imho.ws |
|
19.11.2003, 09:48 | # 1 |
ಠ..ಠ
Регистрация: 22.09.2003
Адрес: Moscow
Пол: Male
Сообщения: 1 940
|
Как удалить вирус/троян?
Стоит Win2000 SP3, и вылетает ошибка следующего вида:
F3E9CD64 base at F3E98000 Beginning dump of phisical memory Dumping physical memory to disk и начинает считать от 0-100 После чего комп перезагружается.... После этой ошибки, при попытке logoff или reboot, вылетает сведение о незаконченной программе Programm 1649, что это такое??? Неирзвестно, в автозапуске её нет, через Диспечер задач её невидно...Отрубить её неизвесно как. Также в Event Viewer - Application вылетел Event следующего вида: Event ID: 4124 Source: Ci Content index on f:\system volume information\catalog.wci is corrupt... Что делать-то? Помогите плз..... ВСЕ вопросы по борьбе с вирусами/троянами и прочей нечистью решаем здесь и в этой теме. Прежде, чем постить вопрос, просьба внимательно прочитать обе темы целиком - с вероятностью 99,9% ответы на эти вопросы уже есть. Постящие вопросы, ответы на которые уже даны и повторы ответов будут получать ШТРАФЫ. Dixi. Borland.
__________________
Зерна отольются в пули Пули отольются в гири Таким Ударным инструментом Мы пробьем все стены в мире Последний раз редактировалось Borland; 30.08.2005 в 14:27. |
12.12.2003, 23:21 | # 21 |
Junior Member
Регистрация: 24.02.2002
Адрес: Riga
Пол: Male
Сообщения: 137
|
так если известно название вируса, то можно найти его описание, какие файлы плодит, в какие ветки регистра прописывается, и устроить ему зачистку, ручками.
ЗЫ ещё неплохо бы system restore отключить (my computer/properties/system restore, поставить галочку) |
13.12.2003, 02:40 | # 22 |
Member
Регистрация: 22.02.2002
Адрес: TUD
Сообщения: 242
|
Nike
По моему мнению лучше попробовать Нортон 2004 + обновления и все же попробуй провести проверку в safemode. Можеш так же почитать тут . И еще может тебе попробовать просканировать с помощью Adaware и например Trojan Remover , может это у тебя сейчас не ловсан а что-то другое. |
15.12.2003, 12:49 | # 24 |
СуперМод
IMHO Консультант 2005-2009 Регистрация: 14.08.2002
Адрес: Московская ПЛ, ракетный отс
Пол: Male
Сообщения: 14 408
|
Nike
1. Скачай msblast removal tool у кого-нить из производителей антивирусов (у кого - без разницы; спец. утилиты выпустили практически все) и скинь на дискетку (обязательно с защитой от записи) или компакт. Можно скачать все античерви сразу (каждый червь лечится спец. тулзой; исключение - универсальный античервяк clrav.com от Касперского) 2. Отглючи все компы от сетки (физически! ) 3. Загрузи каждый в safe mode и прогони removal tool'ом; перед этим необходимо прибить лишние (вирусные) процессы в task manager. 4. Установи на каждый заплатку от M$ (лучше с компакта, чтобы не входить лишний раз в сетку. 5. Теперь можно подглючать компы к сетке и сразу перевставлять антивирь (полный снос, чистка реестра, чистая установка, последние обновления). Примерно так мы боролись с SirCam у себя в локалке, корпоративный Нортон пришлось перевставлять на ~200 машин... При активном вирусе антивирусы неработоспособны и, как я подозреваю, заплатку тоже ставить без толку. Кстати, помнится, первая заплатка от msblast была чисто декоративной и ни хрена не помогала. |
15.12.2003, 13:40 | # 26 |
СуперМод
IMHO Консультант 2005-2009 Регистрация: 14.08.2002
Адрес: Московская ПЛ, ракетный отс
Пол: Male
Сообщения: 14 408
|
Nike
Список и загрузка Removal Tools от Symantec здесь Ссылки на заплатки от Blast для всех осей (и официальные рекомендации от M$) здесь Последний раз редактировалось Borland; 15.12.2003 в 13:44. |
16.12.2003, 00:20 | # 27 |
Full Member
Регистрация: 15.11.2003
Сообщения: 507
|
Спасибо, пробую. Только там нет Lovesan а помоему это он у меня и есть.
