IMHO.WS

IMHO.WS (http://www.imho.ws/index.php)
-   Обсуждение программ (http://www.imho.ws/forumdisplay.php?f=3)
-   -   Как удалить вирус/троян? (http://www.imho.ws/showthread.php?t=45835)

maxximik 19.11.2003 09:48

Как удалить вирус/троян?
 
Стоит Win2000 SP3, и вылетает ошибка следующего вида:

F3E9CD64 base at F3E98000
Beginning dump of phisical memory
Dumping physical memory to disk и начинает считать от 0-100
После чего комп перезагружается....
После этой ошибки, при попытке logoff или reboot, вылетает сведение о незаконченной программе Programm 1649, что это такое??? Неирзвестно, в автозапуске её нет, через Диспечер задач её невидно...Отрубить её неизвесно как.
Также в Event Viewer - Application вылетел Event следующего вида:
Event ID: 4124
Source: Ci
Content index on f:\system volume information\catalog.wci is corrupt...

Что делать-то? Помогите плз.....

ВСЕ вопросы по борьбе с вирусами/троянами и прочей нечистью решаем здесь и в этой теме.
Прежде, чем постить вопрос, просьба внимательно прочитать обе темы целиком - с вероятностью 99,9% ответы на эти вопросы уже есть.
Постящие вопросы, ответы на которые уже даны и повторы ответов будут получать ШТРАФЫ.
Dixi.

Borland.

Irzichek 19.11.2003 09:57

http://msdn.microsoft.com/library/de...kmsgs/5661.asp

Event Message:
Content index on drive letter is corrupt. Please shutdown and restart the Indexing Service (cisvc).

Source Event Log Event ID Event Type
Ci Application 4124 Warning

Explanation:
This event record indicates that the index information is corrupted and Indexing Service cannot re-index the content automatically.

User Action:
Stop and restart Indexing Service.

maxximik 19.11.2003 10:12

Irzichek
про этот Event я прочитал на EventID.net - всё понятно, но с какого перепоя вылетает dump памяти???? вот в чем ВОПРОС !!!

Irzichek 19.11.2003 11:16

Почему не поставишь SP4 и все хотфиксы к нему?

maxximik 19.11.2003 11:31

Irzichek SP4 вроде еще сырая относительно, с дырами, а заплатки к ней потом еще искать придется :((((

Irzichek 19.11.2003 11:35

Ну ты и чудной :) Заходишь на майкрософт апдейт, он тебе все критические заплатки сам найдет. А то, что он сырой - так уже несколько месяцев как вышел - в самый раз. У тебя без SP4 дырок больше (как я понял хотфиксы ты не любишь ставить :) )

maxximik 19.11.2003 12:04

Irzichek Нет не люблю, мне хватило одного с приаттаченным MSblastom давно еще, я тогда залетел конкретно, комп-то обслуживает 16-ть машин еще, и с ребутами :((( не классно было...
Хотя может и стоит действительно врубить SP4, но понимаешь у меня есть нач. который решает что ставить, а что нет....я только могу править без установок, все ихнии Event-ы нормально поправил (даже ужасный 1000 и 1001), а вот с этим сижу незнаю чё и делать.....еще раз так ребутнется-без вопросов поставлю 4-ый SP, а пока пусть живет....
ПРОСТО очень меня интересут с чего-бы он вдруг сбросил всю память? вот что!!!

Irzichek 19.11.2003 12:33

На этот вопрос не могут ответить порой даже разработчики :)

Borland 19.11.2003 12:39

maxximik
Похоже, у Тебя какой-то вирус. Или троян...
А дамп физической памяти - стандартная процедура. Делается для того, чтобы потом умный дядька мог посмотреть из-за чего возник BSOD

maxximik 19.11.2003 12:55

Borland
DR.Web c обновлением от 16.11.2003 мне ничего не нашел :( я тоже думал что вирь вначале..ан-нет.

