Компьютерный "триппер". Руководство по удалению вирусов

[borislev]

Короче, вляпался я малехо, (по порносайтам не гулял, говорю сразу )

Какая то гадость стала тормозить подьем Винды - у меня XP, выбрасывает окошко, что не могу найти и после этого набор палочек типа ||||||||

Второе проявление - не менее важное, при подьеме IE поднимается несколько pop-up, домашняя страница устанавливается на www.idgsearch.com, на десктопе и в фаворитах появляются иконки ссылки на какие-то левые сайты.
В автозагрузке появились iedll и еще какая-то херня.

Пользовался Norton antivirus, IEDoctor, Ad-aware 6.0, результатов практически никаких

Люди, поможить, кто может, только недавно винду поставил...

Отредактировано модератором. В связи с тем, что данная проблема всплывает очень часто, убедительно прошу, новых тем не открывать, пользоваться приведенными ниже советами. Дополнения и другие рекомендации постить только здесь или ЗДЕСЬ

[Умидэнц]

Вопрос такой - я поймал чёрвя ... название не сохранил ((
В общем такая проблема - он прописывается во все папки system volume information, и откат к точке восстановления системы бесполезен, потому, что он вместе с системой восстанавливается.
После активности червя пропала строка "свойства папки" в "сервисе" моего компьютера ... ну иногда бывает, что свойства появляются, но при этом абсолютно пропадает строка "скрытые файлы и папки" со всеми включающимися подстроками. Проблема решается при переустановке винды, но возможно ли как нибудь восстановить нормальное отображение без переустановки винды ?

[ЕЖ]

Умидэнц, многие вирусы так прячутся, но нормальные антивирусы умеют их и оттуда выковыривать. Еще, кроме полноценных антивирусов, можешь просканировать систему бесплатной утилитой AVZ (так называемый "антивирус Зайцева") - помница она хорошо такие хитрые штуки выковыривала.

[Умидэнц]

Это хорошо, но как потом восстановить нормальное отображение подкаталогов и вообще меню "сервис" в целом ? Только ли переустановкой винды, или как-то проще можно сделать ?

[Сворливый]

Многоуважаемые не подскажите как бороться вот с этой заразой - op_cache.atr и такой же только с др. расширением .idx

Появилось приблизительно пару дней назад, на флешке, при переносе файлов с Висты на ХР...
Стоит отметить, что ни Симантек - новые базы, ни Каспер ничего не видят...

[Borland]

Цитата:

31.07.2007 18:37 | Gazon ответить

Каспер7
После обновления баз, запустил поиск руткитов. После чего нашлись какие-то опасные обьекты в самом касперском ( новая угроза Hidden.Object (модификация) Файл: C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP7\Bases\OP_CACHE.ATR
Users\Application Data\Kaspersky Lab\AVP7\Bases\OP_CACHE.IDX
Файл: C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP7\Data\OP_CACHE.ATR
Файл: C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP7\Data\OP_CACHE.IDX
Эти файлы не находятся и неудаляются через каспер. Помогите кто может разобраться. Gazon542rus@mail.ru



25.09.2007 12:34 | Sa-Shi ответить

Файлы с именами OP_CACHE.ATR и OP_CACHE.IDX - служебные файлы другого защитника - Outpost Security Suite Pro
Во время работы он создаёт их в каждой папке.
Можно прописать исключения для Касперского -
Настройка->Угрозы и исключения->Доверенная зона->Правила исключений->Добавить. Теперь ставим галочку "Объект", нажимаем "укажите". В появившемся окне пишем имя файла. В Вашем случае OP_CACHE.ATR и OP_CACHE.IDX. Компоненты также можете выбрать, но по умолчанию там должен быть Файловый антивирус, т.е. как раз то, что и надо. В соответствии с таким правилом исключения файлы OP_CACHE.ATR и OP_CACHE.IDX не будут проверяться Файловым антивирусом в любой папке. Вот только не знаю можно ли для двух файлов сделать одно правило. Лучше сделайте для каждого файла отдельно. Проверяйте.

