Компьютерный "триппер". Руководство по удалению вирусов

[borislev]

Короче, вляпался я малехо, (по порносайтам не гулял, говорю сразу )

Какая то гадость стала тормозить подьем Винды - у меня XP, выбрасывает окошко, что не могу найти и после этого набор палочек типа ||||||||

Второе проявление - не менее важное, при подьеме IE поднимается несколько pop-up, домашняя страница устанавливается на www.idgsearch.com, на десктопе и в фаворитах появляются иконки ссылки на какие-то левые сайты.
В автозагрузке появились iedll и еще какая-то херня.

Пользовался Norton antivirus, IEDoctor, Ad-aware 6.0, результатов практически никаких

Люди, поможить, кто может, только недавно винду поставил...

Отредактировано модератором. В связи с тем, что данная проблема всплывает очень часто, убедительно прошу, новых тем не открывать, пользоваться приведенными ниже советами. Дополнения и другие рекомендации постить только здесь или ЗДЕСЬ

[Artais]

Цитата:

Сообщение от Alex Dark

загружайся монопольно
открывай реестр-автозагрузка (или выполнить MsConfig - автозагрузка) и смотри там загрузку подозрительных DLL
или то что находит твой антивирус

Воткни флэшку, на нее он засунет свой авторун и dll. Посмотри авторун и ищи это у себя в компе

Вот так на пальцах, не знаю понятно или нет. Извини на прошлой неделе искал, названия не запоминаю.
все то понятно, реестр глянул, подозрительных длл нет,



Есть другой вариант. Намного проще
Качай каспера, ставь, ищи,лечись, потом через месяц сноси и возвращайся к Авасту

если аваст его не удалил, то и каспер не справиться, на гугле видел ссылки что и с каспером тож такие закорючки

[Plot]

При перезагрузке появилось сообщение об окончании работы приложения NJ Logger v1.1. Самого NJ Logger обнаружить не удалось, информации о нем при помощи Google тоже не нашел. Что это за приложение?

PS. NOD,SpyBot и CureIt при сканировании ничего подозрительного не находят.

[Borland]

Plot, это необязательно malware...
Во всяком случае, ни у кого из вирусоисследователей мне инфы про такой процесс не попалось...
Скачай _http://www.microsoft.com/technet/sysinternals/utilities/processexplorer.mspx и поищи им соответствующий процесс. Если не найдёшь, то ищи руткит _http://www.microsoft.com/technet/sysinternals/Utilities/RootkitRevealer.mspx

[ArtX]

А как насчёт AVZ? _http://z-oleg.com - ничё лучше не встречал...

[Trotil]

ArtX, AVZ - утилита для опытных пользователей, штатному пользователю она только навредит (например, у неопытных пользователей после ознакомления с отчетом возникает желание удалить klif.sys, sandbox.sys и т.п.)

Вот, один такой: скрин прислал и в панике...

[mrsbc]

Сообщение NOD32 -
Файл - C:\WINDOWS\System32\drivers\smtpdrv.sys
Вирус - Win32/Agent.NBT червь
Комментарий - Событие во вновь созданном файле. Файл был перемещен в карантин. Вы можете закрыть это окно.

При перезагрузке выдает аналогичное сообщение

[Breeze]

Dr.Web CureIt!® для Windows или портабельный Каспер со съёмного носителя поможет избавиться от этой заразы.

[mrsbc]

Breeze, до твоего совета попробовал симантек - понаходил кучу и поудалял, но после перезагрызуи - "наша песня хороша..." Проверка Dr.Web CureIt дала аналогичные результаты. Предполагаю, что Каспер меня не удивит.

[Borland]

mrsbc
Как уже неоднократно говорилось, "абсолютный" антивирус - такая же абстракция, как идеальный маятник Томсона в физике или сферическая модель лошади в вакууме.
В реальности - не встречается (не считая, конечно, экстремального "format c:").
Для любого антивируса можно найти вирус, который тот не только пропустит, но и сам будет заражён им.
Именно поэтому рекомендуется кроме основного антивируса, защищающего систему постоянно, иметь что-нибудь навроде CureIt на отдельном загрузочном носителе и время от времени проверять систему им. А кроме того, не запускать на машине что попало, даже если на это "что попало" не реагирует ни один антивирус - всегда есть шанс нарваться на свежую версию "генератора карт оплаты сотовых операторов" или "прикольной флешки".
В особо запущенных случаях заражения (с одним из таких мы, похоже, и столкнулись в данном случае) единственным приемлемым выходом будет переустановка ОС с нуля.
И ещё раз повторюсь: по эффективности ни один метод лечения не сравнится с профилактикой.

