Компьютерный "триппер". Руководство по удалению вирусов

[borislev]

Короче, вляпался я малехо, (по порносайтам не гулял, говорю сразу )

Какая то гадость стала тормозить подьем Винды - у меня XP, выбрасывает окошко, что не могу найти и после этого набор палочек типа ||||||||

Второе проявление - не менее важное, при подьеме IE поднимается несколько pop-up, домашняя страница устанавливается на www.idgsearch.com, на десктопе и в фаворитах появляются иконки ссылки на какие-то левые сайты.
В автозагрузке появились iedll и еще какая-то херня.

Пользовался Norton antivirus, IEDoctor, Ad-aware 6.0, результатов практически никаких

Люди, поможить, кто может, только недавно винду поставил...

Отредактировано модератором. В связи с тем, что данная проблема всплывает очень часто, убедительно прошу, новых тем не открывать, пользоваться приведенными ниже советами. Дополнения и другие рекомендации постить только здесь или ЗДЕСЬ

[Borland]

Infernus_, проблема утечки памяти существует столько же, сколько существуют компьютеры, и вовсе необязательно связана с наличием вирусов - достаточно одного кривого драйвера или программы в автозагрузке.
Выявить виновника технически возможно удаляя по одной программы и драйверы, но переустановка системы начисто (с форматированием диска) зачастую оказывается существенно дешевле по затратам труда и времени. (А ещё лучше - восстановление чистой системы из заранее созданного образа).

[Val14]

Цитата:

Сообщение от Val14

Мне давно не встречались бутовые вирусы и я не очень верю, что они сейчас получили распространени

Был не прав - Злоумышленники переключились с MBR на загрузчик NTFS-раздел

[Умидэнц]

В дополнение к предыдущему - до сих пор достаточно распространённая зараза под названием winlock (Ransom), одна из разновидностей которой заражает как раз MBR. Правда, относится этот вредонос к троянам, а не вирусам, но всё же.

[Alex Dark]

Джентльмены, я тут столкнулся с одной фичей, победить то я её победил, но как оказалось она вылезла заново.
Может кто с подобным встречался, во всяком случае мне эту проблему надо решить, а то кататься на другой конец города два раза в неделю как то не светит.

Суть: предложили мне в одной маленькой конторке подшабашить, чисто "у нас компы два года работают, наверное им ТО провести надо"
Приехал, а мне с ходу, тут у нас вчера ещё и принтер завис, отвиснуть надо.
Короче, сервак с восьмёркой, не домен. Пользуют восьмёрку терминально человек шесть.
Принтер НР1100 сетевой стоит на компе "А". К терминалу подключаются с наследованием своих принтеров + на серваке этот же принтер висит. В результате один и тот же принтер начинает "плодиться" после подключения очередного пользователя. Но проблема не в этом, это просто описание ситуации.

Зависший принтер надо отвешивать там где он стоит. Выгнал всех из терминала. Лезу на принтер, на той машине где он реально стоит. В принтеры попасть невозможно експлорер виснет, реанимировать можно только убиванием процесса.

В автозагрузке (Starter-ом и msConfig) вижу несколько непотребных загрузок.
К стати, ни ДокторВеб ни АVZ не нашли ни чего что классифицировали-бы как вирь.
Всё что показалось непотребщиной отключил, скинул на флешку, дома скормил касперу, тот не прореагировал ни как.

Насторожили две записи в автозагрузке (одна в реестре, другая в пуск-программы-автозагрузка)
И та и другая ссылалась на один и тот же файл в TEMP с абракодабренным названием (кажется расширением tmp)
Но файлеца этого я на диске не нашёл (пользуюсь ФАР-ом).
В процессах нашёл и убил этот абракодабренный процесс, вернее два процесса. Убить которых получилось только прибив explorer.

