Dr.Web отреагировал на данного троянца, надеюсь сегодня вечером эти рекомендации помогут.

Не посчитайте за флейм, но хотелось бы знать как у кого дела. (рапортовать что все ништяк смысла не вижу). Если кто его подцепил, то что за антивирус и как проявилось. Чем спаслись.

У меня было одно проявление кидо, жена домой принесла на флешке. КАВ отработал нормально. Закачал утилиту лечения, проверился ей - Ок. На работе КАВ настроен на на молчаливое уничтожение. Пока без проблемм.

Varz правильно написАл новость от Др.Веба.
У наших этот вирус самоликвидировался. Есть информация, что с баланса списывается 500 руб. при отправке СМС.

Доброе утро.

Нужен совет.

У друзей на работе два компа с "проблемами".

Стоит чистая Винда ХР3, на одном Каспер 2009, на другом НОД32 4.0.424.0 (разные антивирусы из-за разницы в «мощностях»). Оба антивируса с последними обновлениями. На компах автообновление систамы отключено.

Самопроизвольно, через некоторое время, отключаются некоторые службы (хотя стоят в "авто"), точное время не засекал, но в пределах 10-15 минут.

Помогает, временно конечно, перезагрузка.

Вчера проверял как тем что стоит на компе, так и CureIt (вчерашним) - всё чисто......

Компы в сети, около 25 компьютеров – некоторые сказали, что и у них наблюдаются такие же проблемы (пропадает звук).

Вложил скрин со службами.

Читал, с утра, что может помочь вот эта заплатка - Security Update for Windows XP (KB958644), но сегодня уже не успею проверить - праздники.

Может, кто посоветует, что надо сделать (или подтвердит что заплатка поможет)?

Заранее СПС!

Mircea а зачем нам службы?! Простая проверка на вирусность - не показываются скрытые службы что-то есть. Если показывает скрытые файлы надо копать глубже.
Берем АВЗ товарища зайцева начинаем искать с помощью ее, если ни чего не нашла в ней же смотрим что грузится как драйвера и что в ядре у Вас висит.
Ни чего не нашли, эзаем Гмер и айс сворд. Если и там ни чего подозрительного, то смотрим железо.

Блохастик, службы нам, например, Workstation для того что сеть была видна, Windows Audio - для прослушивания музыки и т.д. ;).

Проверял при видимости всех файлов: скрытых и скрытых системных.

Проверю ещё раз при помощи АВЗ, IceSword и GMER.

По поводу железа не уверен - два СЛИШКОМ разных компа...

Mircea, вообще журналы надо читать. Если службы вырубаются по ошибкам - то можно в их (службах) свойствах задать что делать если служба остановилась, например перезапустить.

Cartman, журналы не читал...
Правда перезапускал вручную, все кроме файервола запустились.

Попробую, спасибо.

Такая проблема. Наверное, что то поймал. Заметил когда выпало сообщение от Nokia PC Suite что есть обновление. Ткнул сообщение, появилась стандартная заставка для скачивания обновления. Но после загрузки 100% прога не обновилась и пре следующей перезагрузке системы опять появляется сообщение об обновлении, опять пытаюсь скачать, но нифига не устанавливается. Стал сканировать систему стоящим у меня NOD32 с последними обновлениями - на выполнении 27% при проверке папок Nokia PC Suite комп уходит в перезагрузку. Spyware Terminator ничего не нашёл. При полной проверке скаченными CureIt от Dr.Web и майкрасофтофтовской последней прогой для проверки зловредных программ опять комп перезагружается и опять предлагает скачать нокиевское обновление. Хотел снести Nokia PC Suite и переустановить уже новую - опять неудача: при удалении как встроенным в программу способом, так и через диспечера задач система перезагружается. Пробовал полечить КК от Касперского (http://support.kaspersky.ru/kis2009/error?qid=208636215) - результат - ноль. :(
Подскажите, пожалуйста, что делать? Самое простое, конечно, переустановить систему, но может быть есть ещё какой-нибудь способ?

RSA, ФАР-ом (или на любителя тоталом) погуляй по этип папкам. Поинтересуйся что там.
Сделай скандиск по полной.
Если не решится грохни этот каталог вручную и установи все заново.
Наверное это не вирус, а неудачная/неполная установка или сбой винта

Alex Dark, похоже Вы правы.
Nokia PC Suite удалить сразу не удалось (не было доступа к одному файлу). Удалил только после восстановления с помощью встроенной в программу функции (появляется запрос на восстановление при попытке удалить).
Сканирование антивирусом NOD32 показало множество ошибок, но всё равно не прошло полностью. При достижении сначала 47, а затем 92% от общего числа сканируемых файлов система опять перезагружается.
Наверное, придётся менять жёсткий диск...:(

RSA, как посоветовал Вам Alex Dark - сделайте полный скандиск.

