Нашел, точнее - помогли.
Цитата:
Второго ключа у меня и не было. В моем случае зависания XP не было, просто не грузился Рабочий стол. В безопасном режиме - та же картина. А есть случаи, когда в безопасном режиме все OK, в этих случаях происходит зависание какого то сервиса. Если этому событию (Нет ничего на Рабочем столе) предшествовало удаление вируса, то может помочь -следующее: Цитата:
|
Нужна Инфа по вирусу Email-Worm.Win32.Sceno.ay (так его называет KAV 5.0 225) . В энциклопедии Касперского его - не нашел. И вообще в сети не нашел.
|
Цитата:
|
Цитата:
2. http://www.z-oleg.com/secur/virlist/email-worm.php 3. http://www.z-oleg.com/secur/avz/index.php 4. RemoveIT Pro XT2 - SE http://www.incodesolutions.com/removeit.php 5. Spybot - Search & Destroy http://www.safer-networking.org/ru/index.html Также подходит для лечения и удаления большинства известных бяк! |
Цитата:
Под таким именем он классифицируется ТОЛЬКО Касперским. И соответствующее описание может (и должно!) исходить непосредственно от разработчиков AVP (авторы вируса тоже могли бы помочь, но уверен - не будут)... Т.е. в первую очередь инфа появится (если вообще появится) именно на viruslist... Цитата:
Хотя, возможно, dim99 просто ошибся в написании... |
Цитата:
Цитата:
Hoger Нужна инфа, а не средства удаления. Название вируса - без ошибок. |
Цитата:
|
Panzer2
Этот вирус создает ветку реестра : HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Image File Execution Options/explorer.exe я не видел ее (HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Image File Execution Options) в контрольных точках HijackThis. Т.е. я не верю свято в какую то определенную прогу типа HijackThis. Странно, ведь это не трой. Чего он так загружает трафик? |
Цитата:
ничего плохого нет, если там не установлен отладчик для explorer. А в логах AVZ отладчик обязательно будет отражен. Конечно панацеи нет. Но имхо просьба о помощи в нахождении/удалении вируса с компьютера должна начинаться с логов AVZ и HijackThis. Только после анализа этих логов можно двигаться дальше и давать конкретные советы по лечению конкретной машины. Цитата:
|
Цитата:
Цитата:
Цитата:
|
Цитата:
Цитата:
Цитата:
|
Исчезла вкладка "Свойства папки"
подцепил какой-то вирус, когда, даже не заметил. Увидел, что пропали расширения файлов в проводнике. В Total Cmd видны. Полез в меню проводника СЕРВИС - СВОЙСТВА ПАПКИ, думал галочка стоит в настройках, а вкладки свойств папки нет! Нет её и в панеле управления. Проверил всё DrWeb потом AVAST. аваст перед загрузкой много чего нашёл, но вкладка не появилась в меню проводника. Вручную нашёл каталоги Bron-Spizaetus и Tok-Cirrhatus, файл bronstab.exe и еще всякую всячину. Удалил всё из реестра, но ничего не помогло.
У кого такое было - поделитесь опытом. |
А какие права на компьютере ?
Случайно админ не слетел ? |
ОС какая?
|
Цитата:
Цитата:
|
Права администратора не слетели. Сижу в домене, вхожу в комп и с правами админа и под своим паролем (тоже с правами админа). Установлена Win XP SP2 En лицензионная.
При загрузке всегда запускается проводник C:\Windows. Переустановил Service Pack 2 - не помогло :( |
igortver
_http://www.bleepingcomputer.com/forums/lofiversion/index.php/t33568.html _http://www.securitywonks.net/site/forums/archive/index.php/thread-430.html Если с английским проблемы - _http://www.viruslist.com/ru/viruses/encyclopedia?virusid=121383 Тема про борьбу с вирусами у нас ТУТ - клею. |
По вирусу Email-Worm.Win32.Sceno.ay (так его называет KAV 5.0 712) есть ответ от Касперского:
Цитата:
Цитата:
|
Ответ от Касперского, точнее от его партнера, у которого мы покупаем KAV.