Перезагрузился проконтролировал. Всё путём.
Сразу ожил принтер и давай печатать. Посчитал что дело сделано.
Прошла неделя, симптомы повторились.
т.е. принтер опять завис. Причём, как мне кажется висяк начинается именно после попытки отпечатать терминально, по сети. Т к. со слов, по сети все печатали нормально, только в конце дня потребовалось отпечатать с терминальной 1С и тут принтер подвис.

Предпологаю, что на машине с принтером опять появился абракодабренный процесс.
Откуда он берётся пока нет предположений.

Если есть у кого какие мысли, отпишите плиз

[Alex Dark]

Доброго времени суток.
Я оказался не прав. Ни какого абракодабренного процесса не появилось. Всё осталось не тронутым.
Проблема с виндой. Она тупо перестала открывать папку с принтерами. Соответственно и принтер висит.

[Умидэнц]

Пробовали печатать с компа, предварительно отключив его от сети ?
Случаем не сохранилось то самое "аброкадабренное" имя "аброкадабренного" процесса ?
Собственно, в эвентах нет ссылок на проблему запуска службы печати (принт-сервера) ?
Ну и, наконец, не вылетало ошибок процесса spoolsv.exe ?

[doro]

Когда курсор мыши вдруг ни с того ни с сего вдруг всает как вкопанный (как правило, на краю экрана или же на краю какого-нибудь окна) - это не вирус случайно какой-то?

[leon534]

Цитата:

Сообщение от doro

Когда курсор мыши вдруг ни с того ни с сего вдруг всает как вкопанный

На всякий случай ответь, пробовал ли заменить мышь?

[doro]

ДА

[Val14]

Цитата:

Сообщение от doro

Когда курсор мыши вдруг ни с того ни с сего вдруг всает как вкопанный

Если НЕ вирусы, то железо умирает.

Если после замирание мыши, всё остальное тоже зависает (т.е. зависает Винда), то меняйте видеокарту или тестируйте память. Вероятнее видеокарта перегревается...

Если клавиатура реагирует, т.е. Винда НЕ зависла, а мышь PS/2, то меняйте мышь на USB-шную, т.к. умер разъем PS/2

[doro]

Цитата:

Сообщение от Val14

всё остальное тоже зависает (т.е. зависает Винда),

Не зависает. Всё остальное работает нормально. Только мышь стоит, хотя обе клавиши работают.
Протестировал по быстрому видюху - вроде всё нормально.

[Val14]

doro,

Цитата:

Сообщение от doro

Только мышь стоит, хотя обе клавиши работают

Цитата:

Сообщение от Val14

Винда НЕ зависла, а мышь PS/2, то меняйте мышь на USB-шную, т.к. умер разъем PS/2

Вы отвечаете НЕ на все вопросы. Неизвестно гонялись ли антивирусные программы. Будте более подробны...

[doro]

Цитата:

Сообщение от Val14

Неизвестно гонялись ли антивирусные программы.

Собственно с чего всё началось: был пойман вирус Win32/TrojanDownloader.Carberp.AF (по классификации Esset). NOD вылечить не смог. Пришлось воспользоваться самым свежим на тот момент Cureit и Kaspersky Virus Removal Tool. Вроде очистил. Потом всякая мелочёвка появлялась (по причине частого использования в Internet в качестве браузера IE). Были и Win32/Dorkbot.D, и JS/Kryptik.EC, и Win32/Agent.KKCXZQQ (всё по классификации Esset). NOD вроде всё мочил (по крайней мере прогон бесплатных утилит DrWeb и Касперского ничего не показывал). Ну а потом началась эта морока с мышкой.

[Plague]

doro, возьми любой live-cd (в т.ч. и CureIt - там вроде тоже поддержка мыши есть) и посмотри как будет работать с ним, а не гадай на кофейной гуще. если и под liveCD тож самое будет - значит проблема в железе и данному топику не относится.