Например из командной строки - chkdsk c: /f /r - перезагрузите систему, да, скан будет делать долго.
Тоже самое можно и нужно проделать со всеми разделами. Для других разделов перезагрузка не нужна (только если система стоит не на разделе "С"), он пойдёт сразу.

Сделал полный скандиск и из командной строки - chkdsk c: /f /r, и из папки Мой компьютер->диск -> Свойства -> Сервис -> Выполнить проверку.
Затем сканирую NOD32. После нескольких минут как обычного, так глубокого сканирования пишет:
Eset GUI - обнаружена ошибка. Приложение будет закрыто.

RSA, решение твоей проблеммы надо искать в разделе "Железо"

После одного из последних сканирований в окне текущих действий NOD32 появилось сообщение: найден и вылечен 1 зараженный файл. До chkdsk c: /f /r статистика показывала 0 зараженых файлов.

Вполне возможно. Но Нод не панацея. Можно и нужно воспользоваться AVZ и cureit.

Но для начала все же реши проблему с железом.

Есть предложение радикального решения проблеммы - удаление всего каталога (но сначала останови и/или удали службу PC Suite и других с ней связанных если есть).

Если при удалении каталога будет ошибка "файл занят другим приложением" то это либо вирус, либо остался висеть процесс от нокии (Кстати фар тебе может помочь определить какой процесс висит на этом приложении или воспользоваться спец утилитами)

Далее решение "железных проблем".

PS НОД прога не плохая, но встречал случаи когда нод работал-обновлялся, а комп тормозил по черному. В процессах явно висело что то лишнее. AVZ и cureit показывали наличае (сейчас уж и не помню что именно) троянцев в оперативе и на диске. Двух-трехкратная шлифовка вычищала проблемму.
Или же вместо нода ставил 30-дневного каспера, полное сканирование решало проблему.

PS2 Только в одном случае чел признался что НОД предупреждал об опасности, но он её проигнорировал, т.к. устанавливаемые им проги требовали взлома, а НОД этому противился. А проги эти ему ну ой как нужны.
Вот так и живет он до сих пор, 2-3 месяца - переставляет машину. Потомучто после лечения проги перестают работать.

Чудны дела твои господи. Alex Dark а для чего он переставляет? Ведь достаточно в Ноде добавить в исключение и именно эти программы он трогать небудет. Если такое простое действо для знакомого тупик, может не стоит ставит те "очень" нужные проги.
Нод Ноду имеет разницу. Двойка не все новые вируса ловит, четверка ловит практически все, еще помогает своевременное обновление системы. Иначе ни какой антивирус Вас не спасет, вирус в ту же дырку пролезет.

Я особо не разбирался, но суть в том, что нод или каспер на кряк кидаются как тузик на грелку, сначала с подозрениями, потом с предупреждением о том, что кудато внедряется.
Если тупо все блокировать, то кряк тупо не работает.
Если все разрешать, то через некоторое время (час или два, при включенном инете) можно запустить проверку на вири (или даже если оставить на откуп антивирю), то в "System Volume Information" обнаруживается торянец. Через неделю у него их целый зоосад при этом нод работает обновляется (кстати тоже нелицензионный) но вирей видит только при сканировании. Лечение/Удаление вирей не помогает. Соответственно винда ХР так же пиратка сервиспак 2, заплаток ни каких.
Месяца три назад он поставил себе SP3. Пока не жаловался.

[offtop]Лично мне по барабану его проблеммы. Когда они его достают, мы идем пъём пиво, а между делом я реанимирую машину, если он сам не поднимает систему с образа

Цитата:

Сообщение от Блохастик (Сообщение 1662696) может не стоит ставит те "очень" нужные проги.

он на них баблосы зарабатывает.
Хотя, при желании, я думаю можно решить проблемму взлома этих прог другими, более безопасными способами, но я этим не занимаюсь[/offtop]

Та же проблема... :молись: На системе стоит НОД32 4.0.467 с последними обновлениями - ничего не ловит.

Ауторан пуст - то есть кроме как тех программ что узают (даймон тулс, аська и т.п.) ничего

Пробовал и Dr.Web CureIt! (что-то находит, но проблема остаётся), и Ад-Аваре (что-то находит, но проблема остаётся), и anti_autorun; Гмер; АВЗ - ничего.

Самое смешное, что в сети (локальной) есть ещё пару компов, там Лиса - та же проблема что и на компе с ИЕ :idontnow:

Может кто советом поделиться? Просто пару часов вчера мучался - и проверял, и временные файлы удалял, и историю браузера, под чистую, чистил, и реестр чистил - НОЛЬ.

На одном правда (когда уже надоело всё ;) ), после снёса 8-ки и новой установке, всё "успокоилось", вроде - поеду утром проверять.

Хотелось бы понять в чём могла быть (есть) проблема.

