Как удалить вирус/троян?
Стоит Win2000 SP3, и вылетает ошибка следующего вида:
F3E9CD64 base at F3E98000 Beginning dump of phisical memory Dumping physical memory to disk и начинает считать от 0-100 После чего комп перезагружается.... После этой ошибки, при попытке logoff или reboot, вылетает сведение о незаконченной программе Programm 1649, что это такое??? Неирзвестно, в автозапуске её нет, через Диспечер задач её невидно...Отрубить её неизвесно как. Также в Event Viewer - Application вылетел Event следующего вида: Event ID: 4124 Source: Ci Content index on f:\system volume information\catalog.wci is corrupt... Что делать-то? Помогите плз..... ВСЕ вопросы по борьбе с вирусами/троянами и прочей нечистью решаем здесь и в этой теме. Прежде, чем постить вопрос, просьба внимательно прочитать обе темы целиком - с вероятностью 99,9% ответы на эти вопросы уже есть. Постящие вопросы, ответы на которые уже даны и повторы ответов будут получать ШТРАФЫ. Dixi. Borland. |
http://msdn.microsoft.com/library/de...kmsgs/5661.asp
Event Message: Content index on drive letter is corrupt. Please shutdown and restart the Indexing Service (cisvc). Source Event Log Event ID Event Type Ci Application 4124 Warning Explanation: This event record indicates that the index information is corrupted and Indexing Service cannot re-index the content automatically. User Action: Stop and restart Indexing Service. |
Irzichek
про этот Event я прочитал на EventID.net - всё понятно, но с какого перепоя вылетает dump памяти???? вот в чем ВОПРОС !!! |
Почему не поставишь SP4 и все хотфиксы к нему?
|
Irzichek SP4 вроде еще сырая относительно, с дырами, а заплатки к ней потом еще искать придется :((((
|
Ну ты и чудной :) Заходишь на майкрософт апдейт, он тебе все критические заплатки сам найдет. А то, что он сырой - так уже несколько месяцев как вышел - в самый раз. У тебя без SP4 дырок больше (как я понял хотфиксы ты не любишь ставить :) )
|
Irzichek Нет не люблю, мне хватило одного с приаттаченным MSblastom давно еще, я тогда залетел конкретно, комп-то обслуживает 16-ть машин еще, и с ребутами :((( не классно было...
Хотя может и стоит действительно врубить SP4, но понимаешь у меня есть нач. который решает что ставить, а что нет....я только могу править без установок, все ихнии Event-ы нормально поправил (даже ужасный 1000 и 1001), а вот с этим сижу незнаю чё и делать.....еще раз так ребутнется-без вопросов поставлю 4-ый SP, а пока пусть живет.... ПРОСТО очень меня интересут с чего-бы он вдруг сбросил всю память? вот что!!! |
На этот вопрос не могут ответить порой даже разработчики :)
|
maxximik
Похоже, у Тебя какой-то вирус. Или троян... А дамп физической памяти - стандартная процедура. Делается для того, чтобы потом умный дядька мог посмотреть из-за чего возник BSOD |
Borland
DR.Web c обновлением от 16.11.2003 мне ничего не нашел :( я тоже думал что вирь вначале..ан-нет. Добавлено через 12 минут: Borland что такое BSOD ??? |
maxximik
BSOD - Blue Screen Of Death, "синий экран смерти" DrWeb вполне мог пропустить вирус - идеальных антивирусов нет. Попробуй другими антивирями. Желательно загрузившись с заведомо чистой дискеты или подключив винт на другую машину. |
Borland СПАСИБО нашел сам:
Расширяем кругозор!!!!!!!! BSOD(Blue Screen o Death) (Синий Экран Смерти) - это встроенный механизм перехвата ошибок которые могут повредить систему или данные. совсем умный с вами стану :))спасибо..... вот вопрос такой !!! есть ли логи этого Экрана и где их можно найти (вроде как с разрешением *.dmp) должны быть, или я неправ. а отключить хард немогу, и рестартовать тоже немогу-0-- у меня машины к нему подключены другие :( Добавлено через 2 часа и 15 минут: Вообщем Это оказался троян как и говорил Borland --спасибо, он вырубает DrWeb... называется msreg.exe у кого будет в папке c:\Winnt\msreg.exe.... смотрите если он в автозапуске висит-Давите его... ВСЕМ Спасибо..Тему я думаю можно считать закрытой...... |
Как удалить вирус?
