Рекомендованная инструкция по нахождению и удалению вредоносных программ на вашем ПК.
Этап 1. Попытка лечения зараженного ПК. 1а. Если у Вас есть антивирус - обновите его базы и проверьте компьютер с максимально возможным настройками. 1б. Если у Вас нет антивируса - можно использовать бесплатные средства диагностики (на выбор): - утилиту от DrWeb - CureIT! : страница загрузки - онлайн сканер Касперского : http://www.kaspersky.ru/virusscanner (скачайте последнюю версию, даже если у вас имеются эти средства) Замечание: выбирайте средство диагностики иной компании, нежели ваш установленный в системе антивирус. 2. Отключите восстановление системы (Windows Me/XP). Этап 2: Сбор информации с вашего ПК 3. Скачайте следующие утилиты: - антивирусную утилиту AVZ: Страница загрузки (ссылка на загрузку расположена в самой правой колонке под текстом Скачать (3.0 Мб)) - утилиту HiJackThis: Страница загрузки (Даже если у Вас есть AVZ или HiJackThis, скачайте их заново!) 4. Распакуйте из архива HiJackThis и поместите в новую отдельную папку. 5. Распакуйте из архива AVZ и поместите в новую отдельную папку. 6. Обновите базы AVZ: Открыть AVZ: "Файл" => "Обновление баз". Закройте AVZ. Перед выполнением следующих пунктов (7, 9, 11) закройте свои антивирусные программы, игры, текстовые редакторы и любые другие программы, оставьте запущенным только программу-браузер (Internet Explorer. Если он не запущен - запустите)!!! -- Протоколы AVZ -- 7. Запустите AVZ. Выберите из меню "Файл"=>"Стандартные скрипты" и поставьте галку напротив "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info". Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое сканирование, лечение и исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscure.zip. 8. Обязательно перезагрузите компьютер, так как AVZ в ходе проверки системы может нарушить работу некоторого ПО (в частности антивирусов и фаерволов). После перезагрузки ПО продолжит корректную работу. 9. Запустите AVZ. Выберите из меню "Файл"=>"Стандартные скрипты" и поставьте галку напротив "Скрипт сбора информации для раздела "Помогите!" virusinfo.info". Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscheck.zip. -- Протокол HiJackThis -- 10. Запустите HijackThis. Если программа не запускается или прекращает работу после запуска, переименуте файл программы HijackThis в 1.exe и в дальнейшем используйте его. 11. Нажмите на кнопку "Do a system scan and save a logfile". 12. Сохраните лог. По умолчанию лог сохраняется в папке программы с именем hijackthis.log Этап 3: оформление запроса на форуме imho.ws. После этапа сбора информации у вас должно появиться 3 лога: - hijackthis.log в папке программы HijackThis - virusinfo_syscheck.zip в директории AVZ в папке "LOG". - virusinfo_syscure.zip в директории AVZ в папке "LOG". Внимание! Последний архив не путать с virusinfo_cure.zip!!! Его категорически запрещено выкладывать на форуме! Прикрепите их к вашему сообщению или залейте их на файлообменник. Создайте ваше сообщение в этой теме с указанием симптомов заражения вашего ПК. Мы постараемся вам помочь на основе логов вашей системы, насколько это возможно. И последнее: напишите мне ПС в личку, чтобы я их посмотрел, а то могу пропустить ваш запрос. © Использованы правила оформления запроса в разделе Помогите! портала VirusInfo.Info. Источник правил: http://virusinfo.info/showthread.php?t=1235 |
Незнаю в какой теме задавать свой вопрос, если здесь будет лишним плз дайте ссылку и можете удалять мой топик.
Нужен антивирус который устанавливался бы на флэшку. Надоело тащить на свой комп вирусы с других компов. Нужна не портэйбл версия которую надо запускать а именно для установки на флэшку. Кто знает плз дайте знать. Заранее тнх.
|
в контекстном меню при клике мышки по жесткому диску появилось "open(0)" Че это, и как с ней бороться?
|
Так это опять старина autorun.inf. Поищи решение поиском на форуме.
И вот сдесь ещё посмотри: http://forum.oszone.net/thread-74606-2.html |
Цитата:
|
Цитата:
Цитата:
Цитата:
|
подскажите пожалуйста что за файл u94.exe
он генерит у меня траффик |
Цитата:
|
Еще можно проверять подозрительные файлы системой _http://www.virustotal.com/ru/ - я довольно часто ей пользуюсь. Попробуйте, это один из вариантов решения.
|
помагите плиз , если такая проблема уже была просмотрена то ссылочку на неё плиз.