Заранее спасибо и извиняйте за, может быть, глупый вопрос ;)

З.Ы. Надеюсь темой не ошибся? Или это сюда надо?
З.З.Ы. Если ошибся, сорри и перенесите плиз

Как раз туда. Переношу.

Трабл то точно не с ИЕ.
НОД по всей видимости ловит не все рекламные модули, как впрочем и Веб. Рекомендация такая: Пролечить из под Live-CD cure-it ом, поставить касперского, пролечить еще раз, перезагрузиться. Потом проверять.
Еще можно сбросить настройки ИЕ через AVZ, но не думаю, что это понадобится.

К сожалению так ничего и не помогло... Перепробовал все антивирусы (ну почти все).
Пришлось переставить систему :(

to Mircea хотя уже похоже что и не надо.

Сдается что в инете очередная "эпидемия".
Дело в том, что эта гадость не совсем вирь, вернее (мне так кажеться) изначально она совсем не вирь. Поэтому антивири ее и не ловят. Детально не разбирался, но суть именно в том, что ни АВЗ ни Курит ни НОД ни каспер на ее не кидаются во время проверки, в результате загрузка с CD или флешки с последующей проверкой ни чего не дает (про каспера не скажу. С последними базами не пробовал), а при проверке из под зараженной ОС они их просто не видят, а то что видят это или другие вири или эта гадость сама подсовывает вири (ну это мое предположение).

Пока из всего антивирусного ПО не плохо показал себя каспер 2010 и только после обновления баз. Он не нашел этой гадости и не классифицировал ее ни как, но он отследил загрузку процесса (не однократного, а серии вредоносных). Т.к. единственным признаком жизни системы было движение мыши и почти 5-и минутная задержка на клик, то что он там и сколько рубил сказать не могу (из-за нехватки дискового пространства, были отключены все логи). Перезагружался по просьбе каспера раза три или четые в процессе лечения.

Да, предварительно (то есть до касперского) АВЗ-шкой сбросил все настройки IE. В ИЕ отключил все надстройки, отключил все из автозагрузки.

После окончания файловый каспер все что было в автозагрузке отметил как зараженные объекты и вылечил. А кроме них еще около сотни ЕХЕ

PS есть уже очередная(ые) модификация(ии) этой гадости которая блокирует запуск ПО, скрывает Пуск с панелькой, не дает диспетчер задач или блокирует в нем все кроме выключения. Это мне знакомый в пятницу рассказывал о своих приключениях.
При чем, не посчитайте за антирекламму, но стоит купленная макафа. И ловит он это с регулярностью в несколько дней. Если в первый раз он ее вычистил (с его слов) почти вручную, то с каждым разом предыдущие методы лечения не помогали. В последний раз он сказал следующее "я махнул рукой на эту шнягу. Я не выключаю комп, не выхожу из нужных мне программ и работаю на втором мониторе. А эта хрень резвиться на первом. Жду не дождусь когда руководство увидит"

Как я победил iMAX Download Manager
 

Симптомы:
1) на пол-экрана вываливается баннер Внимание! Вы нарушили лицензионное соглашение программного продукта iMax Download Manager с просьбой отправить SMS за деньги
2) не запускается диспетчер задач и редактор реестра
3) при попытке запуска любых прграмм появляется баннер iMAX Download Manager или комп перезагружается
4) комп не грузится в безопасном режиме
5) AVZ не запускается, даже если его переименовать
6) Total Commander тоже не запускается
7) Kaspersky Virus Removal Tool не устанавливается, т.е. он распаковывается, но когда должен запуститься, то появляется злосчастный баннер
8) Встроенное в Windows "Восстановление системы" отключено

Цитата с другого форума для лечения этой заразы iMAX Download Manager:
Если это не поможет, можете воспользоваться моей инструкцией:

Лечение (проверено на двух компах с WinXP SP2 Prof Corp RUS):
1) загрузиться с любого загрузочного CD, DVD, т.е. WinPE
2) зайти в %SystemRoot%\system32 (обычно это C:\Windows\System32\) и отсортировать файлы по размеру
3) ОСТОРОЖНО! Найти и удалить (или переместить в другую папку) файлы размером 133 664 байт (131 КБ). Они имеют расширение DLL и являются скрытыми. Их должно быть 3-4 штуки. Они все абсолютно идентичны между собой - в этом можно убедиться в Total Commander-е, если выделить два из них и выбрать пункт Файл - Сравнить по содержимому.
Замечание: название файлов DLL-ок самое разнообразное от 3 до 8 латинских букв, напр. у меня bjnfu.dll, igymxvj.dll. Единственный общий признак - дата создания, размер, атрибут "Скрытый"
Подсказка: дата создания у этих файлов, которые и есть вирусом, аналогична дате создания файла winlogon.exe
4) Произвести аналогичное удаление файлов (может 2, может 3 штуки) размером 133 664 байт (131 КБ) из папки TEMP (та, которая по умолчанию находиться в Documents and Settings\имя пользователя\Local Settings\Temp\) - в принципе можно очистить и всю папку Temp
5) Попутно убить все файлы Autorun.inf во всех корневых каталогах всех дисков и флешек
6) И ещё попутно поискать и удалить файл sdra64.exe, который находится в %SystemRoot%\system32 (обычно это C:\Windows\System32\) - просто он у меня был в обоих случаях, хотя я знаю, что это совершенно другой вирус.
7) Перезагрузка (надеюсь, что удачная)
8) Запускаете AVZ и выполняете Файл - Восстановление системы - пункты 10,11,17. Ну или вручную правите реестр ветки HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\ для разблокировки диспетчера задач и редактора реестра, а вот для восстановления SafeBoot всё таки надо AVZ.
На всё провсё 10 минут и порядок

