Как удалить вирус/троян?

[maxximik]

Стоит Win2000 SP3, и вылетает ошибка следующего вида:

F3E9CD64 base at F3E98000
Beginning dump of phisical memory
Dumping physical memory to disk и начинает считать от 0-100
После чего комп перезагружается....
После этой ошибки, при попытке logoff или reboot, вылетает сведение о незаконченной программе Programm 1649, что это такое??? Неирзвестно, в автозапуске её нет, через Диспечер задач её невидно...Отрубить её неизвесно как.
Также в Event Viewer - Application вылетел Event следующего вида:
Event ID: 4124
Source: Ci
Content index on f:\system volume information\catalog.wci is corrupt...

Что делать-то? Помогите плз.....

ВСЕ вопросы по борьбе с вирусами/троянами и прочей нечистью решаем здесь и в этой теме.
Прежде, чем постить вопрос, просьба внимательно прочитать обе темы целиком - с вероятностью 99,9% ответы на эти вопросы уже есть.
Постящие вопросы, ответы на которые уже даны и повторы ответов будут получать ШТРАФЫ.
Dixi.

Borland.

[Dr.God]

Цитата:

LN berf:
А можно узнать каким именно образом связана проблема удаления файла hello.exe с червями lovesun, msblaster

Hello.exe - грубо говоря, файл одного из процессов: msblast.exe, mslaugh.exe, teekids.exe, penis32.exe и т.п., если что-то подобное есть, то убей сам процесс, а потом удали файл.

[madsurrge]

LN berf
Есть такая штука - ReadNTFS (_www.bootdisk.com/readntfs.htm)
Создаешь с ее помощью загрузочную дискету с возможность чтения NTFS разделов, грузишься с нее и убиваешь свой happy.exe

[dimam]

Подскажите пожалуйста, что это за зверь такой



и как с ним бороться.

[HATTIFNATTOR]

По мнению Нортона была произведена несанкционированная
запись в hosts файл windows(файл dns).
Если компьютер домашний, а тобой записи в файл hosts не производились, или не производились администратором сети(рабочая машина), то:
Надо открыть hosts файл на редактирование и удалить все записи кроме
127.0.0.1 localhost (запись, содержащаяся там по умолчанию).
строки начинающиеся с символа "#" удалять не надо.
Также (если были посторонние записи) следует просканировать компьютер на вирусы, возможно найдется что-то из этого-

_http://www.viruslist.com/ru/viruses/encyclopedia?virusid=56954
_http://www.viruslist.com/ru/viruses/encyclopedia?virusid=57636
_http://www.viruslist.com/ru/viruses/encyclopedia?virusid=32133

P.S. После редактирования можно присвоить файлу hosts атрибут "только чтение".
P.P.S. Подробнее про hosts файл можно почитать здесь-
_http://willy.nm.ru/articles/what_is_hosts.html

[Judge]

Заразился Explorer!
DrWeb определил заразу, как Win32.Beavis.5098, проверка на сайте viruslist.com дала диагноз Win32.Bube.d. Реестр прочищен. Run проверен. Все левые проги удалены. Никакого файла explorer.new нет (как предполагается на viruslist). Но DrWeb продолжает упорствовать и говорит, что explorer заражён. Что делать? Поможет ли запрет через Outpost запрет любой сетевой активности для Explorer`a? Или поможет только переустановка винды?!

[Borland]

Judge
Загрузись с любого загрузочного диска с поддержкой твоей файловой системы (для фат32 пойдёт даже просто загрузочная дискетка w98, для нтфс - какой-нить PE) и замени заражённый файл файлом из дистрибутива в c:\windows и в c:\windows\system32\dllcashe.
И на всякий случай сразу прогони диск антивирусом (типа DrWeb386).

[Venberg]

Judge
Если FAT32, то загрузиться с загрузочной дискетки от Win98 и с CDROM запустить AVP for DOS с самыми последними базами. Поврежденные файлы заменить из дистрибутива. Правда с Explorer'ом могут быть проблемы, если обновлял версии эксплорера. Тогда можно будет произвести установку win98 по верх установленной системы с восстановлением поврежденных файлов.
Если winXP, то можно попробовать подключить диск к другому системнику с WinXP и проверить диск антивирусом. И так же переустановить систему по верх если не поможет. Или переустановить только отдельные компоненты WinXP, через установку компонент виндовс, после лечения диска.

