Рекомендованная инструкция по нахождению и удалению вредоносных программ на вашем ПК.

Этап 1. Попытка лечения зараженного ПК.

1а. Если у Вас есть антивирус - обновите его базы и проверьте компьютер с максимально возможным настройками.

1б. Если у Вас нет антивируса - можно использовать бесплатные средства диагностики (на выбор):

- утилиту от DrWeb - CureIT! : страница загрузки
- онлайн сканер Касперского : http://www.kaspersky.ru/virusscanner

(скачайте последнюю версию, даже если у вас имеются эти средства)

Замечание: выбирайте средство диагностики иной компании, нежели ваш установленный в системе антивирус.

2. Отключите восстановление системы (Windows Me/XP).

Этап 2: Сбор информации с вашего ПК

3. Скачайте следующие утилиты:

- антивирусную утилиту AVZ: Страница загрузки (ссылка на загрузку расположена в самой правой колонке под текстом Скачать (3.0 Мб))
- утилиту HiJackThis: Страница загрузки

(Даже если у Вас есть AVZ или HiJackThis, скачайте их заново!)

4. Распакуйте из архива HiJackThis и поместите в новую отдельную папку.
5. Распакуйте из архива AVZ и поместите в новую отдельную папку.

6. Обновите базы AVZ:
Открыть AVZ: "Файл" => "Обновление баз". Закройте AVZ.

Перед выполнением следующих пунктов (7, 9, 11) закройте свои антивирусные программы, игры, текстовые редакторы и любые другие программы, оставьте запущенным только программу-браузер (Internet Explorer. Если он не запущен - запустите)!!!

-- Протоколы AVZ --

7. Запустите AVZ. Выберите из меню "Файл"=>"Стандартные скрипты" и поставьте галку напротив "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info". Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое сканирование, лечение и исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscure.zip.

8. Обязательно перезагрузите компьютер, так как AVZ в ходе проверки системы может нарушить работу некоторого ПО (в частности антивирусов и фаерволов). После перезагрузки ПО продолжит корректную работу.

9. Запустите AVZ. Выберите из меню "Файл"=>"Стандартные скрипты" и поставьте галку напротив "Скрипт сбора информации для раздела "Помогите!" virusinfo.info". Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscheck.zip.

-- Протокол HiJackThis --

10. Запустите HijackThis. Если программа не запускается или прекращает работу после запуска, переименуте файл программы HijackThis в 1.exe и в дальнейшем используйте его.

11. Нажмите на кнопку "Do a system scan and save a logfile".

12. Сохраните лог. По умолчанию лог сохраняется в папке программы с именем hijackthis.log

Этап 3: оформление запроса на форуме imho.ws.

После этапа сбора информации у вас должно появиться 3 лога:

- hijackthis.log в папке программы HijackThis
- virusinfo_syscheck.zip в директории AVZ в папке "LOG".
- virusinfo_syscure.zip в директории AVZ в папке "LOG".

Внимание! Последний архив не путать с virusinfo_cure.zip!!! Его категорически запрещено выкладывать на форуме!

Прикрепите их к вашему сообщению или залейте их на файлообменник.
Создайте ваше сообщение в этой теме с указанием симптомов заражения вашего ПК. Мы постараемся вам помочь на основе логов вашей системы, насколько это возможно.

И последнее: напишите мне ПС в личку, чтобы я их посмотрел, а то могу пропустить ваш запрос.

© Использованы правила оформления запроса в разделе Помогите! портала VirusInfo.Info.
Источник правил: http://virusinfo.info/showthread.php?t=1235

Незнаю в какой теме задавать свой вопрос, если здесь будет лишним плз дайте ссылку и можете удалять мой топик.
Нужен антивирус который устанавливался бы на флэшку. Надоело тащить на свой комп вирусы с других компов. Нужна не портэйбл версия которую надо запускать а именно для установки на флэшку. Кто знает плз дайте знать.
Заранее тнх.

Комментарий Модератора:

Borland: Не бывает. У флешки нету процессора, на котором мог бы работать антивирь. А комп, если на нём есть вирус, вместо запуска антивиря с флешки снесёт его нафиг. Кроме того, запуск в системе второго антивирусного монитора (если на компе есть свой, второй с флешки) с вероятностью 99,99% приведёт к краху системы не хуже чем вирус.

в контекстном меню при клике мышки по жесткому диску появилось "open(0)" Че это, и как с ней бороться?

Так это опять старина autorun.inf. Поищи решение поиском на форуме.
И вот сдесь ещё посмотри:
http://forum.oszone.net/thread-74606-2.html

Мне помнится помогла в решении аналогичной проблемы программа anti-autorun с сайта bombina.com

Можно посмотреть ещё и вот здесь.

СтОит ли рисковать, если
Этот троян достаточно просто удаляется и вручную.