P.S. Когда дописывал сообщение у меня обновился NOD32 и сказал, что эти файлы размером 133 664 байт (131 КБ) есть вирусом Win32/Autorun.Delf.EL червь

Попался ещё один комп, зараженный iMax Download Manager
Скорее всего, это уже его вторая модификация:
1) перебор кодов ответа на SMS в окне iMax Download Manager (3182699Х88 - вместо Х-перебрал цифры от 0 до 9) результата не даёт
2) в %system32% всё чисто
3) в C:\Documents and Settings\Guest\Local Settings\Temp\ обнаружены 2 скрытых .bat-файла:
rx.bat - 65 байт с текстом и w.bat - 61 байт с текстом , которые запускают две dll-ки соответственно. Обе размером 135 198 байт, скрытые и одинаковые по содержимому, дата создания у этих файлов, которые и есть вирусом, аналогична дате создания файла winlogon.exe в %system32%.
4) сами .bat-файлы запускаются через HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Лечение:
1. Переименовать\удалить .bat-файлы из C:\Documents and Settings\имя пользователя\Local Settings\Temp\
2. Перезагрузка (при перезагрузке винда говорит, что не может запустить .bat-файл (ы)
3. Переименовать\удалить dll-ки, которые запускались этими .bat-файлами
4. Удалить в реестре HKCU\Software\Microsoft\Windows\CurrentVersion\Run ссылки на .bat-файл (ы), которые были удалены
P.S. Редактор реестра не был заблокирован

Сервис деактивации вымогателей-блокеров.

"Лаборатория Касперского" представляет бесплатный сервис для борьбы с программами, блокирующими компьютер и предлагающими отправить платную СМС на определенный номер, взамен на номер отправителя будет выслан код, позволяющий разблокировать компьютер.

http://support.kaspersky.ru/viruses/deblocker

Увы, не всегда это щастье помогает. Позавчера притащили мне ноут, сервис генерации ключей для разблокировки не помог. Вымогатель требовал отправить SMS на номер 4460 с текстом K705113200 (за якобы незаконно установленный Download Master).
Вход в систему как под любым пользователем так и в безопасном режиме давал то же всплывающее окно. Запуск ieplore блокировался. При попытке запуска AVZ (переименованного в експлорер) - комп уходил в перезагрузку и вис в процессе, т.е. выключить можно было только принудительным отключением питания. Как отлечил: загрузился с LiveCD и запустил CureIt, который нашел 50 вирусов в основном троянблокер715 и авторан вирус через который вероятно и произошло заражение. После лечения система загружалась уже без всплывающего окна, но возникли другие проблемы.
Долечивал запуском AVZ, далее Файл->Восстановление настроек системы, где поставил галочки по всем пунктам кроме двух последних - Полное пересоздание настроек SPI и Очистить ключи Mount Points & Mount Points2.
После этого все заработало чисто. Собственно это комбинация методик с сайта Касперского. В чистом виде не срабатывало.

Видимо, раз на раз не приходится (с).
Было в ПС сообщение от человека, которому сервис помог.
В последнем случае мне не помог диск, скачанный с сайта Данилова.
Но выручил самостоятельно созданный на своём компьютере загрузочный диск Касперского.
Вот и разбери их, этих вымогателей.

кстати, о птичках... неделю или две назад коллега поймал такую же беду - "пришлите СМС на номер..."