итак в чём суть проблемы , в ключаю компьютер , всё вроде норм , как загрузке рабочего стола , появляется на весь экран , надпись закрывая собой всё что на рабочем столе , "у вас истёк срок лицензионного соглашения windows " он у мя 3 года работал и тока щас эта надпись вышла , перед этим никаких напопинаний сказано не было , но внизу есть примечательная поментка , что код моно получит СМС , при зажатии Ctrl+Alt+Delete на мгновение появляется окно и тутже ичезает , кое как выписал названии программы , зашёл через ебзопасный режим удалил её и похожие на неё названия "sound" . думал всё норм стало , но сразу же после удаления у меня на компе начало само по себе включатся интеренет эксповер , заходя на какойто китайский сайт , я пытался удалить его , удалил сначала через "панель управления , и т.д. " вроде полностю удалил ,ошибка не справилась , далее начал сам искать через " поиск" нашёл , удалил , и теперь вылезает окно експловера на долю секнуду скрывая собой все приложения на компьютере , в которых я сижу в данный момент , и закрывается с периодом примерно 8-10 секунд , есть 2 файла "explorer" которые не могу удалить с компьютера , плиз обьясните в чём проблема ..:confused::( |
Цитата:
Если это то, что вы наблюдали у себя на компьютере (или что-то подобное), то решение проблемы находится в соседней теме. А вообще, один из самых надежных способов борьбы с вирусами, которые уже поразили систему, на мой взгляд - загрузиться с LiveCD и проверить полностью систему CureIt'ом (о чем я и многие здесь неоднократно писали). |
эту проблему я уже устранил , у меня каждые 15 секунд вылазиет интернет експловер и сразу же исчезает , сам сижу через оперу , пытался удалить не получается (
незнаю что делать(( |
у меня проблему с активацией винды через смс решил CCleaner, ну и предварительное удаление через msconfig всего ненужного с автозагрузки ) а так вроде бы везде пишут что drweb live-cd с ним оч хорошо справляется...
|
Проблема следующая.
:help: Знакомы выходил в интернет посредством "Оперы", не знаю где лазил, но теперь у него при запуске на весь экран (монитор) сообщение "Вы пытаитесь загрузить порно ролик (фильм) с сайта ... вышлите СМС на номер ..... . По телефону ему советую загрузится в безопасном режиме, загрузка проходит, но картинка только с большими буквами опять на весь монитор. Кнопку пуск не видно, при нажатии клавиши которая со значком майкрософт, не активна. Качаю ему LiveCD, но как он её загрузит если экран закрыт. :idontnow: |
vest, в том и фишка LiveCD, что грузится не зараженная винда (с харда), а записанная на диске, т.е. чистая.
|
Подвидов этой гадости - множество, и если этот баннер есть и в ИнтернетЕкплорере, то, скорее всего источник находится в C:\Documents and Settings под кем-то из пользователей, в какой именно директории - припомнить не могу, но откуда растут ноги можно вычислить по неизвестному(незнакомому) процессу из диспечера задач (забить его в поиск). Всё проделывается из безопасного режима из-под администратора(не юзера с правами) путём нажатия трёх волшебных кнопок и прибивания незнакомых процессов.
Сама программка состоит из 3-4 файлов: ехешника, батника, inf и ещё чего-то. Мне удавалось удалить под виндой Unlocker-ом. |
Вложений: 2
Cartman, скачал по ссылке LiveCD, записал на диск, вот что у меня получилось (2 скриншота), на моем компьютере не запускается, как им пользоваться.
Или на зараженной машине он запускается автоматом. |
vest, чтобы любой LiveCD загружался, необходимо в BIOS'е выставить загрузку не с винчестера, а с CD. Только в таком случае во время загрузки компьютера будет грузиться система записанная на диск, а не ваша родная (в данном случае инфицированная).
|
Emelman, меня, что смущает в этой сборке, там нет авторана, или я что-то не правильно скачал.
архив весит - 66,5 МВ |
vest, autorun.ini - это файл отвечающий за автоматическое выполнение определённых действий при открытии содержимого диска. В Вашем случае открывать диск не нужно, Вам надо с него загрузиться, для этого нужен файл boot.ini.