Подхватил где-то W32/ Lovsan.worm, W32.Blaster.Worm, WORM_MSBLAST.A. или как его ещё называют Win32.HLLW.LoveSan.11296 а может и не его. Ну вообщем первое время выдавал табличку с обратным отсчётом времени и перезагружал комп. Я переустановил винду стало всё нормально а потом когда идёт загрузка винды сразу кидает на перезагрузку. Утилита FixBlast его не находит.
В файрволе всё время фигурирую исходящие и входящие следующие порты TCP; Inbound; Local List of services: 135, 139, 445, 593; Block. UDP; Inbound; Local List of services: 135, 137,138; Block. Закрыл их и на входящие и на исходящие вроде перестал, но всё равно время от времени когда лазию по локалке бывает вырубается комп. Люди добрые кто знает плиз посоветуйте как избавиться от этой заразы. |
Если выдавал табличку, то возможно это msblaster. Как с ним бороться, лезешь на сайт майкрасофт, и скачиваешь там патч - антибластер, но будь повнимательнее, там для каждой винды свой патч.
Ну а если это не он, то попробуй найти его в процессах, сними задачу, а потом найди его на винте поиском и удали, и попробуй еще реестор почистить. |
Я же сказа что ото он и есть в самом начале я написал все его называния. Патч от майкрософт установил, току от этого нет всё равно комп перезанружается.
|
Загружаеся с диска (СД)
формотируешь диск С format c: (все данные в том числе и вирусы будут уничтожены) ставишь винду на чистый диск. Ставишь Антивирус какоё-нибудь (с последними обновлениями) и проверяешь остальные диски |
У меня была подобная проблема... решил :
1)полной переустановкой винды 2) установкой файрволе, я использовал нортон... 3) Установкой Патч от майкрософт, выкачал с инета зарание... с отключением от сети.... пробывал с сетко зараза появлялась опять, как незнаю.... будут вопросы пиши |
У тебя какая ОС если ХР зайди в ПУ система дополнительно
загрузка и восстановление параметры и убери галочку выполнить автомат перезагрузку Такое бывает у нее)) |
насколько я знаю все антивирусы советуют перезагрузиться в safemode а потом запускать антивирус и т.п. И напиши каким ты пользуешся антивирусом и что показывают результаты проверки?
|
eTrust EZ Antivirus лицензионный и AVP пробовал ни одного вируса не находит. Ща пробую отключить автоматическое обновление. Хотя это врядли оно так как файр вол показыват что с моего компа идут запросы по 139 порту, а этот как рас этот вирь тут и лезит.
|
так если известно название вируса, то можно найти его описание, какие файлы плодит, в какие ветки регистра прописывается, и устроить ему зачистку, ручками.
ЗЫ ещё неплохо бы system restore отключить (my computer/properties/system restore, поставить галочку) |
Nike
По моему мнению лучше попробовать Нортон 2004 + обновления и все же попробуй провести проверку в safemode. Можеш так же почитать тут . И еще может тебе попробовать просканировать с помощью Adaware и например Trojan Remover , может это у тебя сейчас не ловсан а что-то другое. |
Ничего из выше перечисленного не помогло. Страдает вся локалка не знаем что делать. Комп только загружается сразу же перезагружается. И AVP с новыми базами так же его не видит :(
|
Nike
1. Скачай msblast removal tool у кого-нить из производителей антивирусов (у кого - без разницы; спец. утилиты выпустили практически все) и скинь на дискетку (обязательно с защитой от записи) или компакт. Можно скачать все античерви сразу (каждый червь лечится спец. тулзой; исключение - универсальный античервяк clrav.com от Касперского) 2. Отглючи все компы от сетки (физически! ) 3. Загрузи каждый в safe mode и прогони removal tool'ом; перед этим необходимо прибить лишние (вирусные) процессы в task manager. 4. Установи на каждый заплатку от M$ (лучше с компакта, чтобы не входить лишний раз в сетку. 5. Теперь можно подглючать компы к сетке и сразу перевставлять антивирь (полный снос, чистка реестра, чистая установка, последние обновления). Примерно так мы боролись с SirCam у себя в локалке, корпоративный Нортон пришлось перевставлять на ~200 машин... При активном вирусе антивирусы неработоспособны и, как я подозреваю, заплатку тоже ставить без толку. Кстати, помнится, первая заплатка от msblast была чисто декоративной и ни хрена не помогала. |
Дайте кто-нить линк на новую версию этой утилиты и желательно линк на новый патч от M$
|
|
Спасибо, пробую. Только там нет Lovesan а помоему это он у меня и есть.
Добавлено через 2 часа и 30 минут: Не помогает ничего может это и не бластер. А что моглобы ещё перезагружать винду, причём это происходит только когда сетевой кабель включен. |
Давай всё подробно тогда описывай,
что за ком, что делает, какая система, чё-на ней как стоит, что происходит при включении (одинаково ли для всех пользователей этого компа?), а под логином админа в сэйв моде? после чего эта хрень возникла. какой сетевой кабель ты дёргаешь ну тд... ЗЫ: СТРОГО СОВЕТУЮ, для чистоты наблюдений, выдернуть все сетевые шнуры физически, как сказал Borland , а потом уже с втыканием сетевых шнуров пробовать ЗЗЫ: Я лично всё-таки думаю что это blast, но ИМХО давай :) |
На счёт вытыкания шнуров и переустановки пробовал откуда-то опять лезит или из локалки или из ннета.
Комп AlhlohXP 1600+ 256 DDR Вообщем такая конфигурация, система WinXPpro, установлен на ней обычный набор софта таких как офис, опера миранда и всё в этом роде есть немного геймов. Комп всегда запускается от имени админа. Эта хрень возникла не откуда. Летом когда была эпидемия этого бластера вроде всё вылечили, а теперь всё почти так же только его ни где не видно. Происходит следующее: 1. Загружается комп, только всё загрузилось сразу перезагрузка, причём с отключением винта. Причём если проверку диска пропускаешь то повторяется а если нет то нормально загружается. 2. Когда что-нить копируешь на самом конце копирования перезагружается (но это не всегда) 3. А бывает не стого не c сеого грузится. |
Nike
Может что-то с железом? Поспрашивай у спецов в железном форуме. |
Знацца так отключи автоматическую перезагрузку
My comp - Properties - Advanged - Startup&Recovery - сними галку Avtomatically reboot и запиши какую ошибку где выдаёт (код и прочая мня) |
Попробую, кстати спасибо за подсказку.
Пока перезагрузок не было, отключали всю локалку и форматировали системные диски, вроде пока не матюкается. |
Всем!
Какое нах... описалово к этому вирю!!! ПОСМОТРИТЕ ВЕРХНИЙ ПОСТ!!! Это blaster! Тот самый, который через дыру в DCOM RPC лазеет! Nike Если ты ещё не пропатчился - ты в серьёзной опасности! Тебе через эту дыру могут залить всё что угодно! Я до сих пор использую эту дыру в своих целях:cool: (кстати, свой IP не подскажешь:biggrin: ) Если патч ещё не установил - могу посоветовать утилитку DCOMbobulator Она вырубает службу RPC |
Цитата:
потому и описалово пошло, если чел говорит, что не помогает хотя моё мнение такое же - это бластер |
А где можно скачать DCOMbobulator? не подскажешь.
Я тоже думаю что это бластер так как порты его, заплатка не помогает, а на других компах файрволы блокируют именно его порты TCP/IP 139,137. Только ни один антивирус его почему-то не видит. И утилиты уже от всех компаний качал тоже не видят даже в безопасном режиме. |
Nike
Цитата:
|
Цитата:
|
Помогите в борьбе с вирусами!
Ребяты !
Как почистить от вирусов опломбированный компьютер? Винчестер снять нельзя, а если устанавливать AVP ,то вирусы его съедают. Хорошо бы с дискет, но если изготовить комплект дискет на другом компьютере, то при загрузке с них выдается сообщение, что ключ просрочен и вирусные базы даже грузиться не хотят. Все дело в том, что при создании загрузочной AVP дискеты в формате Linux на нее записывается образ со старым ключем. Как выковырять этот старый ключ из образа дискеты и вместо него поместить действующий (и где его взять)? Помогите !!! sepulka |
я не понял у тебя комп под линухом или под виндой?
|
Ну не знаю как под Линухом, но под Виндой попробуй загрузиться из Partition Magic и format c: Думаю поможет
|
Часовой пояс GMT +4, время: 23:32. |
Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.