Как удалить вирус/троян?

[maxximik]

Стоит Win2000 SP3, и вылетает ошибка следующего вида:

F3E9CD64 base at F3E98000
Beginning dump of phisical memory
Dumping physical memory to disk и начинает считать от 0-100
После чего комп перезагружается....
После этой ошибки, при попытке logoff или reboot, вылетает сведение о незаконченной программе Programm 1649, что это такое??? Неирзвестно, в автозапуске её нет, через Диспечер задач её невидно...Отрубить её неизвесно как.
Также в Event Viewer - Application вылетел Event следующего вида:
Event ID: 4124
Source: Ci
Content index on f:\system volume information\catalog.wci is corrupt...

Что делать-то? Помогите плз.....

ВСЕ вопросы по борьбе с вирусами/троянами и прочей нечистью решаем здесь и в этой теме.
Прежде, чем постить вопрос, просьба внимательно прочитать обе темы целиком - с вероятностью 99,9% ответы на эти вопросы уже есть.
Постящие вопросы, ответы на которые уже даны и повторы ответов будут получать ШТРАФЫ.
Dixi.

Borland.

[Rollers]

Adroit
Почисти ручками свой мыльник, ищи папку с именем твоего аккуанта, какой прогой пользуешься.

Цитата:

Да и еще ad-aware почемуто упорно данного трояна не видит

он не ловит трояны

[Adroit]

Да троян сидит в System32 коммандер его находит, но вот удалить файл не получается, упирается всеми четырьмя. Остальной вирусняк в паке мыла, залез внутрь, а там только один текстовый файл размером 1,5 гига вот и как из этого файла вырвать затесавшийся туда вирус? Убить файл целиком нельзя так как это вся переписка, если я правильно понимаю назначение данного файла.

[Хадский_папа]

Из Sistem 32 удалять надо руками в Save Mode, а как то вирь называется который в папке мыла?? И как папка называется? И какая прога мылит?

[Rollers]

Adroit
советую воспользоваться freeware програмкой McAfee AVERT Stinger

[Mitri4]

Adroitнайди моё сообщение

[Adroit]

Цитата:

Adroitнайди моё сообщение

Ну нашел и что? предлагаешь 1.5 мега сканировать онлайн?
Короче почтовикThe Bat!
Вирусняки следующие:
Win95.Matrix.9216
VBS.Happy Time
Win 32.Magistr.24876.
Вот такой набор

[apoc]

А вот знает ли кто как боротся с тем что бат иногда получает письмо зараженное, а потом его авп находит и не может вылечить??? что делать? письмо хранится в тбк... фигня какая-то...

[Adroit]

Короче папку бата лечил по следующему принципу.
Все письма экспортировал в формат *.eml прогнал вебом, зараженные файлы убил, оставшееся импротировал обратно. Троян пока жив, McAfee AVERT Stinger не помог.
apoc
Попробуй сделать тоже, что и я, а еще при обратном импорте файлов, вернее перед их импортирование задай в настройках, хранить вложения отдельно, тогда думаю в следующий раз будет проще.
Всем кто пытался помочь с вирусом большое спасибо и побольше
Осталось только убить троян

[Smoker]

Мой опыт по определению/удалению вирусов под системами Windows.

1. Мой набор программ для выявления заразы:
Anvir_Ru _http://anvir.com/index_ru.htm
FAR
clrav.com _http://www.kaspersky.ru/faq?qid=146226903 (там есть ссыла)
Антивирусы: NOD, AVP, Нортон.
OutpostPro2_225
Дополнительный комп для поиска в инете и подключения в случае надобности винта с обследуемой тачки.

2. Загружаем обследуемый компьютер. Устанавливаем Anvir. Запускаем. Смотрим процессы и автозапуски на наличие подозрительных/незнакомых программ. Заметили заразу? Надо определить что это. Идем например на _http://www.viruslist.com/viruslist.html.
3. Если определили что это за вирус то в зависимости от того как он прописывается в системе удаляем его из системы:
А) Если просто прописан в автозапуске, то сносим все процессы связанные с вирусом, удаляем запись из автозапуска, затем удаляем сам вирус. Перегружаемся и прогоняем всю тачку «любимым» антивирусом.
Б) Если эта зараза подменяет собой шел запуска, то вот тут нам поможет clrav.com… Он по умолчанию восстанавливает стандартное значение в реестре.
При этом в комплекте есть setassoc.reg. Он если что поможет
Сносим все процессы связанные с вирусом. Удаляем сам вирус FARом. Перегружаемся и прогоняем всю тачку «любимым» антивирусом.

При этом в обоих случаях перед перегрузкой желательно еще раз проверить АнВиром Автозапуск и список процессов!

При этом ИМХО – NOD хорошо ловит червяков, макровские вирусы. Очень быстрый антивирус!
КАВ – хорошо ловит трояны, джава скрипты и прочую лабуду. Но медленный
Нортон ловит и то и другое но надо обновлять базы, что иногда ИМХО проблемно По скорости что то среднее между НОДом и КАВом. Я им не пользуюсь. Хватает связки NOD+KAV.

4. Не нашли вирус в известных? Берем эту заразу и пробуем онлайн проверку это файла на сайтах производителей антивирусов. Если определился то возвращаемся к пункту 3.

5. Если и Онлайн-проверка не помогла то вот тут нам пригодится ОутПост (может другой аналог). Надо определить что этот вирус делает. (в основном последнее время попадаются вирусы с Интернет активностью, и редко с деструктивной активностью).