А то, что архив весит мало, то это не страшно. Судя по скринам, Вы скачали загрузочный диск с ресурса DrWeb'а. Лично я его не использовал, но более чем уверен, что образ у Вас правильный. Осталось только выяснить, вы с BIOS'ом знакомы? Понимаете, что и где надо выставить, чтобы компьютер грузился не с винчестера, а с компакт-диска? |
Emelman, да с Биосом смогу разобраться.
|
Цитата:
|
Как восстановить доступ на сайты антивирусов?
Есть комп, переживший заражение авторанером и win32.sektor17. Система ВинХР СП3, все вроде восстановил, все работает, НО не могу ни зайти на сайты drweb и kaspersky, ни соответственно обновить антивирусные базы.
Поиск в реестре по drweb.com делал, фаил hosts проверял - нифига не помогает =( Подскажите плз куда копать? |
а если попробовать другим браузером?, кстати, ты каким заходишь?
Если IE, то посмотри в закладке "конфиденциальность -> узлы" |
А эти сайты пингуются?
Что показывает трассировка? (tracert адрес)? |
не может определить ip сайта, такое ощущение что они в ДНС не резолвятся.
хотя с другого компа с этого же ip все грузится в момент. |
Nymph проблема у тебя локально, возможно ты не дочистил до конца ошметки вируса. Либо еще и кидо в системе. Берем АВЗ и проверяем на внедренные дллы и удаляем что вызывает недоверие. Кидо можно проверить и выщемить Kido Killer от каспера.
|
Вложений: 1
не могу удалить или очистить данный вирус, может кому попадался? как с ним можно бороться?
|
Где вирус-то? Где описание как проявляется, чем мешает, как пробовал побороть?
|
solution, если вы всерьёз думаете, что кому-то нечем заняться кроме скачивания картинок с файлопомойки, то знайте: это не так. :mad:
Если лень залить на нормальный картинкохостинг - хотя бы к посту прицепить можно, прямо на форуме... |
Цитата:
Цитата:
|
solution, повторяю: либо залейте картинку чтоб её можно было посмотреть, либо цепляйте во вложения.
Иначе потру нафиг пост со всем окружением. Картинкохостингов хоть и меньше, чем файлопомоек, но вполне достаточно. Например http://www.onlinedisk.ru/ Вложение файлов в пост делается после нажатия на кнопку "управление вложениями" в расширенном режиме редактора. |
Цитата:
|
отредактировал
|
solution, у того же ESET есть специальная тулза для удаления этой пакости.
Брать на страничке ESET Knowledgebase - Standalone malware removal tools Там же видеоинструкция рядом... |
ужас, это что ж получается скоро на каждый вирус отдельно тулзу будут писать?
|
Цитата:
Но к данному топику это никаким краем не относится. |
Цитата:
|
Цитата:
|
не обновляется nod 3.0.684.0
Пытаюсь установить оффлайн-обновление из папки D:\nod3 Выдает: "ошибка распаковки файлов" в системе есть вирус, описанный здесь: http://www.xaker.name/forvb/showthread.php?t=18832 в частности: "Вся эта хулиганская братия стучала на разные адреса, в том числе и на страницу загрузки фейк-антивируса. При обращении на любой адрес выводилась страница с фейковым антивирусом, симуляцией проверки системы и предложением купить полную версию антивируса protectyourpc-11.com." Нод блокирует попытки переадресации на сайт фейка, о чем сообщает каждые 5 секунд, когда используется интернет, что достало. Сам же вирус найти не может. Возможно, проблема в том, что: "Бот скачивал следующий бинарник, который открывал порт и редактировал настройки всех браузеров так, что бы они работали через проксю 127.0.0.1:50370. Самое интересное - ладно ИЕ, там настройки в реестре хранятся, так для лисы, если она обнаружена, мальварь скачивает дополнение foxyproxy, и вводит настройки ява-скриптом)))" Естественно, в настройках нода прокси не описана, но ведь на оффлайн-обновление это влиять не должно? Вручную удалось убрать процесс вируса dwm.exe, подменив соответствующий файл другим Read only. Однако, есть еще какой-то процесс вируса, который постоянно возвращает настройки прокси и пытается создать этот самый dwm.exe (но уже не может). Сообщения о попытках связи с сайтом protectyourpc-11.com продолжают появляться... Может, кто-нибудь сталкивался? Вернуть хотя бы возможность обновления, возможно, тогда нод сможет нейтрализовать вирь, который явно пролез, пока его не было в базе нода (вирь-то довольно таки новый) |
Часовой пояс GMT +4, время: 03:05. |
Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.