Конкретно о борьбе с Win32/Agent.NBT: _http://virusinfo.info/showthread.php?t=16088

[Breeze]

Форматирование, конечно, идеальный вариант, слов нет - кардинальный. Как и восстановление из образа, при условии, что вирь не прописАлся на соседнем разделе.
Как один из способов - подключить винт на заведомо чистую машину с, допустим, Битдефендером и прогнать оттуда. О LiveCD я писал, но это ж надо интегрировать антивирь со свежими базами.
Не помешает пройтись всяческими Ad-aware и Spyware.

[HATTIFNATTOR]

Цитата:

Сообщение от Borland

Конкретно о борьбе с Win32/Agent.NBT: _http://virusinfo.info/showthread.php?t=16088

_http://virusinfo.info/showthread.php?t=1235 лучше сделать логи и открыть свою тему, - прибивать нужно всю "малину" сразу, а набор зловредов в каждом конкретном случае отличается.

люди помогите, уже не знаю где найти помощь, вообщем вот проблема:
это червь скорее всего, вот что творит:
- не работает "показать скрытые файлы и папки"
- когда тыкаешь на жесткий диск, он открывает его в новом окне (в свойствах папки галка не стоит напротив "открывать каждую папку в новом окне" )
- раньше поиск не работал (но я как то умудрился его вылечить)
- иногда при печатании переставляют буквы или курсор перепещается на строки выши
вообще, если кто знает, что делать подскажите плз
P.S. проверял Dr.Web`om все базы новые. Ничего не находит. И причем он у мя заразил еще другой комп локальным путем. И вот еще что, я виндоус переустановил и старые параметры перенес на новый виндоус, и такие же глюки, значит, он в папке виндоус где то ползает (ну эт мои догадки).

[Alex Dark]

arsenchik, проверь каспером, проверь нодом.
Ведь кто может определить по внешнему описанию что у тебя за гадость сидит, только тот, кто сней уже сталкивался. А какова вероятность? Близка к нулю.

Цитата:

Сообщение от arsenchik

P.S. проверял Dr.Web`om все базы новые

Был у меня нод, базы то же были новые. Были тормоза и непонятности.
Поставил Каспера, а он нашел гада. Просто версия нода была старенькая

Попробуй прицепить винт к другой (чистой) машине. Там проверь диск

[HATTIFNATTOR]

Похоже на дисковый червь семейства autorun. Что делать - в предыдущем посте.

[Умидэнц]

Люди, помогите, плиз, на форумах подцепил трояна, удалил его, потом проводил полные проверки на вирусы, но ничего не нашлось больше, однако после того, как троян был удалён на диске С начался бардак - то у мен показывает что на С 12 метров места, то 600 гигабайт, то 1 мегабайт и так до бесконечности. Перепробовал всё, кроме сноса винды. Сканировал на спайверы, адавары, вирусы всеми мыслимыми и немыслимыми сканерами и ничего не обнаружил. Подскажите плиз, как быть ?

[Alex Dark]

Цитата:

Сообщение от Умидэнц

Люди, помогите, плиз, на форумах подцепил трояна, удалил его,

Во первых Что значит удалил?
Что за троянец?
Чем удалял?
Чем проверялся?

Вообще то если ты ожидал сочуствия, то сочуствую

[Умидэнц]

Цитата:

Сообщение от Alex Dark

Во первых Что значит удалил?
Что за троянец?
Чем удалял?
Чем проверялся?

Троян Trojan-Dropper.JS.Small.f
Идентифицировался и удалялся каспером 7.0
Позже проверялся авастом, НОДом, симантеком.

[FACE CONTROL]

Доброго времени суток!!

Возник такой вопрос.

Sbylf winXP SP2, антивирусник NOD32 обновлялся последний раз в кнонце января,

а проблема собственно в том что в системе пстоянно стало появляться вот такое сообщение


так вот антивирус ничего не нахдит, а это сообщение вылазиит каждые 5 минут? при нажатии на него лезит в интернет!!1

Как от этого можно избавиться?

[Borland]

Цитата:

Сообщение от ЭнеРгеТиК

Как от этого можно избавиться?

AdAware должен эту штуку найти. А можно и руками попробовать удалить, но это надо на месте делать.

Цитата:

Сообщение от ЭнеРгеТиК

антивирус ничего не нахдит

Цитата:

Сообщение от Borland

"абсолютный" антивирус - такая же абстракция, как идеальный маятник Томсона в физике или сферическая модель лошади в вакууме.

[Eternity]

сканировал ком с помощью AVG, он нашел у меня 2 файла, но в разделе Result/Infection написано Change. Что это значит?