imho.ws
IMHO.WS  
Хостинг для сайта

Вернуться   IMHO.WS > Программы и Операционные системы > Обсуждение программ
Опции темы
Старый 19.11.2003, 10:48     # 1
maxximik
ಠ..ಠ
 
Аватар для maxximik
 
Регистрация: 22.09.2003
Адрес: Moscow
Пол: Male
Сообщения: 1 941

maxximik Гурее всех гурых :-)
maxximik Гурее всех гурых :-)maxximik Гурее всех гурых :-)maxximik Гурее всех гурых :-)maxximik Гурее всех гурых :-)maxximik Гурее всех гурых :-)maxximik Гурее всех гурых :-)maxximik Гурее всех гурых :-)maxximik Гурее всех гурых :-)maxximik Гурее всех гурых :-)maxximik Гурее всех гурых :-)maxximik Гурее всех гурых :-)maxximik Гурее всех гурых :-)maxximik Гурее всех гурых :-)maxximik Гурее всех гурых :-)
Как удалить вирус/троян?

Стоит Win2000 SP3, и вылетает ошибка следующего вида:

F3E9CD64 base at F3E98000
Beginning dump of phisical memory
Dumping physical memory to disk и начинает считать от 0-100
После чего комп перезагружается....
После этой ошибки, при попытке logoff или reboot, вылетает сведение о незаконченной программе Programm 1649, что это такое??? Неирзвестно, в автозапуске её нет, через Диспечер задач её невидно...Отрубить её неизвесно как.
Также в Event Viewer - Application вылетел Event следующего вида:
Event ID: 4124
Source: Ci
Content index on f:\system volume information\catalog.wci is corrupt...

Что делать-то? Помогите плз.....

ВСЕ вопросы по борьбе с вирусами/троянами и прочей нечистью решаем здесь и в этой теме.
Прежде, чем постить вопрос, просьба внимательно прочитать обе темы целиком - с вероятностью 99,9% ответы на эти вопросы уже есть.
Постящие вопросы, ответы на которые уже даны и повторы ответов будут получать ШТРАФЫ.
Dixi.

Borland.
__________________
Зерна отольются в пули
Пули отольются в гири
Таким Ударным инструментом
Мы пробьем все стены в мире

Последний раз редактировалось Borland; 30.08.2005 в 15:27.
maxximik вне форума  
Старый 09.08.2004, 18:58     # 81
гоша
Newbie
 
Регистрация: 11.07.2004
Сообщения: 44

гоша Путь к славе только начался
Для троянов могу порекомендовать The cleaner,если у тебя есть троян то он его найдет и грохнет.Сканирует долго,но чистит хорошо.....удачи
_http://www.moosoft.com/products/cleaner/
гоша вне форума  
Старый 10.08.2004, 00:01     # 82
Anarchist
::VIP::
 
Аватар для Anarchist
 
Регистрация: 29.01.2004
Адрес: Israel
Сообщения: 1 268

Anarchist Гурее всех гурых :-)
Anarchist Гурее всех гурых :-)Anarchist Гурее всех гурых :-)Anarchist Гурее всех гурых :-)Anarchist Гурее всех гурых :-)Anarchist Гурее всех гурых :-)Anarchist Гурее всех гурых :-)Anarchist Гурее всех гурых :-)Anarchist Гурее всех гурых :-)Anarchist Гурее всех гурых :-)Anarchist Гурее всех гурых :-)Anarchist Гурее всех гурых :-)Anarchist Гурее всех гурых :-)Anarchist Гурее всех гурых :-)
Попробуй _http://unasoft.com.ua/rus/downloadfree.html
Там утилитка лежит FreeUNA копейки весит.

Как раз ищет Backdoor.Ubriel.b и Backdoor.HacDef.073. Backdoor.Ubriel.b
Они воруют информацию об электронных кошельках WebMoney, профили Интернет-пейджера Miranda и настройки почтовых клиентов.
Похоже на твой вариант ...
Anarchist вне форума  
Старый 10.08.2004, 05:34     # 83
V@nya
Full Member
 
Аватар для V@nya
 
Регистрация: 20.07.2002
Адрес: Находка
Сообщения: 740

V@nya Луч света в тёмном царствеV@nya Луч света в тёмном царствеV@nya Луч света в тёмном царствеV@nya Луч света в тёмном царствеV@nya Луч света в тёмном царствеV@nya Луч света в тёмном царстве
Anarchist, ничего не нашла утилитка твоя
Вот sp2 скоро скачаю, и всю систему начисто переставлю.
V@nya вне форума  
Старый 10.08.2004, 07:13     # 84
Rollers
 
