.EXE SYSTEM 00 8 184 КБ EXPLORER.EXE Cepж 00 21 172 КБ K-MANIA.EXE Cepж 00 4 048 КБ taskmgr.exe Cepж 00 3 332 КБ SVCHOST.EXE LOCAL SERVICE 00 3 824 КБ SVCHOST.EXE NETWORK SERVICE 00 1 872 КБ SVCHOST.EXE SYSTEM 00 18 200 КБ WinStylerThemeS... SYSTEM 00 4 072 КБ SVCHOST.EXE SYSTEM 00 2 896 КБ NOTEPAD.EXE Cepж 00 3 820 КБ LSASS.EXE SYSTEM 00 2 164 КБ SERVICES.EXE SYSTEM 00 3 468 КБ WINLOGON.EXE SYSTEM 00 1 052 КБ CSRSS.EXE SYSTEM 00 3 868 КБ SMSS.EXE SYSTEM 00 372 КБ System SYSTEM 02 252 КБ Бeздeйcтвиe cиc... SYSTEM 92 20 КБ Просканировал систему в безопасном режиме,восстановление системы выключено. Всё чисто. А сегодня обратно тех-же троянов словил. Вот отчёт KIS: Обнаружено ---------- Статус Объект ------ ------ удалено: троянская программа Backdoor.Win32.Small.eo Файл: C:\WINDOWS\system32\.exe/PE_Patch/MEW обнаружено: потенциально опасное ПО Trojan.generic Процесс: C:\WINDOWS\System32\recsl.exe обнаружено: потенциально опасное ПО Trojan.generic Процесс: C:\WINDOWS\System32\salvage.exe удалено: троянская программа Backdoor.Win32.SdBot.awk Файл: C:\WINDOWS\system32\recsl.exe удалено: троянская программа Backdoor.Win32.Rbot.bjp Файл: C:\WINDOWS\system32\salvage.exe Какой гад мне их постоянно грузит? |
Sergey60 попробуй поискать описание этих вирусов. например, на сайте того же Касперского. Как правило там описаны действия вирусов, так что можно понять что нужно сделать, чтобы избавиться от него. Может даже на этом сайте для него есть бесплатная утилита по удалению.
|
to sergey60
У меня также при подключении к интернет недавно была история с периодическим: Cooбщeниe oт SYSTEM для ALERT нa 26.11.2006 0:13:14 STOP! WINDOWS REQUIRES IMMEDIATE ATTENTION. Windows has found CRITICAL SYSTEM ERRORS. To fix the errors please do the following: 1. Download Registry Cleaner from: www.set32.com 2. Install Registry Cleaner 3. Run Registry Cleaner 4. Reboot your computer FAILURE TO ACT NOW MAY LEAD TO DATA LOSS AND CORRUPTION! У меня стоял Norton Antivirus который на это никак не реагировал,и ничего не обнаруживал. Я даже винду сносил,форматировал диск,а эта зараза опять при выходе в инет тут как тут. Вобщем один хороший человек посоветовал установить Outpost firewall 4.0 Эта прога сразу обнаружила и удалила вирус. Больше проблем не было.Но мне вот захотелось удалить этот Outpost. Удалил,перегрузился,вышел в инет и ....опять двадцать пять... Вобщем пришлось вернуть Outpost на место. Что же мне теперь по инету гулять можно только вместе с этой прогой ??? Просьба! Если кто решит эту проблему то напишите тут об этом. |
С этой или аналогичной. Это просто стоит malware. Попробуйте поискать anti-spyware каким-то. Например Ad Aware или что-то подобное!
|
Larsoniq16
Цитата:
Вообще, фаеры не удаляют вирусы. В Outpost firewall 4.0 втроен антиспай, возможно он удалил какой-то модуль, выдающий такое сообщение, но червя ему не взять. Но предовратить проникновение его на комп он вполне способен. VladimirB Тут антиспаем похоже не обойтись - по инфе из инета это черви, с такой заразой anti-spyware не справятся. Sergey60 Цитата:
|
to orion7
Ну хорошо а можно поподробнее о том как бы вы поступили на моем месте ? Я готов снести винду.отформатировать винчестер.Установить sp2+обновления. Вобщем все что угодно.Лишь бы избавиться от этой проблемы. Но занеимением знаний и опыта мне нужен подробный план действий. Тоесть что делать и в каком порядке. |
Outpost firewall я естественно оставлю но все таки:
У меня сейчас sp 1 что лучше, обновить sp 1 или поставить sp 2 ? Также я не могу выбрать между 3 антивирусами. Norton Kaspersky NOD32 Что посоветуете ? P.S Windows мне все равно сносить предется,так как я тут уже накосячил немного... Правда ли что перед форматированием диска нужно отключать модем ? Если да,то я не понимаю зачем ? |
Larsoniq16
План действий: 1) Устанавливаете систему с sp 2. При этом на диске желательно иметь 2 (как мимнимум) раздела: один под систему (у меня обычно 15-20 ГБ, хватает на установку всех приложений), а второй - под хранение данных. 2) устанавливаем весь софт, что Вам необходим. 3) NOD32 + настраиваете его по максимуму (пошаговое руководство -http://www.wilderssecurity.com/showthread.php?t=37509 ) в дополнение к NOD32 устанавливаете еще пару антишпионников: 4) Ad-aware 5) AVZ (когда-то очень давно, когда я использовал NOD32 с настройками по умолчанию, он пропустил в систему, которые я и выловил с помощью этих программ. Но вот уже больше года его использования с максимальной настройкой параметров проблем с ним не было ни разу). Наличие их все-равно не повредит. 6) Устанавливаете Outpost firewall Затем устанавливаете Acronis True Image и делаете с его помощью образ раздела, на котором установлена система (вероятнее всего, раздела С). И сохраняете этот образ на другом разделе (не системном), можно еще на DVD диски зписать. Это позволит Вам в случае очень больших проблем с системой (когда никакое восстановление и прочие действия не помогают) буквально за 15 минут (а не нескольких часов, которые необходимо потратить на переустановку системы и всех приложений)восстановить системный раздел из снятого образа, тем самым вернув его к первоначальному виду. Цитата:
|
Всем спасибо за ответы!!!
Последний вопрос : Купил Windows XP sp 2(пиратка естественно) Serial number прилагался. Установил.Почему то в процессе установки небыл запрошен серийный номер ?! После установки у меня в ПУСК\ВСЕ ПРОГРАММЫ\появилась "Активация Windows", при нажатие на которую ничего не происходит... Я не могу понять активирован мой windows или через 30 дней ему каюк ??? Объясните пожалуйста как мне это выяснить. |
Вирус закрывает окна с упоминанием "antivirus"
Предистория:
Имеется ноутбук НР 6100 с Windows 2000 SP4. С августа 2006 в сеть с него не выходили, до этого момента стояли все обновления и актуальный на тот момент антивирус Antivir 7 PE. В декабре после подключения к сети практически сразу "впоймал какую-то гадость", отключились обновления, антивир... и как следствие в течении короткого времени на машине был собран приличный "букет творчества" вирусописателей. После этого, собственно, компьютер и попал в мои руки. Действия: Чистка проводилась при помощи Ad-Aware и DrWEB. Удалено около сотни файлов "всякой всячины", но самая "неприятная" по видимому всё же осталась. Все доступные на сегодняшний день обновления винды установлены благополучно. Описание проблемы: Программа (вероятно вирус) закрывает любые окна с упоминанием "antivirus" ,будь то эксплорер, ИЕ, или Мозилла, в интернете можно путешествовать без проблем до момента, пока не появится упоминание о антивирусе. Это относится и к окнам установки... Перепробовал с десяток антивирусов, самым настырным оказался ПАНДА, при попытке установки несколько раз выскакивало сообщение о отмене, но при нажатии на "далее" установка всё-таки двигалась вперёд. В конце выскочило сообщение, что на компьютере установлена программа несовместимая с жизнью ПАНДы и установку пришлось прекратить. Вопрос: Как бороться (исключая переустановку системы) с данным явлением? ЗЫ: Всех с наступающим Новым Годом!!! |
HohOl78
Есть такие загрузочные диски как Hiren's BootCD или аварийный диск Касперского например. Дак вот грузиш с подобных дисков в досе антивирус и чистишь свой ноут. Если есть возможность, то ещё можно снять винт и подключить к заведомо здоровой и защищённой системе, и с неё проверить. |
Ну с ноутбука сильно винт не снимешь, а вот загрузки с дисков под WinPE это самый действенный способ. Если не ошибаюсь, то у Dr.Web есть досовский сканер, только работает ли он с NTFS не знаю. Преимущество аварийного диска касперского в том, что его можно создать уже с сегодняшними базами. Конечно LiveCD можно либо покорректировать добавив свежие базы либо сделать самому, но это сложнее и, если нет опыта, дольше.
Как вариант можно воспользоваться online-сканерами как на сайте касперского так и Dr.Web. |
Вот ещё один удачный досовский сканер McaFee Virus Scan
А снять винт не такая уж проблема, тем более учитывая, что вопрос задаёт, как я понял не пользователь ноута, а человек, который пришёл на помощь, а это предполагает, что помощник должен быть опытней пользователя |
Цитата:
Насчёт касперского ЛайфСД... Есть готовый бесплатный дистрибутив? Я чёт на сайте в довнлоде не встретил ничего. Онлайн сканеры не подходят однозначно. т.к. на сайты со словом "антивирус" не выбраться :) Ну это в принципе не проблема, сделаю диск с помощью PE Builder, знать бы наверняка что каспер именно эту заразу лечит, а то прийдётся потом следующий антивир ЛайфСД делать.... и следующий... Я гуглил по этому вопросу, практически никаких упоминаний о подобном вирусе нет (мож свежий ещё, или редкий какой). Правда есть программа похожего действия, которая закрывает окна с упоминанием "секс, пенис и т.п.". Создана для защиты от недобросовесных юзеров и как вирус не определяется. Мож её подмодернизировали на слова "антивирус и т.д." и запустили в сеть? В процессах, вроде, тоже ничего подозрительного. Хотя я не знаток в этом вопросе. Выложу список на "всякий пожарный", может кто узнает что? Цитата:
|
думаю, для начала можешь вычистить из памяти следующие процессы:
Цитата:
|
MadMaks
Снять винт не проблема, сложнее его подключить на обычную машину, если мне не изменяет память без переходника этого не сделать, а вот есть ли он - вопрос. HohOl78 Готовых нет, на сайте касперского можно загрузить дистрибутив программы, который без активации выполняет абсолютно все функции (включая создание LiveCD со сканером), но не поддерживает обновления. Хотя можно воспользоваться бета-версией, которая и обновляется и полноценно работает, подробнее в этой теме: Совместимость Kaspersky Antivirus с Windows Vista - эта версия работает не только с Windows Vista, но и с XP. |
В безопасном режиме та же беда... все что напоминает антивирус - закрывается.
Цитата:
У меня такой набор компов: 1. Больной НР 6100 с Виндовс 2000 2. Основная машина на Висте РЦ1 3. Сервер на Виндовс сервер 2000 4. ещё один ноут на виндовс 2000, но без РВ диска. В принципе есть гиговая флешка. На основную машину ставить бетку Касперского - страшновато (плохие воспоминания). Но на крайняк, конечно, рискну... Каспер станет на 2000 ? ? при условии создания ЛайфСД в виде образа ? ? что бы я его на флэшку... а потом прожгу на основной машине. Думаю, это лучший вариант. |
Цитата:
Предварительно не забудьте обновить сигнатуры, иначе смысла немного от такого диска. Цитата:
Для создания аварийного диска касперского вам понадобится установленный PE Builder не ниже 3.1.3 и дистрибутив Windows XP SP2 |
И ещё из сделанного:
Проверил систему относительно свежим (октябрьським) Avast! Bart CD 2 - тоже всё чисто показывает, хотя достаточно авторитетный сканер для меня. В автозапуске выключил всё... запустился в безопасном режиме и потом руками выключил все процессы оставшиеся, что выключались (не системные). Результата нет... установки антивирусов не запускаются... Цитата:
А бетка каспера для висты без PE Builder диск не прожгёт? Щя буду пробовать ставить касперского на Висту... с богом... мне нужен kav6.omp2 или kis6.omp2 ??? |
Впрочем, оба не пошли. Судя по всему по причине совместимости с моим билдом винды
|
Алелуйа!!!!
Итак... найдена "зараза"! Поиск: После очистки автозагрузки (руками) один из файлов постоянно обновлялся (прописывался снова). WinNT/System32/winser.exe Запрос в гуглях сразу дал результат Adware.IEPlugin Лечение: Подробную информацию (на англ.) и утилиту для удаления можно найти на сайте Symantec |
Судя по всему эта дрянь ищет слова в контексте окна или в запускаемом файле. Если в окне, надо подумать... А если в файле, то ставьте filеmonitor и подсуньте ей файлик с антивирусом, отследите кто после запуска полез в exe и по наглой рыжей морде :)
|
riissk: ты оччень внимателен... перечитай сообщение автора №12 ;).
|
Да ... новый год не прошёл зря :)
|
Вырубай из автозагрузки то, что написали:
ltmsg.exe,644,1.339.392,C:\WINNT\system32\ltmsg.exe,"20 (Normal) MSTask.exe,752,3.731.456,C:\WINNT\system32\MSTask.exe,"20 (Normal) winser.exe,1032,8.069.120,C:\WINNT\system32\winser.exe,"20 (Normal) GoogleToolbarNotifier.exe,1736,1.425.408,C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\Goog leToolbarNotifier.exe,"20 (Normal) MSTask.exe - точно вирь. Остальное указанное - либо сервисы самой Windows, например, служба управления WinMgmt, или доступ к реестру по сети regsvc.exe А вообще - вырубай из автозагрузки все, лечи, то, что осталось, как правило - нормальные софтины, вроде управления тачпадом, звуком и т.д. т.п. (никогда их не понимал)... З.Ы. Смотря на даты поста думаю, а не поздно ли :-) |
Цитата:
Цитата:
Цитата:
ltmsg.exe - процесс драйвера модема Lucent MSTask.exe - уже выше говорил GoogleToolbarNotifier.exe - процесс панели инструментов Google winser.exe - единственное угаданное, да и то автор темы уже сообщил, что это и был процесс вируса вот и слушай потом "советов"... |
Эт точно...Список страниц плохо заметен. В одном форуме тут, в другом там. Часто пропускаю. :search:
|
:) а я то думаю, что народ постит (просто у меня настроено отображение 20 постов на странице и, соответственно эта тема пока умещается на одной странице)
|
Новый вирус или разновидность Trojan.Goldun?
На прошлой неделе столнулись со следующей ситуацией. Благо не в своей сети.