подсказал я ему вычитанный в инете рецепт - помогло

смысл простой: запускаем через Win-R winword.exe; вбиваем любой символ; отправляем комп в перезагрузку

винда добросовестно завершает все процессы (да-да-да, и вирус тоже!) - а вот на word останавливается и спрашивает, не хотим ли мы сохраниться

говорим Cancel, сворачиваем окно - и получаем пусть слегка обрезанную (что-то может уже завершиться - инет, сеть, тому подобное), но все-таки способную запускать программы систему

более того - в данном случае процесс зловредного вируса уже погашен, и при лечении не должно возникнуть проблем ни с рестартом вредителя, ни с запретом доступа к файлу

автор постинга предупреждал - работает не всегда, но в примерно 90% получается. во всяком случае, коллеге помогло - после зачистки стерилизованной таким образом системы всякими тулзами (типа того же AVZ и иже с ними) проблема исчезла

Вымогатели "растут" :(
Последний вымогатель, с которым столкнулся (новая разновидность "download manager"), запускался через APP Init DLLs, т.е. каждый раз при запуске любого приложения (в safe-mode тоже). Лечился загрузкой с Alkid, нахождением и чисткой соотв. раздела реестра и указанной в нем dll-ки.

PS: в сервисе кодов его еще не было.

Internet Security обнаружил вредноносное ПО на вашем компьютере
 

Сегодня столкнулся с новой напастью:
При загрузке системы появляются окна "Ошибка риложения"
Инструкция по адресу "..." обратилась к памяти по дресу"..." память не может быть "written"
"ОК"-завершение приложеня
"Отмена"-отладка приложения
Отладка приводит к открытию нового окна "Ошибка приложения", но уже толко с одной кнопкой "ОК"-завершение приложения.. а потом при попытке запустить или удалить какую-нибудь программу появляется
Он "находит" 49 вирусов и предлагает лечить или удалить вредоносные файлы. Если выбираешь лечить - появляется сообщение об оплате программы посредством SMS на номер 7373.
Этот баннер выскакивает после загрузки windows и в безопасном режиме и в простом. Заблокированы диспетчер задач и реестр, восстановление системы отключено, антивирус отключен. При запуске любой программы баннер перезапускается и сканирует систему заново.
Мучался часа три:
1) Сервис деактивации вымогателей-блокеров - даёт код, который не помогает
2) Колдовство с LiveCD и антивирусами не помогло.
3) Помогла такая табличка (нашел на одном из форумов)
К = 1--2--3--4--5--6--7--8--9
0 = 8--9--1--2--3--4--5--6--7
1 = 9--1--2--3--4--5--6--7--8
2 = 1--2--3--4--5--6--7--8--9
3 = 2--3--4--5--6--7--8--9--1
4 = 3--4--5--6--7--8--9--1--2
5 = 4--5--6--7--8--9--1--2--3
6 = 5--6--7--8--9--1--2--3--4
7 = 6--7--8--9--1--2--3--4--5
8 = 7--8--9--1--2--3--4--5--6
9 = 8--9--1--2--3--4--5--6--7
Для кода в sms подставляешь цифры одного из столбцов. Меня просили отправить сообщение к204114200.
Значит надо пробовать комбинации
1183993188
2294114299
3315225311
...
Всего 9 вариантов, один из которых и подошел. Комп перезапустился и стал нормально работать (диспетчер задач, редактор реестра - ОК).
Народные умельцы даже написали прогу для генерации этих кодов http://files.mail.ru/15CNRR
Или можно воспользоваться онлайн-генеретором кодов ответа здесь
Вот такая поучительна история ;)

Кстати, после нормальной перезагрузки, необходимо проверить всю систему обновленным антивирусом, особенно обращая внимание на папки:
1) C:\Documents and Settings\%username%\Local Settings\ - там, как правило, остаётся один exe-файл (сам вирус)
2) C:\Documents and Settings\%username%\Local Settings\Temp\ - из этой папки можно вообще всё удалить и почистить аналогичные папки Temp у всех пользователей на компе (напр. Администратор, Гость, ...)
3) %SystemRoot%\system32 (обычно это C:\Windows\System32\) - найти файлы размером 129 536 байт. Их будет штук 5-6, из которых 2 файла относятся к Windows (msv1_0.dll и xmlprov.dll - эти файлы не удалять), а остальные, особенно с датой создания за январь 2010 года) - очень хорошо проверить - 99,9% вероятности, что это и есть тело вируса.
4) Проверяем антивирусом все флешки, контактировавшие с зараженным компом, особенно папку RECYCLER, которой в принципе не должно быть на флешках. А для надёжности удаляем сразу папку RECYCLER даже без проверки.
------------------------------------------------
Сегодня попалось ещё 2 компа с аналогичной проблемой. Решил поэкспериментировать, начитавшись информации в инете. Оказывается есть ещё один простой и эффективный способ: перевести дату в компе (в Windows или в BIOS) на более раннюю до 8 января, напр. 5 января. После перезагрузки баннер не появляется, т.е. можно более-менее нормально работать, т.е. запускается всё, кроме антивирусов (те, которые были установлены), диспетчера задач и редактора реестра. Это уже намного лучше .
Теперь для разблокировки всего остального нужно воспользоваться антивирусной утилитой AVZ (зеркало). А именно: скачать, распаковать, запустить на зараженном компе и выполнить Файл-Восстановление системы-пункты 6,9,11,16,17 (хотя можно и все, кроме двух последних).
Далее запускаем редактор реестра (C:\Windows\regedit.exe) и очищаем значение параметра AppInit_DLLs в ветке HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows. Теперь либо обновляем антивирус и лечимся, либо скачиваем Kaspersky® Virus Removal Tool (около 60 Мб) и лечимся. Подробная инструкция на использование Kaspersky® Virus Removal Tool с картинками находится по адресу http://avptool.virusinfo.info/.
Особенно обращаем внимание на папки[/b]:
1) C:\Documents and Settings\%username%\Local Settings\ - там, как правило, остаётся один exe-файл (сам вирус)
2) C:\Documents and Settings\%username%\Local Settings\Temp\ - из этой папки можно вообще всё удалить и почистить аналогичные папки Temp у всех пользователей на компе (напр. Администратор, Гость, ...)
3) %SystemRoot%\system32 (обычно это C:\Windows\System32\) - найти файлы размером 129 536 байт. Их будет штук 5-6, из которых 2 файла относятся к Windows (msv1_0.dll и xmlprov.dll - эти файлы не удалять), а остальные, особенно с датой создания за январь 2010 года) - очень хорошо проверить - 99,9% вероятности, что это и есть тело вируса. И ещё присматриваемся к файлам размером 157 130 байт.
4) Проверяем антивирусом все флешки, контактировавшие с зараженным компом, особенно папку RECYCLER, которой в принципе не должно быть на флешках. А для надёжности удаляем сразу папку RECYCLER даже без проверки.

