Компьютерный "триппер". Руководство по удалению вирусов

[borislev]

Короче, вляпался я малехо, (по порносайтам не гулял, говорю сразу )

Какая то гадость стала тормозить подьем Винды - у меня XP, выбрасывает окошко, что не могу найти и после этого набор палочек типа ||||||||

Второе проявление - не менее важное, при подьеме IE поднимается несколько pop-up, домашняя страница устанавливается на www.idgsearch.com, на десктопе и в фаворитах появляются иконки ссылки на какие-то левые сайты.
В автозагрузке появились iedll и еще какая-то херня.

Пользовался Norton antivirus, IEDoctor, Ad-aware 6.0, результатов практически никаких

Люди, поможить, кто может, только недавно винду поставил...

Отредактировано модератором. В связи с тем, что данная проблема всплывает очень часто, убедительно прошу, новых тем не открывать, пользоваться приведенными ниже советами. Дополнения и другие рекомендации постить только здесь или ЗДЕСЬ

[Korvin]

Цитата:

Сообщение от antigo

поймал довольно странной вирус (или скорее всего троян) - смысл в том что в корневых папках жёстких дисков создаются файлы autorun.ini, setup.exe (40 KB). в принципе файлы на первый взгляд не опасные - ни НОД32 ни SB S&D ни AD-AWARE ни чего не замечают. Hу просто не приятно что они есть (к тому же сама иконка жестокого диска меняется) - пробывал стирать - через пару минут опять появляются - в общем пытался погуглить вроде че-то на немецком нашёл - но похожесть с английским весьма далёкая (: поэтому нифига не понял - ну в общем может кто знает как с этим бороться

А содержимое этого autorun.ini? Я равильно понял, что он у тебя пытается запускать setup.exe?

[Vitiek]

У меня иногда в ИЕ6 вылазит окно левое.
И написано там типа

Цитата:

Восстановите и защитите Ваш компьютер при помощи ErrorSafe

и типа "Поиск на ошибки прямо сейчас" и кнопка. А сверху написано что это страница хочет какойто АктивХ загрузить. Я конпку не жму просто закрываю окно. А потом оно опять вылазит раза 3 за вечер. Кто в курсе что это за хрень?

[leon534]

2 Vitiek
Похоже у Вас та же гадость, которая тут проходила в 224 посте в этой ветке. К сожалению там человек не отписался ... Мой совет скачать AVZ, обновить базу и скорее всего найдется причина. Похоже на adware/spyware.

У меня проблема... пользуюсь FireFox'ом, из антивирусников стоит Symantec... Сегодня Mozilla не включалась, Explorer вис нещадно... Кроме Аси ничего не работало... В чем проблема? После перезагрузки по-прежнему Мозилла не открылся

[Panzer2]

Цитата:

Сообщение от ayanami

У меня проблема... пользуюсь FireFox'ом, из антивирусников стоит Symantec... Сегодня Mozilla не включалась, Explorer вис нещадно... Кроме Аси ничего не работало... В чем проблема? После перезагрузки по-прежнему Мозилла не открылся

Телепаты в отпуске. Сходи сюда http://virusinfo.info/showthread.php?t=1235 и выполни все инструкции до п.14 . Потом файлы логов, полученных в пп.8 (AVZ - virusinfo_syscure.zip), 10 (AVZ - virusinfo_syscheck.zip) и 13 (HJT - hijackthis.log) - всего должно быть 3 лога - выложи куда-нибудь. Посмотрим.

[leahov]

Короче слетел каспер (или помогли улететь) появился какой то вирус-"призрак". Не дает поставить антивирусы убивает запускающие файлы например kav.exe и тд (пробывал разные каспер, дрвеб, авз, панда), regedit мёртв, safe mode тоже умер. Похоже на вирусняк Beagle он же bagle и тд. Но из того что предлагалось нашел только в реестре папке FirstRRun (удалил) и в windows/exefld (тоже удалил). Больше ничего. Проверять могу только он-лайн или прогами типа drweb cureit, результат прежний ставишь антивирус - запускающий удален. Пробывал проверку через LiveCd - каспер и дрвеб молчат. Кто знает, как прибить эту заразу.