На комне стоит прокся и настроен DNS. Вдруг начались бесконечные запросы DNS и побежал траффик. Посмотрели соседскую сеть, а у них "песня". Касперский полгода не работает, юзверы разводят руками, типа, ну да ключик кончился, бывает. Начинаю искать, что может гнать траффик. Мучаю, мучаю комп, который в той сети считается главным, посмотрела ветки реестра, Автозагрузки, прогнали AdAware, Norton (пришлось установить) - ничего. Поставили сниффер, показывает, что по 25 порту бежит траффик. На файрволе закрыли 25ый порт. Траффик остановился. Но ведь это не решение проблемы... На следующий день опять возвращаюсь к главному компу, сижу за ним час с открытым 25ым портом - тишина. Врубаю еще один комп из их сети и вот оно! Опять бесконечные запросы DNS и страшные перегрузки :) на 25ом порту. Заразная машинка оказалась также без антивиря. Установили Norton, обновили базы, прогнали AdAware. Нортон только со второй попытки нашел Trojan.Goldun. Удалил файлик msvcrl.dll и сказал, что комп здоров. Врубаю этот комп обратно в сеть и инет, поначалу тишина, а потооом... Весь экран усыпан проверкой писем, уходящих по 25ому порту (это Нортон работает). Смотрю сниффером и вижу: сначала идет запрос на 64.62.171.141:7711, дальше открывается 25ый порт и поперли письма во все концы света. Причем когда начинаются mail-бомбежки задействован Explorer.exe, т.е. родной виндусовый проводник. Проверяю его на подлинность - от Майкрософт. Дальше сниффер показывает, что после соединения с 64.62.171.141 на некоторое время задействуются процессы: wmiprvse.dll и netsh.exe. Если отрубить explorer.exe, то бомбежки прекращаются. В безопасном режиме меняю explorer.exe на такой же, но с соседнего компа. Не помогает... Может, кто-то уже победил сей троян и подскажет где искать? Кстати, применяли утилиты по удалению какой-то разновидности этого Goldun'а - не помогает. Заранее спасибо! |
Аналогичная ситуация обнаружилась некоторое время назад.
Процесс explorer.exe ломится на порт 17001 следующих IP (возможно выбираются случайно): 64.62.171.141 66.45.232.75 81.95.148.18 В данный момент с машины доступ на шлюзе по этим портам не открыт. Если открыть - начинается рассылка спама по самым разным адресам. То есть похоже с перечисленных хостов загружаются адреса для рассылки (или собственно письма). Если кому-то удалось победить - подскажите. Ad-aware, антивирус ничего не находят. Пробовал смотреть списки автозагрузки утилитой Hijackthis - абсолютно никаких "лишних" вещей. |
Уважаемый, Access Denied! Знаете? чем все закончилось с этим нечаянным злополучным спам-сервером? Переустанавливали винды. Но до этого были попытки поймать зверя за хвост в течение 8ми часов. Единственный антивирь, отреагировавший на червя был NOD32. Он сказал, что это Spambot, к сожалению, не помню точного названия :( На работе посмотрю и скажу, если остался листок с распечаткой как его побороть. Никакие рекомендации по этому зверю, найденные в инете, не помогли. Систему снесли и поставили заново. Да! NOD32 всего лишь блокировал попытки червя выйти на "папу". А самого червя так и не нашел и ничего не вылечил!
. Это точно какая-то новая бяка. Пока она распространяется не очень активно. Люди с зараженного компа говорят, что получили картики от знакомых (прикрепленные файлы) и среди них был этот спам-червь. . Как итог могу сказать следующее: обновляйте антивирусные базы!!! Ни в коем случае не закрывайте глаза на то, что каспер или любой другой ругается на лицензии! Кончился антивирь - купите новый или скачайте ;) Но обязательно ра-бо-та-ю-щий!!! Иначе - головная боль! Удачи! |
DRadmin
Спасибо! Переустановка - это конечно радикально :) Антивирь-то как раз есть, и работающий. Похоже и правда малораспространенная зараза... |
Была такая же ситуация в соседней конторе буквально вчера.
Это не вирус, а видимо какой-то внешний спам-бот, который юзал почтовый релэй и забивал весь канал, доступный для SMTP-трафика. решилась проблема путем настройки правил фаервола, который отсекал этого бота. PS: юзайте UNIX :) |
Запустил sfc /scannow Вроде бы помогло - попыток коннектится нет. Открыл машине доступ на файрволе. Вроде бы пока никакой рассылки. (Правда не перегружался еще :) ) |
Цитата:
UNIX это хорошо, согласна. Вот осваиваем потихоньку. Но ведь и его надо юзать по уму, а не просто поставить себе линух и радоваться жизни. Апдейты никто не отменял и правильные настройки служб/сервисов - тоже. . Цитата:
|
Цитата:
http://www.download3k.com/Install-Re...o-XT2a-SE.html |
DRadmin
Хорошо, что сканирование помогло, если помогло Вроде бы пока все ОК. После перезагрузок активности не замечено :) |
Про этот вирус от 28.01.07:
У Касперского он называется Trojan-Proxy.Win32.Dlena.bv создает файл rpcc.dll папке %system%\system32 и ветку реестра HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\rpcc, из которой запускается при старте системы и творит спам-рассылку. (ветку и файл можно вручную удалить в безопасном режиме) Его предшественниками являются Downloader(Symantec его обнаруживает давно, но толкового описания и лечения не придумал, потому что он до обнаружения иногда успевает гадость какую-нибудь сделать) и Trojan.Goldun. Symantec с его лечением на этот раз сильно опоздал. 29.01 я нашел его вручную, проверил в онлайне находку у Касперского и DRWeb(имя Spambot) и сообщил техслужбе Symantec, надеялся, что они включат его обнаружение в virus definitions от 31.01.07, но они тупо не включили, формально отписались. NAV его не сканировал. Только в обновлении Symantec от 07.02.07 появилось его обнаружение, но опять же без конкретных ссылок на ветки реестра. Очень печально. Возможно вирус российского происхождения, учитывая что Касперский и DRWeb его первыми выловили. |
Вирус (возможно syshost)
Всем привет...возникла такая проблема, все инсталяционные файлы на компьютере заражены, то есть ты на них нажимаешь и ноль реакции, также после скачивания новых, на следущий день или даже вечером они опять оказываются заражены, перед этим появлялась (уже 4 дня не появлялась, но после неё файлы заражались) ошибка syshost.exe и указывался путь к какому-либо файлу (вообще рандомно) после этого иконка этого файла пропадала и файл нельзя было запустить...юзаю KIS 6, он ничего не нашёл, жду помощи ибо что делать незнаю...
В процессах syshost нету... |
med0ffЭто червяк, известный под именем Net-Worm.Win32.Francette.a Причём очень старый.
При запуске червь регистрирует себя в ключе автозапуска: [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Microsoft IIS"="syshost.exe" Создайте на заведомо "чистом" компьютере восстановительный диск антивирусом Касперского. Что делать дальше, думаю рассказывать не надо. Удачи. |
simsim спасибо я уже разобрался, но не могу понять где я его цепляю, 2 раза уже удалял, он опять появляется, с чем это может быть связано?
|
Можно иначе.
- скачай Антивирус Касперского 5.0.676 и кумулятивное обновление к нему (бесплатен в триальный период в 2 недели) либо NOD32 со свежей базой; - Ad-Aware SE с обновлением; - зайди в Безопасный режим и установи Ad-Aware SE и "Каспера" (последний потребует перезагрузки - откажись); - обнови обоих (Ad-Aware SE можно обновить как из самой проги - указав путь к свежему файлу обновления - так и заменой REF-файла в папке программы); - последовательно запусти оба средства (работать будет намного медленнее, чем при нормальной загрузке, зато не будет лишних гадостей в памяти); - обязательно изучи содержимое автозагрузки (запусти msconfig): отключи ненужные или сомнительные строки и перегрузись в Нормальный режим. Если увечья, нанесенные винде террористами не будут несовместимыми с жизнью, то считай, что легко отделался. |
Поставь аудит на раздел реестра: [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run], и жди когда следующий раз зацепиш :)
|
А как аудит поставить? Кстати, уже файлы не заражаются, ничего не предпринимал...
|
Примерно так-же как и на файлы, идёте в regedit (regedt32 win2k) на этой ветке нажимаете security и во второй вкладке определяете какие действия и кого хотите логировать. Результаты видны в event viewer - security. Только проверьте что аудит доступа к объектам в политике активирован.
|
Помогите разобраться.
Как мне узнать что постоянно скачивается с интернета. Я как только соеденяюсь с провайдером сразу начинается скачивание чегото. Єти два мониторчика возле часов постоянно синие какбы идет передача и прием данных с интернета, а ратьше они становились синими только когда я открывал страницу или чтото качал. Как узнать что єто за инфоримация передается. |
|
2GSVG: Отследить, что скачивается и кем может любой более-менее приличный фаерволл: OutPost или ZoneAlarm
2Sergey60: В сообщении ничего страшного нет, и даже, не в троянах дело. Ведь зная IP-адрес, на любой компьютер можно отправить сообщение через net send. И это вовсе не является атакой - просто, как уже было сказано выше: пытаются впарить трояна (разновидность спама, какая-то!) Поэтому, можно отключить службу сообщений (как сделано по умолчанию в XP SP2 и все). Так подозреваю, где-то в укромном месте хранятся копии этих двух вирусов, из которых после перезагрузки идет восстановление. Нужно проверить на вирусы ВСЕ ДИСКИ, причем если есть неизвестные архивы с паролем - с ними тоже отдельно разбираться (а то, копии могут храниться в таких архивах, и антивирус ничего не скажет, т.к. не знает пароля). Вообще, рекомендуется проверять из-под заведомо чистой винды (например, у KIS есть возможность создать аварийный диск - лучше с него проверять) 2Larsoniq16: Серийник может быть вбит в файле автоустановки winnt.sif, а насчет активации - очень просто: передвигаете дату на месяц-другой вперед, и все станет ясно (так уже проверял) |
Цитата:
Жаль, что владелец не доверил мне лечить его комп, :) и ограничился только выполнением второго скрипта программой AVZ с этой страницы: http://virusinfo.info/showthread.php?p=99261 До того им был удалён только msnetax.dll, найденный покалеченным антивирусом, в Safe Mode, и то только с System32. После выполнения скрипта подобных попыток не было, хотя AVZ и антивирус периодически выдавали сообщения об обнаружении других собратьев msnetax.dll и других зловредов, упомянутых во втором скрипте. Таким образом, можно поискать файлы, перечисленные там в обоих скриптах; Если они в наличии, не активны и не в списке компонентов какого-либо системного процесса - можно удалить и самому (лучше в Safe Mode; копии тех, для которых указано "перевести в карантин", желательно сохранить в архиве под паролем). Если не удастся - провести скрипты с помошью AVZ. |
Вирус это или нет?
Вложений: 1
недавно зашёл к знакомому, который пожаловался мне на то, что Антивирус Касперского постоянно ругается на один файл (антивирус Касперского 5-ой версии с наипоследнейшими базами). Я проверил - действительно:
Цитата:
Цитата:
P.S. Не забывайте указывать название антивируса, его версию и дату антивирусных баз. |
Большинство кейгенов для того и создаются чтоб туда вирусы впихнуть, проще серийник поискать, да и здоровее будешь...
|
Я прекрасно знаю для чего создаются и нужны кейгены (и в большинстве случаев - далеко не для распространения вирусов), да и других способов распространения вирусов в настоящее время хватает, но вопрос стоял немножко по-другому.
|
xoxmodav
Дык объявления читать неприянто? Есть же специально в разделе висит: On-line проверка файлов на вирусы сразу несколькими антивирусами |
xoxmodav
Bit Defender 8 (sign. 28.04.2007 17:10:10): No viruses found. |
AVG Free не нашел ничего (версия 7,5,467 база 269,6,1/778 от 27,04,02007 13:39)
|
Symantec, AVZ, AVG Anti-Spyware (его аналог Ewido присутствует на ВирусТотал-е постоянно) не нашли ничего. Обновления - час назад.
__________________________________________________________________ Очень интересный вопрос. Недавно, например, заинтересовало: когда антивирус ругается на бэкдор в отношении легальной программы для уд. администрирования/наблюдения, а у меня нет полной уверенности в производителе - что он, антивир, имеет в виду - легальный бэкдор или скрытый от пользователя, какой там может иметься теоретически. Packed.Win32.CryptExe - в расчёт принимать конечно не стоит, никакой это не вирус. Цитата:
Остальные тоже говорят, что подозрителен, и один конкретизирует, из-за чего: DNAScan. Но DNAScan обычно выскакивает при наличии определённых упаковщиков и не свидетельствует, что имеем дело с вирусом. И один определяет: Virus.Win32.FileInfector.gen. Это имя встречается на (не самых выдающихся) форумах, в таком же обсуждении - подозрителен или нет. Но castlecops.com утверждает, что аналоги определяемого вируса имеются под другим именем: IRC/Flood.ev (McAfee) и/или Troj/Zapchas-AR (Sophos) Цитата:
Цитата:
По сценарию, "вирус ищет Win32 PE EXE файлы с расширениями .exe и .scr на логических дисках компьютера, а также в ресурсах локальной сети, и заражает их." И что, все заражены? Ещё на castlecops.com имя Virus.Win32.FileInfector.gen пересекается с: Цитата:
Таким образом, единственное точно указанное на ВирусТотал-е имя/определение приводит до недоразумения. Хотя DNAScan DNAScan-у рознь. Тот же CAT-QuickHeal месяц назад определил у меня файл как "(Suspicious) - DNAScan", а остальные на вирустотал-е говорили - подозрителен. Один признал в нём "диалера". Но эта программка и была трояном: она прописала себя в исключениях "стенки" и скрывалась довольно ухищрённо. Речь о программе Update.exe, аналог которого, как говорилось в Общем разделе, в начале апреля создал проблемы пользователям форума (то же имя, скрывался тоже на десктопе). __________________________________________________________________ Описание на ВирусЛист-е - серьёзно. Но я не додумываюсь, какое отношение имеет "аналог", приведённый там под разными именами, к Packed.Win32.CryptExe. Цитата:
Вообще-то, когда какой-то известный борец с заразой указывает точно на что-то, я такой файл не сохраняю и убираю. Хотя если нужно, можно и запустить его, узнать интересующееся, а потом удалить. Это - если точно знаем, что он конкретно вытворяет. В данном случае - у "аналогов" Packed.Win32.CryptExe замечено: 1) стремление открывать доступ врагу, затаившемуся за дверями. В одном случае поведение типичного бекдора и имя создаваемого файла известно - Цитата:
Цитата:
Цитата:
И вообще... А) Устранение спецсредств. Это-то к чему зловреду, собирающемуся действовать скрытно вроде троянского коня? Б) как совпадают аналоги, среди которых один - почтовый червяк, в общем-то, второй - троян-бекдор, другой - вообще неизвестно, что. В) Опять этот Packed.Win32.CryptExe тут. Очевидно, в ЛК решили крепко держаться мнения, что неизвестный им упаковщик аналогичен определённому набору зловредов. Это можно было бы понять, но как быть с пп. 1-3 и Б) Знаете, я ознакомился бы, конечно, с инструкцией от Симантека, но потом запустил бы этот кейген. Запустил - посмотрел - удалил. |
Описания хорошие нарыл.
