imho.ws |
|
19.11.2003, 09:48 | # 1 |
ಠ..ಠ
Регистрация: 22.09.2003
Адрес: Moscow
Пол: Male
Сообщения: 1 940
|
Как удалить вирус/троян?
Стоит Win2000 SP3, и вылетает ошибка следующего вида:
F3E9CD64 base at F3E98000 Beginning dump of phisical memory Dumping physical memory to disk и начинает считать от 0-100 После чего комп перезагружается.... После этой ошибки, при попытке logoff или reboot, вылетает сведение о незаконченной программе Programm 1649, что это такое??? Неирзвестно, в автозапуске её нет, через Диспечер задач её невидно...Отрубить её неизвесно как. Также в Event Viewer - Application вылетел Event следующего вида: Event ID: 4124 Source: Ci Content index on f:\system volume information\catalog.wci is corrupt... Что делать-то? Помогите плз..... ВСЕ вопросы по борьбе с вирусами/троянами и прочей нечистью решаем здесь и в этой теме. Прежде, чем постить вопрос, просьба внимательно прочитать обе темы целиком - с вероятностью 99,9% ответы на эти вопросы уже есть. Постящие вопросы, ответы на которые уже даны и повторы ответов будут получать ШТРАФЫ. Dixi. Borland.
__________________
Зерна отольются в пули Пули отольются в гири Таким Ударным инструментом Мы пробьем все стены в мире Последний раз редактировалось Borland; 30.08.2005 в 14:27. |
09.08.2004, 23:01 | # 82 |
::VIP::
Регистрация: 29.01.2004
Адрес: Israel
Сообщения: 1 268
|
Попробуй _http://unasoft.com.ua/rus/downloadfree.html
Там утилитка лежит FreeUNA копейки весит. Как раз ищет Backdoor.Ubriel.b и Backdoor.HacDef.073. Backdoor.Ubriel.b Они воруют информацию об электронных кошельках WebMoney, профили Интернет-пейджера Miranda и настройки почтовых клиентов. Похоже на твой вариант ... |
10.08.2004, 06:53 | # 85 |
Member
Регистрация: 19.10.2003
Сообщения: 222
|
Симптомы смахивают на Troj/Haxdoor-G
_http://www.sophos.com/virusinfo/analyses/trojhaxdoorg.html > посмотри в описании. <...Troj/Haxdoor-G may log user keystrokes and window text, creating some of the following log files: KLOG.SYS KLOGINI.DLL IN.A3D PS.A3D ERROR.A3D.>
__________________
[KISS]=[Keep It Simple, Stupid!] |
10.08.2004, 10:22 | # 86 |
СуперМод
IMHO Консультант 2005-2009 Регистрация: 14.08.2002
Адрес: Московская ПЛ, ракетный отс
Пол: Male
Сообщения: 14 408
|
Rollers
Абсолютно прав! Приклеено. V@nya Хорош плодить одинаковые темы! Буду пинать!
__________________
Не засоряйте форум "спасибами"! Для выражения благодарности существуют ПС и репутация! Соблюдайте Правила! Распространенье наше по планете Особенно заметно вдалеке: В общественном парижском туалете Есть надписи на русском языке В. Высоцкий |
11.08.2004, 05:06 | # 87 |
Junior Member
Регистрация: 10.08.2004
Адрес: Владивосток
Пол: Male
Сообщения: 178
|
=) Пока гром не грянит, мужик не перекрестится. Так же и тут, пока вирус на завалится, ламер заплатку не поставит. Надо следить за обновой заплаток от Билла, и фаерволл ставить с анти вирем, лучше анти виря 2, нортон и др.веб =)
|
12.08.2004, 13:19 | # 88 | |
Banned
Регистрация: 04.09.2002
Адрес: В сети ;)
Сообщения: 783
|
Anarchist
Цитата:
Backdoor.HacDef.073 - это вообще руткит для винды. НИЧЕГО общего сос стыриванием пассов он НЕ имеет! |
|
12.08.2004, 23:11 | # 90 |
Banned
Регистрация: 04.09.2002
Адрес: В сети ;)
Сообщения: 783
|
Mitri4
Руткит предназначен помочь взломщику укрепиться на взломанной тачке. Backdoor.HacDef.073 взломщику шелл, а так же скрывает из процессов, сервисов и реестра то, что взломщик прописал в настройках. Как видно, НИЧЕГО общего со стыриванием пассов к Мире и ВэбМани НЕТ! |
09.09.2004, 00:41 | # 91 |
Guest
Сообщения: n/a
|
Привет! У меня было то же самое.
Что я сделал: 1)Как только начался отсчёт на reboot-зашел в Start->Run-> shutdown -a ->enter; 2)Спокойно правый клик на Мой компьютер ->Manage ->Services -> ->Remote Procedure Call (RPC) - правый клик -свойства-3-я вкладка(рековери) - везде выставляю Take No Action - OK.; 3)На сайт мелкомягких - и качаю заплатки. 4)С сайта McAfee качаю последний Stinger. 5)После перезагрузки запускаю Стингер. - Всё! 6)Убедившись,что вирусов нет возвращаю обычные настройки RPC. |
09.09.2004, 05:02 | # 92 |
Newbie
Регистрация: 13.01.2003
Адрес: Ukraine,
Сообщения: 12
|
Добрый день всем.