Специально по Вашему запросу было подготовлено описание запрошенного вируса: Email-Worm.Win32.Scano.ay Программа-червь, которая распространяет себя по электронной почте. Программа является приложением Windows (PE EXE-файл). Имеет размер 21 570 байт. Упакована WinUpack. Распакованный размер около 83 килобайт. Написана на C++. Инсталляция Заражение происходит при открытии и запуске зараженного файла вложения из письма электронной почты. Червь не работает под ОС Win9x. При запуске копирует свой исполняемый файл в папку Windows с именем: %WinDir%\csrss.exe Создает ключ реестра : [HKLM\Sоftware\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe] "Debugger"="%WinDir%\csrss.exe" или, в случае неудачи создания такого ключа, добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра: [HKCU\Sоftware\Microsoft\Windows\CurrentVersion\Run] "Application" = "%WinDir%\csrss.exe" После этого исполняемый файл червя будет автоматически запускаться при каждом следующем старте Windows Деструктивная активность Червь запускает процесс services.exe и внедряет в его адресное пространство свой код, который выполняет следующие действия: 1. Проверяет значение указанного ниже ключа реестра и восстанавливает его значение в случае его отсутствия : [HKLM\Sоftware\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe] "Debugger"="%WinDir%\csrss.exe" 2. Восстанавливает свой исполняемый файл из копии в оперативной памяти в случае его удаления с жесткого диска. Червь запускает процесс svchost.exe и внедряет в его адресное пространство свой код, который выполняет следующие действия: 1. Пытается установить соединение с Интернет 2. Запускает поток, который ищет в системе окна класса "AVP.AlertDialog" и имитирует в них нажатия на кнопку <Разрешить> или "Allow" 3. Создает файл во временной папке Windows: %Temp%\Message.hta Этот файл содержит тело вируса в зашифрованном виде и VBS скрипт, который производит расшифровку тела вируса, сохраняет его в корневой каталог диска C: под произвольно сгенерированным именем и его последующий запуск. 4. Запускает поток, который производит рассылку зараженных писем с вложенными файлами, которые содержат тело червя. Рассылка производится используя встроенный в червя почтовый клиент. Заголовок письма выбирается случайным образом из списка: Hi, what's up? He, where are you? Hi, drop me a line!!! Hi! Please write to me urgently! Hi! I'm waiting you online today! Will you be online today? When you're gonna answer me? Re: write to me! Re: Call me! Re: Where are you? Re: When you're gonna answer me? Hi!!! How's the mood? Re: How's the mood? Re: Where have you been? Текст письма выбирается случайным образом из списка : Hi!!!!! You haven't been writing for a long time. I began to worry) Where have you been? You remember, you've asked a progy from me? I've finally found it, so here it is. Check it out if this is what you've been looking for... bye Hi, what's up? Will you show up online today? Drop me a line in ICQ, ok? Btw, I'm sending you the docs you've been looking for, find them attached. Check them out, ok? Hi! I'm coming to you tomorrow, ok? When you are going to be home? You remember, you've asked some docs. Please find them attached. Check and see what's inside. That's it. Bye, till tomorrow... Hi! You disappeared again. If you come online, drop me a line, ok? Btw, I sent you those docs that you've been looking for. Check them out. Bye! Hi, give me a call just when you got the message! I'm tired of waiting. Btw, I'm sending that program that you've been looking for. Check it out. Appears to be that one. Bye! Hi, what's up? If you have time tomorrow, please come over. After midday. By the way, don't forget to check the enclosed documents. Bye. See you tomorrow. Hi, I got a free day tomorrow, and I'm waiting for you. Please come after midday. By the way, I'm sending you the documents that you've been asking for. Read them out... Bye! Hi, how are you? What are your plans today? If you have time, please come over, and don't forget to check the program attached. Bye! Hi, what's you gonna do today? I'll come over tonight! By the way, don't give anyone this funny program I'm sending. Check it out. Bye! Hi, I found that program you asked for. Find it attached. Bye. Hi, I saw you around today, but you didn't noticed me ( If you're gonna be at home, give a call, ok? By the way, check this file I'm sending. A very interesting program... What's up! You haven't been