imho.ws |
|
|
Сообщения:
Перейти к новому /
Последнее
|
Опции темы |
23.11.2003, 17:32 | # 1 |
Junior Member
Регистрация: 24.03.2003
Пол: Male
Сообщения: 112
|
Компьютерный "триппер". Руководство по удалению вирусов
Короче, вляпался я малехо, (по порносайтам не гулял, говорю сразу )
Какая то гадость стала тормозить подьем Винды - у меня XP, выбрасывает окошко, что не могу найти и после этого набор палочек типа |||||||| Второе проявление - не менее важное, при подьеме IE поднимается несколько pop-up, домашняя страница устанавливается на www.idgsearch.com, на десктопе и в фаворитах появляются иконки ссылки на какие-то левые сайты. В автозагрузке появились iedll и еще какая-то херня. Пользовался Norton antivirus, IEDoctor, Ad-aware 6.0, результатов практически никаких Люди, поможить, кто может, только недавно винду поставил... Отредактировано модератором. В связи с тем, что данная проблема всплывает очень часто, убедительно прошу, новых тем не открывать, пользоваться приведенными ниже советами. Дополнения и другие рекомендации постить только здесь или ЗДЕСЬ
__________________
Designer Последний раз редактировалось BorLase; 29.07.2010 в 11:21. Причина: убрал линк на idgsearch |
21.04.2008, 18:02 | # 401 |
Moderator
Регистрация: 02.11.2002
Адрес: -=Ейск=-
Пол: Male
Сообщения: 1 752
|
Бился полдня с вирусняками mustafx.exe и mustafx2.exe. Убивал и в винде и с Windows LiveCD. Уже попробовал и AVZ 4.30, провел найденные специально для этих вирусов скрипты (брал их с сайта _virusinfo.info). Результат - при перезагрузке опять стартует mustafx.exe и mustafx2.exe. Прошу помощи.
__________________
Потер старик рыбке спинку, вылез из рыбки джинн, дал старику по тыкве и отпустило старика... |
21.04.2008, 22:46 | # 402 | |
Вольный Ветер
Регистрация: 03.11.2003
Адрес: из Сибири мы
Сообщения: 1 051
|
Jaded, убрал бы nod, раз толку от него нету (мысли вслух).
Рассказ из форума города Валуйки - тц! как звучит Цитата:
__________________
Сотри случайные черты... А. Блок |
|
25.05.2008, 09:44 | # 403 |
КОТовский
Регистрация: 12.03.2003
Адрес: ОренБюргер
Пол: Male
Сообщения: 1 569
|
Доброго времени суток.
Прошу помощи в определении, что за вирус. Ситуация следующая. Машина с нодом имела выход в инет. Лицензионного каспера по плану должны были поставить в течении след-недели. Но как всегда кто то (или что то) подкралось не заметно. Есстественно ставили в экстренном порядке. Нод снесли. КАспера поставили, базы - свежак. Протестил, прочистил, но какая то скатина все таки осталась. Ее проявления. 1. Каспер не загружается автоматом. Проверил в его настройках. Все впорядке. 2. Попытка запустить что либо (например ярлык FAR с Р/С или из FAR-а какой нибудь EXE) вызывает диалог "Открыть с помощью -> Выбрать программу". 3. Единственный способ запустить какую нибудь прогу - "Запуск от имени" и обязательно снять галку "защитить систему от проги" 4. Касперо прошелся по компу, прочистил. Все что нашел - только удаление. 5. На попытку что либо запустить (только как в п.3) Касперо реагирует "Попытка внеррения в процесс...", все неизвесное что пыталось внедриться - уничтожалось (руками). Сравнивал с безинтернетным компом. Больше оно не появлялось. На текущий момент внедряться пытаются 2-3 проги (на память не помню), но они стандарнтые виндовые. С соседней машиной сравнил и дата и время и размер совпадают. Осталось только побайтово сравнить. 6. В реестре, в автозагрузке (MsConfig-ом, RegEdit не запускается вообще ни как) выключил все, что вызывало хоть малейшее подозрение. Вот вроде все что вспомнил. Может кто что еще посоветует. Если кто знает, подскажите плз ветку в реесте, в которой храняться запускаемые процессы на стадии загрузки системы (не автозагрузка. Эта скатина наверняка там обитает.
__________________
Все мы финансовые гении и эффективные менеджеры, только не у всех одногруппник или сосед по даче - президент. |
25.05.2008, 11:29 | # 404 |
Full Member
Регистрация: 25.12.2007
Адрес: Россия
Пол: Male
Сообщения: 557
|
Alex Dark Запущенные процессы можно посмотреть более информативной программой ProcessExplorer или ProcessMonitor. Процессы на стадии запуска - утилитой AutoRuns.
Ставить антивирус, в том числе и Касперского, на заражённую машину смысла нет. Возможно, стоит попробовать снести его (Касперского) на время и прогнать машину утилитой Dr.Web CureIt!. Скачанная с офсайта, она имеет последние базы и, собственно для работы не требует установки. Последний раз редактировалось audora; 25.05.2008 в 16:29. |
25.05.2008, 11:52 | # 405 |
Full Member
Регистрация: 30.04.2002
Сообщения: 1 419
|
Однозначно надо перепроверять после Каспера. И DrWeb вобщем-то лучший вариант. Лучше всего с CD/DVD или, если в себе уверен, подключив заражённый винт Slave'ом к здоровой машине с DrWeb с последними обновлениями.
Для просмотра всех процессов и веток автозапуска реестра лучшие проги от sysinternals. |
25.05.2008, 15:14 | # 406 |
Newbie
Регистрация: 23.12.2006
Сообщения: 29
|
Проблема с IУ
У мя такая проблема, на IE 6 начала появлятся какая то WinSecurity Toolbar 2.1 и пудрить мне мозги, во-первых при попытке открыть домашнюю страницу вылазит предупреждение(явно липовое) об незащищёности копьютера, появляется окно где предлагают скачать антивирус для XP, понель никак не убирается, поставил IE 8 как была так и осталось, антивирус её не находит, что делать?
|
26.05.2008, 10:10 | # 407 |
КОТовский
Регистрация: 12.03.2003
Адрес: ОренБюргер
Пол: Male
Сообщения: 1 569
|
Сегодня с утра посмотрел процессы AutoRuns. Удалил все что было подозрительно (сравнив с условно чистой машиной).
Снес KAV. Прошел Dr.Web CureIt. Все найденное под нож. Поставил KIS, прошелся. Нашел то же что и Вебер (у него в карантине) + в "System Volume Information" - все под нож. Могу предположить (т.к. ни кто пока вроде в процесс не влезает) что заразу все таки локализовали. Остались только последствия. А именно при запуске программы программа не запускается а распознается как неизвесное расширение файла и соответствующий диалог. Где, блин, ему почесать? А?
__________________
Все мы финансовые гении и эффективные менеджеры, только не у всех одногруппник или сосед по даче - президент. |
26.05.2008, 10:49 | # 408 |
Подкустовый выползень
Регистрация: 19.09.2002
Адрес: село Кукуево
Пол: Male
Сообщения: 892
|
Alex Dark почитай пару страниц хотя бы. Каждый раз что ли писать про АВЗ господина Зайцева. Качаешь ее, прогоняешь по системе и затем восстанавливаешь настройки первоначальные.
__________________
Вчера работники Эльдорадо обманули цЫганку. |
25.06.2008, 15:30 | # 409 |
Junior Member
Регистрация: 19.09.2005
Адрес: Владивосток
Пол: Female
Сообщения: 190
|
Товарисчи форумчане! Это случилось снова!
На всякий случай пишу в теме про вирусы, потому как в задумчивости. У меня возник вопрос по Access. То ли это глюк программы, то ли чего-ещё. В общем, сижу пишу диплом. Создала главную кнопочную форму, понаделала на ней красоты невиданной с золотыми яйцами и кучей кнопочек. Все хорошо, все раскрывается. Но после первого же выхода полностью из Access при повторном заходе главная кнопочная форма начинает висеть поверх всех остальных форм. То есть нажимаю кнопку для перехода на следующую форму, и эта следующая форма открывается, но только ЗА главной формой, которая остается гордо висеть посреди экрана пока её не скрыть. Подумала, может где в свойствах руки шаловливые погуляли. Сделала ещё одну форму, сравнила с курсовой с прошлого курса главной формой - все один в один. Пока сделала - все хорошо. Опять вышла из программы - опять повисла. Растройство полное, ибо в понедельник защита, а я тусуюсь вокруг кнопочек Приходится вручную принудительно заставлять закрываться в VBA. Машину проверила, вроде бы все хорошо. Антивирус - Аваст. Access 2003 Этов вирус?
__________________
(\(\ (=':') ( ,, ('')('') В ту минуту, когда ты сам этого меньше всего ожидаешь, открывается перед тобой новая дверь (П. Коэльо) |
25.06.2008, 22:23 | # 410 |
СуперМод
IMHO Консультант 2005-2009 Регистрация: 14.08.2002
Адрес: Московская ПЛ, ракетный отс
Пол: Male
Сообщения: 14 418
|
Нет, это M$ Access. И VBA. Программирование - это очень сильное колдунство...
__________________
Не засоряйте форум "спасибами"! Для выражения благодарности существуют ПС и репутация! Соблюдайте Правила! Распространенье наше по планете Особенно заметно вдалеке: В общественном парижском туалете Есть надписи на русском языке В. Высоцкий |
29.09.2008, 15:50 | # 411 |
Guest
Сообщения: n/a
|
Такая вот проблема. Зацепил я как пишет NOD32 AutoRun.PD пишет, что заражены 2 файла: userinit.exe и system32/system.exe В общем удалять userinit нельзя, а файла system.exe вообще нет такого. Появились и такие же самые процессы с такими же именами, и убить я эти процессы никак не могу, они сразу же появляються опять. Если кто знает как мне избавиться от этого коня, буду благодарен за помощь и советы.
|
29.09.2008, 20:43 | # 412 |
Full Member
Регистрация: 30.07.2004
Адрес: Санкт-Петербург
Пол: Male
Сообщения: 544
|
rcarlos, когда ты загружашься в своей системе, вирус грузится в память, и сколько бы ты его не удалял на жёстком диске, он снова скопируется из памяти. Поэтому тебе надо загрузиться с какого-нибудь LiveCD и уже из под него запустить что-нибудь вроде CureIt от DrWeb (_http://www.freedrweb.com/cureit/).
|
30.09.2008, 19:26 | # 413 |
КОТовский
Регистрация: 12.03.2003
Адрес: ОренБюргер
Пол: Male
Сообщения: 1 569
|
Emelman, а у меня на флэхе CureIt и AVZ
Я их отдновременно запускаю. Конечно тормоза конкретные, но они в паре грохают все с оперативки и из автозагрузки. После проверки критических областей начинают сканить жесткий. Тут я их останавливаю. Перегружаю комп и какой нибудь одной повторяю процедуру полностью. При этом собираюсь и ухожу домой, т.к. дальше я не нужен
__________________
Все мы финансовые гении и эффективные менеджеры, только не у всех одногруппник или сосед по даче - президент. |
01.10.2008, 15:48 | # 415 |
КОТовский
Регистрация: 12.03.2003
Адрес: ОренБюргер
Пол: Male
Сообщения: 1 569
|
ну так ведь ...
Если кто то и остался, то повторная выявит сразу, а дальше по обстановке... Вообщето главное загасить гадов из оперативки и обломить им запуск во время загрузки. Вобщем то эти две утилитки с этим справляются (пока справлялись). Ну, а от полной проверки ни когда нельзя отказываться, если есть сомнения. Кстати... Был КИС-7 поставил поверх 8, который первым делом предложил полную проверку и нашел таки 3-х троянцев.
__________________
Все мы финансовые гении и эффективные менеджеры, только не у всех одногруппник или сосед по даче - президент. Последний раз редактировалось Alex Dark; 01.10.2008 в 15:53. |
09.11.2008, 17:38 | # 416 | ||
Guest
Сообщения: n/a
|
Цитата:
Код:
HKLM\SOFTWARE\Classes\exefile\shell\open\command Цитата:
|
||
11.11.2008, 09:42 | # 417 |
КОТовский
Регистрация: 12.03.2003
Адрес: ОренБюргер
Пол: Male
Сообщения: 1 569
|
обратил. вещичка вроде не плохая. Проблема в том что ему инет нужен для работы. А этот "девайс" не всегда под рукой
__________________
Все мы финансовые гении и эффективные менеджеры, только не у всех одногруппник или сосед по даче - президент. |
05.12.2008, 10:18 | # 418 |
Junior Member
Регистрация: 19.09.2005
Адрес: Владивосток
Пол: Female
Сообщения: 190
|
Товарисчи, у знакомого возник такой вопрос. Писать буду не я, ибо после вчерашнего дня варенья писать не в состоянии ))) :
В компьютере завелся вирус: Trojan.GS.Agent.za, касперский его удаляет, но он опять появляется и касперский его опять обнаруживает и это продолжается уже долго. Панда, Доктор Вэб и т.п. его тоже видит и типа удаляет, точнее не его а зараженные файлы. Источник они не определяют. Удаляют файлы, если после этого запустить антивирус снова, он снова находит эти же файлы. Постоянно появляется в автозагрузке. После удаления оттуда, выйдешь - войдешь он опять там. Подскажите как удалить его иным способом. Компьютер выносить запрещено, сети и интернета нет, в общем, секретные данные и все такое.
__________________
(\(\ (=':') ( ,, ('')('') В ту минуту, когда ты сам этого меньше всего ожидаешь, открывается перед тобой новая дверь (П. Коэльо) |
05.12.2008, 10:49 | # 419 |
Full Member
Регистрация: 22.01.2002
Адрес: Минск, Беларусь
Пол: Male
Сообщения: 529
|
Кысь, я бы попробовал загрузиться в безопасном режиме и просканировать компьютер. Или загрузиться с LiveCD, если есть такая возможность, и просканировать компьютер утидитами типа CureIt! или AVPTool.
__________________
...то, что не стереть, как сильно ни три, свобода – это то, что у меня внутри... |
05.12.2008, 11:46 | # 420 |
СуперМод
IMHO Консультант 2005-2009 Регистрация: 14.08.2002
Адрес: Московская ПЛ, ракетный отс
Пол: Male
Сообщения: 14 418
|
DrWeb CureIt! рулит не по-детски...
__________________
Не засоряйте форум "спасибами"! Для выражения благодарности существуют ПС и репутация! Соблюдайте Правила! Распространенье наше по планете Особенно заметно вдалеке: В общественном парижском туалете Есть надписи на русском языке В. Высоцкий |