_http://www.viruslist.com/ru/news?discuss=760

[TURNSKIN]

прет
после установки "утилиты" Bit Accelerator, с http://letitbit.net переодически при нажатии на ссылку ИЕ идёт на какойто стороний сайт, всё время один и тотже(что то на подобие посковой системы), чаще всего такой редирект бывает с гугла, после того как гугл уже "ответил" на твой запрос
друх изминений замечено не было(ни поп-апов ни тормазов системы).
пробывал искать название этого сайта с надежной, может кто сталкивался уже с этим, но без результатно
в стартапе или в сервисах новых обетателей небыло замечено, ни ad-aware ни nod32 ничего не видят, в принципе как и spybot....
переодически приходиться качать с http://letitbit.net и поэтому этот "акселиратор" необходим для получение доступа к линку
вопрос: как избавиться от редиректов?
да кстате к слову если нажать BACK, и вернуться на гугл и опять нажать на туже ссылку чаще всего уже открывает то что надо

[Borland]

TURNSKIN, что Bit Accelerator, что MegaUpload ToolBar являются типичным AdWare/Spyware, т.е. программным обеспечением, основным назначением которого является сбор статистики о твоих перемещениях в сети и интересах и демонстрация рекламы.
Т.е., эти сайты предоставляют тебе бесплатный доступ к контенту в обмен на раскрытие персональной информации и просмотр тобой рекламы.

Цитата:

Сообщение от TURNSKIN

как избавиться от редиректов?

Очевидно - отказавшись от использования данных ресурсов и деинсталлировав соответствующее ПО с последующей чисткой системы от его следов.

[TURNSKIN]

в принципе этим и занимаюсь переодически
просто думал, может имееться "таблетка" или инструкция для меня, но видно не в этот раз.
тогда, последний вопрос, по какому принципу и на каком этапе я перенапровлялся/подменялся урл?
не сочтите за оффтоп, для общего развития интересно

[Jaded]

Доброго времени суток!
На работе столкнулся с проблемой обнаружен вирус Win32/Wigon.BA после лечения НОДом после перезагрузки снова появляется в памяти. Никто не сталкивался с такой траблой?

[Borland]

Jaded, пролечи машину с LiveCD.
Другой способ - разрешить своей учётке полный доступ к папкам "System Volume Information" на всех дисках и пролечить эти папки тоже (либо полностью очистить).
Можно также почитать тут: http://virusinfo.info/showthread.php?p=202820

[OldAnchor]

Послали отсюда...

Преамбула:
Вчера был замечен исходящий трафик по мониторчику DUmeter примерно 25-40Кбайт/сек. на ноутбуке. Естественно никаких серверов FTP HTTP на нем не установлено. Из програмного обеспечения относящегося к безопасности Outpost Firewall и NOD32 (все официально зарегистрировано ). Естественно сразу была выключена беспроводная сеть и я приступил к изучению проблемы...

Про NOD32 одним словом - ТИШИНА!

Открываю фаервол, а там некий процесс w32tm создают кучу потоков, пытается открытьать порты, вобщем "шумит" изо всех сил вместе с ekrn и svchost. Удаляю процесс w32tm (привык стартером пользоваться), а он тут же появляется вновь... Небольшой кусочек лога outpost в атаче.

Вобщем в итоге нашел я этот w32tm.exe (чуть больше мега) в папке WINDOWS, прибил, после перегрузки он вновь там появился. В нете нашел Trojan.Peacomm.D- описание оч. похоже на мою ситуацию. ну и т.д там писал...

Еще файлик w32tm.exe отправлял на проверку в макафии и нод - результат, файл чист, как стеклышко, но тогда откуда такой размер?

Сейчас решил Dr.Web спытать, но вот под досом видимо не судьба. Попробую конечно CureIT, но вот что интересно LivCD (я так понимаю это сбоники различных утилит в т.ч. и NTFS for dos) не видит моего системного раздела. Возможно из за того, что на буке есть раздел для востановления висты и он скрыт (хотя только, что я его акронисом делал анхид)?