подскажите пожалуйста что за файл u94.exe
он генерит у меня траффик

Во-первых, Вы не указали где находится данный файл (путь); во-вторых, если это вирус, то имя файла не редко генерится случайным образом и в следующий раз имя файла может быть иным; в-третьих, проверьте данный файл каким-нибудь антивирусом (лучше CureIt'ом), почему то мне кажется, что после проверки вопрос будет закрыт. ;)

Еще можно проверять подозрительные файлы системой _http://www.virustotal.com/ru/ - я довольно часто ей пользуюсь. Попробуйте, это один из вариантов решения.

помагите плиз , если такая проблема уже была просмотрена то ссылочку на неё плиз.
итак в чём суть проблемы , в ключаю компьютер , всё вроде норм , как загрузке рабочего стола , появляется на весь экран , надпись закрывая собой всё что на рабочем столе , "у вас истёк срок лицензионного соглашения windows " он у мя 3 года работал и тока щас эта надпись вышла , перед этим никаких напопинаний сказано не было , но внизу есть примечательная поментка , что код моно получит СМС , при зажатии Ctrl+Alt+Delete на мгновение появляется окно и тутже ичезает , кое как выписал названии программы , зашёл через ебзопасный режим удалил её и похожие на неё названия "sound" .
думал всё норм стало , но сразу же после удаления у меня на компе начало само по себе включатся интеренет эксповер , заходя на какойто китайский сайт , я пытался удалить его , удалил сначала через "панель управления , и т.д. " вроде полностю удалил ,ошибка не справилась , далее начал сам искать через " поиск" нашёл , удалил , и теперь вылезает окно експловера на долю секнуду скрывая собой все приложения на компьютере , в которых я сижу в данный момент , и закрывается с периодом примерно 8-10 секунд , есть 2 файла "explorer" которые не могу удалить с компьютера , плиз обьясните в чём проблема ..:confused::(

Если это то, что вы наблюдали у себя на компьютере (или что-то подобное), то решение проблемы находится в соседней теме.
А вообще, один из самых надежных способов борьбы с вирусами, которые уже поразили систему, на мой взгляд - загрузиться с LiveCD и проверить полностью систему CureIt'ом (о чем я и многие здесь неоднократно писали).

эту проблему я уже устранил , у меня каждые 15 секунд вылазиет интернет експловер и сразу же исчезает , сам сижу через оперу , пытался удалить не получается (
незнаю что делать((

у меня проблему с активацией винды через смс решил CCleaner, ну и предварительное удаление через msconfig всего ненужного с автозагрузки ) а так вроде бы везде пишут что drweb live-cd с ним оч хорошо справляется...

Проблема следующая.
:help: Знакомы выходил в интернет посредством "Оперы", не знаю где лазил, но теперь у него при запуске на весь экран (монитор) сообщение "Вы пытаитесь загрузить порно ролик (фильм) с сайта ... вышлите СМС на номер ..... .
По телефону ему советую загрузится в безопасном режиме, загрузка проходит, но картинка только с большими буквами опять на весь монитор.
Кнопку пуск не видно, при нажатии клавиши которая со значком майкрософт, не активна.
Качаю ему LiveCD, но как он её загрузит если экран закрыт.
:idontnow:

vest, в том и фишка LiveCD, что грузится не зараженная винда (с харда), а записанная на диске, т.е. чистая.

Подвидов этой гадости - множество, и если этот баннер есть и в ИнтернетЕкплорере, то, скорее всего источник находится в C:\Documents and Settings под кем-то из пользователей, в какой именно директории - припомнить не могу, но откуда растут ноги можно вычислить по неизвестному(незнакомому) процессу из диспечера задач (забить его в поиск). Всё проделывается из безопасного режима из-под администратора(не юзера с правами) путём нажатия трёх волшебных кнопок и прибивания незнакомых процессов.
Сама программка состоит из 3-4 файлов: ехешника, батника, inf и ещё чего-то. Мне удавалось удалить под виндой Unlocker-ом.

Cartman, скачал по ссылке LiveCD, записал на диск, вот что у меня получилось (2 скриншота), на моем компьютере не запускается, как им пользоваться.
Или на зараженной машине он запускается автоматом.

vest, чтобы любой LiveCD загружался, необходимо в BIOS'е выставить загрузку не с винчестера, а с CD. Только в таком случае во время загрузки компьютера будет грузиться система записанная на диск, а не ваша родная (в данном случае инфицированная).

Emelman, меня, что смущает в этой сборке, там нет авторана, или я что-то не правильно скачал.
архив весит - 66,5 МВ

vest, autorun.ini - это файл отвечающий за автоматическое выполнение определённых действий при открытии содержимого диска. В Вашем случае открывать диск не нужно, Вам надо с него загрузиться, для этого нужен файл boot.ini.
А то, что архив весит мало, то это не страшно. Судя по скринам, Вы скачали загрузочный диск с ресурса DrWeb'а. Лично я его не использовал, но более чем уверен, что образ у Вас правильный. Осталось только выяснить, вы с BIOS'ом знакомы? Понимаете, что и где надо выставить, чтобы компьютер грузился не с винчестера, а с компакт-диска?