Только чего-то я это недоперепонял: Цитата:
|
Чтобы самому выяснить - когда речь о предупреждении общего порядка - конечно, надо (если есть желание или необходимость разобраться) понаблюдать самому.
Аналоги. ЛК говорит, что у этого вируса нет установленного вконец поведения, потому что много разных модификаций известных зараз, - и поэому посмотрите на аналоги этого общеопределяемого вируса. Но эти аналоги сами не совпадают друг с другом, один из них - из категории такого же общего подозрения. Как они могут помочь с Packed.Win32.CryptExe, - что только и говорит, что файл не был открыт и проверен? А фраза "возможно заражен вирусом Packed.Win32.CryptExe" вообще нонсенс. Это типа "возможно заражён возможным вирусом". В принципе, со стороны антивирусной компании это нормальный шаг. И логичный: не проверял - там всё может быть. В любом неизвестном формате может быть сокрыто что-то нежелательное. Логика - а почему они скрывают? Но в оригинальных "спецфайлах" от известных "плохих парней" как правило, нет заразы (но могут быть! - сам же подчеркнул три допущения; тем более, если такой файл получен через недоверенные или неизвестные руки. Я что собираю иногда, только через форумы, где "нет прямых ссылок", а не с сайтов, где тысячи креков лежат.). Но, если есть целая категория файлов, шифруемых именно для того, чтобы их не увидели антивирусы - и в первую очередь из-за того, что известные антивирусы заодно борятся и со взломом лицензионных программ - тогда получаем картину, что подобное ЛК предупреждение (а это и есть предупреждение, а не тревога) автоматически подводит большинство этого (антилицензионного) сегмент под подозрительное-нежелательное-запрещённое. Просто это потенциальное подозрение иногда только констатирует факт, а иногда, возможно, является сознательно заложенным "алгоритмом", вследствие "смекалки" и исходных данных - что неизвестным упаковщиком всё равно в основном действуют взломщики ПО. В итоге - и большое число ложных срабатываний, но и логичное уведомление, что ты предупреждён, а теперь делай что хочешь. :) |
!ВИРУС
Цитата:
причем касперски с последними базами ничего не обнаружил. вот сижу и не знаю что делать. это же вирус - однозначно. |
tiap-liap
отошлите зараженный файл в лабораторию Касперского - к вечеру, глядишь, внесут в базы |
Borodunter
я не знаю который заражен все доки и ртфы в норме нормально работают только вместо нужного текста там вот та фигня :( |
Цитата:
|
CyberDaemon
ну да:) |
зараза должна или в процессах висеть, или в реестре прописаться в ключи автозапуска.
можно там поискать следы. либо какой-то VBA-скрипт, может внедренный в WORD. если переставить офис - что будет? |
Borodunter
зараза однозначно в dllах виндоуса это я сегодня понял вчера меня винда просила сохранить изменения в нескольких dllах или переустановить их, ни с чего, просто так. варианты ответа были : да, нет, отмена я отменил такую фигню. а сегодня вот что/ готов убить себя ап стену за то что не записал какие были дллы:( Borodunter я уже винт поставил размечать. сначала хотел офис переставить, у меня постоянно ошибки критические вылетали. решил вообще отформатировать, все заново поставить. кстати экселевские файлы в норме. |
э, зачем сразу размечать :)
есть же встроенная утилита проверки целостности системных файлов WIndows - sfc.exe можно было попробовать ей выявить проблемные dll-файлы, чтобы хотя бы узнать, где собака зарыта была а теперь получается, что вирус поимел-таки вас :) |
Цитата:
в процессах ничего подозрительного не видел. msconfigом смотрел, 3 какие то фигни загружаются, без имени, без производителя. я их отключал, перезагружался, они все равно включены оставались. вот я и решил размечать. :( |
Цитата:
|
sfc /scannow
|
Это не обязательно был вирус, это мог быть разовый влом через какую-нить уязвимость с использованием вредоносных действий.
|
от вируса что-то осталось а самого его нет
подцепил вирус который постоянно что-то качает и отсылает.я в локальной сети и за 1 час где-то 3-4 гб скачивает,непонятно чего.
что касается интернета,то он что-то отсылает. антивирус "аваст" нашёл и удалил его вроде назывался winfak но что-то всёравно скачивается. в диспетчере задач у меня много процессов svсhost отключив один вся эта "бяка" проходит только не всегда удаётся ткнуть в нужный.у меня их 6 что делать??? :help: |
Постав Outpost Security Suite Pro 2007 (1214.616) и всё будет нормально.
держи ссылку http://www.agnitum.com/download/Outp...ProInstall.exe |
Вложений: 1
за сылку конечно спасибо но 35 мб это много :(
и как там у него с лицензией? не отключится ли он через 30 дней? у меня както был "агнитум" это вроде не антивирус а фаервол.и если вирус уже внутри... Цитата:
смотрите прикреплённый файл,там сообщение от обновленного "по самое нихочу" антивируса аваст может он вообще тут нипричём? а всё это делает другой вирус? к стати сообщение от антивируса появилось сразу как я создал этот пост и нажал кнопку отправить.может совпало а может и нет ) |
Скачайте CureIt (сканер DrWeb), размер ~6.5M. Перезагружайтесь в безопасный режим, и проверяйте.
|
Alyaa: комнда msconfig, закладка Автозагрузка - удалить все, происхождение чего неизвестно. Ну или список - сюда.
|
Вложений: 1
ShaddyR см прикреплённый файл там скрин из автозагрузки.
там есть 2 пустые галки они,как и почти всё,ссылаются на HKLM\Microsoft\windows\CurrentVersion\run то что там ниже,всё отключено P.S. windоws xp prof.sp2 стоит тема от висты |
Если вир был из категории руткитов, то анализ автозагрузки не поможет. Надо либо проверятся специальными прогами (AVZ и др.), но лучше сделать проверку загрузившитсь с загрузочного CD, либо подцепив винт к другой машине
|
выручайте :( :help:
у нас в локальной есть форум.стоит у меня на компьютере(я сервер и админ) но там появился ужасный глюк при попытке отпрваить ответ перед самим ответом прикрепляется вот такое (см ниже) сегодня 9мая,более полувека назад наши деды отдали свою кровь за победу над фашистами, так помянём их с честью,покажем место зарвавшейся эстонии,всё правительство надо сжечь как сжигали евреев эссесовцы,ддос атака и дефейс многих эстонских сайтов организовывает Cyber Antiesstonian Community,мы те кто управляет сетью,мы короли сети..мы нигде и везде,мы не те ботаны очкарики,скорее те отмывает буржуское бабло и ездит на бехах 7 серии%)) вообще видно то что это галимая провакация затеянная usa и ихнем нато Мы идём в первых рядах против обманчивых принципов ложной демократии навязанной америкой,которая стремитьса засунуть свою руку в дела каждой страны, солдаты которой ведут захватнические войны, по всему миру, и воюют они не за демократию как об этом трезвонят американская пропагандисткая машина, а за выгоды совершенно материальные. Эта двойная морали американцев показывает истинное лицо америки,которая одну руку тянет для рукопожатие, а другой отрубает твою руку, которую ты протянул. Многие здесь заслужили награды и ордена,но нам они не нужны, нам гораздо приятние созновать что мы складываем кирпичики в здание склепа в котором будет покоитьса америка. |
Alyaa
Посмотрите что в автозагрузке. Отключайте по очереди. Найдете что это. Вариант 2 Сделайте аварийный диск в КАВ или КИС, загрузитесь с него и проверьте систему. Greyman Проще всего - сделать загрузочный диск (так называемый диск спасения) и провериться из-под него |
VladimirB
мою автозагрузку см в шестом посте. может и на самом деле аваст не такой уж и хороший ? может и на самом деле скачать др вэб? зы этот вирь как то относится ко дню победы,видимо он появился 9 мая 2007г и мало кто о нём знает кроме меня :( |
Alya, Avast нормальный. Просто вашу проблему нужно лечить комплексно. Это может быть троян, руткит (о котором упоминалось выше), spyware. бэкдор, или ещё что угодно. Даже платные антивирусы их лпохо находят, чтож вы хотите от бесплатного. Пробуйте лечить при помощи AVZ, Spybot, Active Virus Shield и тем, что предложил DedAlex. Все программы беслатные. Проверяйтесь из безопасного режима; из обычного ИМХО бесполезно.
После того, как избавитесь от заразы настоятельно рекомендую поставить приличный файрвол, так как районная сеть - зона достаточно опасная.. Уже предложенный выше Outpost - платный. Из бесплатных пробуйте Comodo Firewall. |
Alyaa Проблема в том, что msconfig видит не все что живет у вас в автозагрузке. Посмотрите статью об автозагрузке на сайте www.oszone.net Там показано что и где искать в реестре. Попробуйте понять что у вас там живет. В конце-концов даже в msconfig отключайте по одному и посмотрите когда пропадет эта гадость
|
ладно ,тогда до завтра.а пока попробую всё-таки скачать платные антиврусы. завтра отпишусь
имел опыт с "левым" антивирусом касперского 6.0 http://forum.oszone.net/thread-73288.html купленный за 900р .так-что теперь не очень то верю платным :( это вирус как-то отноосится к фрумам ! причём ко всем Цитата:
и ещё вотто странное сообщение про войну,появляется только если написать довольно длинное сообщение ф форуме. вот пример (аааааа- это моё сообщение) -------------------------------------------------------------------------------- Код:
сегодня 9мая,более полувека назад наши деды отдали свою кровь за победу над фашистами, осторожно с этой ссылкой !!! |
думаю что продолжать нужо тут. http://forum.oszone.net/newthread.php?do=newthread&f=31
антивирус доктор вэбу далил лишнего :( |
Alyaa
Цитата:
|
Greyman прошу прощения не то вставил :) http://forum.oszone.net/thread-84307.html
вобщем доктор вэб удалил что-то лишнего :( но избавил от вируса. теперь надо както вернуть то ,что-бы виндовс видела локальную сеть.а это уже другая темя :) |
Побороть вирус на сервере
В организации упал сервер на Windows server 2003. Все файлы с расширением exe стали занимать по 0 байт. Антивирусная программа находит вирус ctfmon.exe который потом удаляется. но после последующей проверки опять находит, и так по кругу. Даже базы 1С не запускаються на локальных машинах.
Помогите пожайлуста, работа стоит... |
Какой антивирус используется и как происходит проверка? Надо проверить винт на другой машине, заведомо чистой, либо загрузившись с загрузочного диска и запуская антивирус опять же тока с внешнего носителя. Как вариант - попробовать посмотреть систему антируткитами (уже несколько раз обсуждалось на форуме), а уже после этого проверять антивирусом (однако данный способ все равно значительно менее надежен первого).
|
Возможности отсоединить винт нету...сервак Dell. Не разберешь... Проверка проводиться антивирусом dr.web...
|
Tosha_l
Если нет возможности выкрутить HDD, но очень хочется подлезть с другой системы, то можно поступить хитрей. Подключаете другой HDD, с другой операционкой и антивирусом к этому железу, а "заразный" винт подключаете дополнительным, и всё получится :) это в случаи, если есть доступ к свободным шлейфам, если нет, я умудрялся подключать HDD не выкручивая из одного корпуса к другой сборке, но для этого нужно пространство, и недюжинная смекалка ;) Конечно, если сам корпус не опломбирован |
это вирус?
вот что мы (с нортоном) имеем на сегодняшний день:
JS/TrojanDownloader.Agent.NAH троян изолирован - удален Win32/Adware.P2PNet приложение изолирован - удален вчера при запуске заметила, что логотип виндовский как-то сдвинулся. примерно в то же время пропал файл. а сегодня,когда запустила комп, рабочий стол отобразился не полностью( как будто сдвинут вбок и вверх, остальная область - просто черная). пришлось перегружаться раз 15, прежде чем все неудобства свелись к незаполненной области эрана в виде черной полосы сбоку. + неожиданно выключился комп(когда была в инете). вопрос в следующем: проблема с экраном и отключением - это троян? спасибо. |
Скачай вот это http://tomcoyote.org/hjt/hjt199//hijackthis.zip , сделай сканирование и выложи результат здесь.
Будем разбираться. А рабочий стол после всего починим. |
Logfile of HijackThis v1.99.1
Platform: Windows XP SP2 MSIE: Internet Explorer v6.00 SP2 Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Eset\nod32krn.exe C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\Program Files\Analog Devices\SoundMAX\SMTray.exe C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exe C:\Program Files\Eset\nod32kui.exe C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Messenger\msmsgs.exe c:\progra~1\intern~1\iexplore.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Opera\Opera.exe C:\Program Files\eMule\emule.exe C:\Program Files\Hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки R3 - URLSearchHook: Multi_Media toolbar - {b5146c40-189a-4311-bda9-fbae3e023187} - C:\Program Files\Multi_Media\tbMult.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll O2 - BHO: Multi_Media toolbar - {b5146c40-189a-4311-bda9-fbae3e023187} - C:\Program Files\Multi_Media\tbMult.dll O2 - BHO: WebManager Class - {D5792AA9-D373-4039-8670-2CDAB6A71F15} - C:\Program Files\BitDownload\TorrentManager.dll O3 - Toolbar: Multi_Media toolbar - {b5146c40-189a-4311-bda9-fbae3e023187} - C:\Program Files\Multi_Media\tbMult.dll O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe O4 - HKLM\..\Run: [DrvLsnr] C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exe O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE O4 - HKLM\..\Run: [MAgent] C:\Program Files\Mail.Ru\Agent\MAgent.exe -LM O4 - HKLM\..\Run: [moresendeqsettings] C:\Documents and Settings\All Users\Application Data\Real mapi more send\Roam Dale.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [KindSign] C:\DOCUME~1\POLZOV~1\APPLIC~1\EACHID~1\Road inside.exe O4 - HKCU\..\Run: [MAgent] C:\Documents and Settings\Polzovatel\Application Data\Mail.Ru\Agent\MAgent.exe -CU O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\magent.exe O9 - Extra 'Tools' menuitem: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\magent.exe O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra button: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Documents and Settings\Polzovatel\Application Data\Mail.Ru\Agent\magent.exe (HKCU) O9 - Extra 'Tools' menuitem: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Documents and Settings\Polzovatel\Application Data\Mail.Ru\Agent\magent.exe (HKCU) O17 - HKLM\System\CCS\Services\Tcpip\..\{3AC056E8-FEC6-4A3C-A33F-1563DB52A163}: NameServer = 192.168.16.3 192.168.16.5 O17 - HKLM\System\CCS\Services\Tcpip\..\{B739A5F3-F74E-4F89-BF4E-A11D9A359A44}: NameServer = 192.168.24.2,85.249.166.6,85.249.160.5 O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe извините,если это несколько больше,чем нужно:). не смогла определить,что здесь лишнее. |
truly
Я бы в первую очередь убрал с автозагрузки, чтобы не мешались: C:\Documents and Settings\All Users\Application Data\Real mapi more send\Roam Dale.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe C:\Program Files\Messenger\msmsgs.exe" /background C:\DOCUME~1\POLZOV~1\APPLIC~1\EACHID~1\Road inside.exe Хотя, первое и последнее - не знаю, что такое. Какая-то программа, которая на работу винды не влияет (по крайней мере, в лучшую сторону). Цитата:
NetMeeting, если им никто не пользуется, лучше отключить. Цитата:
А для нормальной работы с интернет желательно файерволл установить. Сразу будет видна сетевая активность, которую можно под себя подкорректировать. |
Насчет рабочего стола
Скачай AVZ. Запусти, Файл--восстановление системы Отметь галочкой 1.Восстановление настроек рабочего стола 2.Удаление всех Policies (ограничений) текущего пользователя И нажми "выполнить отмеченные операции". И перегружайся. |
igorgn
Цитата:
igorgn Цитата:
Severny Не помогло.:( я эту операцию уже проделывала с помощью XP - с тем же результатом. интересно, а на что повлияло "удаление всех ограничений текущего пользователя"?(кроме того, что обои пришлось восстанавливать?) хотя вопрос, конечно,несколько запоздал...:)) |
господа! помогите, пожалуйста...