[doro]

На Win7 при запуске любой программы вылетает окно Media Pleer (что при запуске исполняемых файлов что при запуске через ярлыки на РС или Пуск) и закрывает запускаемую программу.
Через Безопасный режим с поддержкой командной строки удалось всё же запустить Drweb CureIt. Нашёл какие-то вирусы, удалил и вылечил (какие - не знаю). Но проблема всё равно осталась.

[Fermata]

doro

Вот тут как раз про это:
_http://support.microsoft.com/kb/950505

Или поищи в Гугле win 7 exe fix, там можно найти сразу готовые reg-файлы.

В ощем, это вроде не вирус, а какой-то косяк в реестре.

[Alex Dark]

Цитата:

Сообщение от doro

На Win7 при запуске любой программы вылетает окно Media Pleer

А..... (с семёркой не часто сталкиваюсь) AVZ на семёрке такие вещи лечит и вообще как себя ведёт?

PS так для общего развития, вдруг пригодится

[FACE CONTROL]

Доброго времени суток!

ситуация такова при попытке открыть сайт с полями для заполнения вот к примеру

_http://www.ozon.travel/

часть сайта а именно откуда и куда будешь вылетать вообще пустое и так во всех браузерах, думал сначала глючит сайт потом на другом компе попробовал все ок.

сбрасывал в ie все настройки на дефаулт не помогло.
единственное что получилось в опере если включить режим турбо то тогда этот сайт открывается нормально, но уж очень долго.

проверял на вирусы нод 32 все ок.

в чем может быть проблема и как ее можно решить???

зы. ОС Win 7 x64

[Alex Dark]

Я конечно понимаю что у тебя быстрее всего что то другое, но всё же.

Был вчера у знакомого. Типа баннер снять, компу ТО провести.
У него тоже НОД стоит на ХР.

Так вот, баннер снял быстро, но в процессе удаления кучи всяких надстроек, ускорителей, оптимизаторов и другого ПО (которое типа облегчает жизнь и поставляется на комп в комплекте как бесплатное приложение с игрухой или ещё какой прогой) я вдруг заметил, что во обозревателях стали происходить забавные вещи: меняться начальные странички, начали всплывать рекламные хрени типа "Поздравляем, вы выиграли... дай номер телефона" (там где их по определению не может быть, например на ya_точка_ru ) и так далее.

А потом вообще перестал попадать на любые сайты кроме яндекса, майла и рекламных ссылок на них.
В общем то я кое как умудрился качнуть каспертулса, а потом ещё и Cureit.

Каспер запуститься не смог (4 svchost каждый по 25% грузили систему намертво). Только в защищённом убив из автозагрузки всё что там было (starter) и ни чего не найдя перегрузился в нормальный режим. В нормальном режиме каспертул нарыл пару троянов, backDoor и ещё что то.
Руганулся на что то что не может удалить и пообещал это сделать после перезагрузки.
При этом выйти на странички инета стало не возможно попасть вообще, кроме майла рамблера и рекламы. А потом и сами странички начали загружаться частично. Т.е. вместо имхо.ws открывался заголовок и разделы статистика и дополнительно (естественно всё в неудобоваримом виде)
А потом и вообще в виде куска html.

Дождался окончания каспертула и перегрузился, после чего комп начал бегать очень шустро, но доступа к сайтам не было вообще (опять же кроме майла рамблера и их рекламы)

Так как времени было не достаточно, то я поставил cureit-а (который с ходу убил какой то процесс в памяти) и пошёл домой.
Хозяин потом позвонил и сказал, что cureit нарыл ещё несколько чего то.

Типа инет ожил. Сам не смотрел ещё.
Так что как то так.

Возможно поэтому в турбо опера тебе что то показала (на сколько я знаю, в турбо к тебе приходит страничка упакованная в архив)


PS Пройдись каспертулом и Cureit-ом

[Jaded]

Сегодня принесли ноут с винлокером, просил 500 р. на номер +79874322969. Эта гадость лежала по адресу c:\Documents and settings\Admin\ms.exe
Маскируется под виртуальную машину Oracle (могу и ошибиться).