writing for a long time: I got news. I've finally that program you needed: I'm sending it out. Use it. Bye! Hi, drop me a line today, ok? And see the program I'm sending. Bye! Hi, drop me a line if you can. Btw, I have a new ICQ. Please don't forget to check the attached documents. Bye. Hi! How are you? Drop me a line if you can. I found your documents and I'm emailing them to you. Bye. Файл-вложение назван одним из следующих имен: Message File Document README Passwords Readme Important New COOL Archive Fotos private confidential secret images your_documents backup 5. Червь получает зашифрованный URL для загрузки файла из Интернет по следующей ссылке: Файл скачивается в рабочую папку с исполняемым файлом червя и сохраняется с именем 1.exe после чего запускается. 6. Червь копирует свой исполняемый файл на все разделы жесткого диска в папки, имена которых содержат в себе следующие строки. bear donkey download ftp htdocs http icq kazaa lime morpheus mule shar source upload pub log Имя файла червя выбирается произвольно из следующего списка: 1001 Sex and more.rtf 3D Studio Max 6 3dsmax ACDSee 10 full Adobe Photoshop 10 full Adobe Premiere 10 Ahead Nero 8 Altkins Diet.doc American Idol.doc Arnold Schwarzenegger.jpg Best Matrix Screensaver new Britney sex xxx.jpg Britney Spears and Eminem porn.jpg Britney Spears blowjob.jpg Britney Spears cumshot.jpg Britney Spears fuck.jpg Britney Spears full album.mp3 Britney Spears porn.jpg Britney Spears Sexy archive.doc Britney Spears Song text archive.doc Britney Spears.jpg Britney Spears.mp3 Clone DVD 6 Cloning.doc Cracks & Warez Archiv Dark Angels new Dictionary English 2004 - France.doc DivX 8.0 final Doom 3 release 2 E-Book Archive2.rtf Eminem blowjob.jpg Eminem full album.mp3 Eminem Poster.jpg Eminem sex xxx.jpg Eminem Sexy archive.doc Eminem Spears porn.jpg Eminem.mp3 Full album all.mp3 Gimp 1.8 Full with Key Harry Potter 1-6 book.txt Harry Potter 5.mpg Harry Potter all e.book.doc Harry Potter e book.doc Harry Potter game Harry Potter.doc Harry Potter and the Sorcerer's Stone game How to hack new.doc Internet Explorer 9 setup Kaspersky Internet Security 6.1 KeyALL Kaspersky`s Pub 6.0 Ultimate Kazaa Lite 4.0 new Kazaa new Keygen 4 all new Learn Programming 2004.doc Lightwave 9 Update Magix Video Deluxe 5 beta Matrix 3 .mpg Microsoft Office 2003 Crack best Microsoft WinXP Crack full MS Service Pack 6 source code Norton Antivirus 2005 beta Opera 11 free Partitionsmagic 10 beta Porno Screensaver britney RFC compilation.doc Ringtones.doc Nostradamus.doc From me with love World Trade Center last video.mpeg anthrax.doc Osama Bin Laden.jpg Taliban Osama bin Laden.mpg Yellow Pages Ringtones.mp3 Saddam Hussein.jpg Screensaver2 Serials edition.txt Smashing the stack full.rtf Star Office 9 Teen Porn 15.jpg The Sims 4 beta Ulead Keygen 2004 Visual Studio Net Crack all Vista review.doc WinAmp 13 full with sources Windows Vista Sourcecode.doc Windows 2003 crack Windows XP crack WinXP eBook newest.doc XXX hardcore pics.jpg и одного из расширений: .exe .pif .scr 7. Червь производит поиск на всех жестких дисках файлов имеющих следующие расширения : .adb .asp .cfg .cgi .mra .dbx .dhtm .eml .htm .html .jsp .mbx .mdx .mht .mmf .msg .nch .ods .oft .php .pl .sht .shtm .stm .tbb .txt .uin .wab .wsh .xls .xml .dhtml При нахождении таких файлов червь производит поиск в этих файлах адресов электронной почты и рассылает по этим адресам зараженные письма. Письма не рассылаются по адресам содержащим ниже перечисленные строки : @example. 2003 2004 2005 2006 @microsoft rating@ f-secur news update .qmail .gif anyone@ bugs@ contract@ feste gold-certs@ help@ info@ nobody@ noone@ 0000 Mailer-Daemon@ @subscribe kasp admin icrosoft support ntivi unix bsd linux listserv certific torvalds@ sopho @foo @iana free-av @messagelab winzip winrar samples spm111@ .00 --- abuse panda cafee spam pgp @avp. noreply local root@ postmaster@0 .1 .2 .3 .4 .5 .6 .7 .8 .9 Рекомендации по удалению 1. При помощи <Диспетчера задач> завершить зараженные процессы services.exe и svchost.exe. 2. Удалить все копии червя на жестком диске 3. В редакторе реестра удалить ключи реестра: [HKLM\Sоftware\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe] [HKCU\Sоftware\Microsoft\Windows\CurrentVersion\Run\Application] 4. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (<a href="http://www.kaspersky.ru/trials">скачать пробную версию</a>). |
Как удалить вирус Gael (Tenga) в сети?