Неужели антивирусы с последними обновлениями на LiveCD не лечат такие вирусы? :confused:

doro, разработчики антивирусов всегда отстают от вирусописателей. Как минимум - на период между выпуском вируса и его попаданием к аналитикам. А если вирус сложный - то и на бОльшие сроки.
Я лично раза 3 отправлял аналитикам "неуловимые" вирусы, которые после этого "начинали ловиться"...

А это не вирусы в строгом смысле слова, бо почкованием не размножаются, это т.н. "вредоносное ПО". Я, как и уважаемый Borland, несколько раз отправлял примеры таких "ПО" в службы поддержки, после чего они попадали в соотв. раздел.

В общем случае нужно анализировать автозапуск винды, путей коего, увы, не много, а очень много :(

New_Angel, по моему ты рано расслабился. Через неделю-другую у тебя все повториться.
Ты (быстрее всего) временно деактивировал вредоносное ПО. Есть вероятность его появления, но вышеописанный механизм его деактивации уже не сработает.
Как было верно замечено - это не вирус это вредоносное ПО. Как говорил Глеб Жиглов: "Сидит на телефоне мелкий человечик, ни кто, попка. Бабушка-божий одуванчик" Так и у тебя. Висит где-то в системе маленькая прожка, в задачу которой входит просто качнуть из инета пару тройку файлов и куда-нибудь их положить. И все. И ни под одно описание вируса она не попадает.

PS Я знаю одного человека, который минимум два месяца подряд бился с этой хренью, при условии установленного лицензионного, постоянно обновляющегося антивирусного ПО. Побеждал... до первой (второй, третьей) перезагрузки. И каждый раз новый механизм лечения. Пока не убил таки загрузчик, правда уже при помощи другого антивирусного ПО.

Новые алгоритмы определения ответного кода для eKAV антивирус (Internet Security)
 

Перед тем, как пользоваться алгоритмами, попробуйте использовать универсальный ключ, который на своём сайте предлагает компания DrWeb (сервис разблокираторов). Универсальный ключ для разблокировки – 544625144 или 544624144.

Также правильный код для разблокировки предоставляют операторы техподдержки фирмы А1агрегатор (владелец короткого номера 4460). Если вы столкнулись с такой проблемой - смело звоните 8-800-555-01-02 (бесплатный)
или московский телефон 8(495)363-14-27, добавочный 555. Вкратце описываем ситуацию, называем текст смс и номер. Вам дадут код активации (кому сразу, а кому обещают на протяжении 3 дней - сам не звонил, не в России я живу).

Так как ответный код зависит от даты, то составленные алгоритмы требуют, чтобы в вашем компьютере стояла определённая дата. Если дата будет другой, то алгоритм НЕ подойдёт. Нужную дату в компьютере можно выставить двойным щелчком мышки по часам в правом нижнем углу экрана. После смены даты компьютер следует перезагрузить и убедиться, что дата такая, как требует алгоритм. Второй способ смены даты – зайти в BIOS компьютера и выставить нужную дату там. Время должно быть дневное, например, 12:00

# Алгоритм 1. Для кодов вида K20* 815 *00
# Алгоритм 2. Для кодов вида К206 015 *00
# Алгоритм 3. Для кодов вида K210 315 *00
# Алгоритм 4. Для кодов вида K204 *15 *00
# Алгоритм 5. Для кодов вида K20* 115 *00
# Алгоритм 6. Для кодов вида K206 015 *00 и K212 015 *00

