Dr.God
Вся фишка в том, что не было такого файла в системе... Другая прога называла его просто-RAndom Trojan) Ну с этим я справился, оказалось он себя в сервисах прописал! Есть еще один: Теперь есть еще один-Abetterinternet, вот его ничего не берет-ПРОБОВАЛ ВСЕ Нахожу его спайботом, он находится здесь у меня: hkey_users\S-1-5-21-1844.......\Software\aurora Есть идеи? |
Austin
>Нахожу его спайботом, он находится здесь у меня: hkey_users\S-1-5-21-1844.......\Software\aurora Брехня, ничего страшного в этой ветке быть не может. Возможно это след трояна, но и только... |
Попробуй АВЗ, беттеринтернет она знает (если только это не новая версия).
_http://z-oleg.com/secur/avz-dwn.htm#AE86346E-46EA-445B-B870-5D4920ED66D2 страница загрузки |
Цитата:
Или лучше так: http://www3.ca.com/securityadvisor/p...x?id=453076992 Выбирай. |
Austin
Пользуйся поиском! Тема по удалению всякой нечисти уже существует. Устное предупреждение. Темы объединил. |
Всем спасибо
В конце концов решил проблему Кому интересно решение, вот: http://netrn.net/spywareblog/archive...urora-nailexe/ _________________ |
Иногда "триппер" маскируется под системные файлы или приложения типа explorer.exe или iexplorer.exe и т.д.
Информация и лечилка тут: _http://www.wilderssecurity.net/specialinfo/rapidblaster.html |
Здравствуйте
Вопрос по двум процессам: system.exe - в диспетчере его видно, а физически найти его не могу ни в проводнике, ни в реестре VC6SecS.exe - сидит в C:\Program Files\HHVcdV6Sys\VC6SecS.exe - больно уж подозрительное у него название Пользовался Housecall - ничего не выявил Ещё одна особенность - перестал запускаться SAV Realtime :( |
mrsbc
Однозначно триппер! Про скрытые (невидимые процессы) я уже писал. Есть замечательная бесплатная программа anvir. Хомяк _http://anvir.com/index_ru.htm Она показывает не только ВСЕ! запущенные процессы, а также (путь, используемые dll, файлы, потоки, хендлы, драйвера и т.д. и т.п.) Полнейший отчет с возможностью редактирования и удаления. Кроме того, программа без ведома пользователя не разрешит сделать какие-либо изменения в реестре и т.д. Все на русском. С помощью этой программы мне удавалось обнаруживать на зараженных машинах замаскированный триппер, именно по запущенным процессам. |
Вложений: 1
Glaz, ты можешь по скриншоту обьяснить мне об этом system.exe - шото я ничего толкового не нашёл. Там сплошные девайсы :idontnow:
|
mrsbc
Процесс System - системный, не триппер оно. А вот если процесс называется system.exe, то да. |
Madness, в общем, system.exe я нигде не нашёл, мож погрешил на System :rolleyes: . Мне интересно, что же у меня Симантек выбивало, счас вроде уже нормально, но я машину мучил и анвиром и хаузколом и авз. В последний раз вообще прикол - после перезагрузки он запускается и тут же сам исчезает. Правда это было при анвире в автозагрузке. :rolleyes:
З.Ы. А где же сидит этот system, которй системный ? |
mrsbc
>А где же сидит этот system, которй системный ? Думаю что там же, где и Бездействие системы (system idle). |
Trojan.Virtumod...
Вот дерьмо блин, сидит уже 3 месяца и никак я его удалить не могу, всё бросаю да бросаю... и думаю да ладно хрен с ним, потом может как уберу, ну вот достало меня это теперь и решил конкретно енто дело довести до конца и убить суку!!!
В общем что бы не было никаких притензий от Модов, сразу скажу что я переискал здесь всё и в интернете тоже всё и очень многие пронраммы для удаления этого говна сам пробовал т.е. и руками и ногами блин и ни как я немогу это удалить!!! Может кто что подскажет? вот эта срань :C:\WINDOWS\Windows Update Setup Files\sysutil.dll Dr.WEB оппознаёт это как Trojan.Virtumod но чистить не хочет! Повторю ещё раз, что ни руками ни ногами ни через F8 и никакой программой я этот Trojan.Virtumod убрать не в састоянии! Подскажите, может у кого будут какие идеи? Repeek_s |
Цитата:
|
Всем день добрый! Подскажите как справиться со следующей проблемой: был обнаружен на компе вирус W32.Marak
(Virus.Win32.Mkar.a («Лаборатория Касперского») также известен как: Win32.Mkar.a («Лаборатория Касперского»), W32/Mkar.gen (McAfee), W32.Marak (Symantec), Win32.HLLP.Mrak.3 (Doctor Web), Win32/Mkar.A (RAV), Worm/Mkar.D (H+BEDV), Win32:Mkar (ALWIL), Win32/Mkar.A (Grisoft), Win32/Mkar.A (Eset) Неопасный вирус. Написан на языке C/C++. Заражает только файлы Win32 EXE PE. При заражении добавляет к файлу свой код (около 8КБ) и дописывает в самый конец инфицированного файла некую структуру данных, содержащую строку «Mrak1pack». Данная структура используется вирусом для идентификации уже зараженных файлов. Поиск файлов для заражения производит по всем дискам, в том числе, по сетевым ресурсам. При работе создает невидимые окна с имененами классов mrakMainWndClass и mrakcontrolWndClass. Для хранения своих переменных использует ключ реестра: [SOFTWARE\Microsoft\Mrak] Может добавлять себя в автозагрузку системы, создавая ключ: [SOFTWARE\Microsoft\Windows\CurrentVersion\Run\NetStart]). C машины эту гадость убрать удалось, но уже было заражено около 300 файлов. Вопрос в следующем: можно ли восстановить запорченные .exe файлы и если да, то как. Буду признателен за ответы так как принципиально именно восстановить файлы, а не удалить. Заранее спасибо тем, кто откликнется. |
Вложений: 1
Помогите решить проблему с вирусом W32.Licum. Семантек не справляется, NOD32 тоже что-то не то делает, на каспере описание есть а как бороться ним неизвестно. Выкашивает экзешники, дописывает в них свой код. Система глючит, ни работать ни играть... нифига. Что с ним делать, 3 дня назад систему снес и вот опять снова.. блин. Скрин в приложении, ссылка на описание вот тут
Может кто знает как с ним бороться? |
Раз дошли руки до описания то и лечить должен уметь.
Зайди на онлайн проверку Каспером и пролечи. 6mb. _http://www.kaspersky.com/downloads/kws/kavwebscan.html |
Запуск AntiSpyware под аккаунтом SYSTEM
Благодаря одной старой уловке, упомянутой в knowlegebase Microsoft еще для Windows NT4 можно сделать охоту на malware более эффективной, запустив Вашу любимую AntiSpyware программу под учетной записью SYSTEM. Аккаунты SYSTEM и Администратора имеют одинаковые привилегии но различные функции, аккаунт SYSTEM используется самой операционной системой и сервисами, запущенными под Windows. Это внутренний аккаунт, он не виден в User Manager, не может быть добавлен ни к каким группам и ему не могут быть назначены права пользователя. (С другой стороны учетная запись SYSTEM обнаруживается на диске NTFS в менеджере файлов в разделе "Разрешения для.." вкладки "Безопасность", по умолчанию ей предоставлен полный доступ ко всем файлам на диске NTFS. Здесь SYSTEM имеет те же самые функциональные привилегии как и аккаунт Администратора). Такой прием в некоторых случаях может обнаружить и удалить malware которые иначе не были бы замечены, или помочь в борьбе с вредоносными программами умеющими изменять пользовательские привилегии (например группы Администраторы).
Чтобы запустить программу под аккаунтом SYSTEM запустите командную строку ("Пуск" -> "Выполнить" -> CMD <Ввод> ). В открывшейся командной строке наберите "at ХХ:ХХ /interactive cmd.exe <Ввод>" (где ХХ:ХХ - текущее системное время+2минуты, также должна работать служба "Планировщик"(Task Scheduler)). Если все введено правильно появится подтверждение "Добавлена новая задача с кодом 1" и через 2 минуты откроется новое окно командной строки от имени %windir%\system32\svchost.exe. Теперь Вы залогинены под аккаунтом SYSTEM. Кликните правой кнопкой на ярлыке программы, которую Вы хотите запустить и в открывшемся меню левой кнопкой на "Свойства". Скопируйте поле "Объект" вкладки "Ярлык", содержащее полный путь к исполняемой программе, затем кликните правой кнопкой в открытом svchost.exe окне командной строки и в открывшемся меню левой кнопкой нажмите "Вставить". Нажмите "Ввод". Ваша программа запущена с учетной записью SYSTEM. Ссылки по теме _http://support.microsoft.com/kb/120929 _http://support.microsoft.com/kb/q132679 |
HijackThis Log Parser v 2.0
Здесь можно самостоятельно проанализировать лог HijackThis.
_http://hjt.iamnotageek.com/ Легенда: Bad - Remove almost always - Вредоносные, удалять однозначно. OK Most of the time - don't need to touch - Системные, не трогать. Probably not needed - Safe to remove - Вероятно не нужны, но удаляйте только если уверены! Generally harmless - third party applications - Безопасный софт сторонних производителей. Bad if you don't know what it is - Потенциально небезопасный если Вы не знаете что это (сами не устанавливали). Unknown Item - Investigate further - Эти пункты анализатору неизвестны. Для известных парсеру пунктов\приложений имеются достаточно подробные описания. |
Вложений: 1
Здарова народ, подцепил вот такую фигню. Отсканировал NOD32 и Ad-aware- ничего не нашли. При попытке открыть любую страничку выдает то что в приложении, а потом удостоверившись что я человек :biggrin: , открывает ещё одну страничку где уже идет редирект на ту страничку которую я хотел открыть.
|
Цитата:
То же самое с антивирусом. Может поможет |
народ попробуйте эти программы AntiVir® PersonalEdition Classic
for Windows 98/Me/NT/XP/2000/NT Linux/OpenBSD/FreeBSD/Solaris (коректно удаляет вредные фаилы когда они только пытаются прописаться на вашем компютере и Microsoft AntiSpyware Version: 1.0.615 (нормально так вычищает занозы из осла) обе бесплатны и xоть я xрен знает где лажу иногда, очень редко что то пролазит на компутер ну естессна фаервол оутпост стоит на страже кстати в последней тестовой версии к нему кажется прелепили сканер на пролезшие в систему трояны желаю удачи в убийстваx злобныx xомячков живущиx на вашиx системаx |
Trojan Stwoyle HELP:(
Конечно же я качаю с инета всякую музыку, фильмы и тп С недавнего времени стало выпригивать окошко от Нортон антив с такой надписью:
Scan type: Realtime Protection Scan Event: Virus Found! Virus name: Trojan.Stwoyle File: C:\WINDOWS\q10844968_disk.dll Location: C:\WINDOWS Action taken: Clean failed : Delete succeeded : Access denied Date found: Wed Sep 14 14:54:31 2005 Притом выпригивает оно несколько раз в день. Что делать? Как лечить, чистить? Помогите я в этом деле ноль( |
Попробуй SpyRemover (в Apps есть). Он как раз по троянцам специализируется. А еще почитай про компьютерный триппер здесь
|
система winXP?
версию нортона - на стол !!! |
Привет, народ!