Сетка одноранговая, ВинХР. Все компы одновременно от сети отключить нельзя. |
ребята что посоветуйте в первый раз столкнулся с вирусами. dr.web определил как WIinn32.HLLP.Jeefo.36352 сайт _www.viruslist.com обнаружил как Virus.Win32.Hidrag.a у меня архив ценных программ заражены этим вирусом удалять нихочу что подскажете?
|
Цитата:
Если все твои вылеченные проги работают - отлично, стираешь архив с зараженными. Если нет - пробуешь лечить проги другим АВ. Напиши о результатах. |
У МЕНЯ ПОЯВИЛСЯ СТРАННЫЙ ВИРУС И DRWEB ВЫЛЕЧИТЬ ЕГО НЕ МОЖЕТ
ПО ВСЕМУ КОМПУ ПЛОДЯТСЯ ФАЙЛЫ C:\Documents and Settings\Администратор\~tmp0374.exe C:\Documents and Settings\Администратор\Рабочий стол\5110dsawfff.exe C:\WINDOWS\abc1.bat ИНТЕРНЕТ ЕКСПЛОЕР КИКНУЛСЯ |
jin, стандартный алгоритм действий:
1. Выполни msconfig и проверь автозагрузку. 2. Изучи список процессов и прибей все подозрительные, если что - опубликуй для общественности, посмотрим вместе. Причём смотреть лучше через TaskInfo, готовить список также в ней (Ctrl+S). Цитата:
|
нету библиотеки какойто
мсконфиг почитил от постороних процесов память прочистил и все равно файлы появляются |
Цитата:
Цитата:
|
jin
Идешь на http://helpme.virusinfo.info/ и делаешь логи, как там сказано. Логи выкладываешь в Инет (slil.ru т.п.) |
я поонял откуда вирус- мой сайт хакнулуи
[здесь была сцылка на сайт - покоцано злым модератором] на главной странице вирус- подскажите как сайт от него вылечитЬ!? |
Цитата:
|
Здравствуйте Уважаемые посетители форума!!!
У меня возникла проблема и я бы хотел с вашей помощью ее ликвидировать.Ну так вот,суть этой проблемы в том,что после запуска Windows программа Download Master не запускается и пишет "DAp.Exe вызвал ошибку и будет закрыто.Необходимо перезагрузить программу...Создан журнал ошибок.".Я так думаю,что это последствие вируса Троян.Ну я ,естественно,проверил компьютер антивирусом Касперского.Ну и удалил его.Но теперь,как следует из вышеизложенного,программа Dap не хочет открываться.Не могли бы Вы мне подсказать,как устранить эту ошибку,просто после этого стал очень сильно тормозить Windows.И если вам не трудно,можеть излагать языком чуть попроще,так как я являюсь пользователем-любителем и терминологию не слишком воспринимаю.Дорогие собеседники,не откажите в помощи,очень на Вас надеюсь. Заранее Огромное спасибо!!!!!:) ;) :rolleyes: :cool: |
Переставить Download Master и не давать Касперскому удалять потом файл.
|
если тормозит Windows, то скорее всего запущен вирус в процессах, вероятнее всего рассылка спама. Действия вполне стандартные, отключить восстановление системы, остановить программы не первой важности, удалить download master, проверить полностью антивирусом(обновленным).. потом снова установить DM. Вот примерно так по порядку
|
sfc /scannow ета команда што делает ???
|
Цитата:
|
Цитата:
|
Потому что процесс вируса может маскироваться под Download Master.
|
Начало тут.
Нашел еще одного человека с похожей проблемой(1). Там советуют поместить файлы kernel32.sys, rar.exe и ati2sgag.exe(которую я, кстати, у себя не нашел) в карантин через АВЗ. Но когда я попытался удалить rar.exe(неделю назад), то у меня завис комп как у героя того форума. CPU был забит на 100% даже в безопасном режиме. После этого я, честно говоря, боюсь воспользоваться советом "Bratez"-a. Так что если кто-то с этой заразой уже сталкивался - прошу написать как от нее избавились(темы через поиск просмотрел - вроде о ней еще не писали). |
Аstral, а кто мешает загрузившись в безопасном режиме через коммандную строку набрать "sfc" и вставит в СиДи-привод дистрибутив (для "лечения" kernel32)? Правда, перед этим, стоит посмотреть внимательно, какие процессы активно крутятся и что в автозагрузке (по реестру и по папочке меню)! Давай подробно перечисляй все процессы, что активно работают - бум разбираться!
WinRAR снести полностью - после "лечения" заново установить... |
Аstral,
1. KAV 2. HiJackThis 3. AVZ все логи в студию |
Вот логи с hijac-a. Если нужно скачаю другие программы, просканирую ими тоже. Винрар удалил, поставил вместо него 7зип. rar.exe удалился, но глюков пока не наблюдается. У вируса кажется довольно своеобразная логика...
|
Часовой пояс GMT +4, время: 16:22. |
Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.