imho.ws |
|
|
Сообщения:
Перейти к новому /
Последнее
|
Опции темы |
23.11.2003, 16:32 | # 1 |
Junior Member
Регистрация: 24.03.2003
Пол: Male
Сообщения: 112
|
Компьютерный "триппер". Руководство по удалению вирусов
Короче, вляпался я малехо, (по порносайтам не гулял, говорю сразу )
Какая то гадость стала тормозить подьем Винды - у меня XP, выбрасывает окошко, что не могу найти и после этого набор палочек типа |||||||| Второе проявление - не менее важное, при подьеме IE поднимается несколько pop-up, домашняя страница устанавливается на www.idgsearch.com, на десктопе и в фаворитах появляются иконки ссылки на какие-то левые сайты. В автозагрузке появились iedll и еще какая-то херня. Пользовался Norton antivirus, IEDoctor, Ad-aware 6.0, результатов практически никаких Люди, поможить, кто может, только недавно винду поставил... Отредактировано модератором. В связи с тем, что данная проблема всплывает очень часто, убедительно прошу, новых тем не открывать, пользоваться приведенными ниже советами. Дополнения и другие рекомендации постить только здесь или ЗДЕСЬ
__________________
Designer Последний раз редактировалось BorLase; 29.07.2010 в 10:21. Причина: убрал линк на idgsearch |
16.05.2005, 22:55 | # 161 |
Newbie
Регистрация: 06.03.2004
Адрес: Jerusalem
Сообщения: 20
|
Dr.God
Вся фишка в том, что не было такого файла в системе... Другая прога называла его просто-RAndom Trojan) Ну с этим я справился, оказалось он себя в сервисах прописал! Есть еще один: Теперь есть еще один-Abetterinternet, вот его ничего не берет-ПРОБОВАЛ ВСЕ Нахожу его спайботом, он находится здесь у меня: hkey_users\S-1-5-21-1844.......\Software\aurora Есть идеи?
__________________
Don't take life too seriously! |
16.05.2005, 23:14 | # 162 |
KpTeaM
Регистрация: 31.10.2002
Адрес: Russia
Пол: Male
Сообщения: 3 261
|
Austin
>Нахожу его спайботом, он находится здесь у меня: hkey_users\S-1-5-21-1844.......\Software\aurora Брехня, ничего страшного в этой ветке быть не может. Возможно это след трояна, но и только...
__________________
Над струнами вен моих Лезвия осени, Их сталь леденящая В просинь рук просится... ©Темнозорь |
17.05.2005, 01:04 | # 164 | |
::VIP::
Creator Регистрация: 30.05.2004
Адрес: Alongside
Сообщения: 2 598
|
Цитата:
Или лучше так: http://www3.ca.com/securityadvisor/p...x?id=453076992 Выбирай.
__________________
Оверклокинг Windows XP |
|
17.05.2005, 12:09 | # 165 |
NetMOD
Регистрация: 19.05.2003
Адрес: МосПодЛод - НачВод-АккОт
Сообщения: 2 376
|
Austin
Пользуйся поиском! Тема по удалению всякой нечисти уже существует. Устное предупреждение. Темы объединил.
__________________
Красная точка лазерного прицела на вашем лбу это тоже чья-то точка зрения... --------- Репутация – это то, без чего могут жить люди с характером
|
17.05.2005, 20:44 | # 166 |
Newbie
Регистрация: 06.03.2004
Адрес: Jerusalem
Сообщения: 20
|
Всем спасибо
В конце концов решил проблему Кому интересно решение, вот: http://netrn.net/spywareblog/archive...urora-nailexe/ _________________
__________________
Don't take life too seriously! |
26.05.2005, 16:12 | # 167 |
Junior Member
Регистрация: 11.01.2005
Сообщения: 83
|
Иногда "триппер" маскируется под системные файлы или приложения типа explorer.exe или iexplorer.exe и т.д.
Информация и лечилка тут: _http://www.wilderssecurity.net/specialinfo/rapidblaster.html
__________________
Lorem ipsum dolor sit amet |
30.05.2005, 18:20 | # 168 |
.....
Регистрация: 26.07.2004
Адрес: Бывший охотник за головами 2006
Бывший IMHO спортсмен 2006,7
Сообщения: 7 607
|
Здравствуйте
Вопрос по двум процессам: system.exe - в диспетчере его видно, а физически найти его не могу ни в проводнике, ни в реестре VC6SecS.exe - сидит в C:\Program Files\HHVcdV6Sys\VC6SecS.exe - больно уж подозрительное у него название Пользовался Housecall - ничего не выявил Ещё одна особенность - перестал запускаться SAV Realtime
__________________
Кошачья песнь любви всего лишь вой, мешающий спать Последний раз редактировалось mrsbc; 30.05.2005 в 18:26. |
30.05.2005, 19:21 | # 169 |
::VIP::
Регистрация: 01.08.2003
Адрес: Moscow
Сообщения: 85
|
mrsbc
Однозначно триппер! Про скрытые (невидимые процессы) я уже писал. Есть замечательная бесплатная программа anvir. Хомяк _http://anvir.com/index_ru.htm Она показывает не только ВСЕ! запущенные процессы, а также (путь, используемые dll, файлы, потоки, хендлы, драйвера и т.д. и т.п.) Полнейший отчет с возможностью редактирования и удаления. Кроме того, программа без ведома пользователя не разрешит сделать какие-либо изменения в реестре и т.д. Все на русском. С помощью этой программы мне удавалось обнаруживать на зараженных машинах замаскированный триппер, именно по запущенным процессам.