[ceadr]

Я для тебя на NoWa оставил сообщение.

[leahov]

прочел, не то

[sewell]

А попробуй переименовать exe-шники ативирей, если он их по названию душит, а не по сигнатуре. Еще попробуй rootkit revealer Марка Русиновича -наверняка зараза в нулевом кольце сидит...Может что найдешь подозрительное.

[leahov]

Цитата:

Еще попробуй rootkit revealer Марка Русиновича -наверняка зараза в нулевом кольце сидит...

вот здесь поподробней пожалуйста

sewell как удалять заразу в нулевом кольце?

[sewell]

Цитата:

leahov:
sewell как удалять заразу в нулевом кольце?

rootkit revealer, hook analizer и тот же avz способны вывести на след заразы -они покажут списки драйверов и устройств и т.д. Ну тут уже может помочь лишь интуиция. А далее из реестра удаляется их автозагрузка и после перезагруза производится удаление их физическое с диска. А вышеназванные проги могут помочь определить название файлов и расположение заразы на диске. Самостоятельный отлов вирей дело утомительное..
З.Ы. Да, савсем забыл добавить, это в том случае действует, если вирус существует сам по себе, а не инджектирует себя в другие исполняемые файлы и размножается. С этими очень сложно справиться руками и своими силами.

[leahov]

короче руткит нашел
HKLM\S-1-5-21-220523388-602162358-682003330-1003
\Software\Microsoft\Windows\CurrentVersion\Run\h
ldrrr
04.01.2007 13:14 62 bytes Hidden from Windows API.
HKLM\S-1-5-21-220523388-602162358-682003330-1003
\Software\Microsoft\Windows\CurrentVersion\Run\d
rvsyskit
04.01.2007 13:14 148 bytes Hidden from Windows API.
как удалить эту хрень?

[sewell]

Зайди в редактор реестра и напротив каждой ветви есть место расположение данных файлов. Запомни их. Загрузись в другой винде или с CD и удали эти файлы с диска. А реестр можешь почитить сразу, удали их записи в ветви RUN (если вирь не поставил на них защиту). Если не пройдет, почисти после удаления файлов и перезагрузки.
З.Ю. Да, на всякий случай не удаляй их, а, например, перемести в другое место. Вдруг это не то, что мы думаем...

[Panzer2]

Цитата:

Сообщение от leahov

короче руткит нашел
как удалить эту хрень?

Сделай логи как советовалось в письме 269 этой темы

[robinzon]

Система такая стоит Win2000, при попытке выйти в инет выходит, но ничего не загружается, при переконнекте вылазит ошибка 619 Указанный порт не подключен. И предлогается перезагрузить систему для того, что бы изменения вступили в силу. Менял прова результат такой же, менял модем все по прежнему.
Просьба помочь.
Зы если не туда то не обессудте.

[Naked]

Цитата:

Сообщение от robinzon

при попытке выйти в инет выходит, но ничего не загружается

очень похоже на конфликт ip адресов - у меня такие же симптомы были, попробуй в настройках соединения, когда уже подключен поменять ip свой - т.е. указать вручную, может поможет, если нет - попробуй обратиться к прову - но это если именно в этом трабла...

[Cartman]

На 99,9% уверен, что дело не в модеме, прове, а в операционной системе и наличие вируса в ней.
Соответственно объединяю.

[robinzon]

Цитата:

Сообщение от Cartman

На 99,9% уверен, что дело не в модеме, прове, а в операционной системе и наличие вируса в ней.
Соответственно объединяю.

Да выловил кучу вирусни(ловил каспером 6-ым), поудалял, но результата никакого в итоге чо сделать мона?

[Cartman]

Скорее всего повреждел или не полностью вылечен svchost. Попробуй выполнить команду sfc /scannow
Понадобится дистрибутив.

[robinzon]

Цитата:

Сообщение от Cartman

Скорее всего повреждел или не полностью вылечен svchost. Попробуй выполнить команду sfc /scannow
Понадобится дистрибутив.

выполнил вылезла ошибка, щас не помню какая..