[Judge]

Borland, Venberg
Спасибо за помощь! Забыл указать ось: XP Home. Но теперь это уже не имеет значения, поскольку (вы будете смеяться) раздел пропал вместе с виндой и буквой "Е". Поскольку работа через DOS и командную строку для меня всё-равно, что древние манускрипты, то я попытался из под 98-й восстановить винду из образа, изготовленного с помощью Acronis. Но, видно, что-то сглючило и после перезагрузки в Explorer`e не оказалось раздела с осью, а Partition Magic показал , что на месте винды осталось только 14 кило "праха". Куда бесследно делась винда размером 5,5 Гиг?!
P.S. Пару недель назад я ловил уже этот вирус: переустановка компонентов или винды в режиме восстановления тогда не помогло.

[kostiksimb]

У нас что-то в последнее время у абонентов участились случаи самопроизвольного дозвона до Люксембурга или Африки с соответствующими счетами в суммы с 3,4 нулями.

Существует ли какой софт для отлова диалеров?
Касперские и т.д. и т.п. это не умеют ловить.

[HATTIFNATTOR]

Касперский прекрасно умеет это ловить. Просто детектирование адваре\спайваре\диалеров
в AVP реализовано в расширенных базах. Необходимо загрузить расширенные базы и проверить машину\машины.
Как это сделать описано тут - http://www.kaspersky.ru/faq?qid=154884805
Подробнее о расширенных базах
http://www.kaspersky.ru/extraavupdates?chapter=147575293
http://www.kaspersky.ru/extraavupdates?chapter=147575437

P.S. Либо воспользуйся специализированными утилитами-
список можно посмотреть здесь- http://www.securinfo.ru/GoodAntispy?v=gcz

[kostiksimb]

а кроме каспера что нить есть другое, каспер больно любит ресурсы есть

[Borland]

Цитата:

kostiksimb:
Чем можно прибить вирусы типа диалер

Тем же, чем и все остальные! http://www.imho.ws/showthread.php?t=45835
Объединяю.

[hempsmoke]

Убился уже - не знаю что и делать:
подцепил заразу, которая показывает раз в полчаса окна (алерты), предупреждающие о том, что мой компьютер заражен, я использую 47 нелегальных программ, реестр испорчен и вообще все плохо - и предлагают метод, как от этого избавиться. (скрины прилагаются)

пробовал:
KAV - не дал результатов
Ad-Aware SE Professional - ничего
The SpyWare Detective - ничего
Spybot - Search & Destroy - нашел DSO Exploit - подозреваю, что это именно он, т.к. постоянно сношу его через программу, он появляется заново.

DSO Exploit - пользуется уязвимостью IE, которые до сих пор не залатаны. (я использую надстройку над IE и никогда проблем подобных н было)

здесь http://www.nsclean.com/dsostop.html якобы предлагаю утилиту, которая имуннифицирует IE.

Ничего не помогает. Устал, запарился...
Окна появляются только когда сидишь в нете.

кто чем может или я разобью монитор...

Спасибо всем заранее!

[leksa]

Просто снеми хард и поставь на другой комп и просканируй любым Антивирем.Я так частенько спасался от такого рода червяков.

[hempsmoke]

leksa

Цитата:

KAV - не дал результатов

у меня несколько физ. дисков и антивирь не на системном.

Цитата:

у меня несколько физ. дисков и антивирь не на системном.

1) физических или логических?
2) а какая разница на системном или нет?
3) Просто возьми прогу, вроде ProwiseManager и понаблюдай во время неприятностей, какой процесс появляется, которого до того не было.
4) Возьми этот файл и отправь в суппорт своего антивиря.
Я так часто делаю - это намного проще, чем искать "совершенный антивирус"...

[hempsmoke]

Цитата:

Korben:
1) физических или логических?

когда я скажу физический, ты еще раз переспросишь?

Цитата:

Korben:
2) а какая разница на системном или нет?

мало ли какая дрянь сидит и контролирует...

Цитата:

Korben:
3) Просто возьми прогу, вроде ProwiseManager и понаблюдай во время неприятностей, какой процесс появляется, которого до того не было.
4) Возьми этот файл и отправь в суппорт своего антивиря.

спасибо. попробую.

[hempsmoke]

по-ходу этот процесс - csrss.exe в винде отвечает за что-нить или это как раз и есть паразит?

[HATTIFNATTOR]

Цитата:

Сообщение от hempsmoke

Spybot - Search & Destroy - нашел DSO Exploit - подозреваю, что это именно он, т.к. постоянно сношу его через программу, он появляется заново.

Это баг Spybot'а.
csrss -по крайней мере находится на штатном месте, если имеет размер 6кб, копирайты Майкрософт и пройдет проверку онлайн сканированием-_http://virusscan.jotti.org/ можно сказать что чистый.

[Borland]

hempsmoke
Насколько я чего-то понимаю, эти сообщения - банальнейший СПАМ.
Всё, что необходимо для победы над этой заразой - отключить службу "Alerter".