6. Далее действия такие. Так как мы сами не не программисты вирусологи то придется этот фаил/вирус/заразу отправлять в сервисную службу производителей антивирусов (например на newvirus@kaspersky.com). При этом для упрощения их работы я делал следующее:

А) Если вирус с Интернет активностью то в письме указывал что он делает и куда ломится.
Б) Копировал все ссылки из реестра на данный фаил в письмо.
В) Прикрепляем сам фаил к письму.

И ждем ответа
Таким образом я нашел уже 2 новых вируса

Примечание:

При выполнение пункта 6 надо учесть следующие не все программы загруженные в памяти ЯВЛЯЮТСЯ вирусами! ИМХО несколько раз проверти что это за файл и что он делает (входит ли он в дистрибутив Виндовс), прежде чем его запакуете и отправите по указанному адресу

На профессионала не претендую, но может кому пригодится

Цитата:

Сообщение от apoc

А вот знает ли кто как боротся с тем что бат иногда получает письмо зараженное, а потом его авп находит и не может вылечить??? что делать? письмо хранится в тбк... фигня какая-то...

Не забудь сжать папки в The Bat'e
Тела писем остаются в базе пока не сожмешь

[Solvent]

Цитата:

Smoker:
6. Далее действия такие. Так как мы сами не не программисты вирусологи то придется этот фаил/вирус/заразу отправлять в сервисную службу производителей антивирусов (например на newvirus@kaspersky.com). При этом для упрощения их работы я делал следующее:

Советы не плохие, но вот насчёт 6 пункта:
Если вы нашли вирус, то:
Вам необходимо выслать нам Ваши регистрационные данные (дата и
место
покупки, название фирмы, на которую оформлялась лицензия) и Ваш
ключевой файл. Группа поддержки AVP, С уважением,
Алексей Слущев
А кто ж покупал AVP? Лично я, нет.

[Smoker]

Цитата:

Сообщение от Solvent

Советы не плохие, но вот насчёт 6 пункта:
Если вы нашли вирус, то:
Вам необходимо выслать нам Ваши регистрационные данные (дата и
место
покупки, название фирмы, на которую оформлялась лицензия) и Ваш
ключевой файл. Группа поддержки AVP, С уважением,
Алексей Слущев
А кто ж покупал AVP? Лично я, нет.

Два раза отправлял им письмо без указания всего этого...
В ответ приходило примерно следующее

Цитата:

Здраствуйте!

Это новая версия backdoor-программы Bancodor.
Будет добавлена в следующее ежедневное обновление как Backdoor.Bancodor.r

С уважением,
Павел Зеленский
Вирусный аналитик

ЗАО "Лаборатория Касперского"
Тел/Факс: +7 (095) 797-8700
E-mail: newvirus@kaspersky.com
Internet: http://www.kaspersky.com, http://www.viruslist.com

[Dede]

Все началось с того, что я однажды в поисках какого кряка видимо неаккуратно кликнул мышью . После очередной загрузки компа спустя где то минуты 3 начались дикие тормоза – проц загружали explorer.exe и system в пропорции где то 65% и 35 % тормоза длятся до тех пор, пока не установишь соединение с интернетом. Позже я обратил внимание на наличие в корне диска С архива explorer.cab. В нем находились файлы explorer.exe и .ini файл. Dr. Web руганулся на них, сказав, что там Trojan.Dicool. Когда устанавливается коннект с сетью, тормоза прекращаются. Outpost говорит, что explorer.exe лезет по трем адресам:

время процесс протокол удаленный адрес удаленный порт

13:34:04 explorer.exe TCP test.pcvew3.com 6632
13:33:54 explorer.exe TCP service2.costlist.biz 5816
13:33:44 explorer.exe TCP service2.pcvew3.com 3131


Чистка системы Dr.web-ом, AVPersonal, Ad-aware ничего не дала. Вдобавок ко всему еще появился файл в корне диска С:/ _RF.RPT очень напоминающий некий отчет о проведенных мной действиях и инфа о запущенных процессах.
Большая просьба, кто может, помогите избавиться от этой дряни, переустанавливать систему неохота

[Borland]

Цитата:

Dede:
Большая просьба, кто может, помогите избавиться от этой дряни, переустанавливать систему неохота

Тему перечитай повнимательнее...
В ней описано ручное удаление заразы

Одним словом выклиу4ил стенку на пару минут и подхватил вирус... А вирус та сам вроде ни4его и не делаэт, просто когда пытаэшиа вклиу4ит какоэ либо акно нампример: Ctrl + Alt + del CPU % ано появлиаэтсиа и сразу ис4езаэт тозе самоэ когда пытаэшиа вклиу4ит msconfig, или антивирус или стенку !!! как удалит эго нзн да и найти проблема... Эсли у кого был такой вирус
Помагите разобратсиа позалуйста !!!!

[Borland]

MeT
Топик читай!..

[ZAP]

кстати о дяде Билли $$$ ...
слышал что есть прога / возможность сохранять все апдейты ( в случае с XP ) дабы при переустановке системы не скачивать по новой все ~ 30 мб.
речь идет о возможности сохранить их отдельно \ выделить их из системы.
P.S. это и безопаснее чем " голой " системой лезть за заплатками

[Borland]

ZAP
И причём тут удаление вирусов?

[ZAP]

да при том - что пока ты прокачаешь эти самые 30 мб апдейтов в 2-3 захода - ты успеваешь подхватить в среднем 2-3 вируса + адваре. по статистике среднее время " жизни" компа без защиты - 20-40 мин. согласись - вещь полезная

Borland причём тут TopiC?


Помагите с вирусом лутше справитсиа !!!!

[Smoker]

Цитата:

Сообщение от MeT

Borland причём тут TopiC?


Помагите с вирусом лутше справитсиа !!!!

Вот это читал? Не помогает? Стукнись в приват ко мне... может чем помогу...