|
truly
В автозагрузку влезть и всё испортить (шутка. Читать - отредактировать) можно так: 1. Меню "Пуск" => выполнить => пишем без кавычек "regedit", или можно по другому, чтобы было всегда под рукой - правой клавишей по рабочему столу => создать ярлык. В строке пишем без кавычек "regedit.exe". Жмём далее... ярлык готов. 2. Запускаем этот самый "regedit". Идём по пути в левой части редактора (снова без кавычек): "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run". Эта самая "Run" есть ничто иное, как автозагрузка. 3. Дальше удаляем лишнее: в левом окошке жмём на "Run", в правом окошке появится его содержимое. Удаляем всё, что было перечисленно. Можно поудалять все строчки, которые я написал. От них вреда, как и пользы, никакой. Теперь можно поработать с такими настройками. Чтобы всё "произошло" после редактирования перезагружаемся. В процессе, если глюки будут продолжаться, можно попробовать отключить NOD32. Если виновником окажется он - удалить и поставить другой. Теперь о мониторе. Нужно утановить его родной драйвер, чтобы видеокарта корректнее видеорежимы определяла. В драйвере можно зафиксировать частоту, какая больше нравится (можно судить по размытию шрифтов. Максимальная частота для ЖК не всегда приемлима). Когда всё установится правильно, нажмём кнопку автоподстройки монитора, чтобы он запомнил расположение картинки. Если после перезагрузки картинка уйдёт в сторону, снова делаем автоподстройку. И делаем вывод - так эта функция в мониторе работает. Судьба... А файерволл ставим и настраиваем. Все левые поползновения в сеть-из сети будут фиксироваться. Желаю удачи. |
truly всё что сказали можно удалить через сам HijackThis. Достаточно поставить птички слева от удаляемого и нажать "Fix Checked"
Вот где собака порылась. Должна быть одна строка с полным указанием пути. c:\progra~1\intern~1\iexplore.exe C:\Program Files\Internet Explorer\iexplore.exe Пробуй глядеть лог без запущенного IE. |
truly
Цитата:
Скачай и выполни, что выше написано. А после делай так: Пуск > Выполнить-- reg delete "HKCU\control panel\desktop" /v WallpaperOriginY /f Нажимай клавишу ENTER Снова Пуск > Выполнить -- reg delete "HKCU\control panel\desktop" /v WallpaperOriginX /f И ENTER Перезагружаемся. После скачай это http://www.atribune.org/content/view/24/2/ и отсканируй. А потом вот это ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe и тоже отсканируй все диски. Обе утилиты инсталляции и денег не требуют. |
итак.
igorgn не нортон у меня, действительно, а НОД. я думала, это одно и то же...:) в автозагрузку я влезла. и испортила.:) не все, правда. из рекомендованного удалось найти только java. остальное нашла и испортила через HijackThis. а про монитор - я подумала, может, дело не в драйвере (хотя он (компьютер) куплен б/у-шный, и что там стоит, кто его знает...), а в вирусах? я хочу сказать - неужели это все-таки железо, а не моя неуемная тяга к бесплатной музыке и фильмам?..:) или, мне еще сказали ( в том магазине, где покупался комп), что, возможно, экран мой перекосило от того количества программ, которые я успела скачать (типа явы и акробата... осла и т.д.) . просто первую неделю, что я успела провести с компьютером, все было нормально. потом обнаружились вирусы и троян. и вот после этого появилась проблема с экраном. yurfed Цитата:
Severny с XP я делала "восстановление системы". AVZ скачала. и сделала восст. тоже. и оба раза - без результата. (а обои я просто восстановила вручную:)). Док говорит, что вирусов нет.Vundo еще сканирует, завис на searching for files...divx.dll да! вот вчера я заметила интересную вещь: если запустить винамп в полноэкранный режим - никакой черной полосы нет!.. во всех остальных случаях есть... |
Какой-то разговор слепого с глухим получается.
Восстановление с AVZ вообще ничего общего с System Restore (восстановлением системы Windows) не имеет. Вы пробовали выполнить в командной строке выше приведенные команды? З.Ы. Вы точно уверены, что во время снятия логов Hijack не был запущен IE? Дело в том, что, судя по логам, он у Вас запущен. |
нет, это разговор чайника со специалистом, вот и все:).
AVZ делала! снимала "все ограничения"! а лог чего выложить? опять HijackThis? весь? или только running processes? а как у меня может быть запущен IE, если я его Не запускала? |
yurfed
Цитата:
Второе окно IE или что-то типа Maxthon или MyIE. truly Цитата:
|
Running processes:
C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Eset\nod32krn.exe C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\Program Files\Analog Devices\SoundMAX\SMTray.exe C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exe C:\Program Files\Eset\nod32kui.exe C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Internet Explorer\iexplore.exe c:\progra~1\intern~1\iexplore.exe C:\Program Files\eMule\emule.exe C:\Program Files\Opera\Opera.exe C:\WINDOWS\system32\WISPTIS.EXE C:\Program Files\Hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки R3 - URLSearchHook: Multi_Media toolbar - {b5146c40-189a-4311-bda9-fbae3e023187} - C:\Program Files\Multi_Media\tbMult.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll O2 - BHO: Multi_Media toolbar - {b5146c40-189a-4311-bda9-fbae3e023187} - C:\Program Files\Multi_Media\tbMult.dll O2 - BHO: WebManager Class - {D5792AA9-D373-4039-8670-2CDAB6A71F15} - C:\Program Files\BitDownload\TorrentManager.dll O3 - Toolbar: Multi_Media toolbar - {b5146c40-189a-4311-bda9-fbae3e023187} - C:\Program Files\Multi_Media\tbMult.dll O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe O4 - HKLM\..\Run: [DrvLsnr] C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exe O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE O4 - HKLM\..\Run: [MAgent] C:\Program Files\Mail.Ru\Agent\MAgent.exe -LM O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MAgent] C:\Documents and Settings\Polzovatel\Application Data\Mail.Ru\Agent\MAgent.exe -CU O4 - HKCU\..\Run: [KindSign] C:\DOCUME~1\POLZOV~1\APPLIC~1\EACHID~1\Road inside.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\magent.exe O9 - Extra 'Tools' menuitem: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\magent.exe O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra button: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Documents and Settings\Polzovatel\Application Data\Mail.Ru\Agent\magent.exe (HKCU) O9 - Extra 'Tools' menuitem: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Documents and Settings\Polzovatel\Application Data\Mail.Ru\Agent\magent.exe (HKCU) O17 - HKLM\System\CCS\Services\Tcpip\..\{3AC056E8-FEC6-4A3C-A33F-1563DB52A163}: NameServer = 192.168.64.7 192.168.48.6 O17 - HKLM\System\CCS\Services\Tcpip\..\{B739A5F3-F74E-4F89-BF4E-A11D9A359A44}: NameServer = 192.168.24.2,85.249.166.6,85.249.160.5 O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll -это и есть IE, который я Не запускала?:) нет! я поняла, это восстанавливает Обои, а не экран. сейчас попробую.. |
C:\Program Files\Internet Explorer\iexplore.exe
c:\progra~1\intern~1\iexplore.exe Вот он. |
rкто ОН? и что с Ним делать?
только что выполнила 2 команды (см. выше) . ничего. поняла, КТО:). и что теперь? |
Он -- Интернет Эксплорер !!!!
После выполнения команд перегрузилась? |
да, перегрузилась.
видимо, все-таки - железо? но почему тогда заставка( красивая такая, крутящаяся) в полноэкранном режиме отображается нормально? я плеер имею в виду. |
Если ты не пользуешься IE, а юзаешь Оперу, то будешь ли ты согласна вырубить все BHO (дополнения IE)?
Заразу твою трудно выцепить. Если ты ничего этого не пользуешь, то фикси в Hijack. R3 - URLSearchHook: Multi_Media toolbar - {b5146c40-189a-4311-bda9-fbae3e023187} - C:\Program Files\Multi_Media\tbMult.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll O2 - BHO: Multi_Media toolbar - {b5146c40-189a-4311-bda9-fbae3e023187} - C:\Program Files\Multi_Media\tbMult.dll O2 - BHO: WebManager Class - {D5792AA9-D373-4039-8670-2CDAB6A71F15} - C:\Program Files\BitDownload\TorrentManager.dll O3 - Toolbar: Multi_Media toolbar - {b5146c40-189a-4311-bda9-fbae3e023187} - C:\Program Files\Multi_Media\tbMult.dll O4 - HKCU\..\Run: [KindSign] C:\DOCUME~1\POLZOV~1\APPLIC~1\EACHID~1\Road inside.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\magent.exe O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe |
igorgn
Цитата:
|
truly Анализируем
R0, R1, R2, R3 - Изменения в реестре, касающиеся начальной и поисковых страниц Internet Explorer N1, N2, N3, N4 - Изменения в реестре, касающиеся начальной и поисковых страниц Netscape/Mozilla F0, F1, F2, F3 - Автозагрузка программ и приложений из ini-файлов O1 - Изменения в файле Hosts O2 - (BHO) Browser Helper Objects O3 - Internet Explorer Тoolbars O4 - Автозагрузка программ из реестра или Startup O5 - Опции Internet Explorer невидимые на Панели Управления O6 - Опции Internet Explorer, ограниченные Администратором (Policies) O7 - Доступ к Regedit, ограниченный Администратором (Policies) O8 - Дополнительные пункты Internet Explorer в "right-click" меню O9 - Дополнительные кнопки на главной панели инструментов IE O10 - Winsock O11 - Дополнительные опции в расширенном меню загрузки IE O12 - Плагины Internet Explorer O13 - IE Default Prefixes O14 - Изменения в файле IERESET.INF O15 - Сайты, добавленные в Trusted Zone O16 - Файлы, загруженные с помощью ActiveX O17 - Домен (Domain) O18 - Перечисление существующих протоколов и фильтров O19 - Style Sheet пользователя O20 - AppInit_DLLs O21 - (SSODL) Shell Service Object Delay Load O22 - Shared Task Scheduler (Планировщик задач) O23 - Сервисы Windows NT truly Цитата:
Вроде уже неоднократно было сказано проверить под AVZ. Но прежде выполни в меню "Файл" - "Стандартные скрипты". Ставь птичку на номере 1 из списка. Запусти. Потом включаем в меню AVZ Guard, в "Параметры поиска" ставим все возможные галки в разделе Anti-RootKit. В разделе "Эврестический анализ" задираем движок вверх и птичку на "Расширеный анализ". Проверяемся. Кстати лог и от AVZ интересно посмотреть. (Файл - Сохранить протокол). Лучше прикрепить к посту архивом. Обратите внимание, как пишет Maxton про себя в логе. Ни каких "двойных стандартов" и записей с прописных букв, при этом не делается. Logfile of HijackThis v1.99.1 Scan saved at 0:34:48, on 05.06.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16414) Running processes: E:\WINDOWS\System32\smss.exe E:\WINDOWS\system32\winlogon.exe E:\WINDOWS\system32\services.exe E:\WINDOWS\system32\lsass.exe E:\WINDOWS\system32\svchost.exe E:\WINDOWS\System32\svchost.exe E:\WINDOWS\Explorer.EXE E:\windows\hffext\hffsrv.exe E:\WINDOWS\system32\nvsvc32.exe E:\Program Files\Agnitum\Outpost Firewall\outpost.exe E:\PROGRA~1\DrWeb\spidernt.exe E:\Program Files\D-Link\DSL-200\dslstat.exe E:\PROGRA~1\DrWeb\SpiderNT.exe E:\Program Files\D-Link\DSL-200\dslagent.exe E:\WINDOWS\system32\ctfmon.exe E:\Program Files\Opera AC\opera.exe F:\1\Internet\Browser\Maxton\Maxthon.1.60.RuBoardEdition.FULL\Maxthon.exe E:\Program Files\Internet Explorer\iexplore.exe F:\1\AntiVir\hijackthis\HijackThis.exe |
yurfed
Цитата:
|
Вложений: 1
да, видимо, что-то я не то проверяла: :)
|
какая-то ерунда с этой AVZ... сначала никак не хотела закрываться, а теперь вот не могу открыть этот самый лог :"отказано в доступе..."
да! я думала, мне показалось - ярлыки на Рабочем столе перемещаются. это какая-то оптимизация винд. или... то, что в логе AVZ красным выделено:)? |
не понимаю... теперь еще и саму avz не открыть. то же самое - "нет прав доступа".