Вобщем совет нужен..., сначала как увидеть раздел? Потом попробую собразить, чем его сканировать.

[Alex Dark]

OldAnchor, э-э... не посчитайте меня поклонникомк каспера, но Ваша ситуация похожа на мою, э-нное время назад был поклонником анитивируса ____ (не важно какого). Начались проблемы, замеченные визуально.
Поступил просто. Качнул KIS с сайта каспера, установил, протестил.
Ну и вроде все нормально.
Правда у меня нет висты, извините....

[OldAnchor]

Да кстати про OCь! Если что, то на буке стоит XP SP2

[Borland]

Вообще-то, в Windows XP по умолчанию есть файлик %WINDIR%\SYSTEM32\w32tm.exe
В свойствах значится: Windows Time Service Diagnostic Tool
Версия 5.1.2600.0
Размер 49664 байт
Если файлик отличается от исходного виндового (можно сравнить с тем, что в дистрибутиве) - значит зараза.
Твой Peacomm этот файл не заражает, если верить Симантеку
Зато (опять же, если верить Симантеку) этот файл изменяет Haxdoor.d
На проверку лучше отправлять Касперскому и DrWeb (есть у них на сайтах фича "отправить подозрительный файл в лабораторию") - если, конечно, онлайновые сканеры промолчат...
Можно поступить и вообще просто: в безопасном режиме удалить ссылки на файл из автозапуска и заменить файл оригиналом из дистрибутива... Хотя, конечно, лучше провести полный курс лечения с привлечением вирусологов к определению заразы - они её хоть в базы добавят и дальше антивирусы будут ловить заразу.

[Sheps]

Не нашел такой темы про вирусы(вроде), а если есть, то заранее извиняюсь.
Подцепил где-то вирус(вроде):ekugb3.bat
Действие его заключается в том, что он открывает жесткие жиски в новом окне, также он не дает просматривать скрытые и системные файлы и папки(меняешь значения, нажимаешь ок, заходишь снова в "сервис" а там все как было, так и стается) . Меня это уже раздражает.
Висит он на 2 компах, на которых нет инета. Передается по локухе(и видимо через переносные накопители), только если подключать сетевые диски.
NOD32 3.0.5... не видит его в упор.
Файлик не удаляется(видимо в винде где-то засел), точнее удаляется, но тут-же появляется снова. К нему прилагается autorun.ini

Как от него изличиться, если не форматированием?
Он засел на всех винтах, на которых у меня 250гигов нужной информации. Вроде на флешки пока он не лазил.

[CheshireCat]

проверь его на _http://www.virustotal.com/

если НОД в упор не видит, может пора попробовать просканировать другим антивирусом? например, Касперским.

[Merlin Cori]

Sheps,
ну а поисковые системы для кого созданы,а ?
Ты хоть пытался в том же гугле сделать запрос по имени bat файла?
читай, например вот это
http://forum.kaspersky.com/lofiversion/index.php/t61925.html

[audora]

Sheps, попробуй это:
http://www.imho.ws/showthread.php?p=1502443#post1502443

[mozk]

Для начала: если при удалении снова создается autorun то наверное стоит убить лиший процесс... и не заходить на винты/флешки до того как не напишешь батник, который разом удаляет все файлы авторана (см. пост Merlin Cori выше) на всех винтах, сделать это очень просто. Это хардкорный вариант, самый надежный.
Простой вариант - идешь сюда внизу страницы есть ссылка на набор утилит, качаешь, в архиве есть программка которая убивает автораны раз и навсегда.
А еще сюда загляни (анти-ауторан), сам я прогу не пробовал, попробуй, заодно напишеь работает или нет.

[FantomIL]

Тему переместил.
2Mods, объедените с этим топом, плиз http://imho.ws/showthread.php?t=44122&page=19

Комментарий Модератора:

Borland: Приклеил.