Добавлено через 2 часа и 30 минут: Не помогает ничего может это и не бластер. А что моглобы ещё перезагружать винду, причём это происходит только когда сетевой кабель включен. |
16.12.2003, 09:43 | # 28 |
Junior Member
Регистрация: 23.12.2002
Адрес: ru
Сообщения: 122
|
Давай всё подробно тогда описывай,
что за ком, что делает, какая система, чё-на ней как стоит, что происходит при включении (одинаково ли для всех пользователей этого компа?), а под логином админа в сэйв моде? после чего эта хрень возникла. какой сетевой кабель ты дёргаешь ну тд... ЗЫ: СТРОГО СОВЕТУЮ, для чистоты наблюдений, выдернуть все сетевые шнуры физически, как сказал Borland , а потом уже с втыканием сетевых шнуров пробовать ЗЗЫ: Я лично всё-таки думаю что это blast, но ИМХО давай :)
__________________
С уважением nra. Последний раз редактировалось nra; 16.12.2003 в 09:57. |
16.12.2003, 13:17 | # 29 |
Full Member
Регистрация: 15.11.2003
Сообщения: 507
|
На счёт вытыкания шнуров и переустановки пробовал откуда-то опять лезит или из локалки или из ннета.
Комп AlhlohXP 1600+ 256 DDR Вообщем такая конфигурация, система WinXPpro, установлен на ней обычный набор софта таких как офис, опера миранда и всё в этом роде есть немного геймов. Комп всегда запускается от имени админа. Эта хрень возникла не откуда. Летом когда была эпидемия этого бластера вроде всё вылечили, а теперь всё почти так же только его ни где не видно. Происходит следующее: 1. Загружается комп, только всё загрузилось сразу перезагрузка, причём с отключением винта. Причём если проверку диска пропускаешь то повторяется а если нет то нормально загружается. 2. Когда что-нить копируешь на самом конце копирования перезагружается (но это не всегда) 3. А бывает не стого не c сеого грузится. |
16.12.2003, 13:51 | # 31 |
Junior Member
Регистрация: 23.12.2002
Адрес: ru
Сообщения: 122
|
Знацца так отключи автоматическую перезагрузку
My comp - Properties - Advanged - Startup&Recovery - сними галку Avtomatically reboot и запиши какую ошибку где выдаёт (код и прочая мня)
__________________
С уважением nra. |
17.12.2003, 14:12 | # 33 |
Banned
Регистрация: 27.10.2002
Адрес: Питер
Сообщения: 1 893
|
Всем!
Какое нах... описалово к этому вирю!!! ПОСМОТРИТЕ ВЕРХНИЙ ПОСТ!!! Это blaster! Тот самый, который через дыру в DCOM RPC лазеет! Nike Если ты ещё не пропатчился - ты в серьёзной опасности! Тебе через эту дыру могут залить всё что угодно! Я до сих пор использую эту дыру в своих целях (кстати, свой IP не подскажешь ) Если патч ещё не установил - могу посоветовать утилитку DCOMbobulator Она вырубает службу RPC |
17.12.2003, 18:25 | # 34 | |
Junior Member
Регистрация: 23.12.2002
Адрес: ru
Сообщения: 122
|
Цитата:
потому и описалово пошло, если чел говорит, что не помогает хотя моё мнение такое же - это бластер
__________________
С уважением nra. Последний раз редактировалось nra; 17.12.2003 в 18:28. |
|
17.12.2003, 22:12 | # 35 |
Full Member
Регистрация: 15.11.2003
Сообщения: 507
|
А где можно скачать DCOMbobulator? не подскажешь.
Я тоже думаю что это бластер так как порты его, заплатка не помогает, а на других компах файрволы блокируют именно его порты TCP/IP 139,137. Только ни один антивирус его почему-то не видит. И утилиты уже от всех компаний качал тоже не видят даже в безопасном режиме. |
19.12.2003, 09:39 | # 37 | |
СуперМод
IMHO Консультант 2005-2009 Регистрация: 14.08.2002
Адрес: Московская ПЛ, ракетный отс
Пол: Male
Сообщения: 14 408
|
Цитата:
|
|
23.01.2004, 14:55 | # 38 |
Newbie
Регистрация: 27.11.2002
Адрес: Ukraine
Сообщения: 27
|
Помогите в борьбе с вирусами!
Ребяты !
Как почистить от вирусов опломбированный компьютер? Винчестер снять нельзя, а если устанавливать AVP ,то вирусы его съедают. Хорошо бы с дискет, но если изготовить комплект дискет на другом компьютере, то при загрузке с них выдается сообщение, что ключ просрочен и вирусные базы даже грузиться не хотят. Все дело в том, что при создании загрузочной AVP дискеты в формате Linux на нее записывается образ со старым ключем. Как выковырять этот старый ключ из образа дискеты и вместо него поместить действующий (и где его взять)? Помогите !!! sepulka |