ни один файл теперь не открывается!вообще. включая Диспетчер задач. |
у меня не получается открыть этот архив. поэтому, на всякий случай, - вот так еще:
Протокол антивирусной утилиты AVZ версии 4.25 Сканирование запущено в 05.06.2007 9:00:06 Загружена база: 110782 сигнатуры, 2 нейропрофиля, 55 микропрограмм лечения, база от 04.06.2007 18:31 Загружены микропрограммы эвристики: 370 Загружены цифровые подписи системных файлов: 60126 Режим эвристического анализатора: Максимальный уровень эвристики Режим лечения: выключено Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора 1. Поиск RootKit и программ, перехватывающих функции API 1.1 Поиск перехватчиков API, работающих в UserMode Анализ kernel32.dll, таблица экспорта найдена в секции .text Анализ ntdll.dll, таблица экспорта найдена в секции .text Анализ user32.dll, таблица экспорта найдена в секции .text Анализ advapi32.dll, таблица экспорта найдена в секции .text Анализ ws2_32.dll, таблица экспорта найдена в секции .text Анализ wininet.dll, таблица экспорта найдена в секции .text Анализ rasapi32.dll, таблица экспорта найдена в секции .text Анализ urlmon.dll, таблица экспорта найдена в секции .text Анализ netapi32.dll, таблица экспорта найдена в секции .text 1.4 Поиск маскировки процессов и драйверов Проверка не производится, так как не установлен драйвер мониторинга AVZPM 2. Проверка памяти Количество найденных процессов: 27 Анализатор - изучается процесс 1472 C:\WINDOWS\system32\spoolsv.exe [ES]:Может работать с сетью [ES]:Приложение не имеет видимых окон [ES]:Размещается в системной папке [ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ? Процесс c:\windows\system32\spoolsv.exe может работать с сетью (netapi32.dll) Процесс c:\program files\emule\emule.exe может работать с сетью (urlmon.dll,wininet.dll,netapi32.dll) Процесс c:\program files\download master\dmaster.exe может работать с сетью (wininet.dll,netapi32.dll,urlmon.dll) Анализатор - изучается процесс 1736 C:\Program Files\Opera\Opera.exe [ES]:Может работать с сетью [ES]:Прослушивает порты, применяемые протоколом HTTP ! [ES]:EXE упаковщик ? [ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ? Процесс c:\program files\opera\opera.exe может работать с сетью (wininet.dll,netapi32.dll) Количество загруженных модулей: 306 Проверка памяти завершена 3. Сканирование дисков 4. Проверка Winsock Layered Service Provider (SPI/LSP) Настройки LSP проверены. Ошибок не обнаружено 5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL) C:\WINDOWS\system32\RICHED20.dll --> Подозрение на Keylogger или троянскую DLL C:\WINDOWS\system32\RICHED20.dll>>> Поведенческий анализ: Типичное для кейлоггеров поведение не зарегистрировано На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков 6. Поиск открытых портов TCP/UDP, используемых вредоносными программами Проверка отключена пользователем 7. Эвристичеcкая проверка системы Проверка завершена Просканировано файлов: 333, извлечено из архивов: 0, найдено вредоносных программ 0 Сканирование завершено в 05.06.2007 9:00:36 Сканирование длилось 00:00:31 Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам, то Вы можете обратиться в конференцию - http://virusinfo.info |
Ничего не открывается и не запускается -- AVZ Guard случайно не включен?
З.Ы. Самое тут правильное будет formac c:, ИМХО. Быстрее и надежнее. Руткит-технологии, чесслово, затрудняют процесс лечения удаленно. |
видимо, да. Был, во всяком случае:). я перегрузилась в "последнюю удачную конфигурацию" - и дикая паника прошла.:) как и желание связываться с этой avz... лучше буду жить с таким экраном....
|
Цитата:
|
а какие у меня проблемы?:)
ну, пропало немножко скачанной из инета музыки. но это не беда (к тому же я вовсе не уверена, что это не мой склероз:). может, сама выбросила и забыла....) ну, ярлыки скачут по столу... но может, это винды у меня так капризно себя ведут. ну, и какие-то мелкие претензии по поводу инета, которые я бы даже не решилась здесь опубликовать (это все моя мнительность, наверно:))... вот экран - да. но я уже привыкла, почти. я просто поняла, повозившись немного, что лечением, в т. ч. компа, должны заниматься специалисты...:( иначе - чревато если не фатальным исходом любимой игрушки, то состоянием ее владелицы, близким к оному( исходу т. е. :)). (см. выше)... |
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe Вот видимая проблема, как еще заметил yurfed. Уверен, что это вершина айсберга. А прыгающие иконки и кривой рабочий стол -- это побочный эффект всего лишь. |
так что же мне делать?
с реестром я работать не умею. ну не получается. опять запускать ...avz??отключив guard? |
truly
Цитата:
Грузись с загрузочного СД. Очень хорош в этом случае Hiren's Boot CD. С него и лечись. В конце - концов, сделай бекап диска(если место есть), прежде перенеси свою музыку в другое место, отформатируйся, коли не можешь вылечится от заразы. Цитата:
Удали NOD и ставь каспера или доктора Веба Из твоего последнего лога Режим лечения: выключено и Проверка не производится, так как не установлен драйвер мониторинга AVZPM Почему так? Процесс c:\program files\emule\emule.exe может работать с сетью (urlmon.dll,wininet.dll,netapi32.dll) убери, это нужно только когда пользуешся. Цитата:
Похоже у тебя сидит сетевой червь Nimda (читается как "Админ", только наоборот) |
Win32.HLLW.Nimda.57344
Очень опасный вирус-червь. Размножается под операционными системами WinNT/Win2k/Win9x. Способен поражать как серверы IIS (Internet Information Server) 4/5, так и клиентские станции. При запуске инфицированного файла вирус первым делом проверяет наличие собственной активной копии в памяти компьютера и, если такая копия найдена, завершает работу. В противном случае вирус определяет, из какого файла он был активизирован и, если активация произошла из инфицированного вирусом файла (а не вирусного файла-дроппера, содержащего исключительно код вируса), то вирусом создается файл с именем, аналогичным запущенному с добавленным пробелом в конце, т.е. TEST.EXE -> TEST .EXE (мы это наблюдаем здесь c:\progra~1\intern~1\iexplore.exe C:\Program Files\Internet Explorer\iexplore.exe) (или, если запуск был произведен с сетевого диска, вирус создает временный файл со случайным именем во временном каталоге), в который из собственных ресурсов (resources) инфицированного файла вирус извлекает содержимое оригинального файла, а затем запускает его. Далее вирус создает свою копию во временном каталоге и запускает ее с параметром -dontrunold в командной строке, помечает запущенный файл как подлежащий удалению при следующей перезагрузке системы (через файл WININIT.INI в Win9x или вызовом соответствующей функции API в WinNT/2k) и с вероятностью 1/5 пытается удалить все "README*.EXE" файлы во временном каталоге (т.к. из-за используемой в размножении вируса ошибки в Internet Explorer вирусные копии в этих файлах будут накапливаться во временном каталоге), после чего первая вирусная копия завершает свою работу. Запущенная копия создает еще один свой экземпляр со случайным именем во временном каталоге и пытается очистить собственную секцию ресурсов от возможно содержащегося там оригинального файла-родителя, но в системах Win9x системная реализация механизма работы с ресурсами отсутствует, поэтому данная попытка удачна только в OS WinNT/2k. После чего пытается определить из настроек TCP/IP в каждом из зарегистрированных сетевых интерфейсов адрес используемого DNS сервера и в случае успеха сохраняет адрес в собственном коде, записывая его непосредственно в ранее созданный временный вирусный файл. Далее вирус создает собственный файл-шаблон, состоящий из сообщения, содержащего специальным образом оформленный вирусный код в формате MIME, который будет в последствии использован для рассылке по E-mail. Далее вирус в зависимости о типа системы пытается внедрить свою копию в системный процесс EXPLORER (WinNT/2k) либо регистрирует свой процесс как сервисный (Win9x), исключая его из списка задач. После чего входит в основной цикл размножения. Вирус ожидает 30 секунд после чего получает имя хост-машины, его IP-адрес, в системе WinNT/2k запускает в отдельной нити (thread) собственную реализацию TFTP сервера (порт 69/udp), которая при запросе будет отдавать содержимое вирусного файла клиентской стороне и в зависимости от системы порождает 60(рабочая станция) или 200(сервер) нитей для сканирования и атак на уязвимые IIS серверы (в системах Win9x попытки данной атаки вирусом не предпринимаются). Для атаки на IIS серверы вирус использует уязвимость "Microsoft IIS CGI Filename Decode Error Vulnerability" (май 2001), уязвимость "Microsoft IIS Unicode Bug" (декабрь 2000), а также пытается использовать последствия компрометации серверов червями CodeRedII и sadmind/IIS. В случае успеха атаки на удаленном сервере инициируется TFTP-сессия с атакующим хостом, вирусом передается собственный код, который копируется в файл ADMIN.DLL, запускается на выполнение; в свою очередь производит собственную копию в файл %windows%mmc.exe и перезапускает его. Далее работающий в системе Win9x вирус создает свою копии в %WINDOWS%LOAD.EXE и %WINDOWS%RICHED20.DLL с атрибутами read-only, hidden и system и записывает вызов LOAD.EXE в параметр Shell файла SYSTEM.INI, - таким образом, вирус будет активизироваться при каждой перезагрузке. C:\WINDOWS\system32\RICHED20.dll --> тоже имеем в логе Под WinNT/2k вирус проходит все подкаталоги до четвертого уровня вложенности на всех дисках, ищет файлы DEFAULT, INDEX, MAIN и с определенной вероятностью файл readme с расширениями .ASP, .HTM, .HTML, при их нахождении копирует ранее созданный вирусный MIME-шаблон в файл README.EML в найденном каталоге и замещает содержимое найденных файлов на небольшой скрипт, при попытке просмотра которого в Web-браузере, в новом окне будет открыт вирусный файл README.EML. Таким образом, вирусом удаляются главные страницы на Web сервере, а при попытке захода пользователя на такую страницу в случае, если его Internet Explorer уязвим к используемой вирусом "дыре" в безопасности, на компьютере пользователя автоматически будет активизирован вирус (см. ниже). Далее (только под WinNT/2k) вирус получает в реестре список зарегистрированных приложений и пытается инфицировать все принадлежащие им *.EXE файлы. Инфицирование производится вирусом перемещением оригинального содержимого файла в собственную секцию ресурсов и корректировку отображаемой вирусной иконки (icon) на принадлежащую оригинальному файлу. После этого вирус производит поиск и инфицирование файлов на зарегистрированных доступных сетевых ресурсах (WinNT/2k) или открывает локальные диски для полного беспарольного сетевого доступа (Win9x). Проход осуществляется по всем каталогам: - инфицируются все *.EXE файлы (кроме WINZIP32.EXE) - если в каталоге найден файл с расширением .EML, .NWS или .DOC, то в этом каталоге вирусом создается собственная копия с именем RICHED20.DLL. Библиотека RICHED20.DLL используется для работы с Reach Edit Controls многими приложениями (в том числе Outlook и MS Office). Таким образом, при попытке открытия файла в каталоге будет запущен Outlook или MS Office, который в процессе своей инициализации попытается загрузить (если она уже не загружена) библиотеку RICHED20.DLL. Так как система сначала пытается искать загружаемые библиотеки в текущем каталоге, то будет загружена не оригинальная библиотека, а вирусная копия (!). также при нахождении .EML или .NWS файлов вирус с определенной вероятностью может создать в этом каталоге свою копию в виде MIME-шаблона с именем одного из файлов в папке My Documents (обычно) и расширением EML или NWS. Далее вирус пытается определить, используя функции MAPI, адрес использующегося на хосте SMTP сервера и список адресов из адресной книги и кэша HTML файлов, и разослать по ним свои копии. Рассылаемые вирусом копии представляют собой специально подготовленное текстовое HTML-сообщение с прикрепленным файлом readme.exe. Обычно размер файла - 57344 байта, однако в случае, если вирус стартовал из инфицированного файла и не смог очистить свою секцию ресурсов от оригинального содержимого инфицированной программы, размер файла может быть бОльшим. Данное сообщение составлено таким образом, чтобы при его просмотре средствами Internet Explorer, а также программами, использующими Internet Explorer для просмотра html (Outlook, Outlook Express), прикрепленный файл был бы запущен автоматически. Данная уязвимость - "Incorrect MIME header" была обнаружена в Internet Explorer в конце марта 2001 года. После этого вирус выключает отображения скрытых файлов и расширений имен файлов в настройках Explorer и в системе WinNT/2k разрешает аккаунт Guest, добавляет пользователя Guest в группу Administrators и присваивает ему пустой пароль, затем открывая для полного сетевого доступа все локальные диски. Далее вирус перебирает ip-адреса в случайном диапазоне и пытается получить доступ к доступным на запись сетевым ресурсам, где пытается распространить собственные копии, как это было описано выше. После этих манипуляций вирус ожидает около 3 минут, после чего весь цикл повторяется. Данный вирус ввиду большого спектра использованных для атаки и распространения уязвимостей представляет собой большую опасность: он способен размножаться различными способами и повторно атаковать оставшиеся уязвимыми системы даже после их излечения. Поэтому мы настоятельно рекомендуем установить последние обновления безопасности OS Windows. Кумулятивный патч для IIS серверов: http://www.microsoft.com/technet/sec...n/MS01-044.asp Патч от уязвимости почтовых клиентов "Incorrect MIME header": http://www.microsoft.com/technet/sec...n/MS01-020.asp НО МОЖЕТ И ОШИБАЮСЬ. |
yurfed
Цитата:
Цитата:
Цитата:
Цитата:
Цитата:
как я поняла, этот червь для меня опасен только тем, что откроет доступ ко всем моим документам из сети, да? (насчет пропажи главных страниц на сайтах ничего не замечала..) Цитата:
truly Цитата:
|
вот. и зачем было нод удалять? мне только потом пришло в голову, что он у меня обновлялся регулярно(неужели легальный?:)), а условно-бесплатным каспером этого ждать не приходится... вот и осталась девушка без антивируса... благодаря своей глупости. и поделом! однако, прошу прощения за лирическое отступление. вот отчет каспера:
обнаружено: программа-реклама not-a-virus:AdWare.Win32.Altnet.l Файл: C:\Documents and Settings\Polzovatel\Local Settings\Temp\asmfiles.cab/asm.exe//Pex обнаружено: программа-реклама not-a-virus:AdWare.Win32.Altnet.b Файл: C:\Documents and Settings\Polzovatel\Local Settings\Temp\asmfiles.cab/asmps.dll обнаружено: программа-реклама not-a-virus:AdWare.Win32.Altnet.l Файл: C:\Documents and Settings\Polzovatel\Local Settings\Temporary Internet Files\Content.IE5\OBOPOT21\asmfiles[1].cab/asm.exe//Pex обнаружено: программа-реклама not-a-virus:AdWare.Win32.Altnet.b Файл: C:\Documents and Settings\Polzovatel\Local Settings\Temporary Internet Files\Content.IE5\OBOPOT21\asmfiles[1].cab/asmps.dll обнаружено: троянская программа Trojan.Win32.Inject.ba Файл: C:\Program Files\BitDownload\ZM\minime.exe обнаружено: программа-реклама not-a-virus:AdWare.Win32.Altnet.b Файл: C:\Documents and Settings\Polzovatel\Local Settings\Temporary Internet Files\Content.IE5\OBOPOT21\asmfiles[1].cab |
truly Если Ассемблером не пользуешся, то всё приведёное выше удаляй. Вычисти все временные папки, включая Temporary Internet Files.