__________________
Самый непобедимый человек - это тот, кому не страшно быть глупым. (с) В. ключевский
|
30.05.2005, 20:49 | # 170 |
.....
Регистрация: 26.07.2004
Адрес: Бывший охотник за головами 2006
Бывший IMHO спортсмен 2006,7
Сообщения: 7 607
|
Glaz, ты можешь по скриншоту обьяснить мне об этом system.exe - шото я ничего толкового не нашёл. Там сплошные девайсы
__________________
Кошачья песнь любви всего лишь вой, мешающий спать |
30.05.2005, 20:58 | # 171 |
KpTeaM
Регистрация: 31.10.2002
Адрес: Russia
Пол: Male
Сообщения: 3 261
|
mrsbc
Процесс System - системный, не триппер оно. А вот если процесс называется system.exe, то да.
__________________
Над струнами вен моих Лезвия осени, Их сталь леденящая В просинь рук просится... ©Темнозорь |
30.05.2005, 21:28 | # 172 |
.....
Регистрация: 26.07.2004
Адрес: Бывший охотник за головами 2006
Бывший IMHO спортсмен 2006,7
Сообщения: 7 607
|
Madness, в общем, system.exe я нигде не нашёл, мож погрешил на System . Мне интересно, что же у меня Симантек выбивало, счас вроде уже нормально, но я машину мучил и анвиром и хаузколом и авз. В последний раз вообще прикол - после перезагрузки он запускается и тут же сам исчезает. Правда это было при анвире в автозагрузке.
З.Ы. А где же сидит этот system, которй системный ?
__________________
Кошачья песнь любви всего лишь вой, мешающий спать |
30.05.2005, 22:38 | # 173 |
KpTeaM
Регистрация: 31.10.2002
Адрес: Russia
Пол: Male
Сообщения: 3 261
|
mrsbc
>А где же сидит этот system, которй системный ? Думаю что там же, где и Бездействие системы (system idle).
__________________
Над струнами вен моих Лезвия осени, Их сталь леденящая В просинь рук просится... ©Темнозорь |
24.06.2005, 16:26 | # 174 |
Junior Member
Регистрация: 01.02.2004
Сообщения: 158
|
Trojan.Virtumod...
Вот дерьмо блин, сидит уже 3 месяца и никак я его удалить не могу, всё бросаю да бросаю... и думаю да ладно хрен с ним, потом может как уберу, ну вот достало меня это теперь и решил конкретно енто дело довести до конца и убить суку!!!
В общем что бы не было никаких притензий от Модов, сразу скажу что я переискал здесь всё и в интернете тоже всё и очень многие пронраммы для удаления этого говна сам пробовал т.е. и руками и ногами блин и ни как я немогу это удалить!!! Может кто что подскажет? вот эта срань :C:\WINDOWS\Windows Update Setup Files\sysutil.dll Dr.WEB оппознаёт это как Trojan.Virtumod но чистить не хочет! Повторю ещё раз, что ни руками ни ногами ни через F8 и никакой программой я этот Trojan.Virtumod убрать не в састоянии! Подскажите, может у кого будут какие идеи? Repeek_s Последний раз редактировалось repeek; 24.06.2005 в 16:29. |
25.06.2005, 12:44 | # 175 | |
::VIP::
Guinness Liker Понаехало тут Регистрация: 26.01.2003
Адрес: В нейроне
Пол: Male
Сообщения: 2 848
|
Цитата:
__________________
меня не вылечат
|
|
01.08.2005, 12:37 | # 176 |
Newbie
Регистрация: 08.10.2002
Адрес: Киев
Сообщения: 43
|
Всем день добрый! Подскажите как справиться со следующей проблемой: был обнаружен на компе вирус W32.Marak
(Virus.Win32.Mkar.a («Лаборатория Касперского») также известен как: Win32.Mkar.a («Лаборатория Касперского»), W32/Mkar.gen (McAfee), W32.Marak (Symantec), Win32.HLLP.Mrak.3 (Doctor Web), Win32/Mkar.A (RAV), Worm/Mkar.D (H+BEDV), Win32:Mkar (ALWIL), Win32/Mkar.A (Grisoft), Win32/Mkar.A (Eset) Неопасный вирус. Написан на языке C/C++. Заражает только файлы Win32 EXE PE. При заражении добавляет к файлу свой код (около 8КБ) и дописывает в самый конец инфицированного файла некую структуру данных, содержащую строку «Mrak1pack». Данная структура используется вирусом для идентификации уже зараженных файлов. Поиск файлов для заражения производит по всем дискам, в том числе, по сетевым ресурсам. При работе создает невидимые окна с имененами классов mrakMainWndClass и mrakcontrolWndClass. Для хранения своих переменных использует ключ реестра: [SOFTWARE\Microsoft\Mrak] Может добавлять себя в автозагрузку системы, создавая ключ: [SOFTWARE\Microsoft\Windows\CurrentVersion\Run\NetStart]). C машины эту гадость убрать удалось, но уже было заражено около 300 файлов. Вопрос в следующем: можно ли восстановить запорченные .exe файлы и если да, то как. Буду признателен за ответы так как принципиально именно восстановить файлы, а не удалить. Заранее спасибо тем, кто откликнется. |