Поделюсь своей печальной историей. У меня Win XP SP1, антивирь Norton 2005. Блуждая по инету (на сомнительный сайтах не был) мой антивирь выдал собщение, что что-то нашел. Я вышел из инета и включил проверку. Проверка ничего не дала. Комп выключил и ушел. Пришел, стал включать и увидел :казнь: Комп в момент загрузки выпадает в "Приветствие" и все. Выбираю пользователя, он пишет "Загрузить параметры", появляется рабочий стол на секунду и снова выпает в "Приветствие". В Безопасном режиме тоже самое. Ставлю загрузочный CD, но загрузка с него не идет. Попробовал отключить винт (у меня еще один в мобил-реке), написал DR is missing. Подключил винт обратно, но DR is missing остался. Что это такое? Может кто-нибудь с таким зверем сталкивался? |
Цитата:
делаешь (или берешь готовый) загрузочный СД типа ERD или еще чего подобное, запускаешь regedit, идешь в HKLM\Software\Microsoft\Windows NT\Current Version\Winlogon\ и проверяешь наличие строкового параметра Userinit скорее всего, он отсутствует, тогда создаешь его со значением типа c:\windows\system32\userinit.exe или куда там винды установлены, перегружаешься и должно быть все Ok |
Цитата:
Я понимаю, что на загрузочном диске нет системы. Просто не так выразился. Хроника событий далее. Вошел в BIOS, установил приоритет загрузки на DVD. Установил параллельно вторую систему Win XP SP2 на другой винт. Вопрос в том, как мне попасть в реестр старой системы, чтобы внести туда изменения, т.е. я, по своей глупости, regedit только из "Пуск" умею запускать. В Пуск я войти не могу, ибо зависаю в Приветствии. |
Konstantin K
Еще раз повторюсь..... Сделай ЗАГРУЗОЧНЫЙ CD (в воскресенье абсолютно подобную ситуацию я исправлял с использованием ERD commender от WinInternals). Грузишься с него, поключаешься к старой установке XP, запускаешь регедит и прравишь реестр. Сам ERD найдешь здесь: http://www.imho.ws/showthread.php?p=949615#post949615 другие варианты загрузочных CD здесь: http://www.imho.ws/showthread.php?p=1022542#post1022542 На вновь установленной системе, ты скорее всего, не получишь доступа к реесту от старой установки.... Может кто подскажет срадства, но я не знаю.... |
Цитата:
|
да наверно надо
|
Цитата:
Кстати, при попытке загрузить старую систему иногда выдается сообщение о повреждении него файла библиотеки hal.dll. Может это кому-то что-то подскажет? Очень хочется восстановить систему. Там много важный вещей. |
hal.dll - библиотека ядра системы. Вероятно, если конечно ты его не менял на ядро не поддерживаемой системой, что-то его изменило. Советую брать ядро с дистрибутива и менять повреждённое, т.е. просто копируешь файл hal.dll в WINDOWS\system32, заменяя прежний.
Хотя похоже, что там уже ничего "здорового" (целого) не осталось... А точек отката не осталось? |
У меня сейчас нет дистрибутива win xp sp1, Если библиотека небольшая, может кто пришлет на kvk99_mail.ru :help:
|
Проблему решил! :yees:
Делюсь опытом. Может быть кому-нибудь интересно будет :ржать: У меня два винта (один в мобил-реке), так после всех фокусов винды буквы на логических дисках поперепутались. Я вернул буквы на свои места и запустил установку Win XP SP2 с нового дистрибутива. При установке нашлась старая версия. Я выбрал вариант попытаться ее восстановить... И случилось чудо. Система восстановилась. Правда с СОМ портами получилось что-то неладное. Звук и модем не захотели сразу работать. Переустановка дров на звук помогла. |
народ кто может помогите отловить вирус
может это даже и не вирус а так прикол как о нем пишут дело в том что CDROM открывается и закрывается все время как его вылечить ? |
Dimon4o
Как уже неоднакратно говорилось и писалось. Смотри что в автозапуске, а также внимательно просмотри запущенные процессы. Используй в дальнейшем прогу AnVir |
Здравствуйте. Скажите пожалуйста, почему у меня фсё время в мсконфиг запускается в автозагрузке элемент автозагрузки NvCpl? Я его фсё время отключаю, но он снова включается :(. И ещё вопрос. У меня в папке временных интернетовских файлов фсё время остаётся один файл, который никак не удаляется. Пишет, что он используется. А как он используется, если я только компутер включила? :(
|
Очаровашка, NvCpl это панель управления видяхи. На счет временного файла тоже внимания не обращай, у меня штук 10 файлов и тоже не удаляются. А использоваться он может самой виндой, она знаешь сколько всего запускает при своей загрузке... ;)
|
Часовой пояс GMT +4, время: 13:28. |
Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.