Аватар для Rollers
 
Регистрация: 28.03.2003
Сообщения: 10 041

Rollers Простой бог
Rollers Простой богRollers Простой богRollers Простой богRollers Простой богRollers Простой богRollers Простой богRollers Простой богRollers Простой богRollers Простой богRollers Простой богRollers Простой богRollers Простой богRollers Простой богRollers Простой богRollers Простой богRollers Простой богRollers Простой богRollers Простой богRollers Простой богRollers Простой бог
V@nya
имеется Тема, по вопросам удаления, той или иной вредоносной программы. От себя скажу, имеется такая маленькая и халявная програмка от McAfee, - Stinger и второе, а что Firewall
__________________
`*•-.,_,,.-•*```*•-.,_,,.-•*`
Rollers вне форума  
Старый 10.08.2004, 07:53     # 85
iNHEMAN
Member
 
Аватар для iNHEMAN
 
Регистрация: 19.10.2003
Сообщения: 223

iNHEMAN СэнсэйiNHEMAN СэнсэйiNHEMAN СэнсэйiNHEMAN СэнсэйiNHEMAN СэнсэйiNHEMAN СэнсэйiNHEMAN СэнсэйiNHEMAN СэнсэйiNHEMAN СэнсэйiNHEMAN СэнсэйiNHEMAN СэнсэйiNHEMAN СэнсэйiNHEMAN Сэнсэй
Симптомы смахивают на Troj/Haxdoor-G
_http://www.sophos.com/virusinfo/analyses/trojhaxdoorg.html > посмотри в описании.

<...Troj/Haxdoor-G may log user keystrokes and window text, creating some of the
following log files:
KLOG.SYS
KLOGINI.DLL
IN.A3D
PS.A3D
ERROR.A3D.>
__________________
[KISS]=[Keep It Simple, Stupid!]
iNHEMAN вне форума  
Старый 10.08.2004, 11:22     # 86
Borland
СуперМод
IMHO Консультант 2005-2009
 
Аватар для Borland
 
Регистрация: 14.08.2002
Адрес: Московская ПЛ, ракетный отсек
Пол: Male
Сообщения: 13 066

Borland - Гад и сволочь
Rollers
Абсолютно прав! Приклеено.

V@nya
Хорош плодить одинаковые темы! Буду пинать!
__________________
Не засоряйте форум "спасибами"! Для выражения благодарности существуют ПС и репутация! Соблюдайте Правила!
Распространенье наше по планете
Особенно заметно вдалеке:
В общественном парижском туалете
Есть надписи на русском языке

В. Высоцкий

Borland вне форума  
Старый 11.08.2004, 06:06     # 87
y3k
Junior Member
 
Регистрация: 10.08.2004
Адрес: Владивосток
Пол: Male
Сообщения: 178

y3k Путь к славе только начался
=) Пока гром не грянит, мужик не перекрестится. Так же и тут, пока вирус на завалится, ламер заплатку не поставит. Надо следить за обновой заплаток от Билла, и фаерволл ставить с анти вирем, лучше анти виря 2, нортон и др.веб =)
y3k вне форума  
Старый 12.08.2004, 14:19     # 88
Interceptor
Banned
 
Аватар для Interceptor
 
Регистрация: 04.09.2002
Адрес: В сети ;)
Сообщения: 784

Interceptor Давно пора выгнатьInterceptor Давно пора выгнатьInterceptor Давно пора выгнатьInterceptor Давно пора выгнать
Anarchist
Цитата:
Как раз ищет Backdoor.Ubriel.b и Backdoor.HacDef.073. Backdoor.Ubriel.b
Незнаю откуда ты взял такую инфу, но смею тебя разочаровать: бэкдоры - это удалённое администрирование, а не стыривание пассов!
Backdoor.HacDef.073 - это вообще руткит для винды. НИЧЕГО общего сос стыриванием пассов он НЕ имеет!
Interceptor вне форума  
Старый 12.08.2004, 19:32     # 89
Mitri4
Junior Member
 
Аватар для Mitri4
 
Регистрация: 21.03.2004
Адрес: israel
Сообщения: 57

Mitri4 Путь к славе только начался
руткит -а это что такое
__________________
Едешь ли в поезде.в автомобиле, или гуляешь, хлебнувши винца.--
При современном машинном обилье трудно по жизни пройтить до конца.
Mitri4 вне форума  
Старый 13.08.2004, 00:11     # 90
Interceptor
Banned
 
Аватар для Interceptor
 
Регистрация: 04.09.2002
Адрес: В сети ;)
Сообщения: 784

Interceptor Давно пора выгнатьInterceptor Давно пора выгнатьInterceptor Давно пора выгнатьInterceptor Давно пора выгнать
Mitri4
Руткит предназначен помочь взломщику укрепиться на взломанной тачке.