обнаружено: троянская программа Trojan.Win32.Inject.ba Файл: C:\Program Files\BitDownload\ZM\minime.exe Что это такое, я не знаю. Если ты это не используешь, удаляй. Не обязательно вирус. По названию похоже на скачивалку. Совсем непонятно, ты пользуешь Оперу? Тогда откуда весь этот хлам расписаный выше. |
все удалила. (а 2 - вылечены, adware которые).
правда, каспер надоел уже своими требованиями "активировать приложение":). да и с мэйл-агентом теперь проблемы - не сразу запускается, пишет, что, возможно, сетевой экран не пускает avp.exe. а использую - оперу, да. а почему экран мой не встал на место?!:) |
truly
Цитата:
ЗЫ Говорить о том что и не видели. Распиши своё железо. |
про железо написать смогу вряд ли, комп б/у. марку монитора?:)
а частоту развертки как менять? а нет. я туда уже заходила (не помню как, правда:)). там стоит максимальная - 75. а это возможно, что "железные проблемы" не проявляются в винампе и при загрузке, когда весь экран заполнен заставкой производителя? |
truly
Цитата:
|
я имею в виду - если таковы настройки экрана/ проблемы с видеокартой/или что там еще може хромать - почему экран отображается нормально, на 100% в режиме полноэкранного воспроизведения песни (ну, знаете, если заставку включить - фигурки там какие-нибудь) и когда комп включается и весь экран занимает изображение логотипа производителя, без всяких изъянов, сдвигов и черных полос?
|
truly Ну так я же сказал. Это зависит от частоты развёртки. Горизонтальная синхронизация сдвигает изображение влево/право.
Цитата:
Монитор и видеокарта напиши какие. |
Может у нее монитор TFT. Тогда выставлять 1280*1024. А частоту развертки 60 Гц оставить.
Только это не от этого зависит. Это вирусные проделки. Я уже встречал такое на форумах по лечению вирусов. Оттуда предложил, как лечить. Попробуй повторить: Запусти AVZ. Файл--восстановление системы Отметь галочкой 1. Восстановление настроек рабочего стола 2. Удаление всех Policies (ограничений) текущего пользователя И нажми "выполнить отмеченные операции". И перегружайся. 3. А после делай так: Пуск > Выполнить> reg delete "HKCU\control panel\desktop" /v WallpaperOriginY /f Нажимай клавишу ENTER Снова Пуск > Выполнить> reg delete "HKCU\control panel\desktop" /v WallpaperOriginX /f И ENTER Перезагружаемся. P.S. Когда делаешь Пуск -- Выполнить... должно черное окошко консоли проскакивать. Ты его видела? |
Severny Я думаю элементарно слетело разрешение и рефреш экрана.
И я так понял девушка вылечилась. :) |
yurfed Сейчас ссылку кину в РМ
|
Кстати, truly тоже обязательно для прочтения. Читать
|
монитор 15 ж/к [TFT]. "видеоадаптер" - INTEL (К) 82865G Graphics Controller. с avz попробую попозже. не хочется с утра портить себе настроение. :)
1024х768 - это максимальное разрешение у меня. оно и стоит. прочла. настроение испортилось. сделаю попозже. (если разберусь, как этот guard отключить) |
сделала еще раз восстановление через avz. с таким же успехом. только что guard был отключен, поэтому на сей раз обошлось без сердечных приступов:).
Severny Цитата:
|
сделала еще раз. за черное окошко теперь могу поручиться:).
а экран кривой тоже на месте. ну и ладно, пусть будет как есть. спасибо всем за помощь! |
Плиз хелп! Замучил вирус!
Стоит Symanteck antivirus - базы обновляются каждую неделю (ежедневное съедает слишком много трафика), Пользователь нахватал вирусов, symanteck после полной проверки удалил все кроме одного: как только проходишь авторизацию на прокси комп начинает отыскивать и коннектиться к почтовым серверам (список довольно большой), прокси его на этом ловит и блокирует пользователя. После проверки на вирусы обнаружил, что свалился брэндмауэр windows (система windows xp) - переустановил его (вернее обновил его конфигурацию). Теперь полную проверку на вирусы комп проходит на ура без единого вируса, а почта как рассылалась после авторизации, так и рассылается. В процессах "левых" не обнаружено. Раньше у меня была программка, кот. показывала какие порты используеются и какими процессами, сейчас не могу найти. Может кто подскажет в каком направлении можно копать? (ах да реестр тоже проверил в "run" никаких левых задач больше нет.)
|
Надо проверить винт с другой машины или хотя бы попробовать воспользоваться антируткитами (все равно это не даст полной гарантии при проверке с потенциально уже зараженной системы). Незабываем про критические обновления виндов... Ну все же имеет смысл таки посмотреть эту тему (включая приведенные ссылки):
Борьба с троянами, шпионскими и рекламными модулями |
Обновляться желательно не раз в неделю, а хотя бы раз в день.
Прверьтесь из-под чистой системы |
Впринципе можно сделать откат системы. Например на 5 дней назад.
|
Да, можно попытаться! - До того дня, когда появилась проблема. И вполне может быть, если зараза где-то ещё есть, она будет заактивирована опять только вручную.
Чтобы исключить возможность удаления чего-то с рабочего стола или Документов (вроде однажды у меня стерло новые файлы), или изменения старыми вариантами, можно скопировать их в другое место на всякий случай. |
Цитата:
|
Как вариант нарезать на болванку каспера, и поставить его на заражённую машину, благо у него есть функция поставки на заражённую машину. Так же после установки включена самозащита. Т.е вирь уже не смогет подпортить ему "репутацию". Далее проверяем серв и вуаля всё клир, благодаря функции отката изменений сделанных вирями. Подобной штуки нету ни у нода ну у нортона. Поверь, мне помогло. Или ещё как вариант. Забыл как диски называються, короче с них грузишся и типа в досе или ещё хз где этот диск запускаеться и ты там выбираеш разные проги. Так вот надыбай такой диско, и посвежей, посвежей, и загрузись с него. Там полюбому должны быть антивири. Прогони всеми антивирями свой сервак и дело с концом.
|
BOJIAHg
Цитата:
Предупреждение! Хватит вставлять рекламу каспера всезде где ни попадя, в т. ч. и не к месту. Если не успокоишся, придется думать о принудительных мерах лечения :moderator |
здравствуйте!
в моей жизни произошли кое-какие подвижки, вот, спешу поделиться:): кривой экран перестал быть таковым после нажатия кнопочки Auto на мониторе (ну, примерно так. дело в том, что священнодействовала не я, так что за точность ручаться не могу:)). так что на свой вопрос я, кажется, ответила:) но - знакомый маг и волшебник был вызван по другому поводу: сегодня утром обнаружилось, что из гугла (а также других поисковиков - ну, яндекса, то есть:)) пропали строчки поиска. на мейл ру тоже не было строки ввода адреса ящика. а в остальном - сайты как сайты, все в порядке:). более того: мой любимый сайт с картинками вдруг отказался мне их показывать! ну вообще! хотя...вот еще несколько дней назад заметила, что картинки грузятся как-то странно: только когда страница эта открыта. вот появился новый вопрос: этот самый знакомый сказал, что навряд ли это какой-нибудь вирус (червь и т.д.). просто ошибка (или "износ", не помню) системы. которых накопилось так много, что они уже не позволяют нормально просматривать сайты. короче говоря, надо переустанавливать:(. и животных всяких на моем компьютере искать отказался...:/ хотелось бы ваши мнения, господа. |
truly
Цитата:
А ещё будет интересно узнать какой браузер используем под и-нет. Это очень важно. Цитата:
Плз, подробнее, что случилось. И почему ваш МАГИСТР не смог это исправить? |
пользуюсь (-лась, точнее..:( ) оперой.
итак: сегодня, когда я пошла в гугл, все, что я там нашла - красивую картинку с логотипом и ссылками Все о гугл и т.д. самой строки поиска не было. пошла на яндекс - то же самое. на мейл ру - вместо строки, куда вводится адрес ящика - просто все закрашено синим, и все. когда же я зашла-таки на свой ящик (через мейл агента), то не обнаружила там чек-боксов (хотела удалить письмо). и выйти тоже было нельзя - не было кнопки "выход". (т. е. исчезли все формы для заполнения на страницах.) вышла, просто закрыв окно. потом пошла на свой любимый сайт с картинками (архив по изобразит. искусству). вместо сайта - пустая страница с его адресом в строке поиска. естественно, многократные нажатия на Обновить ни к чему не привели. причем картинки с других сайтов, занесенные в Закладки, отображались нормально. хотя еще вчера они как-то странно грузились - очень медленно и нехотя, что ли. если я оставляла грузиться картинку и уходила в другое окно, то по возвращении обнаруживала, что картинка осталась на той же стадии загрузки. а вот если оставаться на этой вкладке, можно было дождаться чуда, в конце концов:). и с плеером какая-то странная вещь: во время воспроизведения удалила файл из библиотеки - а он все играет! удалила вообще - продолжает играть! включила другой трек - все равно звучит, как ни в чем ни бывало! а "сверху" - второй. так и пел мне, пока не кончился:). и тут я Поняла: какой-то страшный червь (см. статью пару страниц назад) изменил вид страниц, убрав из них самое главное - формы. и вытворяет прочие вышеописанные пакости. и вызвала знакомого. пока не стало совсем поздно:). вердикт был таков: в системе (в виндах, то есть) накопились ошибки. которые делают невозможной ее работу. поэтому надо переустанавливать винды. хотел переустановить оперу - не пошло. сказал, что с оперой творятся странные вещи и старая "не убирается": ее установки переходят на место новой. т.е. старая не удаляется. сказал, что пока (до переустановки) пойдет только эксплорер. которым я и пользовалась первый час. но было жутко неудобно (привыкла к опере, что поделаешь:)). потом сообразила, что можно попробовать мозиллу:). которой пользуюсь сейчас. правда, она оччень медленная.:( yurfed Цитата:
и как я не упрашивала посмотреть - может, завелся кто посторонний:) на компе - без результата. да, понятно, в регистре копаться и проч. - не самая приятная работа. но неужели проще переустановить все?! (что мне, вообще-то, было обещано :/ ) |
нет...все-таки странно...
какой "износ системы", если с эксплорером все было нормально, а с мозиллой мы сейчас и вовсе счастливы:)...? (насчет того, что медленная - беру слова назад, нам, наверное, нужно было привыкнуть друг к другу:)) какая-то странная, вдруг возникшая идиосинкразия виндоус к опере?... именно к ней - получается, так? |
truly Удаляй все куки и накопившийся кеш.
Цитата:
Цитата:
Цитата:
Совет: этого гуру больше к компьютеру не подпускай. IMHO, ЗЫ Наверно ещё и денег ему отвалила:) |
нет, все-таки мозилла и правда медленная.. и не все странички открывает... опера rules!(сочтите за рекламу:))
буду пытаться с ней воссоединиться опять - если пойму, откуда удалять все куки и кеш:) и с плеером: во-первых, я случайно нажала на кнопочку Обновить(версию), когда из инета, откуда ни возьмись, вылетело окошко с этим предложением. да, и морган стрим свитчер скачала. может, из-за этого? больше никаких "кодеков" не припомню..:) вчера, удалив из Program Files оперу, попыталась сама установить новую (9.21, она же и была) - и правда, появляется старая. сейчас попробую сделать, как Вы сказали. p.s. денег - нет, не давала. если б были, мой комп давно уже был бы отдан на растерзание какому-нибудь гуру:) |
yurfed
Цитата:
а как (откуда) удалять cookies и cash? |
видимо, речь шла об этом:
Цитата:
|
truly Ты когда откроешь диск:\Documents and Settings\имя пользователя\ лезь в меню окна. Там жми "Сервис" - "Свойства папки" , закладка "Вид" и в самом низу меню будет радиобутон "Показать скрытые файлы и папки". Ставим птичку на этом.
Цитата:
|
Цитата:
Цитата:
|
спасибо. с папкой разобралась.
только я уже за это время, намучившись с мозиллой и ie, исхитрилась оперу-таки поставить. я просто загрузила ее в другую папку, и все. правда, я из предосторожности выбрала еще и английскую версию. так, на всякий случай. так что счастье мое не полное:). вот, выдастся свободная минутка - подумаю о том, чтобы ее переставить. (я уже столько раз это делала за эти дни... страшно вспомнить... пускай уж.. стоит...:)) спасибо! |
BOJIAHg
Предупреждение! Хватит разводить оффтопик в темах! :moderator Не собираюсь идти на поводу и отвечать тем же. Если хочется обсудить эту спорную для тебя тему - создавай отдельный топик, а уже там уже обсуждай эти вопросы (если начинать пытаться объяснять тебе здесь, то оффтопик забъет всю тему). Оффтопик является нарушением правил, предупреждение я тебе сделал, если будут следовать повторения - последует предусмотенное наказание... |
"это вирус"-2 (теперь флэшка)
здравствуйте,
теперь у меня неприятности с флэшкой. что случилось: качала на публичном компе музыку прямо на флэшку. еще когда вставила, заметила странную вещь: появились две посторонние папки. которые не удалялись. я решила, что так, наверно, нужно, потому что одна называлась Datа, а другая - что-то типа User#... принесла домой - в каждой папке есть лишняя подпапка с именем не то этой папки, не то одного из файлов, в ней находившихся. nod выдал сообщение, что обнаружено "не-помню-что-.worm". файлы были оправлены в карантин, и я их просто удалила вручную, эти папки лишние. потом сканировала нод'ом эту флэшку, ничего не было найдено. но. теперь при попытке открыть ее каждый раз появляется сообщение "отказано в доступе". приходится открывать контекстное меню и выбирать "автозапуск". вопрос все тот же:). ситуация осложняется тем, что флэшка чужая, а у ее счастливого владельца даже антивира нет... |
http://slil.ru/24566563
Скачай файл на компьютер. Вставь флешку при нажатой клавише Shift. Подожди секунд десять с нажатой клавишей. Запусти файл. Кстати, твой прошлый вирус. Встретился сегодня с ним вживую на компе у знакомого. Скачай http://slil.ru/24566704 Запусти и распакуется в С:\SDFix Перегрузись и зайди в Безопасный режим (жми F8). Запусти файл RunThis.bat в папке С:\SDFix и подожди, пока выполняются команды. Когда попросит перегрузить-перегружайся. После перезагрузки он еще до конца подчистит. Ну удачи. |
в окошке появилось сообщение, что "на съемных носителях" обнаружено...э...э...:) что-то вроде autorun.exe.
кстати, avz сообщила примерно то же самое пару минут назад! что-то там было про подозрения и высокую вероятность, и я решила, что, наверное. это только подозрения..:) спасибо!! теперь с флешкой все в порядке! я могу вручить ее владельцу? не опасаясь, что он останется без компьютера? и все-таки- что это было? объясните, пожалуйста. в окошке было написано. что это не вирус... какая-то вредная программка? |
Это вирус.
Прочитай предыдущее сообщение до конца. Я кое-что добавил. Скачай это ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe и просканируй потом свой компьютер и флешку. |
а у меня был вирус?
проблемы с эраном ведь были в автоподстройке... я имею в виду прошлую проблему. с экраном. с оперой - что Вы имеете в виду? |
Был и есть. Процессы IEexplorer.exe без запущенного IE и процесс svchost.exe, запущенный от имени пользователя из под explorer.exe, то есть проводника.
Он должен быть запущен только от system. |
iexplorer в диспетчере задач не отображается.
а другой процесс (у меня их 5 сейчас) - они от имени SYSTEM, LOCAL-, NETWORK SERVICE... ну вот только разве это : O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll |
Выполни SDFix. Он все покажет. В безопасном режиме попросит нажать Y или N. Нажми Y.
После выполнения репорт можешь выложить. Он автоматичеки откроется после перезагрузки. А так гадать мы ничего не выгадаем. А это O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll плагин Download Master для ослика. |
спасибо. сделаю завтра, с утра пораньше. не хочется экспериментировать ночью:)
|
cureit нашел в папке Eset'а BackDoorGeneric 1138. удалено.
SDFix ни троянов, ни "streams" не обнаружила. но вот avz как писала, так и пишет (после SDF), что найдены какие-то "таблицы экспорта". например: "1.1 Поиск перехватчиков API, работающих в UserMode Анализ kernel32.dll, таблица экспорта найдена в секции .text" затем: "1.2 Поиск перехватчиков API, работающих в KernelMode SDT найдена (RVA=082880) Ядро ntoskrnl.exe обнаружено в памяти" и еще: "6. Поиск открытых портов TCP/UDP, используемых вредоносными программами Проверка отключена пользователем". "1.4 Поиск маскировки процессов и драйверов Проверка не производится, так как не установлен драйвер мониторинга AVZPM" это нужно включить, да? |
Будем считать, что относительно чисто.
Cureit нашел троя в папке infected NODa, как я понял. Считай, что его не было. SDFix не нашел--хорошо. kernel32.dll, ntoskrnl.exe-- системные. Пока будь спокойна. Для большей уверенности можешь выложить лог HijackThis |
Имел один контакт с руткитом. Как боролся и какое лекарство использовал, тут: http://forum.oszone.net/thread-80208.html см. в конец темы.
Лекарство бесплатное, потому реклама должна приветствоваться. |
я и правда решила уже успокоиться:), но вот прямо сейчас случилась очередная неприятность: сижу в инете, наоткрывав сто окошек, как всегда, и вдруг появляется окошко explorer.exe и сообщает, что что-то обратилось куда-то и что "память не может быть "read""... я нажала OK, и после этого строка меню внизу (там, где Пуск, часы и т.д.) просто взяла и исчезла. у меня так уже было раз или два недавно. причем опера выглядит как обычно, странички отображаются (не помню, есть там меню наверху или нет), а вот строки меню внизу - нет.
закрываю оперу, на рабочем столе - никаких значков, только обои... приходится перегружаться... |
Лог Hijack давай.
|
Вложений: 1
ну, если Вы настаиваете:):
|
1. Пофиксить в Hijack
O4 - HKCU\..\Run: [Tok-Cirrhatus] "C:\Documents and Settings\Polzovatel\Local Settings\Application Data\smss.exe" (Это зараза) O9 - Extra button: (no name) - AutorunsDisabled - (no file) 2. Скажи, включено ли у тебя автоматическое обновление Виндоуз? Процессы (почему-то два, как раньше с IEexplorer) присутствуют. 3. Если не пользуешься IE, то лучше удалить все его обвесы. R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\Program Files\Copernic Agent\CopernicAgentExt.dll/INTEGRATION_BAND_SEARCHBAR_HTML R3 - URLSearchHook: (no name) - {BE89472C-B803-4D1D-9A9A-0A63660E0FE3} - C:\PROGRA~1\COPERN~1\COPERN~1.DLL O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll O2 - BHO: WebManager Class - {D5792AA9-D373-4039-8670-2CDAB6A71F15} - C:\Program Files\BitDownload\TorrentManager.dll (file missing) O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\Program Files\Copernic Agent\CopernicAgentExt.dll O8 - Extra context menu item: Search Using Copernic Agent - res://C:\Program Files\Copernic Agent\CopernicAgentExt.dll/INTEGRATION_MENU_SEARCHEXT 4. Коперника лучше вообще уничтожить :) |
1. сделала
2. насчет обновления виндоус... судя по тому, что раньше всплывали окошки с предложением обновить, прямо здесь и сейчас,:) винамп, - да. а вчера вдруг появилось другое окошко - на тему того, что оно, авт. обновление, отключено. я подумала-подумала и поставила птичку напротив "запрашивать каждый раз" или как-там-это называется... хотя что толку - все равно рука покорно жмет "OK"... :) и вот, уже второй день грузятся какие-то обновления для ie. которым я не пользуюсь. я подумала - а вдруг Надо? сделаю, на всякий случай.:) 3. а как удалять? поставить галочки в Haijack? 4. да, я тоже так думаю. толку от него... как от просроченного касперского:) |
1. ОК
2. Обновления закачиваются и для IE, и для Винды. Если трафа не жалко, то это очень даже хорошо. 3. Поставить галочки в Haiijack и нажать Fix a problem (такая вроде кнопка). |
трафика жалко! как я поняла, если я отключу обновления для ie, ничего страшного с моими виндами не произойдет? а как мне это сделать? у меня на панели поселился желтенький значок, такой же, какой был на окошке про обновления, но, когда я по нему щелкаю, волшебства не происходит...
ага. где включается-отключается автом. обновление, я разобралась. но вот где можно увидеть (и поправить) детали? |
Правой кнопкой по Мой компьютер -- Управление -- Службы и приложения -- Службы -- Автоматическое обновление (два раза щелкни по нему и выбери "Стоп" и тип запуска "Отключено".
То же с Центром обеспечения безопасности сделай. То же с DNS - клиент. То же с Удаленный реестр. То же с Вторичный вход в систему. То же с Сервер. |
а можно еще вот это удалить?:)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ru/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки |
Цитата:
|
Да нет смысла не ставить обновления, которые уже тебе закачались :)
Они же уже у тебя на компе. Ну это только сначала много скачивается, а потом понемногу. Проверь, может у тебя в локальной сети есть сервер обновлений Винды. Это тебе будет бесплатно или намного дешевле. З.Ы. А остальные службы все равно выруби. Это для безопасности. |
Цитата:
|
Нет, это вообще не обновления. Это службы, которые включены по умолчанию.
Центр обеспечения безопасности не помогает никак. Только кричит, что выключены обновления, не работает антивирус и нет файрволла. Ничем больше не занимается. Если не надоело его видеть -- то оставь. Это красный "щит" в трее. |
у меня опять ерунда какая-то с этим "нижним меню"(там, где Пуск): опять выскочило сообщение об ошибке. и курсор, если навести на эту строчку внизу, принимает вид двунаправленной стрелки и делать ничего не хочет...:(
это, наверное, оттого, что много всего открыто и комп не справляется уже, да? |
Двунаправленная стрелка -- это песочные часы, так? Проводник глючит что-то.
Надо скачать Process Explorer XP и выложить скриншот здесь. http://download.sysinternals.com/Fil...ssExplorer.zip |
нет, выглядит именно как стрелка. не часы.
я пыталась посмотреть через диспетчер задач, что же у меня там происходит, так даже он завис:). пришлось опять перегружаться. сейчас проверю, спасибо |
Вложений: 1
лог ProcessE.:
ох.... сейчас хотела перетащить ярлык на рабочем столе в папку, на нем же. вышло окошко: уже существует, заменить? я нажала Нет. после этого передо мной предстал голый Рабочий стол. опять без значков. одни обои. вызвала Диспетчер задач, выбрала Переключиться. и вот пишу это сообщение, все в порядке, только нижней строчки опять нет... ох, пойду опять перегружаться.... p.s. я вот думаю: может, не нужно качать столько файлов и ослом, и торрентом сразу?... :) может, в этом дело?..... |
Не видно загрузки. Система свободна.
Найти бы тебе человека, который тебе винду переставит. Ну выключи на время и того, и другого. Посмотришь, как себя система будет вести. Тормоза могут быть, т.к. хард не успевает все сразу обрабатывать. Дефрагментацию не забывай делать. |
человек есть. помните гуру?:)
так а что с моими виндами? Цитата:
да, а хард мой в 40 Г... от него многого ждать не приходится... спасибо! |
...Есть ньюансы, конечно. Какой тип файла, для чего (не говоря об источнике - кто создал, кто выложил и где)... О логике определения вируса в подобном случае: http://virusinfo.info/showthread.php?t=9864
|
вирус или хвост от вируса?
Здравствуйте, очень нужна помощь. На рабочем компе словила вирус, кторый, как я поняла, Касперским еще не был детектирован. Файл сидел по адресу c:\windows\system32\svchost.exe:ext.exe, я пошла за помощью на форум Касперского, вот ссылка на переписку, если нужна (логин Anika): http://forum.kaspersky.com/index.php?showtopic=45378
C помощью тамошних спецов вроде бы от дряни избавилась, но теперь Касперский 7 (пробная бесплатная версия) периодически при включении и загрузке выдает сообщение внизу справа в трее: " Ошибка, программа svchost.exe не может связаться с сервером". Далее никаких заметных проблем не возникает, при прогонке Каспером все чисто. Может, кто подскажет, что это за файл и может ли это иметь отношение к удаленному вирусу? Последнее подобное сообщение вылезало вчера. Представители компьютерной фирмы, обслуживающей нашу компанию (совсем недавно начали с ней сотрудничать) при вопросе о данной проблеме авторитетно заявили - систему надо сносить и заново переустанавливать! Но у меня такое решение вызывает большое сомнение и не вызывает доверия, может, так категорично не обязательно? Можетю отзоветесь и поделитесь соображениями? Только с учетом того, что я скромный пользователь, так что по воможности, подоступнее. Очень буду Вам благодарна за отклик! |
Цитата:
Цитата:
|
Цитата:
|
Цитата:
|
Вот я сохранила текстовый файл отчета Касперского. Кстати, программа - не КИСа,Антивирус Касперского, версия 7. В отчете строчка от 20 и 21 августа звучит так: Программа С:\WINDOWS\System32\svchost.exe не может установить соединение с сервером 192.168.0.1. Проверьте параметры соединения с интернетом. Возможно, в установленном сетевом экране отсутствует разрешающее правило для приложения avp.exe. 22-го, т.е. сегодня в отчете сообщения нет. Посмотрите, пожалуйста, наверное, это больше прояснит ситуацию, и, возможно, Вы меня окончательно успокоите. Буду очень благодарна.
|
Теперь расскажите включен ли у вас брандмауэр Windows - Панель управления - Брандмауэр Windows
Если он включен, то не стоит беспокоиться, для повседневного серфинга этого достаточно. |
Цитата:
|
Цитата:
Другим вариантом будет установка стороннего файервола, какой выбрать - вопрос другой, обсуждалось в этой теме: FAQ | Firewalls (AKA Файеры, брандмауэры, МЭ или ПСЭ) |
Цитата:
|
Цитата:
Цитата:
Цитата:
Цитата:
|
Blast , огромное Вам спасибо, я хоть теперь знаю, в каком направлении шевелиться. А то ведь "снести систему" это самое простое решение. Я попробую все-таки фаервол поставить. Всего Вам доброго!
|
Цитата:
|
Блин, ну, совсем Вы меня запутали.
Цитата:
Цитата:
|
Цитата:
|
Цитата:
Цитата:
Цитата:
Цитата:
|
Цитата:
|
2 вируса...что делаеть?
У меня на компе стоит два харда. Один отдан файлам, а другой винте и софту, которым постоянно пользуюсь. Стоит 6-ой касперский, который постоянно работает и раз в два-три дня проверяю весь комп. При последней проверке на харде, хранящем файлы было обнаружено 30 файлов зараженными такими вирусами:
Virus.Win32.AutoRun.dq Trojan.Win32.VB.atg Файлы находятся в данных папках: D:\System Volume Information\_restore{5132DDE4-30A9-4B37-B719-519D862E2C7A}\RP3 D:\System Volume Information\_restore{5132DDE4-30A9-4B37-B719-519D862E2C7A}\RP2 Каспер вылечить не может и предлагает удалять...но можно ли удалить эти файлы??и что вообще они из себя предсталяют?как вылечить комп? |
Самый простой способ
1) Выключаешь Касперского (или выгружаешь с памяти) 2) Панель управления\Система\восстановление системы\отключить последнее должно очистить все содержимое указанной папки. Иначе, чтобы это сделать вручную, тебе нужно получить доступ к этой папке и ее содержимому. Это тоже возможно, но для начала попробуй вышеозвученное. Удачи. |
Цитата:
И еще такой вопросик: Есть ли различия проверки компа на вирусы в безопасном и в обчном режиме?? (мне кажется что незапущеные легче успокоить или я ошибаюсь?) |
Проверять вообще лучше в безопасном режиме, а еще лучше с live cd какого-нибудь, потому как вирусы уровня ядра на инфицированной системе сканеру даже обнаружить себя не дадут, не говоря уже о том, чтобы вылечить.
|
Или же на незаражённой машине, подключив к ней заражённый винчестер. Причём иногда только безопасный режим и помогает.
|
Цитата:
самый надёжный способ подсказал DVDshnik, вот только в таком случаи не работает "система долечивания" которую сейчас всё пытаются реализовать в том же Касперском. |
Есть очень хороший форум, где помогут вылечить компьютер http://virusinfo.info/ - обращайтесь вам всегда помогут.
|
Цитата:
+ avz там же. |
Firiel, подавайте конкретные действия, коль я туп, поясните миру.
я до сих пор не мог запустить Каспера( 6 и 7 версии) в Safe Mode, ну блин не получалось! ;) |
MadMaks,
Все верно! Ни 6-й ни 7-й в Safe Mode запустить нельзя! Не стартуют службы, которые ему нужны. Так что если вы подозреваете заражение и хотите провериться из-под чистой системы - делайте Диск аварийного восстановления на CD-RW (почему на CD-RW, да потому что каждый раз вам придется его перезаписывать при получении новых баз). Далее - грузитесь с CD и проверяйте из-под чистой системы. Вот и все что нужно делать |
MadMaks, вы не тупы. не надо так говорить))
я вам пожалуй скрин покажу. запускать просто надо вручную. компоненты будут не полностью функциональны, но проверка будет работать полностью.  P.S. запуск произведён на ос vista home. версию антивируса видно на скрине) запускается так же и на других ос. проверялось. VladimirB, вы правы. лучше всего делать аварийку. неактивная система-она есть неактивная. хоть и безоп. режим, но службы запущены. на случай если диска нет, проверять можно из safe mode. и я привела выше скрин, который это доказывает. другие антивирусы этого не умеют. у них не подгружаются драйвера их. тут касперский выигрывает, так как проверка полностью функциональна. да, компоненты отключены, но в safe mode мы не преследуем своей целью включение например потоковой проверки скачки с инета. главная цель-проверка системы. касперский её делает. |
Я делаю иначе.
Если я уверен в том какой вирус/троян сидит, я его руками вырезаю, выгружаю исполняемые файлы если они мешают установке Касперского, а уж потом ставлю антивирусник. Касперский меня не подводил (почти ни когда) в борьбе с активными угрозами. Если же нет времени и возможности, то я просто беру другой винт, с установленным антивирусником, подключаю его как системный и банально запускаю проверку. |
мешают?)
у каспера новая технология по установке на заражённую машину. если вирус не вырезал инсталятор винды, то он установится. другие нет, каспер устанавливается. Цитата:
Цитата:
|
Я таких писем не отправлял :\ Вирус или ... ???
Вот какая история ...
Работаю в крупной компании . Есть филиалы по Украине. Почтовый сервер находится в центральном офисе. Работает на MDaemon 9.x.x. Мой руковолидель прислал мне письмо 06.11.2007 и в ответ получил письмо от меня (почти мсразуже), с жаргонно-эротическим содержанием. Текст письма был на латиннице, причем были указаны фамилии, так сказать, персонажей. Тема была таже, что и при отправке. Вот мои размышления на эту тему : 1. Письмо было внутренним (в моем офисе), т.к. логи указали бы внешний адрес 2. Письмо содержит фамилии руководящих лиц, которые не указаны в описании ФИО для аккаунтов, что наводит на мысль, что это письмо написано человеком, знающим структуру компании 3. В логах нету и следа об отправке письма от меня за 06.11.2007 в интервале до 12.00. Если думать о вирусе, то откуда он знает фамилии и должности??? Если думать о человеке, то как его вычислить (слов нету культурных) ??? Помогите найти гада ... :angry2: |
GEugene, заголовки письма смотрели? RFC822 headers.
Вирус скорее всего. Информацию взял вероятно из адресной книги. Цитата:
PS. Вообще как-то не очень понимаю ситуацию. Письмо шло во внутренней сети, сервер есть - почему не посмотреть его логи. Станет понятно - с какой реально машины оно пришло. Ну а дальше - либо виря гонять, либо хозяину морду бить. PS Вообще-то это задача сисадмина :) |
Присоединяюсь к SilentSpider по поводу логов сервака и остального.
Ну а так гадать можно долго. Ведь как вариант, вирь может быть и на машине руководителя, к-ый так проявляется... |
Цитата:
|
Оригинальный развод или Внимание, новый вирус
Цитата:
Цитата:
Цитата:
|
В принципе очень верный расчёт вирусописак. Если учесть, что на территории бывшего СССР очень много нелегальных копий Windows, то можна неплохо поживиться. Странно, как это они не додумались "предоставить выбор" пользователю, дабы и кредитной карточкой заплатить можно было.
|
Цитата:
|
Здравствуйте!
У меня возник именно такой вопрос: subj. После малость неадекватного поведения компа решил провериться на вирусы. Запустил Avast - ничего не нашел (он, в принципе, уже года два как постоянно меня "защищает" и ни гу-гу(!)). Затем решил провериться с помощью AVZ 4.29 и вот, что он красным написал: 1.2 Поиск перехватчиков API, работающих в KernelMode Ошибка - не найден файл (F:\WINDOWS\system32\ntoskrnl.exe) >>>> Обнаружена маскировка процесса 1390784 ? >>>> Обнаружена маскировка процесса 141568 ? >>>> Обнаружена маскировка процесса 8388608 ? >>>> Обнаружена маскировка процесса 1179649 ? >>>> Обнаружена маскировка процесса 862807412 ? >>>> Обнаружена маскировка процесса 81 ? >>>> Обнаружена маскировка процесса 40960 ? >>>> Обнаружена маскировка процесса 1313429340 ? >>>> Обнаружена маскировка процесса 1145789490 ? >>>> Обнаружена маскировка процесса 39843750 ? >>>> Обнаружена маскировка процесса 19975216 ? >>>> Обнаружена маскировка процесса 28733 ? >>>> Обнаружена маскировка процесса 156250 ? >>>> Обнаружена маскировка процесса -426582848 ? >>>> Обнаружена маскировка процесса 16792048 ? >>>> Обнаружена маскировка процесса 16 ? >>>> Обнаружена маскировка процесса 1250 ? >>>> Обнаружена маскировка процесса 13593750 ? >>>> Обнаружена маскировка процесса 20 ? >>>> Обнаружена маскировка процесса 99615 ? >>>> Обнаружена маскировка процесса 151011328 ? >>>> Обнаружена маскировка процесса 1398230852 ? >>>> Обнаружена маскировка процесса 1230394447 ? >>>> Обнаружена маскировка процесса 13 ? >>>> Обнаружена маскировка процесса 38 ? >>>> Обнаружена маскировка процесса 12 ? >>>> Обнаружена маскировка процесса 15 ? >>>> Обнаружена маскировка процесса 9456 ? >>>> Обнаружена маскировка процесса 36402 ? >>>> Обнаружена маскировка процесса -1394495488 ? >>>> Обнаружена маскировка процесса 1703959 ? >>>> Обнаружена маскировка процесса 1112099913 ? >>>> Обнаружена маскировка процесса 29910512 ? >>>> Обнаружена маскировка процесса -2048 ? >>>> Обнаружена маскировка процесса 200704 ? >>>> Обнаружена маскировка процесса 1917082674 ? >>>> Обнаружена маскировка процесса 1395545170 ? >>>> Обнаружена маскировка процесса 17729840 ? >>>> Обнаружена маскировка процесса 72 ? >>>> Обнаружена маскировка процесса 312500 ? >>>> Обнаружена маскировка процесса 20772800 ? >>>> Обнаружена маскировка процесса 76 ? >>>> Обнаружена маскировка процесса 2662 ? >>>> Обнаружена маскировка процесса 17385696 ? >>>> Обнаружена маскировка процесса 80 ? >>>> Обнаружена маскировка процесса 1937339182 ? >>>> Обнаружена маскировка процесса -1400803328 ? >>>> Обнаружена маскировка процесса 81920 ? >>>> Обнаружена маскировка процесса 1380211762 ? >>>> Обнаружена маскировка процесса 1498623571 ? >>>> Обнаружена маскировка процесса 1932423278 ? >>>> Обнаружена маскировка процесса 29561 ? >>>> Обнаружена маскировка процесса -1394364416 ? >>>> Обнаружена маскировка процесса 1703937 ? >>>> Обнаружена маскировка процесса 1162103113 ? >>>> Обнаружена маскировка процесса 90112 ? >>>> Обнаружена маскировка процесса 1853189965 ? >>>> Обнаружена маскировка процесса 1932422003 ? >>>> Обнаружена маскировка процесса -1401528320 ? >>>> Обнаружена маскировка процесса 307200 ? >>>> Обнаружена маскировка процесса 1936486262 ? >>>> Обнаружена маскировка процесса 779249485 ? >>>> Обнаружена маскировка процесса 115 ? >>>> Обнаружена маскировка процесса -1402105856 ? >>>> Обнаружена маскировка процесса 118784 ? >>>> Обнаружена маскировка процесса 1395544142 ? >>>> Обнаружена маскировка процесса 1932423783 ? >>>> Обнаружена маскировка процесса 24 ? >>>> Обнаружена маскировка процесса -1394233344 ? >>>> Обнаружена маскировка процесса 212992 ? >>>> Обнаружена маскировка процесса 1667584843 ? >>>> Обнаружена маскировка процесса 28 ? >>>> Обнаружена маскировка процесса -1392070656 ? >>>> Обнаружена маскировка процесса 98304 ? >>>> Обнаружена маскировка процесса 1919182451 ? >>>> Обнаружена маскировка процесса 7567731 ? >>>> Обнаружена маскировка процесса 32 ? >>>> Обнаружена маскировка процесса -1414004736 ? >>>> Обнаружена маскировка процесса 1900545 ? >>>> Обнаружена маскировка процесса 1953724787 ? >>>> Обнаружена маскировка процесса 1684889948 ? >>>> Обнаружена маскировка процесса 28672 ? >>>> Обнаружена маскировка процесса 1937331036 ? >>>> Обнаружена маскировка процесса 842231141 ? >>>> Обнаружена маскировка процесса 1768122479 ? >>>> Обнаружена маскировка процесса 1225801728 ? >>>> Обнаружена маскировка процесса 1382901108 ? >>>> Обнаружена маскировка процесса 1230128220 ? >>>> Обнаружена маскировка процесса 1398362926 ? >>>> Обнаружена маскировка процесса 36 ? >>>> Обнаружена маскировка процесса 1551134575 ? >>>> Обнаружена маскировка процесса 1397900630 ? >>>> Обнаружена маскировка процесса -1417658368 ? >>>> Обнаружена маскировка процесса 1129070940 ? >>>> Обнаружена маскировка процесса 262144 ? >>>> Обнаружена маскировка процесса 1936483188 ? >>>> Обнаружена маскировка процесса 1769104476 ? >>>> Обнаружена маскировка процесса 40 ? >>>> Обнаружена маскировка процесса 1936876918 ? >>>> Обнаружена маскировка процесса -1418313728 ? >>>> Обнаружена маскировка процесса 1634560348 ? >>>> Обнаружена маскировка процесса 110592 ? >>>> Обнаружена маскировка процесса 1932422511 ? >>>> Обнаружена маскировка процесса 44 ? При этом ntoskrnl.exe благополучно присутствует на диске. Я подумал мож удалить его нафик и записать нормальный, не тут-то было... некто при загрузке постоянно генерит новый (свой)... или это так и должно быть? Помоему, это вирус) И что с ним делать, если антивирусы ничего не предпринимают (Аваст вообще ниче не заподозрил, а АВЗ только написал что-то - и то непонятно как этой инфой можно воспользоваться - ни одного названия) |
Цитата:
Цитата:
Цитата:
|
Спасибо за ответ!
Забыл уточнить: у меня win XP x64 Поймать значительное число сообщений типа "Обнаружена маскировка процесса 40 ?" довольно сложно, но одно присутствует всегда (при каждом запуске АВЗ). Если эти сообщения можно объяснить "фоновой активностью", то не странно ли, что появляется сообщение "Ошибка - не найден файл (F:\WINDOWS\system32\ntoskrnl.exe)"? Заранее спасибо за ответ:) |
Цитата:
|
Да, действительно там
|
TiGro, ну провертесь у врача Антивирусом Касперского или Drweb Cire It
|
TiGro, проверится можно тут, откройте тему и выложите логи по правилам оформления запроса.
|
Всем ответившим - спасибо:)
Если кому интересно, продолжение здесь: http://forum.oszone.net/post-736738.html |
Ну второй это эдваре... Вообще нужно обязательно помимо обычного антивируса использовать Anti Spyware для удаления различных adware, spyware...
вообще щас этой гадости очень много в интернете, я лично пользуюсь AswPro, очень доволен:) |
IE-Antivirus - фальшивый антивирус
Третьего июля поймал нового "зверя". Точнее, его поймал мой сынуля, жмущий на кнопку "OK" не раздумывая... :angry: Проявления следующие. При попытке открыть любую папку в проводнике появляется такое окошко:
 При нажатии "Нет" запускается браузер, и пытается открыть страничку hxxp://free-viruscan.com/id/4912933/4/1/, а при нажатии "Да" происходит попытка загрузки файла ieav.exe с сайта ie-antivirus.com Ни одна из имеющихся антивирусных программ и утилит не нашла ничего! Про avast молчу, он его изначально пропустил, но ничего не увидел CureIt, и даже AVZ отрапортовала, что всё в порядке! Пришлось запускать AutoRuns и просматривать все подозрительные объекты - те, что без указания на производителя - в первую очередь. В итоге нашёлся BHO - wdoltas.dll, после отключения всё пришло в норму. В тот же день проверил эту дрянь на VirusTotal. Из 33-х антивирусов всего пять ругнулись, да и то один лишь счёл файл "подозрительным". Среди "ругнувшихся" - ни одного известного мне имени! Обидно... Файл я сразу отослал в AVZ, а сам всё ж решил экспериментировать дальше. Скачал я этот, с позволения сказать, "антивирус"... Весит он, кстати - всего 900 кб! Что уже наводит на мысли... При запуске он проинсталлировался в систему, как приличная программа, но на этом приличия закончились, так как он без спроса запустился, и начал "сканировать" мою систему. Вот результат:  Хотя я точно знаю, что система чистая. Далее предлагается что-то удалить:  Ну, этого я уже делать не стал, а просто снёс эту... программу к чёртовой матери. При этом я не рискнул пользоваться её собственным инсталлятором, а сделал это при помощи Ashampoo Uninstaller. И ведь что примечательно - "антивирус"-то платный! В общем - не теряйте бдительности, а то потеряете деньги... P.S. Снова проверил файл на VirusTotal - и уже 18 из 33 обнаружили заразу - улучшения налицо! :) |
DmB89, а не подскажешь случаем какие антивирусные продукты эту заразу сразу увидели (из числа той 5ки)? хотелось бы узнать.
|
Цитата:
|
XIMERA123, я тоже к этому склоняюсь. думаю может касперского 8го сменю на что-нибудь.
|
По поводу этого троянчика у меня очень не плохой результат показал Антивирус Panda 2008 + Firewall(версия 7.00.00)
Нашел сразу и удалил. |
Цитата:
Цитата:
VirusTotal сейчас в дауне, вернётся к жизни - посмотрю, может что и вспомню... |
Посмотрел. В общем, это был eSafe, который пометил файл как "подозрительный", Authentium (W32/Adware-RegBHO-based.1!Maximus), F-Prot (W32/Adware-RegBHO-based.1!Maximus), Prevx1 (Fraudulent Security Program). Пятый точно не вспомню, вроде бы это был AVG.
Но по-моему таким образом никак нельзя судить об антивирусах, потому что любой антивирус может пропустить заражённый файл, об этом уже сто раз говорилось. 100%-й защиты просто не существует. И в качестве примера посмотрите на эту таблицу с того же VirusTotal  |
Цитата:
Прошу игнорировать данный пост......это FraudTool (Fraud - обман; мошенничество; подделка). |
| Время: 00:35. |
Время: 00:35.
© OSzone.net 2001-