Алгоритм 1. Для кодов вида K20* 815 *00

Дата в компьютере: 21.01.2010
Пример кода: K205815300

Выбираете ваш вариант кода (обратите внимание на 3-ю цифру слева) и выписываете на листок бумаги ответный код
# K201815*00 – U31675*74
# K202815*00 – U32675*74
# K203815*00 – U33675*74
# K204815*00 – UH675*74 или U34675*74
# K205815*00 – U35675*74
# K206815*00 – U36675*74
# K207815*00 – U37675*74
# K208815*00 – UD675*74 или U38675*74
# K209815*00 – U39675*74

Обратите внимание на первую букву в ответном коде. Это ЗАГЛАВНАЯ английская буква U (произносится как “у”).
Например, для кода K205815300 выписываете на листок U35675*74

Вместо * в ответном коде подставляете цифру из первого кода, стоящую на месте звёздочки * в вашем коде, но увеличенную на 8. При этом, если в результате увеличения получается двузначное число, то вместо * записываете последнюю цифру справа этого числа, увеличенную на 1 (например, для цифры 7 надо записать цифру 6 (так как 7+8=15, крайняя справа цифра 5, а 5+1=6). Обратите внимание – цифры 0 в ответном коде быть не должно. Если у вас получился 0, то вы ошиблись в подсчётах. Для тех, кто не дружит с математикой вот таблица:
# Вместо 0 записываете 8
# Вместо 1 записываете 9
# Вместо 2 записываете 1
# Вместо 3 записываете 2
# Вместо 4 записываете 3
# Вместо 5 записываете 4
# Вместо 6 записываете 5
# Вместо 7 записываете 6
# Вместо 8 записываете 7
# Вместо 9 записываете 8

Для моего примера K205815300 в результате получите код U35675274

Ответный код вводите в окно программы и нажимаете ОК. Перезагружаете компьютер. Всё.

Не забудьте после перезагрузки поменять дату на текущую.
Желательно запустить восстановление системы на пару-тройку недель назад (Пуск – Все программы – Стандартные – Служебные – Восстановление системы). Данная процедура полностью безопасна для ваших файлов с данными.
В крайнем случае скачайте программу AVZ, запустите, выполните обновление (Файл-Обновление баз) и выполните Файл-Восстановление Системы, отметив все птички, кроме тех, где указано, что опасно.

Алгоритм 2. Для кодов вида К206 015 *00

Дата: 21.01.2010
Пример кода: K206015300

Для кода К206015*00 ответный код будет ZPR2*36, где * – цифра от 1 до 9, подбирайте по очереди.
Если не подойдет, то для кода К206015*00 ответный код будет ZPR*36, где * – ЗАГЛАВНАЯ буква английского алфавита. Какая именно – подбирайте по очереди начиная с А

Во время перебора может возникнуть ситуация, что на каждую следующую попытку тратится очень много времени (медленнее идёт счётчик). Чтобы ускорить процесс, надо после каждого неправильно введённого кода перезагружать компьютер.

Например, для кода 206 015 300 ответным кодом будет ZPRD36

Ответный код вводите в окно программы и нажимаете ОК. Перезагружаете компьютер. Всё.
Не забудьте после перезагрузки поменять дату на текущую.

Алгоритм 3. Для кодов вида K210 315 *00

Дата: любая
Пример: K210315000
Для кодов вида K210315*00 (* – любое число) помогает код активации 544624144

Ответный код вводите в окно программы и нажимаете ОК. Перезагружаете компьютер. Всё.
Не забудьте после перезагрузки поменять дату на текущую.

Алгоритм 4. Для кодов вида K204 *15 *00

Дата: 19.01.2010
Пример: К204115500

Выписываете на листок бумаги ответный код UA*86*36

Обратите внимание на первые буквы в ответном коде. Это ЗАГЛАВНЫЕ английские буква U (произносится как “у”) и A (буква английская, а не русская).

Вместо каждой * в ответном коде подставляете цифру из первого кода, стоящую на месте соответствующей звёздочки * в вашем коде, но увеличенную на 7. При этом, если в результате увеличения получается двузначное число, то вместо * записываете последнюю цифру справа этого числа, увеличенную на 1 (например, для цифры 7 надо записать цифру 5 (так как 7+7=14, крайняя справа цифра 4, а 4+1=5). Обратите внимание – цифры 0 в ответном коде быть не должно. Если у вас получился 0, то вы ошиблись в подсчётах. Для тех, кто не дружит с математикой вот таблица:
# Вместо 0 записываете 7
# Вместо 1 записываете 8
# Вместо 2 записываете 9
# Вместо 3 записываете 1
# Вместо 4 записываете 2
# Вместо 5 записываете 3
# Вместо 6 записываете 4
# Вместо 7 записываете 5
# Вместо 8 записываете 6
# Вместо 9 записываете 7

Для моего примера К204115000 в результате получите код UA886736

Ответный код вводите в окно программы и нажимаете ОК. Перезагружаете компьютер. Всё.