Добавлено через 12 минут:
Borland
что такое BSOD ???

Borland 19.11.2003 13:04

maxximik
BSOD - Blue Screen Of Death, "синий экран смерти"
DrWeb вполне мог пропустить вирус - идеальных антивирусов нет. Попробуй другими антивирями. Желательно загрузившись с заведомо чистой дискеты или подключив винт на другую машину.

maxximik 19.11.2003 15:26

Borland СПАСИБО нашел сам:
Расширяем кругозор!!!!!!!!
BSOD(Blue Screen o Death) (Синий Экран Смерти) - это встроенный механизм перехвата ошибок которые могут повредить систему или данные.
совсем умный с вами стану :))спасибо.....
вот вопрос такой !!! есть ли логи этого Экрана и где их можно найти (вроде как с разрешением *.dmp) должны быть, или я неправ.
а отключить хард немогу, и рестартовать тоже немогу-0-- у меня машины к нему подключены другие :(

Добавлено через 2 часа и 15 минут:
Вообщем Это оказался троян как и говорил Borland --спасибо, он вырубает DrWeb...
называется msreg.exe у кого будет в папке c:\Winnt\msreg.exe.... смотрите если он в автозапуске висит-Давите его...
ВСЕМ Спасибо..Тему я думаю можно считать закрытой......

Nike 12.12.2003 15:36

Как удалить вирус?
 
Подхватил где-то W32/ Lovsan.worm, W32.Blaster.Worm, WORM_MSBLAST.A. или как его ещё называют Win32.HLLW.LoveSan.11296 а может и не его. Ну вообщем первое время выдавал табличку с обратным отсчётом времени и перезагружал комп. Я переустановил винду стало всё нормально а потом когда идёт загрузка винды сразу кидает на перезагрузку. Утилита FixBlast его не находит.
В файрволе всё время фигурирую исходящие и входящие следующие порты
TCP; Inbound; Local List of services: 135, 139, 445, 593; Block.
UDP; Inbound; Local List of services: 135, 137,138; Block.
Закрыл их и на входящие и на исходящие вроде перестал, но всё равно время от времени когда лазию по локалке бывает вырубается комп.
Люди добрые кто знает плиз посоветуйте как избавиться от этой заразы.

C18 12.12.2003 16:57

Если выдавал табличку, то возможно это msblaster. Как с ним бороться, лезешь на сайт майкрасофт, и скачиваешь там патч - антибластер, но будь повнимательнее, там для каждой винды свой патч.

Ну а если это не он, то попробуй найти его в процессах, сними задачу, а потом найди его на винте поиском и удали, и попробуй еще реестор почистить.

Nike 12.12.2003 17:14

Я же сказа что ото он и есть в самом начале я написал все его называния. Патч от майкрософт установил, току от этого нет всё равно комп перезанружается.

fedot2 12.12.2003 18:08

Загружаеся с диска (СД)
формотируешь диск С format c: (все данные в том числе и вирусы будут уничтожены)
ставишь винду на чистый диск.
Ставишь Антивирус какоё-нибудь (с последними обновлениями) и проверяешь остальные диски

Tramp_72 12.12.2003 18:18

У меня была подобная проблема... решил :
1)полной переустановкой винды
2) установкой файрволе, я использовал нортон...
3) Установкой Патч от майкрософт, выкачал с инета зарание...
с отключением от сети....
пробывал с сетко зараза появлялась опять, как незнаю....
будут вопросы пиши

ISP 12.12.2003 19:29

У тебя какая ОС если ХР зайди в ПУ система дополнительно
загрузка и восстановление параметры и убери галочку

выполнить автомат перезагрузку
Такое бывает у нее))

-=DarkOne=- 12.12.2003 21:22

насколько я знаю все антивирусы советуют перезагрузиться в safemode а потом запускать антивирус и т.п. И напиши каким ты пользуешся антивирусом и что показывают результаты проверки?

Nike 12.12.2003 22:09

eTrust EZ Antivirus лицензионный и AVP пробовал ни одного вируса не находит. Ща пробую отключить автоматическое обновление. Хотя это врядли оно так как файр вол показыват что с моего компа идут запросы по 139 порту, а этот как рас этот вирь тут и лезит.

Bore 12.12.2003 23:21

так если известно название вируса, то можно найти его описание, какие файлы плодит, в какие ветки регистра прописывается, и устроить ему зачистку, ручками.
ЗЫ ещё неплохо бы system restore отключить (my computer/properties/system restore, поставить галочку)

-=DarkOne=- 13.12.2003 02:40

Nike
По моему мнению лучше попробовать Нортон 2004 + обновления и все же попробуй провести проверку в safemode. Можеш так же почитать тут . И еще может тебе попробовать просканировать с помощью Adaware и например Trojan Remover , может это у тебя сейчас не ловсан а что-то другое.

Nike 15.12.2003 11:07

Ничего из выше перечисленного не помогло. Страдает вся локалка не знаем что делать. Комп только загружается сразу же перезагружается. И AVP с новыми базами так же его не видит :(

Borland 15.12.2003 12:49

Nike
1. Скачай msblast removal tool у кого-нить из производителей антивирусов (у кого - без разницы; спец. утилиты выпустили практически все) и скинь на дискетку (обязательно с защитой от записи) или компакт. Можно скачать все античерви сразу (каждый червь лечится спец. тулзой; исключение - универсальный античервяк clrav.com от Касперского)
2. Отглючи все компы от сетки (физически! )
3. Загрузи каждый в safe mode и прогони removal tool'ом; перед этим необходимо прибить лишние (вирусные) процессы в task manager.
4. Установи на каждый заплатку от M$ (лучше с компакта, чтобы не входить лишний раз в сетку.
5. Теперь можно подглючать компы к сетке и сразу перевставлять антивирь (полный снос, чистка реестра, чистая установка, последние обновления).

Примерно так мы боролись с SirCam у себя в локалке, корпоративный Нортон пришлось перевставлять на ~200 машин...

При активном вирусе антивирусы неработоспособны и, как я подозреваю, заплатку тоже ставить без толку. Кстати, помнится, первая заплатка от msblast была чисто декоративной и ни хрена не помогала.

Nike 15.12.2003 13:33

Дайте кто-нить линк на новую версию этой утилиты и желательно линк на новый патч от M$

Borland 15.12.2003 13:40

Nike
Список и загрузка Removal Tools от Symantec здесь
Ссылки на заплатки от Blast для всех осей (и официальные рекомендации от M$) здесь

Nike 16.12.2003 00:20

Спасибо, пробую. Только там нет Lovesan а помоему это он у меня и есть.

Добавлено через 2 часа и 30 минут:
Не помогает ничего может это и не бластер. А что моглобы ещё перезагружать винду, причём это происходит только когда сетевой кабель включен.

nra 16.12.2003 09:43

Давай всё подробно тогда описывай,
что за ком, что делает, какая система, чё-на ней как стоит, что происходит при включении (одинаково ли для всех пользователей этого компа?), а под логином админа в сэйв моде? после чего эта хрень возникла.
какой сетевой кабель ты дёргаешь ну тд...
ЗЫ: СТРОГО СОВЕТУЮ, для чистоты наблюдений, выдернуть все сетевые шнуры физически, как сказал Borland , а потом уже с втыканием сетевых шнуров пробовать

ЗЗЫ: Я лично всё-таки думаю что это blast, но ИМХО давай :)

Nike 16.12.2003 13:17

На счёт вытыкания шнуров и переустановки пробовал откуда-то опять лезит или из локалки или из ннета.
Комп AlhlohXP 1600+ 256 DDR Вообщем такая конфигурация, система WinXPpro, установлен на ней обычный набор софта таких как офис, опера миранда и всё в этом роде есть немного геймов.
Комп всегда запускается от имени админа. Эта хрень возникла не откуда. Летом когда была эпидемия этого бластера вроде всё вылечили, а теперь всё почти так же только его ни где не видно.
Происходит следующее: 1. Загружается комп, только всё загрузилось сразу перезагрузка, причём с отключением винта. Причём если проверку диска пропускаешь то повторяется а если нет то нормально загружается.
2. Когда что-нить копируешь на самом конце копирования перезагружается (но это не всегда)
3. А бывает не стого не c сеого грузится.

-=DarkOne=- 16.12.2003 13:27

Nike

Может что-то с железом? Поспрашивай у спецов в железном форуме.

nra 16.12.2003 13:51

Знацца так отключи автоматическую перезагрузку

My comp - Properties - Advanged - Startup&Recovery - сними галку Avtomatically reboot

и запиши какую ошибку где выдаёт (код и прочая мня)

Nike 16.12.2003 20:15

Попробую, кстати спасибо за подсказку.
Пока перезагрузок не было, отключали всю локалку и форматировали системные диски, вроде пока не матюкается.

Shanker 17.12.2003 14:12

Всем!
Какое нах... описалово к этому вирю!!! ПОСМОТРИТЕ ВЕРХНИЙ ПОСТ!!! Это blaster! Тот самый, который через дыру в DCOM RPC лазеет!

Nike
Если ты ещё не пропатчился - ты в серьёзной опасности! Тебе через эту дыру могут залить всё что угодно!
Я до сих пор использую эту дыру в своих целях:cool: (кстати, свой IP не подскажешь:biggrin: )

Если патч ещё не установил - могу посоветовать утилитку DCOMbobulator
Она вырубает службу RPC

nra 17.12.2003 18:25

Цитата:

Какое нах... описалово к этому вирю!!! ПОСМОТРИТЕ ВЕРХНИЙ ПОСТ!!! Это blaster! Тот самый, который через дыру в DCOM RPC лазеет!
дык прочитай всё что писалось :)

потому и описалово пошло, если чел говорит, что не помогает
хотя моё мнение такое же - это бластер

Nike 17.12.2003 22:12

А где можно скачать DCOMbobulator? не подскажешь.

Я тоже думаю что это бластер так как порты его, заплатка не помогает, а на других компах файрволы блокируют именно его порты TCP/IP 139,137.
Только ни один антивирус его почему-то не видит. И утилиты уже от всех компаний качал тоже не видят даже в безопасном режиме.

Shanker 18.12.2003 17:11

Nike
Цитата:

А где можно скачать DCOMbobulator? не подскажешь.
Подскажу... Но в приват: здесь линки постить нельзя:ooh:

Borland 19.12.2003 09:39

Цитата:

Первоначальное сообщение от Shanker
Nike
Подскажу... Но в приват: здесь линки постить нельзя:ooh:

Зато можно сделать топик в варезятнике с линком, а здесь дать ссылку на этот топик...;)

sepulka 23.01.2004 14:55

Помогите в борьбе с вирусами!
 
Ребяты !
Как почистить от вирусов опломбированный компьютер? Винчестер снять нельзя, а если устанавливать AVP ,то вирусы его съедают. Хорошо бы с дискет, но если изготовить комплект дискет на другом компьютере, то при загрузке с них выдается сообщение, что ключ просрочен и вирусные базы даже грузиться не хотят. Все дело в том, что при создании загрузочной AVP дискеты в формате Linux на нее записывается образ со старым ключем. Как выковырять этот старый ключ из образа дискеты и вместо него поместить действующий (и где его взять)?
Помогите !!! sepulka

tiamax 23.01.2004 15:55

я не понял у тебя комп под линухом или под виндой?

Shmel 24.01.2004 03:13

Ну не знаю как под Линухом, но под Виндой попробуй загрузиться из Partition Magic и format c: Думаю поможет


Часовой пояс GMT +4, время: 23:07.

Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2018, Jelsoft Enterprises Ltd.