Backdoor.HacDef.073 взломщику шелл, а так же скрывает из процессов, сервисов и реестра то, что взломщик прописал в настройках.

Как видно, НИЧЕГО общего со стыриванием пассов к Мире и ВэбМани НЕТ!
Interceptor вне форума  
Старый 09.09.2004, 01:41     # 91
Borskiy
Guest
 
Сообщения: n/a

Привет! У меня было то же самое.
Что я сделал:
1)Как только начался отсчёт на reboot-зашел в Start->Run-> shutdown -a
->enter;
2)Спокойно правый клик на Мой компьютер ->Manage ->Services ->
->Remote Procedure Call (RPC) - правый клик -свойства-3-я вкладка(рековери) - везде выставляю Take No Action - OK.;
3)На сайт мелкомягких - и качаю заплатки.
4)С сайта McAfee качаю последний Stinger.
5)После перезагрузки запускаю Стингер. - Всё!
6)Убедившись,что вирусов нет возвращаю обычные настройки RPC.
 
Старый 09.09.2004, 06:02     # 92
Postman
Newbie
 
Регистрация: 13.01.2003
Адрес: Ukraine,
Сообщения: 12

Postman Путь к славе только начался
Добрый день всем.
Использовал поиск - нашел эту тему, решил написать.
Имею подозрение, что подхватил вирус (с 3 сентября в папке Windows появилась папка Inetdata, а там services.exe, который грузиться от имени пользователя. Удалил в безопасном режиме, поудалял из реестра ключи которые добавляли его в автозагрузку)...
В общем вируса вроде больше нет, но я сохранил этот файл (переименовав его), кроме того есть файл с расширением VBS (что это такое?), не могу в нем разобраться, но вроде он рубит процесс OUTPOST
(это я решил из этого:
Set colProcessList = objWMIService.ExecQuery _
("SELECT * FROM Win32_Process WHERE Name = 'OUTPOST.EXE'")
For Each objProcess in colProcessList
objProcess.Terminate())

В общем, файлы остались, если есть желающие посмотреть на них (и могущие разобраться), могу скинуть - если вы потом обьясните мне что это такое

Еще вопрос: можно ли как-нибудь разобрать экзешник до читаемого состояния? Или до кода на котором его писали?

Заранее спасибо!
Postman вне форума  
Старый 09.09.2004, 06:25     # 93
y3k
Junior Member
 
Регистрация: 10.08.2004
Адрес: Владивосток
Пол: Male
Сообщения: 178

y3k Путь к славе только начался
Добрый, добрый =)
Скорей всего этот вирус ты подхватил с какого нибудь сайта, расширение VBS - Visual Basic - язык программирования, пусть он простой, но все же язык, и небось на сайте был какой нить ActiveX и к тебе его засосало=) OUTPOST.exe - это естественно файрволл Agnitum Outpost Firewall. И кстати необязательно загружаться в безопасном режиме=) достаточно убрать его и процессов, потом из папки потом и из автозагрузки путем тулзы встроенной в винду ХР - Выполнить ---- msconfig
Насчет программы показывающий исходный код, врят ли, тогда бы исходники винды уже бы были у всяких там хакеров =) и потом представь сколько существуеют языком программирования и в программе должны быть встроенны все методы компиляции всех языков, и если например ты не знаеш на каком языке написана та, или иная программа, и наша супел тулза должна определить на каком языке она написана и вообщем...я такой не видел=) и врят ли она есть, ну только мож в каком нить узком кругу людей
y3k вне форума  
Старый 09.09.2004, 07:17     # 94
Postman
Newbie
 
Регистрация: 13.01.2003
Адрес: Ukraine,
Сообщения: 12

Postman Путь к славе только начался
y3k,
Папку не давала удалить винда, она писала что она системная. тоже самое с процессом, выдавалась надпись, что он "критический системный".
Хотя может я не обратил внимание и пытался закрыть истинный Services...
В MSconfig оно тоже само себя писало. Надо мне было с самого начала чистить реестр. А я не допетрил... Только откуда эти сволочи узнали что у меня именно Аутпост?
Спасибо за ответ!!!
Postman вне форума  
Старый 13.09.2004, 10:55     # 95
Cleom
Guest
 
Сообщения: n/a

Outpost стоит у многих людей.
А насчет того что процесс "критический системный" - когда-то я видел такую информацию, что если процесс переименовать так, чтобы он начинался с system, то винда не даст его убить.

Сам не проверял, но кто-то из знакомых сказал что так и есть.
 
Старый 21.09.2004, 06:21     # 96
wiremind007
Newbie
 
Аватар для wiremind007
 
Регистрация: 02.10.2003
Сообщения: 38

wiremind007 презирают в этих краях
postman ты уверен что inetdata был вирус?! у меня есть inetinfo ето тоже вирус? хотя нортон его не подбирает...
wiremind007 вне форума  
Старый 21.09.2004, 11:32     # 97
pion
Junior Member
 
Регистрация: 10.12.2003
Сообщения: 60

pion Путь к славе только начался
Файл C:\WINDOWS\inetdata\services.exe создаёт TrojanDownloader.Win32.Krepper.g (Troj/Krepper-G)
http://www.sophos.com/virusinfo/anal...jkrepperg.html
pion вне форума  
Старый 28.09.2004, 18:47     # 98
Solvent
Full Member
 
Аватар для Solvent
 
Регистрация: 17.09.2002
Адрес: г. Moscow
Сообщения: 685

Solvent Луч света в тёмном царствеSolvent Луч света в тёмном царствеSolvent Луч света в тёмном царствеSolvent Луч света в тёмном царствеSolvent Луч света в тёмном царствеSolvent Луч света в тёмном царстве
А вот какую бяку подцепил. Но фишка в том, что AVP, при сканировании его не видит, а видит лишь тогда, когда комп. находится в режиме ожидания, вот тогда, вылетает окно, что, вирус обнаружен, и пора запустить сканер. Запускаю сканер, AVP говорит, что вируса нет. В чём дело?
Запускал Trojan Remover, тоже ничего нашёл? Получается, что как бы троянец есть, и как бы его нет?
Не хочется переустанавливать ось.

Trojan Downloader.win32istbar.er

Последний раз редактировалось Solvent; 28.09.2004 в 18:53.
Solvent вне форума  
Старый 29.09.2004, 01:49     # 99
Mitri4
Junior Member
 
Аватар для Mitri4
 
Регистрация: 21.03.2004
Адрес: israel
Сообщения: 57

Mitri4 Путь к славе только начался
попробуй здесь очень классный сканер,поставь самую нижнюю ссылку,если он сам не поставит,только не давай автомтическое стирание
__________________
Едешь ли в поезде.в автомобиле, или гуляешь, хлебнувши винца.--
При современном машинном обилье трудно по жизни пройтить до конца.
Mitri4 вне форума  
Старый 29.09.2004, 06:34     # 100
Adroit
Member
 
Аватар для Adroit
 
Регистрация: 04.12.2003
Адрес: Vladivostok
Сообщения: 273

Adroit Известность не заставит себя ждать
На работе долго и упорно стоял Mac антивирь, достал он меня, особенно своей нелюбовью к Aston, то обновляться отказывается то еще что, а дисплей агента вообще не отображается, короче я его сношу и ставлю имевшегося под рукой Doctor Web, прогоняю на вирусняк и оппа!!! Один троян и три вируса. Вирусняк обнаружен в файле мыльника. Теперь вопрос как мне эту хрень почистить. Да и еще ad-aware почемуто упорно данного трояна не видит, при попытке убить данную нечисть вебом он ушел в глубокий даун. Советуйте с чего начать...
__________________
Часто люди падают с большой высоты из–за недостатков, которые помогли им ее достичь. Ж. Лабрюйер
Adroit вне форума  

Опции темы

Ваши права в разделе
Вы НЕ можете создавать новые темы
Вы не можете отвечать в темах.
Вы НЕ можете прикреплять вложения
Вы НЕ можете редактировать свои сообщения

BB код Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Часовой пояс GMT +4, время: 08:39.




Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2018, Jelsoft Enterprises Ltd.