02.08.2005, 18:56 | # 177 |
Junior Member
Регистрация: 17.09.2002
Адрес: Россия, Краснодар
Сообщения: 114
|
Помогите решить проблему с вирусом W32.Licum. Семантек не справляется, NOD32 тоже что-то не то делает, на каспере описание есть а как бороться ним неизвестно. Выкашивает экзешники, дописывает в них свой код. Система глючит, ни работать ни играть... нифига. Что с ним делать, 3 дня назад систему снес и вот опять снова.. блин. Скрин в приложении, ссылка на описание вот тут
Может кто знает как с ним бороться?
__________________
любить рок-н-ролл гораздо забавнее, чем Маркса... Паоло Коэлья "Заир" |
10.08.2005, 22:59 | # 179 |
Member
Регистрация: 02.10.2004
Адрес: Москва
Пол: Male
Сообщения: 242
|
Запуск AntiSpyware под аккаунтом SYSTEM
Благодаря одной старой уловке, упомянутой в knowlegebase Microsoft еще для Windows NT4 можно сделать охоту на malware более эффективной, запустив Вашу любимую AntiSpyware программу под учетной записью SYSTEM. Аккаунты SYSTEM и Администратора имеют одинаковые привилегии но различные функции, аккаунт SYSTEM используется самой операционной системой и сервисами, запущенными под Windows. Это внутренний аккаунт, он не виден в User Manager, не может быть добавлен ни к каким группам и ему не могут быть назначены права пользователя. (С другой стороны учетная запись SYSTEM обнаруживается на диске NTFS в менеджере файлов в разделе "Разрешения для.." вкладки "Безопасность", по умолчанию ей предоставлен полный доступ ко всем файлам на диске NTFS. Здесь SYSTEM имеет те же самые функциональные привилегии как и аккаунт Администратора). Такой прием в некоторых случаях может обнаружить и удалить malware которые иначе не были бы замечены, или помочь в борьбе с вредоносными программами умеющими изменять пользовательские привилегии (например группы Администраторы).
Чтобы запустить программу под аккаунтом SYSTEM запустите командную строку ("Пуск" -> "Выполнить" -> CMD <Ввод> ). В открывшейся командной строке наберите "at ХХ:ХХ /interactive cmd.exe <Ввод>" (где ХХ:ХХ - текущее системное время+2минуты, также должна работать служба "Планировщик"(Task Scheduler)). Если все введено правильно появится подтверждение "Добавлена новая задача с кодом 1" и через 2 минуты откроется новое окно командной строки от имени %windir%\system32\svchost.exe. Теперь Вы залогинены под аккаунтом SYSTEM. Кликните правой кнопкой на ярлыке программы, которую Вы хотите запустить и в открывшемся меню левой кнопкой на "Свойства". Скопируйте поле "Объект" вкладки "Ярлык", содержащее полный путь к исполняемой программе, затем кликните правой кнопкой в открытом svchost.exe окне командной строки и в открывшемся меню левой кнопкой нажмите "Вставить". Нажмите "Ввод". Ваша программа запущена с учетной записью SYSTEM. Ссылки по теме _http://support.microsoft.com/kb/120929 _http://support.microsoft.com/kb/q132679 |
24.08.2005, 22:23 | # 180 |
Member
Регистрация: 02.10.2004
Адрес: Москва
Пол: Male
Сообщения: 242
|
HijackThis Log Parser v 2.0
Здесь можно самостоятельно проанализировать лог HijackThis.
_http://hjt.iamnotageek.com/ Легенда: Bad - Remove almost always - Вредоносные, удалять однозначно. OK Most of the time - don't need to touch - Системные, не трогать. Probably not needed - Safe to remove - Вероятно не нужны, но удаляйте только если уверены! Generally harmless - third party applications - Безопасный софт сторонних производителей. Bad if you don't know what it is - Потенциально небезопасный если Вы не знаете что это (сами не устанавливали). Unknown Item - Investigate further - Эти пункты анализатору неизвестны. Для известных парсеру пунктов\приложений имеются достаточно подробные описания. |