Emelman, да с Биосом смогу разобраться.

Тогда никаких проблем возникнуть не должно.

Как восстановить доступ на сайты антивирусов?
 

Есть комп, переживший заражение авторанером и win32.sektor17. Система ВинХР СП3, все вроде восстановил, все работает, НО не могу ни зайти на сайты drweb и kaspersky, ни соответственно обновить антивирусные базы.
Поиск в реестре по drweb.com делал, фаил hosts проверял - нифига не помогает =(
Подскажите плз куда копать?

а если попробовать другим браузером?, кстати, ты каким заходишь?
Если IE, то посмотри в закладке "конфиденциальность -> узлы"

А эти сайты пингуются?
Что показывает трассировка? (tracert адрес)?

не может определить ip сайта, такое ощущение что они в ДНС не резолвятся.
хотя с другого компа с этого же ip все грузится в момент.

Nymph проблема у тебя локально, возможно ты не дочистил до конца ошметки вируса. Либо еще и кидо в системе. Берем АВЗ и проверяем на внедренные дллы и удаляем что вызывает недоверие. Кидо можно проверить и выщемить Kido Killer от каспера.

не могу удалить или очистить данный вирус, может кому попадался? как с ним можно бороться?

Где вирус-то? Где описание как проявляется, чем мешает, как пробовал побороть?

solution, если вы всерьёз думаете, что кому-то нечем заняться кроме скачивания картинок с файлопомойки, то знайте: это не так. :mad:
Если лень залить на нормальный картинкохостинг - хотя бы к посту прицепить можно, прямо на форуме...

при попытке прицепить прямо к посту просит линк..., редко пользуюсь файл хостингами поэтому залил в первый попавшийся в поисковике..

при загрузке системы выдает окно тревоги с НОД 32, и сообщение о невозможности очистить/удалить вирус, не знаю где поймал и что он плохого может сделать и как проявит себя в будущем, но сам факт присутсвия неочищенного вируса в системе не внушает спокойствия)

solution, повторяю: либо залейте картинку чтоб её можно было посмотреть, либо цепляйте во вложения.
Иначе потру нафиг пост со всем окружением.
Картинкохостингов хоть и меньше, чем файлопомоек, но вполне достаточно. Например http://www.onlinedisk.ru/
Вложение файлов в пост делается после нажатия на кнопку "управление вложениями" в расширенном режиме редактора.

NOD в логах всегда пишет что за вирус. Для того, чтобы прочитать лог никакие картинки не нужны

отредактировал

solution, у того же ESET есть специальная тулза для удаления этой пакости.
Брать на страничке ESET Knowledgebase - Standalone malware removal tools
Там же видеоинструкция рядом...

ужас, это что ж получается скоро на каждый вирус отдельно тулзу будут писать?

ESET, вполне возможно, и будет...
Но к данному топику это никаким краем не относится.

Интересно, где-же ты такую бяку подцепил?

если б я знал, строительные материалы искал в инете...

не обновляется nod 3.0.684.0
Пытаюсь установить оффлайн-обновление из папки D:\nod3
Выдает: "ошибка распаковки файлов"


в системе есть вирус, описанный здесь:
http://www.xaker.name/forvb/showthread.php?t=18832

в частности:
"Вся эта хулиганская братия стучала на разные адреса, в том числе и на страницу загрузки фейк-антивируса.
При обращении на любой адрес выводилась страница с фейковым антивирусом, симуляцией проверки системы и предложением купить полную версию антивируса protectyourpc-11.com."
Нод блокирует попытки переадресации на сайт фейка, о чем сообщает каждые 5 секунд, когда используется интернет, что достало. Сам же вирус найти не может.

Возможно, проблема в том, что:
"Бот скачивал следующий бинарник, который открывал порт и редактировал настройки всех браузеров так, что бы они работали через проксю 127.0.0.1:50370.
Самое интересное - ладно ИЕ, там настройки в реестре хранятся, так для лисы, если она обнаружена, мальварь скачивает дополнение foxyproxy, и вводит настройки ява-скриптом)))"

Естественно, в настройках нода прокси не описана, но ведь на оффлайн-обновление это влиять не должно?

Вручную удалось убрать процесс вируса dwm.exe, подменив соответствующий файл другим Read only. Однако, есть еще какой-то процесс вируса, который постоянно возвращает настройки прокси и пытается создать этот самый dwm.exe (но уже не может). Сообщения о попытках связи с сайтом protectyourpc-11.com продолжают появляться...

Может, кто-нибудь сталкивался?
Вернуть хотя бы возможность обновления, возможно, тогда нод сможет нейтрализовать вирь, который явно пролез, пока его не было в базе нода (вирь-то довольно таки новый)