Использовал поиск - нашел эту тему, решил написать. Имею подозрение, что подхватил вирус (с 3 сентября в папке Windows появилась папка Inetdata, а там services.exe, который грузиться от имени пользователя. Удалил в безопасном режиме, поудалял из реестра ключи которые добавляли его в автозагрузку)... В общем вируса вроде больше нет, но я сохранил этот файл (переименовав его), кроме того есть файл с расширением VBS (что это такое?), не могу в нем разобраться, но вроде он рубит процесс OUTPOST (это я решил из этого: Set colProcessList = objWMIService.ExecQuery _ ("SELECT * FROM Win32_Process WHERE Name = 'OUTPOST.EXE'") For Each objProcess in colProcessList objProcess.Terminate()) В общем, файлы остались, если есть желающие посмотреть на них (и могущие разобраться), могу скинуть - если вы потом обьясните мне что это такое Еще вопрос: можно ли как-нибудь разобрать экзешник до читаемого состояния? Или до кода на котором его писали? Заранее спасибо! |
09.09.2004, 05:25 | # 93 |
Junior Member
Регистрация: 10.08.2004
Адрес: Владивосток
Пол: Male
Сообщения: 178
|
Добрый, добрый =)
Скорей всего этот вирус ты подхватил с какого нибудь сайта, расширение VBS - Visual Basic - язык программирования, пусть он простой, но все же язык, и небось на сайте был какой нить ActiveX и к тебе его засосало=) OUTPOST.exe - это естественно файрволл Agnitum Outpost Firewall. И кстати необязательно загружаться в безопасном режиме=) достаточно убрать его и процессов, потом из папки потом и из автозагрузки путем тулзы встроенной в винду ХР - Выполнить ---- msconfig Насчет программы показывающий исходный код, врят ли, тогда бы исходники винды уже бы были у всяких там хакеров =) и потом представь сколько существуеют языком программирования и в программе должны быть встроенны все методы компиляции всех языков, и если например ты не знаеш на каком языке написана та, или иная программа, и наша супел тулза должна определить на каком языке она написана и вообщем...я такой не видел=) и врят ли она есть, ну только мож в каком нить узком кругу людей |
09.09.2004, 06:17 | # 94 |
Newbie
Регистрация: 13.01.2003
Адрес: Ukraine,
Сообщения: 12
|
y3k,
Папку не давала удалить винда, она писала что она системная. тоже самое с процессом, выдавалась надпись, что он "критический системный". Хотя может я не обратил внимание и пытался закрыть истинный Services... В MSconfig оно тоже само себя писало. Надо мне было с самого начала чистить реестр. А я не допетрил... Только откуда эти сволочи узнали что у меня именно Аутпост? Спасибо за ответ!!! |
13.09.2004, 09:55 | # 95 |
Guest
Сообщения: n/a
|
Outpost стоит у многих людей.
А насчет того что процесс "критический системный" - когда-то я видел такую информацию, что если процесс переименовать так, чтобы он начинался с system, то винда не даст его убить. Сам не проверял, но кто-то из знакомых сказал что так и есть. |
21.09.2004, 10:32 | # 97 |
Junior Member
Регистрация: 10.12.2003
Сообщения: 60
|
Файл C:\WINDOWS\inetdata\services.exe создаёт TrojanDownloader.Win32.Krepper.g (Troj/Krepper-G)
http://www.sophos.com/virusinfo/anal...jkrepperg.html |
28.09.2004, 17:47 | # 98 |
Full Member
Регистрация: 17.09.2002
Адрес: г. Moscow
Сообщения: 685
|
А вот какую бяку подцепил. Но фишка в том, что AVP, при сканировании его не видит, а видит лишь тогда, когда комп. находится в режиме ожидания, вот тогда, вылетает окно, что, вирус обнаружен, и пора запустить сканер. Запускаю сканер, AVP говорит, что вируса нет. В чём дело?
Запускал Trojan Remover, тоже ничего нашёл? Получается, что как бы троянец есть, и как бы его нет? Не хочется переустанавливать ось. Trojan Downloader.win32istbar.er Последний раз редактировалось Solvent; 28.09.2004 в 17:53. |
29.09.2004, 00:49 | # 99 |
Junior Member
Регистрация: 21.03.2004
Адрес: israel
Сообщения: 58
|
попробуй здесь очень классный сканер,поставь самую нижнюю ссылку,если он сам не поставит,только не давай автомтическое стирание
|
29.09.2004, 05:34 | # 100 |
Member
Регистрация: 04.12.2003
Адрес: Vladivostok
Сообщения: 273
|
На работе долго и упорно стоял Mac антивирь, достал он меня, особенно своей нелюбовью к Aston, то обновляться отказывается то еще что, а дисплей агента вообще не отображается, короче я его сношу и ставлю имевшегося под рукой Doctor Web, прогоняю на вирусняк и оппа!!! Один троян и три вируса. Вирусняк обнаружен в файле мыльника. Теперь вопрос как мне эту хрень почистить. Да и еще ad-aware почемуто упорно данного трояна не видит, при попытке убить данную нечисть вебом он ушел в глубокий даун. Советуйте с чего начать...
__________________
Часто люди падают с большой высоты из–за недостатков, которые помогли им ее достичь. Ж. Лабрюйер |