Не забудьте после перезагрузки поменять дату на текущую.

Алгоритм 5. Для кодов вида K20* 115 *00

Дата: 22.01.2010
Пример: К207115000

Выписываете на листок бумаги ответный код U1*88*H

Обратите внимание на буквы в ответном коде. Это ЗАГЛАВНЫЕ английские буква U (произносится как “у”) и H (буква английская, а не русская, читается как “Аш”).

Вместо первой * в ответном коде подставляете цифру из первого кода, стоящую на третьем месте слева в вашем коде, но увеличенную на 7. При этом, если в результате увеличения получается двузначное число, то вместо * записываете последнюю цифру справа этого числа, увеличенную на 1 (например, для цифры 7 надо записать цифру 5 (так как 7+7=14, крайняя справа цифра 4, а 4+1=5). Обратите внимание – цифры 0 в ответном коде быть не должно. Если у вас получился 0, то вы ошиблись в подсчётах. Для тех, кто не дружит с математикой вот таблица:
# Вместо 0 записываете 7
# Вместо 1 записываете 8
# Вместо 2 записываете 9
# Вместо 3 записываете 1
# Вместо 4 записываете 2
# Вместо 5 записываете 3
# Вместо 6 записываете 4
# Вместо 7 записываете 5
# Вместо 8 записываете 6
# Вместо 9 записываете 7

Для моего примера К207115000 в результате получите код U1588*H

После этого вместо оставшейся * подставляете две цифры 5?, где ? – цифра от 1 до 9, которую надо подобрать по очереди.
Если ни один из вариантов не подойдет, то вместо оставшейся * подставляете ЗАГЛАВНУЮ буква английского алфавита. Какую именно – подбирайте по очереди начиная с А

Во время перебора может возникнуть ситуация, что на каждую следующую попытку тратится очень много времени (медленнее идёт счётчик). Чтобы ускорить процесс, надо после каждого неправильно введённого кода перезагружать компьютер.

Например, для кода 207 115 000 ответным кодом будет U1588NH

Ответный код вводите в окно программы и нажимаете ОК. Перезагружаете компьютер. Всё.

Не забудьте после перезагрузки поменять дату на текущую.

Алгоритм 6. Для кодов вида K206 015 *00 и K212 015 *00

Дата: 22.01.2010
Пример: К212015200

Выписываете на листок бумаги ответный код
для кода вида K206 015 *00 – DE46*32
для кода вида K212 015 *00 – DG46*32

Обратите внимание на буквы в ответном коде. Это ЗАГЛАВНЫЕ английские буква G (произносится как “же”) и E (буква английская, а не русская, читается как “и”).
Для моего примера К212015200 в результате получите код DG46*32

После этого вместо оставшейся * подставляете две цифры 2?, где ? – цифра от 1 до 9, которую надо подобрать по очереди.
Если ни один из вариантов не подойдет, то вместо оставшейся * подставляете ЗАГЛАВНУЮ буква английского алфавита. Какую именно – подбирайте по очереди начиная с А

Во время перебора может возникнуть ситуация, что на каждую следующую попытку тратится очень много времени (медленнее идёт счётчик). Чтобы ускорить процесс, надо после каждого неправильно введённого кода перезагружать компьютер.

Например, для кода 212 015 200 ответным кодом будет DG462832

Ответный код вводите в окно программы и нажимаете ОК. Перезагружаете компьютер. Всё.

Не забудьте после перезагрузки поменять дату на текущую.

Источник

Помогите пожалуйста!:молись:
у меня стоит nod версии 3.0.672.0. Поймал какую-то гадость, после чего в инете блокируется вход на любой официальный сайт, и не обновляется антивир. пробовал лечить dr.web. никакого эффекта. что делать?:help:

Про официальный сайт не понял. С месяц назад сосед обратился с похожей проблемой, там дочка-студентка побродила где не надо. Оказалось, что испорчен файл hosts из папки (c:\WINDOWS\system32\drivers\etc). Типа какой-то простейший вирус написал всякую дрянь. А антивирус не поймал ... Руками был исцелен за 3 минуты. Из них 2 сосед демонстрировал как при попытке зайти на известные сайты происходил переход в порногадюшник :biggrin:
Нормально,если единственная незакомментированная начальным символом # строка это:
127.0.0.1 localhost
(если ты сам умышленно не писал туда другое).

на официальные сайты любого антивируса. из-за этого ине происходит обновление!:idontnow:

Файл hosts посмотрел? Он блокнотом открывается.

да, посмотрел.
127.0.0.1 localhost у меня так написано. все верно?:help: