Вирус в компьютере!

Фан, 1.02.2006 - 14:41

Вирус в компьютере

Компания Microsoft просит всех пользователей операционной системы Windows до 3 февраля в обязательном порядке провести проверку компьютера обновленным антивирусом, в противном случае им грозит новый и весьма деструктивный червь Nyxem. Вирус может удалить все файлы Word и Excel, а также заблокировать клавиатуру и мышь. Уже известно о 300 тысячах зараженных машин.

В пятницу вирус, названный Nyxem-E, активизируется на всех зараженных компьютерах, стерев с жесткого диска все файлы Word, PowerPoint и Excel, а также сами эти программы, входящие в комплект Microsoft Office. Под угрозой оказался также программный продукт Abode – Acrobat Reader.

Предполагается, что вирус осел на многих машинах, пользователи которых открывали пришедшее им по электронной почте сообщение с предложением посетить бесплатный порно-сайт. Компании, выпускающие антивирусы, заявили, что огромное количество копий червя уже выявлено на PC по всему миру.

Первые сигналы о появлении опасности поступили 16 января, и с тех пор жертв Nyxem становится все больше. Вирус известен также под названиями Blackmal, MyWife, Kama Sutra, Grew и CME-24. Заразив PC, вирус посылает информацию на специальный веб-сайт, где установлен счетчик всех инфицированных компьютеров. На прошлой неделе цифра на счетчике зашкалила за миллион, однако сотрудникам фирмы Lurhq, занимающейся компьютерной безопасностью, удалось выяснить, что примерно треть показателей – накрутки. Тем не менее доподлинно известно, что на данный момент Nyxem-E заразил уже около 300 тысяч машин.

Как и многие вирусы подобного типа, Nyxem пользуется тем, что неопытные пользователи открывают вложенные в письма файлы, которые, в свою очередь, содержат разрушительный код, мгновенно встраиваемый в различные файлы системы.

В строке «Subject» зараженного червем e-mail могут содержаться различные надписи, однако они преимущественно предлагают получателю просмотреть бесплатную порнографию. Примеры надписей: «Fw: Funny», «*Hot Movie*», «Re: Sex Video» и другие. Как сообщает BBC, сразу же после заражения вирус сканирует адресную книгу и автоматически рассылает себя по найденным e-mail. Кроме того, он распространяется по всем компьютерам в локальной сети жертвы.

Отличие Nyxem в том, что он, помимо того, что после заражения машины не уничтожается, а продолжает свое «победное шествие» по Сети, еще и заражает 11 типов файлов, наиболее часто используемых на PC, причем делает это каждое третье число месяца. Среди файлов, которым угрожает червь, такие распространенные типы, как, к примеру, doc, pdf, ppt, rar, zip и xls.

Червь настроен таким образом, что способен самостоятельно препятствовать работе антивирусов. Он блокирует обновление программных продуктов, а также в некоторых случаях может вызывать сбои в функционировании клавиатуры и мыши.

Всем пользователям Windows рекомендовано срочно обновить антивирусы и просканировать систему на предмет заражения Nyxem. Многие компании, выпускающие антивирусы, разработали специальные приложения, которые позволят более эффективно выявить и удалить «бомбу замедленного действия».

Джейсон Стир, технический консультант фирмы Ironport, специализирующейся на разработке защищающих от спама программ, подчеркивает, что Nyxem использует начавшую уже устаревать схему, когда вирус активизируется в определенное число месяца. «Если обратить внимание на похожие вирусы, ходившие по сети 10-15 лет назад, они были довольно деструктивны – форматировали жесткий диск, удаляли файлы и тому подобное», - говорит Джейсон Стир.

Пит Симпсон, сотрудник антивирусной лаборатории Clearswift, указывает на отсутствие какого-либо изящества в таком подходе. «Да, сам код вируса довольно сложен, для написания он требует большого объема практических знаний, но никакой мотив, кроме вандализма, не двигает создателями подобных червей», - говорит Пит.

Оба специалиста полагают, что наибольший удар 3 февраля придется на домашних пользователей Windows. IT-отделы большинства компаний регулярно обновляют антивирусные базы данных и отсекают нежелательную почту еще до того, как она попадет на компьютеры сотрудников.

Домашние пользователи, напротив, зачастую игнорируют обновления Windows и антивирусов, а также не проводят проверку системы на наличие вирусов, а о постоянном резервном копировании файлов на сменные носители речи не идет вообще.

Деловая газета «Взгляд»

Фан, 1.02.2006 - 14:58

3 февраля - Черная пятница Nyxem?

Очередной почтовый червячок собирается загрызть несколько сотен тысяч компьютеров 3 февраля и оставить нас на выходные без любимой игрушки. Почтовый червь Email-Worm.Win32.Nyxem.e (по классификации Лаборатории Касперского) отличается необычной агрессивностью и удаляет файлы на зараженных компьютерах каждое 3-е число месяца. Зловредная программа была впервые обнаружена в середине января, а в эту пятницу должно состояться дебютное выступление червяка на всех зараженных компьютерах. Нам с вами неплохо бы заранее подготовиться к этому мероприятию.

Email-Worm.Win32.Nyxem.e распространяется через Интернет в виде вложений в зараженные электронные письма, а также файлов, расположенных на открытых сетевых ресурсах. По данным специалистов, на данный момент количество зараженных компьютеров равно нескольким сотням тысяч. Их число продолжает расти, что заставляет говорить о серьезности масштаба распространения вредоносной программы.

Червь представляет собой исполняемый в среде Windows файл размером 95 Кб, приложенный к письму с заголовком из заготовленного автором списка, всего около 25 позиций. Среди самых характерных (регулярно наблюдал в рабочем почтовом ящике) заголовков – Image, Photo, My Photos, You must view this videoclip!. Активируется при запуске файла, прописывается в реестре, сканирует файловую систему и рассылает себя по всем найденным адресам электронной почты. Для отправления зараженных писем червь пытается установить прямое соединение с SMTP-сервером. Параллельно червь копирует себя в доступные с пораженного компьютера сетевые ресурсы под именем Winzip_TMP.exe

При этом программа прерывает процессы, осуществляющие персональную защиту компьютера, и предотвращает их повторный запуск, оставляя атакованный ПК незащищенным. Располагая полным контролем над зараженной машиной, «Nyxem.e» также способен самостоятельно загружать свои собственные обновления из Интернета.

Особую опасность представляет содержащаяся в «Nyxem.e» деструктивная функция. В соответствие с ней, червь регулярно сверяется с системной датой компьютера и в случае, если она соответствует третьему числу, через 30 минут после загрузки ПК уничтожает информацию в файлах наиболее распространенных форматов, замещая ее текстом DATA Error [47 0F 94 93 F4 F5]. Стертыми оказываются файлы форматов dmp, doc, mdb, mde, pdf, pps, ppt, psd, rar, xls, zip.

Обращение Евгения Касперского:

«Судя по присутствию червя в мировом Интернет-трафике и все возрастающему потоку жалоб от пользователей, заражению «Nyxem.e» подверглось значительное число компьютеров по всему миру, количество которых может оцениваться в сотни тысяч. Это означает только одно - 3 февраля может стать Судным днем для многих беспечных пользователей, которые могут потерять ценные данные в случае, если их компьютеры подверглись заражению «Nyxem.e». Поэтому я обращаюсь ко всем пользователям компьютеров с просьбой принять простые меры для предотвращения заражения данным червем: не запускать объекты, вложенные в любые письма, получение которых не ожидалось, обновить антивирусные базы установленной на ПК антивирусной защиты и затем провести полную проверку компьютера».

К мобильной связи данный вирус имеет весьма косвенное отношение (смартфоны не пострадают), но все мы являемся активными пользователями Интернета, так что предупреждение вполне уместно. В качестве радикальной меры можно посоветовать вообще не включать компьютер в пятницу или заранее переставить системное время, однако хороший антивирус все-таки надежнее. Ну и, конечно, блюсти личную гигиену и не запускать неизвестно от кого полученные программы. С подробным описанием червяка можно ознакомиться на сайте Лаборатории Касперского.

Фан, 3.02.2006 - 23:14

Компьютерный вирус отступил

Компьютерный вирус, нападения которого опасались интернет-пользователи по всему миру, атаковал всего несколько тысяч компьютеров. Последствия этой атаки оказались не столь разрушительны, как предсказывали специалисты по сетевой безопасности и изготовители антивирусных программ. Больше всего пострадала фондовая биржа Российской торговой системы (РТС). Накануне пришлось даже приостановить торги.

3 февраля – дата активизации нового вируса Nyxem-E, удаляющего из компьютеров файлы электронных таблиц, текстовых документов и другие. По словам специалистов, пока ущерб от вируса не очень большой, что может быть связано с неоднократными предупреждениями об опасности. По разным данным, предполагается, что в мире зловредным «червем» заражены от 300 до 500 тысяч компьютеров и число это может постоянно расти.

Первой заметной жертвой «червя», возможно, стала фондовая биржа Российской торговой системы (РТС). Накануне, 2 февраля, она вынуждена была приостановить торги из-за того, что один из компьютеров биржи вдруг начал генерировать так называемый паразитный трафик в очень больших объемах. Это привело к перегрузке сетевого оборудования. Для того чтобы обезвредить вирус и привести систему в порядок, специалистам понадобилось более часа.

По словам вице-президента РТС Дмитрия Шацкого, вирус проник в систему через Интернет. По последним данным, компьютерный вирус поразил в пятницу около 80 тысяч компьютерных систем в Индии. Оценивая вирус как «не слишком опасный», индийские программисты сетуют на то, что название древнего и почитаемого в Индии трактата о любви используется в негативном контексте и в сочетании со словом «вирус».

«Червь», который также называют Kama Sutra, Grew, BlackMail, MyWife и CME-4, распространяется через электронную почту. Он представляет собой файл размером всего 95 Кбайт, исполняемый в среде Windows. Сложность заключается в том, что заголовок письма и наименование файла могут варьироваться в 20-25 вариантах, поэтому своевременно обнаружить и обезвредить его очень трудно.

Впервые вирус проявил себя 16 января. Интернет-ресурс, с которого он распространялся, вел подсчет зараженных машин, и число их достигло 300 тысяч. Однако вероятнее всего, что «червь» распространился и на другие компьютеры. Больше всего экземпляров вируса, по данных фирмы Lurhq, специализирующейся на компьютерной безопасности, ушло на компьютеры в Перу, Турции и Индии.

«Червь» создан так, что свои атаки он производит третьего числа каждого месяца. И как раз 3 февраля – первая такая дата. В отличие от всех других вирусов, размножающихся в системе Windows, Nyxem-E сконструирован так, что его потенциальными жертвами должны стать прежде всего офисные компьютерные системы, потому что многие файлы, которые он удаляет, чаще используются в офисах, нежели дома. Это электронные таблицы Excel, текстовые документы Word, файлы презентаций Power Point и другие.

В то же время системы безопасности у корпоративных пользователей защищают компьютеры фирм надежнее, чем домашние, потому от атак Nyxem-E больше могут пострадать именно индивидуальные владельцы «персоналок», передает ВВС.

«3 февраля может стать «судным днем» для тысяч беспечных пользователей персональных компьютеров», – заявлял накануне Евгений Касперский, владелец крупнейшей российской лаборатории антивирусных программ. «Локальная сеть, состоящая из сотен компьютеров, к которым имеется доступ с одного зараженного компьютера, также пострадает. Достаточно одного (зараженного) компьютера в сети – и все остальные потеряют свои данные», – добавляет ведущий вирусный аналитик компании «Лаборатория Касперского» Александр Гостев.

Однако некоторые российские СМИ подозревают производителей антивирусов в искусственном нагнетании страстей – для увеличения объема продаж собственного продукта.

Irgik802, 5.04.2006 - 19:17

не буду в даваться в сантименты...сразу к делу. ситуация такая: локальная сеть, на основном серваке Юзер Гет, открываю вложение в письмо (ожидаемое письмо) и тут вдруг почтовый червь....у меня антивирусник сработал...у "остальных" нет...мне интересно, чем это может "грозить" остальным юзерам и основному серверу...?
З.Ы. умоляю, ответы писать, с учётом моей расшатоной нервной системы =)

HellLion, 4.05.2006 - 19:30

Как поставить запрет на всплывающие окна в IE 6.0 Грузятся сами по себе странички причем очень много!!! В процессы прописался непонятный процесс COMMAND,хотя еги из System32 удалил он все равно грузится.
Может кто-то сталкивался и может помочь.
Дело в том что это на работе а на этот комп антивирус поставить нереально, комп умрет .
Заранее благодарен!!!

ZaHack, 4.05.2006 - 19:39

В IE:Сервис - Свойства - Конфиденциальность - Поставь галочку блокировать всплывающие окна. И не пользуйся дырявым Олсом, поставь Мозиллу

Asmodey, 4.05.2006 - 21:29

а ещё лучше Operу

Hell, 5.05.2006 - 0:30

Способ старый, но действенный:
Попробуй проверить комп загрузочными дискетами KAV'a.
Говорят помогает

PTyTb, 5.05.2006 - 0:52

Может у него прав доступа нету проги устанавливать...
Он же пишет - "на работе"!

LMs, 5.05.2006 - 21:15

Проверял машину на вирусы прогой XoftSpy
Так вот нашел он троян w32tm.exe, haxdoor!
Неполучается его удалить,я удаляю а трой через минуту появляется опять, кто нить с этим сталкивался и как бороться с напастью?

igorj2003, 5.05.2006 - 21:52

попробуй McAfee AVERT Stinger 3.0.2
This version of Stinger includes detection for all known variants:
-W32/Anig.worm, -W32/Bagle, -Exploit-DcomRpc, -Exploit-Lsass,
-IRC/Flood.ap, -IRC/Flood.bi, -IRC/Flood.cd, -PWS-Narod,
-W32/Sdbot.worm.gen, -BackDoor-JZ, -BackDoor-AQJ,
-BackDoor-CFB, -Backdoor-CEB, -Bat/Mumu.worm; -IPCScan;
-NTServiceLoader; -PWS-Sincom.dll; -W32/SQLSlammer.worm;
-W32/Bagle.bf - .bg@MM; -W32/Bagle.bl@MM; -W32/Bagle.bj - .bk@MM;
-W32/Bagle.bi - bn@MM; -W32/Bagle.dldr; -W32/Bagle.bo - bt@MM;
-W32/Bagle.cc - .dd; -W32/Blaster.worm; -W32/Bropia.worm.a - .p;
-W32/Bropia.worm.bx/by; -W32/Bropia.worm.q - .u;
-W32/Bropia.worm.q - aj; -W32/Bugbear@MM; -W32/Bugbear.j@MM;
-W32/Deborm.worm.gen; -W32/Dumaru; -W32/Dumaru.bd - bg@MM;
-W32/Elkern.cav; -W32/Fizzer.gen@MM; -W32/FunLove;
-W32/IRCBot.worm; -W32/Klez; -W32/Lirva; -W32/Lovgate;
-W32/Lovgate.aq@MM; -W32/Lovgate.ar@MM; -W32/Korgo.worm;
-W32/Korgo.worm.aa.dam; -W32/Korgo.ag - .ai; -W32/Korgo.worm.ae;
-W32/Korgo.worm.aj; -W32/Mimail; -W32/MoFei.worm; -W32/Mumu.b.worm;
-W32/Doomjuice.worm; -W32/Mydoom; -W32/Mydoom.ad - .ah@MM;
-W32/Mydoom.an@MM; -W32/Mydoom.ao - bb@MM; -W32/Mydoom.bc - bd@MM;
-W32/Mydoom.be@MM; -W32/Mydoom.bf - bi@MM; W32/Mydoom.bw@MM;
-W32/Nachi.worm; -W32/Netsky; -W32/Netsky.ag@MM; -W32/Nimda;
-W32/Nimda.u@MM;-W32/Bagle.ba - .bd@MM, -W32/Bagle.bh - bm@MM;
-W32/Netsky.ah - .ai@MM, -W32/Pate; -W32/Pate.d; -W32/Sasser.worm;
-W32/Sasser.worm.g; -W32/SirCam@MM, -W32/Sobig; -W32/Sober;
-W32/Sober.j@MM, -W32/Sober.k@MM, W32/Sober.l@MM;
-W32/Sober.m - .p@MM; W32/Sober.r@MM; -W32/Swen@MM; -W32/Yaha@MM;
-W32/Zafi; -W32/Zafi.c@MM; -W32/Zafi.d@MM; -W32/Zafi.e@MM;
-W32/Zindos.worm; - W32/Zobot.worm

Homepage -
http://www.mcafee.com

Size: 1.09 MB
http://download.nai.c...t/stinger3.exe

keym, 5.05.2006 - 22:26

Удали все лишние процессы диспетчером. И эта прелесть наверняка сидит в нескольких папках, в т.ч и в системных.У меня на днях был подобный случай: трояна словил с диска идущего в комплекте к одному известному комп. журналу. Тоже гад разползся по всей системе. Я его в Kaspersky Lab заслал. Через два часа пришло письмо "...Здравствуйте, файл explore.exe задетектирован под именем Trojan-Clicker.Win32.VB.ke
Детектирование будет добавлено в следующее обновление.
...". Обновил базы, и Касперский все вылечил в миг. Касперским их давить надо!

dama_tref, 18.05.2006 - 20:12

Добрый день. Сразу хочу предупредить, я в компьютерах практически не разбираюсь, но другой возможности общаться с внешним миром почти нет. С недавнего времени почти перестала работать правая кнопка мышки. Прочитав ваши статьи о новом вирусе подумалось, может и я оказалась в числе тех счастливчиков. Прочистила комп дисками, но кнопка всё равно работает очень плохо. Кроме того всё время открываются messages о критических регистрационных ошибках. Я заходила на указанные сайты, который должны были бы помочь, но там только скенуют и потом, жутко напугав диким кол-вом этих самых критических ошибок, предлагают накупить за бешенные деньги кучу дисков с программами. Я не знаю, действительно ли дело так плохо или они таким образом просто распространяют свою продукцию. Не подскажите, как мне избавиться от этой напасти?

de1ay, 18.05.2006 - 20:31

Много написано, но мало сказано...


Какими дисками ты комп чистила? Шлифовальными что-ли?

Это всё бред - скорее всего адвэйр


Ну а тут ты вообще лопухнулась.. Зачем лезть на неизвестно какие сайты... Может вместо сканирования на PC грузят очередного шпиона.


Не пробовала поставить другого грызуна и протестить? Может он просто отработал своё...

Поставь себе прогу из этого поста, обнови базы и проведи полное сканирование системы (там есть и другие варианты). Когда она найдёт всякий бред на твоей машинке - удаляй это всё к чёртикам...

Думаю, выразился понятно )

dama_tref, 18.05.2006 - 21:04

Ой, мама дорогая! Ну, зачем же так ругаться? Я же сразу предупредила, что полный чайник. Диски, которыми я чищу комп, куплены вместе с компьютером в магазине :
"Compaq Restor Plus!"
"Compaq Operating System CD"
"Restor Supplemental Software"

Я попробую сделать то, что ты написал... А как обновить базы?

dama_tref, 18.05.2006 - 21:24

Да, я забыла спросить. У меня стоит AOL Sefty and Security Centre -- они когда-то сотрудничали с McFfee, возможно это из той же серии. Эта новая программа не начнёт блокировать AOL, а то у меня уже так было с NORTON. Я тогда по-незнанию поставила обе программы, в итоге не могла выйти на инет.

de1ay, 18.05.2006 - 23:02

Нет, проблем быть не должно, а базы он сам предложит обновить


Видно ты не видела, как я ругаюсь

dama_tref, 18.05.2006 - 23:41

Спасибо огромное! Мама моя родная, столько старых знакомых мне сейчас показали -- 40шт! И это при том, что только вчера чистила комп. Круто они меня...

А на счёт ругани, за 14 лет в механических цехах я думаю у меня уже давно выработался стойкий иммунитет . Так что я этого не сильно боюсь. Спасибо ещё раз!

Сделано в СССР, 1.08.2006 - 11:18

Не знаю, по адресу ли но не вижу куда еще написать.
Поймал червя, Brontok.A(есть другие названия) он периодически загружает страницу с текстом, перезагружает комп в некоторых случаях и закрыл мне доступ к реестру что самое обидное. При попытке выполнить regedit пишет что операция запрещена мною самим типа и сразу перегружается. Забавно, комп упорно перезагружается и при попытке открыть этот адрес -
http://forum.ixbt.com/topic.cgi?id=4:81492 как будто червяк не хочет чтобы я прочитал как от него избавиться Я так и не успеваю - только загрузится страница и сразу ресетится комп. Бесит, тварь.
Так как к реестру доступ вернуть, братцы?

сахалинец, 1.08.2006 - 16:03

попробуй поставить Reg Organizer его в нете нетрудно найти.
лучше версии 2.5 там простая регистрация без кряка.
Может он в реестр проломится, в принципе наплохая прога, удобная и полезная

Andrey_n, 1.08.2006 - 19:46

Сделано в СССР, напиши какая у тебя винда. Можешь ли ты загрузится в отладочные режимы (безопасный, режим отладки) и оттуда получить доступ к реестру.
Если есть возможность проверь файл win.ini,system.ini.
Умеешь ли ты работать с реестром ручками?

Добавлено:
Сделано в СССР. Кое что нашел по твоему "другу".У Каспера на сайте, в его энциклопедии лежит следующее:

При инсталляции червь копирует себя в следующие каталоги со следующими именами:
%Documents and Settings%\User\Local Settings\Application Data\csrss.exe
%Documents and Settings%\User\Local Settings\Application Data\inetinfo.exe
%Documents and Settings%\User\Local Settings\Application Data\lsass.exe
%Documents and Settings%\User\Local Settings\Application Data\services.exe
%Documents and Settings%\User\Local Settings\Application Data\smss.exe
%Documents and Settings%\User\Local Settings\Application Data\winlogon.exe
%Documents and Settings%\User\Start Menu\Programs\Startup\Empty.pif
%Documents and Settings%\User\Templates\WowTumpeh.com
%System%\<Имя пользователя>'s Setting.scr
%Windir%\eksplorasi.pif
%Windir%\ShellNew\bronstab.exe
После чего червь регистрирует себя в ключе автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Bron-Spizaetus"="%Windir%\ShellNew\bronstab.exe"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Tok-Cirrhatus"="%Documents and Settings%\User\Local Settings\Application Data\smss.exe"

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe %Windir%\eksplorasi.pif"

При каждой следующей загрузке Windows автоматически запустит файл червя.

Также червь изменяет следующие записи в системном реестре, чтобы заблокировать работу некоторых приложений и опций Windows (Системный Реестр, свойства папок):

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoFolderOptions"="1"
[HKCU\Software\Microsoft\Windows\CurrentVersion\explorer\advanced]
"Hidden"="0"
"ShowSuperHidden"="0"
"HideFileExt"="1"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"="1"
"DisableCMD"="0"


Также червь создает следующую папку:

%Documents and Settings%\User\Local Settings\Application Data\Bron.tok-XX
XX – 2 случайные цифры.

Прочее
Червь перегружает зараженную систему в том случае, если обнаруживает открытое окно со следующими строками в заголовке:

.exe
Registry


Добавлено:
А теперь подскажу как можно добраться до реестра:

...Также червь изменяет следующие записи в системном реестре, чтобы заблокировать работу некоторых приложений и опций Windows (Системный Реестр, свойства папок):

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoFolderOptions"="1"
[HKCU\Software\Microsoft\Windows\CurrentVersion\explorer\advanced]
"Hidden"="0"
"ShowSuperHidden"="0"
"HideFileExt"="1"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"="1"
"DisableCMD"="0"

Исправь следующее:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"="0"
"DisableCMD"="0"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoFolderOptions"="0"

Не знаешь как пиши подскажу! Только обязательно укажи версию винды.

Сделано в СССР, 1.08.2006 - 20:26

Превед, спасибо за помощь!
Это все я уже читал конечно же.
С реестром работать не умею, не понимаю значений записей там, но пару раз успешно пользовался подобными подсказками для ламаков, тогда чистил от чего-то другого...
Винда ХР про.

Как проверить их?

Тоже не совсем понятно - и что дальше?



Здесь я пробовал менять значения или вообще удалять полностью запись из реестра(доступ к нему удалось получить при помощи сахалинской проги Reg Organizer , но тщетно - восстанавливает обратно сволочь.
Может что-то упустил, сейчас еще раз попробую. Кстати формат С в данном случае решит проблему в крайнем случае?

Andrey_n, 1.08.2006 - 20:47

Смотри в реестре все ключи типа RUN,RUNOnce.

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Bron-Spizaetus"="%Windir%\ShellNew\bronstab.exe"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Tok-Cirrhatus"="%Documents and Settings%\User\Local Settings\Application Data\smss.exe"

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe %Windir%\eksplorasi.pif"

Удаляй все ссылки в реестре на эти файлы.Особенно в RUN,RUNONCE:

%Documents and Settings%\User\Local Settings\Application Data\csrss.exe
%Documents and Settings%\User\Local Settings\Application Data\inetinfo.exe
%Documents and Settings%\User\Local Settings\Application Data\lsass.exe
%Documents and Settings%\User\Local Settings\Application Data\services.exe
%Documents and Settings%\User\Local Settings\Application Data\smss.exe
%Documents and Settings%\User\Local Settings\Application Data\winlogon.exe
%Documents and Settings%\User\Start Menu\Programs\Startup\Empty.pif
%Documents and Settings%\User\Templates\WowTumpeh.com
%System%\<Имя пользователя>'s Setting.scr
%Windir%\eksplorasi.pif
%Windir%\ShellNew\bronstab.exe

Только затем удаляй эти файлы!

Почитай внимательно, все ключи и все файлы которые
задействованы перечислены. Постарайся найти откуда к тебе этот вирус пришел, процентов 85 что по почте.
Удали!
Если что пропустишь он воссоздаст себя заново, такая это ЗАРАЗА! Так что убивай до конца, и не перезагружайся, пока не будешь уверен что все.
И еще помни про строку ...
Прочее
Червь перегружает зараженную систему в том случае, если обнаруживает открытое окно со следующими строками в заголовке:
.exe
Registry
Так что не провоцируй перезагрузки.
Успехов! Извини если немного запутано объяснил.

Love.sys, 1.08.2006 - 21:28

Не занимайс фигнёй. Используй вот это:
https://softoroom.org/...33.html?hl=avz

Я об этом замечательном средстве уже писал

Сделано в СССР, 2.08.2006 - 2:15

В общем к реестру доступ только через прогу, так, через regedit не дает. Прога не дает изменить некоторые записи в реестре, например восстановить прямой доступ к реестру через regedit, меняешь 1 на 0 но сохранить не удается. Где-то еще что-то лежит, что восстанавливает . Что делать не знаю...

Сделано в СССР, 2.08.2006 - 2:41

Попробовал эту штуку с жесткими настройками - не прет. Видит вроде бы много но не лечит.

сахалинец, 2.08.2006 - 5:29

попробуй зайти на virusinfo по этой ссылке
http://virusinfo.info...ead.php?t=1235

сахалинец, 2.08.2006 - 5:55

вот еще что вычитал

Вам необходимо отключить службу востановления системы (кнопка ПУСК/Настройка/Панель управления/Администрирование/Службы/востановления системы- стоп!), а потом просканировать комп. Настройки антивируса должны быть жесткими.После чего червяк помрет,а так же рекомендуется поставить файрвол или использовать встроенный в Window

Добавлено:
еще один совет

через поиск киляй экзешники, потом в безопасном режиме запусти msconfig поудаляй оттуда все левые галочки, ну а потом спайбот, после него касперский. Но мне кажется помог только НОД 32, касперский что то мозги делал, но вири не удалял.

сахалинец, 2.08.2006 - 6:18

нашел нашел!!!!!!!
ftp://d-ru-1f.kasper...om/utils/klwk/ там лежит утилитка которая лечит и именно этот вирус в том числе

Сделано в СССР, 2.08.2006 - 13:43

Попробовал эту штуку - пишет что мол у тебя нечего чистить-то чувак!
У меня версия червяка называется Brontok.A а там пишут что лечат версию N. Вчера после многочисленных мытарств, перестала самопроизвольно загружаться сраная страничка, но...
K regedit по-прежнему нет доступа - сразу же перегружается, после ругательств. К тому же в папке Local settings/Application Data лежат его файлы с иконками папок, которые через секунду после удаления появляются снова. Видимо удалось удалить компоненты червя, но не полностью - наверно он медленно развивается, поэтому пока нет странички.
Становится интересно, азарт даже какой-то, хотя злит ужасно.



С твоих слов я понял что у тебя был такой-же червяк - нет?

Andrey_n, 2.08.2006 - 14:51

Сделано в СССР, есть предложение!
Напиши в обычном ворде или блокноте или Far простой текстовый файл, и сохрание его с расширением reg.
Перепиши в точности как ниже, после REGEDIT4 пустая строка. Удачи.
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"="0"
"DisableCMD"="0"

Сделано в СССР, 3.08.2006 - 1:55

ЗЫ...
Возможно червяк уже готов, но его дерьмо в реестре не дает дочистить комп. Может проблема осталась лишь в возвращении доступа к реестру - если я туда попаду, то смогу спокойно добить гада... Какие мысли? Как получить доступ туда опять? Или не то?

Добавлено:

А что мне с ним потом делать, куда сохранить-то?

сахалинец, 3.08.2006 - 3:47

Слава богу червяка у меня не было, но меня заинтересовала твоя проблема и я вчера обшарил кучу сайтов и поисковиков и все что стоит внимания тебе выдал. Ты пиши что получилось. А я еще попробую что нибудь нарыть. Попробуй еще AD Aware может теперь найдет какой нибудь ключ реестра, ты его через прогу и бахнешь. У меня вчера была такая фига выловил какую то лабудистику - после выхода из инет модем сам пытался включится, но не вирус, запустил AD Aware. нашел ключи реестра и спомощью проги Reg Organizer жахнул ключи и снес все сслыки на них.
Теперь все ОК.

Сделано в СССР, 3.08.2006 - 6:03

Хех, ну я тож перерыл инет и русский и английский, и в общем все это уже видел. Проблема в том что я очевидно неграмлтно использую что-то. я штук 5 прог, включая твою прогнал. Перестала выскакивать html-страничка. Это уже хорошо. Но выполнить regedit упорно не дает. Такое впечатление, что червяк если и убит, то успел в реестре изменить записи которые меня не воспринимают как администратора. Где-то какой-то ключ еще не переделал я. Да, вот еще - обнаружил что фаер(Нортон 2004) после какой-то перезагрузки стал включаться с отключенной установкой безопасности и вообще в нем все функции выключены - проверка вторжения, блокировка рекламы - все в общем отключено. И тоже не дает включить, пишет что у меня мало прав для этого...
Из папки Local settings/Application Data вдруг почему-то исчез весь мусор от червя, хотя до этого я не мог удалить некоторые из файлов... Вообще не понимаю как это? Но нету...
Короче надо как-то получить права, а как я не понимаю...

Сделано в СССР, 3.08.2006 - 6:14

Кстати все изменения произошли после использования AVZ которую Гражданин посоветовал. Эта штука нашла у меня 21 вредоносную программу, тогда как Ad Aware находил только 7, и остальные тоже 6-8...
Ну вот такая фигня в общем...

Andrey_n, 3.08.2006 - 19:45

Сделано в СССР, ты сохрани просто файл на диске.У тебя будет к примеру файл primer.reg. Кликай на него мышой или Ентером, он скажет внести информацию из файла в рееестр, или что то в этом духе, скажи Yes! И все, должно сработать. Если все прокатит получишь доступ к реестру, только не перезагружайся, и напиши что получилось.
Если все сработает, я тебе напишу файл, и выложу здесь, как остальную гадость из реестра убрать (от этого вируса).
Удачи!

Сделано в СССР, 3.08.2006 - 21:44

Ну че Андрюх, сделал я как ты сказал. Как только кликнул по нему комп тут же сказал мне что администратор мне не разрешает доступ и сразу перегрузился.

Andrey_n, 3.08.2006 - 22:09

Попробуй загрузится в Безопасном режиме и запустить reg-файл там. Может получится.


Добавлено:
Второй вариант попробуй загрузится в Безопасном режиме, и выбери учетную запись Администратор.
Попробуй тоже самое при обычной загрузке.

Andrey_n, 3.08.2006 - 22:25

Попробуй перед запуском reg-файла, при загрузке в обычном режиме, запустить вот эту прогу:
http://classpath.naro...er141beta3.zip
с помощью нее найди процессы:
bronstab.exe
smss.exe
и удали или убей их.
Затем попробуй запуск reg-файла.

Сделано в СССР, 3.08.2006 - 22:31

Все равно не разрешает. Правда не перегружается при этом. Учетной записи Администратор у меня нет, Я сам администратор. Попробовал создать пользователя с правами админа и там попробовать - та же картина, не разрешает, но не ресетится...

Сделано в СССР, 3.08.2006 - 22:55

Процесс bronstab.exe у меня не значится. smss убил, запустил файл - перезагрузка...
Процессов до хренищща - winlogon.exe 4 штуки аж,
svhost - 6 и много подозрительных. Я правда не разбираюсь в этом почти, поэтому не знаю какой из процессов рабочий а какой шпионский.

Hell, 3.08.2006 - 23:51

winlogon.exe - должен быть 1-ин процесс (остальные убей)
svhost - 5-ть штук (оставшийся скорее всего убить не получиться)
bronstab.exe - не знаю, первый раз читаю.

По поводу прав админа:
Не знаю знаешь ты или нет, но в компе есть 2 типа админских прав:
- админ по рождению (встроенная учётная запись)
- админ приобретённый (ты сам назначаешь учётную запись с админскими правами).

У встроенной учётной записи прав чуть-чуть побольше. Присвой встроенной учётной записи имя учётной записи, под которой ты входишь в систему и сделай ещё раз всё то, что тебе писал Andrey_n. Не знаешь - отпиши.

Сделано в СССР, 4.08.2006 - 0:05

У меня значит встроенный админ, только у него имя а не слово "администратор". При включении комп логается сразу под админом без запросов и пароля. Хотя в папке Documents and Settings есть папка под названием Administrator и с моим именем.

Hell, 4.08.2006 - 0:33

Понятно...
Скажи? А такой вопрос - тебе просто интересно с этим вирусом разобраться или там какая важная информация?
Если инфа важная скинь на флешку или запиши на болвань. И "формат С"... Да! кстати! у тебя FAT или NTFS? В любом случае грузишься с загрузочной дискеты и ручками удаляешь те файлы, о которых тебе писали выше.
А если интересно разобраться, то... - "формат С"

Сделано в СССР, 4.08.2006 - 1:12

Информации никакой важной или ценной нет. Формат С всегда можно но слишком уж примитивно, интересно победить так. К тому же это не всегда спасает. Насколько я понимаю в ХР FAT не бывает. NTFS конечно.

Andrey_n, 4.08.2006 - 7:26

Бывает в XP и FAT32. Кое-что поясню: bronstab.exe это та зараза,которая прописывается в реестр, в автозапуск.

При инсталляции червь копирует себя в следующие каталоги со следующими именами:
%Documents and Settings%\User\Local Settings\Application Data\csrss.exe
%Documents and Settings%\User\Local Settings\Application Data\inetinfo.exe
%Documents and Settings%\User\Local Settings\Application Data\lsass.exe
%Documents and Settings%\User\Local Settings\Application Data\services.exe
%Documents and Settings%\User\Local Settings\Application Data\smss.exe
%Documents and Settings%\User\Local Settings\Application Data\winlogon.exe
%Documents and Settings%\User\Start Menu\Programs\Startup\Empty.pif
%Documents and Settings%\User\Templates\WowTumpeh.com
%System%\<Имя пользователя>'s Setting.scr
%Windir%\eksplorasi.pif
%Windir%\ShellNew\bronstab.exe
После чего червь регистрирует себя в ключе автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Bron-Spizaetus"="%Windir%\ShellNew\bronstab.exe"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Tok-Cirrhatus"="%Documents and Settings%\User\Local Settings\Application Data\smss.exe"

Найди все перечисленные файлы , как процессы и попробуй убить их. Ничего страшного не произойдет, в край перегрузишься.
Затем тот файл, который ты создал с расширением .reg, попробуй запустить, если не получится выложи сюда то что ты написал в этот файл.Успехов!

Сделано в СССР, 8.08.2006 - 1:33

Короче ничего не лечит. Комп упорно не чистится и сразу перегружается при обращении к реестру. Файлы не удаляются. Туплю видимо но у меня нет определенных прав, которых я сам себя и лишил по словам моего компа...
Единственное чего удалось добиться - это перестала появляться мерзкая страничка.
Неужели форматировать?

ЗЫ ... в reg-файл я то и прописал что ты советовал...

Hell, 8.08.2006 - 3:13

Попробуй ещё зайти с загрузочной дискеты для NTFS - и ручками...

А вообще ещё один метод борьбы. Поспрошай у друзей-линуксоидов или пусть помогут сделать загрузочные дискетки с антивирем.
Не знаю как сейчас, а у ранних версий Каспера такая функция была...
Может и поможет...

Сделано в СССР, 11.08.2006 - 0:32

В общем не смог победить до конца. Пришлось форматить. Срамота... Ламак он и в Аргентине ламак.

Misu, 13.09.2006 - 17:53

Такая проблема- пару дней назад сидела за компам с включенным фотошопом и винампом. Вдруг комп просто перестал реагировать на команды, а затем выскачила табличка, сообщающающая о близком лимите виртуальной памяти (до того момента с таким термином вообще не была знакома). А вот уже третий день не могу запустить проверку компа (который теперь тормозит по-черному) на вирусы- окно программы (symantec antivirus) самовольно закрывается, и когда пыталась в нете скачать касперского так же сразу закрывается окно скачиванья и ничего не сохраняется. При чем такая нездоровая реакция исключительно на антивирусные программы. Не знаю связано ли это между собой, видима это какой то вирус, но я его даже удалиь не могу. Если тут можно что нибудь исправить в домашних условиях, помогите пожалуйста.

The Godfather, 13.09.2006 - 18:29

Misu Попробуй посмотреть в Диспетчере задач (Это по Ctrl-Alt-Delete ) какой процесс использует больше всего пямяти и имеет подозрительное имя и попробуй его завершить. И возьми антивирус у друзей или скачай с этого форума. Если не будет ставиться, то у тебя 100% вирус.

Фан, 13.09.2006 - 18:30

нажми ctrl+alt+del)) Посмотри "лишние" процессы.. И напиши здесь, что у тя вызывает сомнение

Misu, 13.09.2006 - 18:41

эээ...если смотреть в приложения- то там все как надо, их там всего 3, а если смотреть процессы, то их там 55 и больше половины названий я в первый раз вижу (а что такое выделение памяти? 407 Мб- это что то нормальное или нет?). А еще я что то вычита про непонятный мне термин firewall, но когда попыталась найти в поисковике, окно с результатами сразу закрылось

konf, 13.09.2006 - 19:26

а ход конем типа "восстановление до предыдущей контрольной точки" не катит? (Пуск--Все программы--Служебные--Восстановление системы) а дальше-искать вирусы и ad-aware...

Misu, 14.09.2006 - 6:37

Можно попробывать, ток объясните что это за контрольные точки, как в них искать вирусы и что происходит при востановлении системы

elfasszz, 18.09.2006 - 19:14

В комп подруги залезла эта тварь: not-a-virus:AdWare.Win32.NewDotNet, и заразила вот этот файлик: C:/Progam Files/NewDotNet/newdonet 7_22.dll C помощью каспера удалив ее пропал Интернет. Выкиньте мне этот файл или дайте ссылку на его. Или предложите другие решения этой проблемы…

de1ay, 18.09.2006 - 19:18

Во-первых: переехали.
Во-вторых: шли куда подальше ето newdotnot...
В-третьих: у тебя пропал коннект или в ie проблемы с отображением страниц?

Misha90, 18.09.2006 - 19:49

Помогите! Скачал генератор ключей, проверил каспером, он показал что всё чисто. запускаю программу и тут началось..... Пишет что надо выслать коды для веб мани на такой то e-mail, с рабочего стола всё пропало, в пуске почти чисто, окно если откроешь, то не закроешь и самое интересное: вместо часов слово "БЛ??Ь"

de1ay, 18.09.2006 - 20:28

Из процессов удали.. Из автозагрузки удали... Хм.. из реестра врядли удалить возможно... А ещё легче: переустанови систему

Misha90, 18.09.2006 - 21:07

Насчёт процессов: отсутствует диспетчер задач, пишет что доступ запрещён системным администратором. Из автозагрузки чё только не удалял(через Эверест и msconig)

elfasszz, 18.09.2006 - 21:43

пропал коннект...

de1ay, 18.09.2006 - 21:49

Misha90, переставляй систему.

elfasszz, если при удалении он зацепил с собой один из сетвых сервисов, то восстанавливай систему.. или проверь настройки подключения, легче так-же переустановить

elfasszz, 18.09.2006 - 22:27

Восстановлять систему не получается… пробовал уже… можно по подробней о переустановки , я слаб в этом деле

de1ay, 18.09.2006 - 22:33

Cоздавай тему в этом форуме, ответим

farg, 20.09.2006 - 21:16

кейген в лабораторию касперского отправь, пусть добавят в базу

ЭЖД, 21.09.2006 - 8:32

у тебя рассширенные базы стоят? а фаервол есть?
с часами вообще класс...

betepon, 3.10.2006 - 9:58

Приши мне сегодня два письма
письмо № 1 -
(привожу перевод)
Наш сайт получил с вашего почтового адреса письмо с вирусом. Для устранения проблеммы установите Update, приложеный в письме.

К письму приложен файл Update-KB9078-x86.zip

Письмо № 2
(привожу перевод)
Это письмо выслано в 7-ми битной кодировке ASCII. Поскольку оно может неправильно отобразиться - файл переведен в бинарный.

К письму приложен файл data.elm.exe

Проверка на вирусы вируса не выявила. Однако настораживает то, что на этот сайт никогда письма не отправлялись, и даже более того. Эти письма пришли на мертвый почтовый ящик, который принимает почту, но никогда и никому ничего не отправляет.

Может это не вирусы, но выглядит это очень и очень подозрительно.
Прошу подсказки
1. Что делать?
2. Если вирус - почему молчит обновленный антивирус (Nod32)?

Volk, 3.10.2006 - 12:57

Ничего не делать!
Просто удалить и письма и файл! И забыть! Неужели не ясно, что нельзя открывать прикреплённые файлы? Тем более ЕХЕ!
А антивирусов идеальных не бывает!
Я взял для себя за правило -удаляю без сожаления! По крайней мере здоровье компа дороже, чем какой то файл!
Удачи!

RHBZ, 9.10.2006 - 5:27

При установки игры "пазлы", скачанной с этого адреса (http://www.softinka.r...u/puzzles.rar) антвирус Касперский Personal 5.0.391 обнаружил троянскую программу. Всё удалил, но при перезагрузке всё повторяется.Файл расположенный C:/ WINDOWS/sistem32/winkey.dll никак не удаляется, пишет что файл занят другим приложением. Помогите его удалить!!! ПОЖАЛУЙСТА!!!

de1ay, 9.10.2006 - 7:05

В безопасном режиме загрузись и удаляй файл сколько влезет

lordslavik, 9.10.2006 - 15:10

Народ кто сталкивался с Trojan-Proxy.Win32.Horst.kj
Помогите немогу найти его файлы кроме setup и autorun.inf
грохает екзешники и картинки в тех папках где лежит, после перегруза появляется снова. На касперском описания нет.

mish-kok, 9.10.2006 - 17:23

lordslavik
Вот что пишет касперский:
Trojan-Proxy.Win32.Horst.jq
Детектирование добавлено 22 сен 2006 08:52 MSK
Обновление выпущено 22 сен 2006 10:26 MSK
Поведение Trojan-Proxy, троянский proxy-сервер
У тебя какая версия стоит?????
То что было до 6.0 антивирусом назвать трудно!!!!!

e.m.e., 10.10.2006 - 21:59

привет. имеется Троян TrojanHorse Downloader Generic (и еще что то там ) со вчерашнего дня.
в файле C:\ProgramFiles\InetGet2\eltadperf.exe
папка InetGet2 вообще пустая
помогите ! спасибо

eli2003, 24.10.2006 - 6:53

Win32logon.exe
Прошу совета.
Пару недель назад поставили тарелку на интернет.
второй раз сегодня попалось - повышенная активность сети(ничего не запущено), проверяю - процесс Win32logon.exe крутит и локалку и спутник. Закрываю процесс - запускается снова, перекидываю файлик в другое место - всё спокойно. Но это не выход. Может кто подскажет Что Это и Откуда у него ноги растут?
Размер - 110 592 байта
Спасибо!
P.S.
Антивирус на него не реагирует (могу файлик прислать на проверку)
но то, что он (похоже) создает Update.exe в temp и ieexplorer.exe в корневой сразу отрабатывается антивирем.

zano, 12.01.2007 - 0:11

Люди разтолкуйте проверяю систему антивирем NOD32 все вродь нормально нов конце он выдает такое C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat - ошибка открытия (файл заблокирован) [4] и таких ошибок штук три четыре

de1ay, 12.01.2007 - 1:03

В этом файлике хранится инфа о том, какими средствами окрывать те или иные расширения файлов. Естественно, доступ к нему закрыт.

zano, 12.01.2007 - 1:56

Спасибо за ответ. Но как их проверить антивирусом??? он их что не проверяет

de1ay, 12.01.2007 - 8:39

Отправить на virustotal.com. Доступа к файлу тебе никто не даст.

Quim2005, 12.01.2007 - 8:42

2zano - исправлять их может только винда, поэтому и смысла проверять их нет. Касперыч тоже их проверять не может, но такие ошибки просто не выдает, хотя в общем-то должен обо всем говорить

zano, 14.01.2007 - 0:47

Всем кто помагал спасибо. Успокоили я думал кранты или антивирь глюкнутый

D'm~, 14.04.2007 - 19:07

Ребят, нужна помощь.
Кратко суть проблемы..
По необходимости установил Spyware Doctor. Вычистил, что нужно было. Просканил систему для профилактики - все чисто.
Перезагрузился - тоже чисто.. красота.
Вот.. Потом немного побродил в инете. Решил еще раз проверить.
Нашел 4 вируса.. Я, естественно, их прибил.
Вообщем выяснилось что эти вирусы залезают после посещения определенного сайта. Этот сайт создали мои друзья, и я на 100% уверен что не они затолкали туда эту дрянь.

После посещения главной страницы:


После посещения форума:


Если запретить cookies для этого сайта, то Trojan Dropper'а нет.

Как можно защитить свой комп от этого, и откуда это все может лезть?

Использую Eset Smart Security 3.0.128.0 (Ежедневное обновление), который ничего не находит при сканировании.
Spyware Doctor 5.0.0.179
И еще второй фаервол в ADSL модеме.

Очень надеюсь на вашу помощь.

de1ay, 15.04.2007 - 8:12

Лже-активность это, не обращай внимания.

Alexey83, 15.05.2007 - 21:51

Блин, Касперский пропустил трояна и не хочет удалять:( пишет "Требуеться специальное лечение, файл будет удалён после перезагрузки компьютера" перезагружал уже раз пять и всё равно ничего не удаляет.
Установил NOD32, обновил, сделал проверку компа, вирусов никаких не обнаружил, зато файлов 30 не может открыть пишет "Файл заблокирован"
придёться форматнуть диски, касперский подвёл

sla-tron, 17.05.2007 - 10:24

Не надо форматировать диски.


Ну и удалите вручную.

Может в этот момент файлики использовались или это архивы запороленные.

Лёха83, 20.05.2007 - 9:25

надпись была такая "Ошибка открытия (файл заблокирован) [4]", может это их касперский так зашифровал или это сам вирус так шифровался)?

И ещё если на компе побывали трояны, дней пять, там жили, а я в это время выходил на вэбмани и другии сервисы, где храниться немоного денежек. Нужно ли менять везде пароли? своровал ли этот вирус их?
касперский тогда нашёл пять троянов, назывались: Trojan.Generic (Модифицированый)

sla-tron, 20.05.2007 - 20:04

По хорошему лучше канеш поменять. Воровал ли троян пароли сказать трудно, название нуно полное.

Но я б в тот же миг ломанулся менять пароли на все

Лёха83, 21.05.2007 - 3:40

Да сегодня поменяю пароли от греха подальше:)

anGel21, 21.05.2007 - 9:01

Чтоб такого небыло, загружаешь винду с командной строки, соответственно не чего не запуская, не загружая (всем "NO") и после запускаешь NOD32 и тогда он все файлы видит и проверяет 100%.
Жаль что у него нет такой фишки изначально.

soleil123, 21.06.2007 - 15:36

Ребят, помогите пожалуйста...SOS....SOS...

со вчерашнего дня

В комп залезла эта тварь...

" NORTON 2007"не хочет удалять...
немогу найти где лежит ... Помогите его удалить!!!
Что делать?

nvova, 21.06.2007 - 15:57

Че го-то мне уже с нортоном надоели (не в обиду автору), просто уже 3й чкловек за неделю мне говорит, что у него нортон не может удалить вирус
Пользуемся НОДом или Каспером .

veterok2308, 2.09.2007 - 21:00

Вирус ли, или еще какая зараза? А может просто глюк?
Суть: мышка иногда начинает помаленьку перемешаться и все. Интересно почему?
Сканирование Доктором Веб, А-squared,утилитой Зайцева,ничего не выявило.
Может кто знает что это такое?

-=$eReG@=-, 3.09.2007 - 0:29

Отключи мышь(выдерни из системника). Если перестанет - значит мышку меняй, а если нет - то кто-то ей помогает.
Проверь все запущеные процессы. А вообще Касперским или Нодом просканировать не мешало бы.

KrokoTx, 3.09.2007 - 5:40

Если антивирусники ничего не нашли, а мышь PS/2, то попробуй в свойствах мыши установить большее "число проверок в секунду", а также поставить галку "быстрая инициализация".., иначе пробуй как -=$eReG@=-

newmailqu, 3.09.2007 - 10:17

Мышь оптическая?

Legat, 5.09.2007 - 9:21

если оптическая, то попробуй сменить поверхость под мышкой на что то менее блестящее. А еще может быть наводки (от сотового например)

veterok2308, 22.09.2007 - 23:05

Всеи спасибо. Все теперь работает. Глюк был в самой мышки. Заменил на новую и все ОК.

Equilibria, 9.11.2007 - 19:42

Может кто сталкивался с подобной проблемой и сможет помочь:

Попала на компьютер тварь под названием “Adware.TrustIn.Popups”. Вынести нельзя ВООБЩЕ никак. Это не вирус, а как написано выше – adware. По крайней мере по характеристике Symantec. Хотя у меня создалось впечатление что Symantec ошибается. Программа ведёт себя как типичный вирус, за тем лишь исключением что не расползается. Хоьтя и вири не все расползаются. Вот что эта зараза делает:
1) При вызове «Мой компьютер» (или вообще любой папки, точно не определила) она пытается произвести какие-то действия. Возможно рекламного зарактера. Мой анти-вирус блокирует, борется с заразой, удаляет, что занимает секунд 15. После чего «Мой компьютер»/папка загружается.
2) Самовосстанавливается. И прописалась же скотина! Я выметала все файлы связанные с ней, все регистрационные ключи (а их было немало) которые смогла найти. Что Ad-Aware, что Norton Internet Security удаляют лишь на время (на минуту-две!).
3) При закрытии любой папки выскакивает ошибка Explorer’а “the memory could not be read”. 100% связано с этой программой.
Возможности переустановить систему у меня пока нет, сперва нужно закончить работу.
Нужно:
Либо вычислить как эта дрянь восстанавливается.
Либо запретить создание файла (очень желательно сделать) “trustincontext.dll” в: C:\Program Files\TrustIn Contextual. Какой прогой это можно сделать? Та же самая WinTools.net например не может поставить запрет?

Отключение анти-вируса тоже не вариант. Программа интерактивна с Explorer’ом, и постоянно выдаёт ошибку описанную в пункте 3. Прибъёшь программу – ошибка исчезает. Но программа постоянно восстанавливается.

Есть идеи?

Barmoley, 9.11.2007 - 20:04

TrustIn Popups Removal Tool(free)_3.5мв

1.Run a scan to detect and remove any TrustIn Popups infection.
2.Restart your PC and run another scan for any remaining traces of TrustIn Popups. .

SSinchuk, 9.11.2007 - 20:18

Equilibria
Попробуй сначала вынести эту заразу из памяти. Можно этим попробовать Spyware Process Detector 3.10 например. А вот потом уже начинай сносить и вычищать реестр.

Teshka, 9.11.2007 - 20:26

Возможно этот файл запускается как служба и прописан в реестре - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services, проверь внимательно

Andrey_n, 9.11.2007 - 20:53

To Teshka, по поводу вот этого "...Либо запретить создание файла (очень желательно сделать) “trustincontext.dll” в: C:\Program Files\TrustIn Contextual..." могу посоветовать следующее: Если эта длл и есть вирусня или скажем его тело, то можно просто открыть этот файл к примеру в Far-е, и произвольно удаляешь из этой длл строчки, проще говоря рушишь код ), сори, после этого сохраняешь, и перезапускаешься. Система поначалу будет сильно ругаться, но после этих действий ты сможешь убить эту заразу. В качестве тяжелой артилерии рекомендую AVZ (антивирус Зайцева).Удачи!

pluto2007, 9.11.2007 - 21:25

Были у меня проблемы подобные -при выключнии эта гадость сохраняется из ОЗУ в восстановительные файлы, а при старте системы она опять в памяти гадит, надо просканировать систему перед стартом с чем справляется AVAST 4. конечно может кто поспорит но -ничто другое не помогло. Dr Web как проститутка свалился.... КАСПЕРСКОГО НЕ ПРОБОВАЛ. Как бороться тебе решать. у меня сейчас стоит AVAST 4, вирусы просачиваются но при сканировании обнаруживаются -флешку таскаю меж тремя компами вот и имею ...

Equilibria, 10.11.2007 - 9:05

Единственное что более-менее помогло, это очистка файла. Я почему-то об этом методе забыла, хотя раньше им пользовалась. Как Andrey_n и говорил, я скопировала файл, вычистила, зетем удалила оригинальный (прогрпммой Unlocker, так как он использовался Explorer'ом) и поставила этот. Пока всё работает хорошо и быстро. После перезагрузки оригинальный файл не восстанавливается. Если повезёт, закнчу работу уже сегодня и форматну наконец.

Ради интереса пробовала разные программы для удаления жтого Adware, в том числе TrustIn Popups Removal Tool - не помогает. Анти-вирусы, ни анти-шпионы, анти-adware, просто удаляют все файлы и ключи, которые потом с тем же успехом восстанавливаются. В сервисах программа тоже прописана не была, так что вычистка файла оставалась единственным вариантом. Хоть это помогло. Всем спасибо.

kol2000, 10.12.2007 - 10:04

А у меня такая вот беда: "Virut.AQ"... Ну ничего не помогает. Поиск по форуму не дал результатов ((( Да и вообще в инете мало инфо по этой дряни.

Сержикус, 16.02.2008 - 20:56

Подскажите, кто знает, у меня антивирус показывает файл как failed, и вроде как ниче с ним сделать не может. файл называется
Worm.Win32.Feebs.nj. , каковы его функции и на что он влияет?

geronima, 16.02.2008 - 21:06

Это семейство интернет-червей для ОС Windows, распространяющихся в виде вложений в зараженные электронные письма и по сетям файлообмена.
Данные черви могут выгружать из системы различные межсетевые экраны и антивирусные программы.
JavaScript-компонент, который распространяется в виде вложения в зараженные письма и загружает с определенных серверов исполняемую копию червя, сохраняет ее на заражаемом компьютере и запускает на исполнение.
Одновременно с загрузкой исполняемой копии червя JavaScript-компонент показывает на заражаемом компьютере обманную интернет-страницу, сообщающую об отсутствии соединения.
Также JavaScript-компонент удаляет следующие записи из системного реестра:

Safarid, 16.02.2008 - 21:08

viruslist.com думаю найдешь все что тебя интересует.

Сержикус, 16.02.2008 - 21:31

а можно его вручную удалить из компа, так ведь?

geronima, 16.02.2008 - 21:38

Конечно, с учетом, если знать где он находится.

Сержикус, 16.02.2008 - 21:58

антивирь показывает его местонахождение, но поиском и визуально не вижу, что можно сделать?

Солнышко, 16.02.2008 - 22:08

Открыть любую папку в меню. Сервис-свойство папки-вид. Найти и кликнуть по строке "Показывать скрытые файлы и папки".
Сразу ищи файлы autoexec.ini autoexec.bat Их появление-верный признак действия на компе вредоносных программ.

Pixelen, 13.04.2008 - 22:40

блин у меня на жестких скрытый автаран сидит, а скрытые файлы не отображаются каким антивирем можно это устранить? нод не видит сцобака.

vic171, 14.04.2008 - 0:12

Попробуй Avast он после установки сканирут систему, и уничтожает всяку бяку, надо скину на свой фтр мыло [email protected]

dodik, 14.04.2008 - 1:44

Это скорей всего VBS.Igidak,посмотри файловым менеджером(чиобы видеть скрытые файла) или поправь ключик -HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
"ShowSuperHidden"=dword:00000001 (в конце должна быть 1)если есть куча авторанов всех типов расширений то это он,не хочу копипастить,если ты введешь в яндексе VBS.Igidak,то там в первых ссылках найдешь сайт Dr.Web,с подробным объяснением по лечению.

KLUCHICK, 14.04.2008 - 18:19

Оченно хорошая чистилка... Зовут её Cureit... живёт у доктора WEB на сайте совершенно на халяву предоставляется.

Технология - перезагружаем, жмём F8 выбираем защищённый режим потом запускаем Cureit... Дёшево и сердито

В аттачике файлик - антиавтораннер... Тоже моно запустить - хуже не будет.

Pixelen, 14.04.2008 - 21:46

спасибо! снес автараны с помощью anti..(прикольная прога), cureit ниче не нашел, скрытые по прежнему не вижу .

PTyTb, 14.04.2008 - 23:17

Это с каких пор?

dodik, 15.04.2008 - 1:27

Тебе придется все же,вручную исправить эти два ключа реестра,или попросить кого нибудь здесь написать батничек.

Pixelen, 15.04.2008 - 15:29

Порыл реестр, ключи в порядке, а пофиг переживу, если че систему перебью У меня еще были случаи когда пропадало свойство папки в вкладке сервис и в Панель управления помогало тока переустановка ОС. Никто не устранял проблему другим методом?

dodik, 15.04.2008 - 17:26

Ну и чудесно!

HoBu4eK, 30.07.2008 - 15:37

Не знаю правильно ли выбрал тему, но у меня такая проблема, после сканирования SpyHanter-ом в winlogon е обнаружил Trojan.Vundo после удаления система грузится но после ввода логина и паролья виснет. Сделал систем рестор все нормально заработало но троян все таки сидит. На другом компе после сканирования SpyHanter-ом тоже самое. Symantec_Removal_Tools__25-in1_.exe не обнаруживает ничего, что делать помогите пожалуйста. Система Вин ХП.

kik55, 30.07.2008 - 17:06

ставь kis8 и все будет ОК

Nicolay_7, 27.09.2008 - 1:45

Недавно обнаружил у себя на флешке autorun.inf

[autorun]
open=RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\usbsecure.exe
icon=%SystemRoot%\system32\SHELL32.dll,4
action=Open folder to view files
shell\open=Open
shell\open\command=RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\usbsecure.exe
shell\open\default=1

msnmsgr.exe в папке Windows и в автозапуске.
просится в сеть.
Nod32 вобще не реагирует.
Кто нибудь сталкивался с этим?

Ramz, 27.09.2008 - 8:43

Тоже с autorun.inf сталкиваюсь постоянно,... последний раз в его пользу
*.com файл еще какой-то появился, др.вебом замочил...
Теперь все тормозит со страшной силой.. долго открываются приложения и также долго закрываются (Опера, mplayer ...и др.)
Как вернуть систему к обычной нормальной жизни без переустановки пока не знаю

KLUCHICK, 27.09.2008 - 23:00

Рецепт традиционный. Загружай компьютер в безопасном режиме (по прижатой клавише F8) Перед этим действом скачай свеженькую утилиту CureIt от Dr.Web _ftp://ftp.drweb.com/...eit/launch.exe и сохрани её в корне диска C:

После загрузки в безопасном режиме запусти CureIt. Думаю, мноого интересного найдётся

Удачной охоты!

HugoBo-SS, 17.10.2008 - 19:55

В Adobe Flash Player обнаружен ряд уязвимостей к нарушению защиты.

1. Ошибка при применении правил междоменной политики, расположенных в файле, позволяет обойти некоторые ограничения защиты на веб-серверах, содержащих такие файлы.

2. Ошибка реализации ActionScript в классах Socket и XMLSocket позволяет несанкционированно определить состояние порта (открыт или закрыт) на удаленном компьютере.

3. Методы "FileReference.browse()" и "FileReference.download()" могут быть вызваны без уведомления и вмешательства пользователя. Это позволяет сформировать вызов, незаметно загружающий файлы с компьютера жертвы или на компьютер жертвы.
ЗАЩИТА

Версия 10.0.12.36 не подвержена уязвимостям. Патч для версий 9.x выйдет в начале ноября 2008 г.

Источник: Cnews Bugtrack


Плагины используются во всех виндовозных браузерах, так что обновляйтесь!

Eleonore, 9.01.2009 - 15:49

Вирус... бесплатный доктор вэб нашел Trojan.Downloader.26759
Если загрузится в безопасном режиме синий экран.
при восстановление системы или запуске каспера ошибки, адрес к программе неверный. Приложение касперского тоже такую же ошибку выдает. Если запускать ярлык каспера из программ файлс таже ошибка.

или


Как восстановить систему[B]?...Комп работает медленно. (((

Eleonore, 9.01.2009 - 16:35

или скажите как прописать путь к экзешнику восстановления системы...

kik55, 9.01.2009 - 17:53

загрузитесь с загрузочного диска ОС и выбирайте восстановление системы.

Termo, 9.01.2009 - 17:55

как на счет точки восстановления системы?

middleman, 15.01.2009 - 2:21

Привет, народ. Вот уж не думал, что когда-то окажусь в этой теме, но как говориться от сумы и от тюрьмы не зарекайся ))

Сейчас я расскажу историю своих сегодняшних наблюдений, а вы скажете кто что об этом думает. Сразу попрошу пропустить советы про переустановку системы, отправку фаила на анализ касперскому и другие простые пути решения )). Как решить проблему быстро я и так знаю, но этот конкретный вирус меня на столько заинтересовал, что мне стало интересно а было ли что-то подобное у кого-то еще и вдруг кто-то из наших спецов расокпал в чем тут дело.

так вот история...

Вводные данные:
Одноядерный (цел 1,8) ноут с гигом оперативки:
+ Windows XP SP3
+ последние заплатки
+ Авира антивир с последними обновами.
Фаервол - аппаратный на ADSL модеме + комодо на домашнем серваке, который раздает инет ноуту... не спрашивайте зачем. надо.)

Ноут до сегодня работал идеально не проявляя типичных симптоов заражения, что странно, но объяснимо.
История началась с того что мне пришло в голову переставить алкоголя. запустил штатное удаление, все снес, попросил перезагрузку. после загрузки системы контроль автозапуска возмутился новым пунктом в списке.
c:\program files\SATASERY\ellzuP_45_S2BOOK.exe
где на сколько я потом понял из скудной инфы в инете "ellzu" - случайные символы, а S2BOOK соответственно название моей машины.
так вот точно помня что ничего такого я туда не ставил лезу в эту папку и первым делом экзешник на анализ.
Результат: 12/39 (30.77%) не много, но ощутимо.

ладно. исследуем дальше и натыкаемся среди кучи *.tmp фаилов ощутимых размеров на несколько маленьких и интересных файликов. как то:
ellzuP_45_S2BOOK.exe.internet.log
со следующим содержанием:
думаю ни у кого не вызывает сомнения что сие есть лог моего HTTP соединения.

там-же ellzuP_45_S2BOOK.exe_LOG.log

это на сколько я понял лог работы самого бота заразившего уже промеждупрочим и сам антивирус (там были записи процессов антивируса, но сюда не попали).

После попытки снести из автозагрузки "первую ласточку" пошли валом проблемы.
во-первых постоянно в автозагрузку добавляется непонятный процесс с несуществующим названием фаила, а при попытке его удалить оттуда предлагается
"delete RyHDCpl from the registry"

кроме этого вирус начал проявлять себя создавая к каждому экзешнику на вставленой флешке кучу фаилов вида *.exe_tmp.exe, которые на зараженной машине удалить нереально (авторан не трогает, что странно).
При попытке удаления зараженных исполняемых фаилов получаем отказ в доступе и стопроцентную загрузку процессора процессом RunDll.

так вот собственно несколько вопросов...

Почему эта гадость не придерживается какой-то одной линии поведения?

Правильно ли я понял из второго лога что отправить ничего никуда у зверя не вышло?

Какую цель преследует система (хде деньги?)

Откуда сие добро теоритически могло у меня взяться за серым айпи и двумя фаерволами и как ОНО вообще распрастраняется?

Почему касперский, авира, вэб, нортон и нод (запущеные с Live CD и обновленные через инет) ничего подозрительного не видят? (кстати на вирустотале нод нечто определил. наверное у них другой нод).

Чего еще можно ждать от этого зверя если позволить ему зверствовать дальше?

Какие еще могут быть эффективные способы выявления заразы кроме описаных и борьбы с ней кроме радикальных?

SoulSurvivors, 15.01.2009 - 5:08

У меня проблема схожая с товарисчем у которого скрытый autorun.inf
Авторана вроде totalcommander не увидел. Однако если попробовать через ОС поставить показывать скрытые файлы и папки настройки сбрасываются. Собсно, нод вирус уже один рас спалил, да видать полностью не зачистил

middleman, 15.01.2009 - 10:07

SoulSurvivors, нет. авторана нет. стопудов. зараженная флешка проверялась из-под линукса с показом всех фаилов (мне кажется маловероятной на столько адская кросплатформенность вируса, что он умудрился скрываться под линуксом) только мусор вида *.TMP_EXE возле всех экзешников.
Зачем вирусне нужен этот мусор непонятно, а особенно учитывая, что троян в принципе скрытый. не пойму смысла так явно показывать свое присутствие.

Andrey_n, 15.01.2009 - 10:21

middleman, недавно лечил ноут с немного похожей бякой. Что за фрукт не понял, антивиры обходит только в путь. Загрузка только в нормальном режиме, все остальное BSOD. Посмотреть на BSOD возможности нет, т.е. система творит что хочет ..., подключил вторым винтом к своему ноуту, почистил AVZ и Др.веб с последними базами лицензион. , нашел кучу дряни, вычистил, поставил обратно - танцы с бубном продолжаются, реестр правил, ключи грохал. Как справился слоэно сказать, в прямом смысле расскачивал систему , реестр, cureit,avz...OSAM. Выяснил одну закономерность, поведение такое же как твоего, т.е. четкой линии поведения нет, файлы создает, ключи в реестре, AVZ его засекает в паранойном режиме сканирования. С помощью AVZ восстановил системные настройки. Когда система позволила поставить на себя антивирь, поставил ДРВеба 4,44 и уже изнутри начал его долбать. После такого длинного описания скажу одну очень характерную для него черту: все нормальные exe файлы при сканировании AVZ показываются как зараженные , точнее не то что зараженные а что они являются активными руткит компонентами, вычистить их нельзя, для того чтобы остановить вирус надо удалить все ехе с компа...что вообщем то нереал, но можно с помощью OSAM найти библиотеки котрые грузяться в момент загрузки и создают "зомбиков".
Сори, понимаю написано не понятно, но за все время работы с компами, были разные вири и руткиты в том числе, но такой изощренный первый раз ..

Stasya09, 21.02.2009 - 12:25

Всем доброго дня.
Пишу по такому поводу. У меня была проблема с инетом. При скачивании, выбивало комп. с полной перезагрузкой. Стоял каспер 7, он ни чего не показывал. Снесла каспера, поставила Dr. Web Skaner. Показал 2 трояна. Удалила. Выбивать перестало. Но симптомы заражения имеются. Ещё раз отсканировала комп. Показал 5 подозрительных, пишет возможно DLOADER, Trojan. И 3 модификации Win 95. Что это значит? Лечить их или удалять?

1509ert, 28.02.2009 - 23:38

Помогите решить проблему, уже две недели воюю с вирусом, сначала он давал жизни чудил что хочет . НОД и Авира в упор его не видели. Сейчас стоит Аваст и вот что выдаёт
"25.02.2009 13:40:52 DCOM Exploit attack
from 91.124.174.169:135
25.02.2009 13:55:03 DCOM Exploit attack
from 91.124.110.98:135
25.02.2009 16:30:00 DCOM Exploit attack
from 91.124.57.131:135
28.02.2009 22:12:58 DCOM Exploit attack
from 91.124.117.2:135
28.02.2009 22:18:45 DCOM Exploit attack
from 91.124.52.217:135
28.02.2009 22:24:12 DCOM Exploit attack
from 91.124.117.2:135
28.02.2009 22:24:19 DCOM Exploit attack
from 91.124.0.44:135
28.02.2009 22:25:15 DCOM Exploit attack
from 91.124.52.217:135
28.02.2009 22:26:38 DCOM Exploit attack
from 91.22.76.86:135
28.02.2009 22:28:38 DCOM Exploit attack
from 91.124.254.36:135"
Как от этого избавится, может кто знает? Сразу скажу система Виндовс ХР сборка "Зверь", антивирус "Аваст", чиста винта проводилась два раза вместе с переустановкой ПО.

ARKTURZero, 1.03.2009 - 7:26

Атаки на 135 порте DCOM RPC. Попробуй Windows Worms Doors Cleaner он закрывает все червячные порты. Их нужно в первую очередь закрывать в принципе.
https://softoroom.org/topic53259s10.html
И зачем эта тема на форуме существует?

Ramz, 6.06.2009 - 16:06

Оутпост выдает:

0:21:21 0.0.0.0 Обнаружена атака, узел не заблокирован WRONG_PACKET
и так днями и ночами
Чего это

Vtsapin, 6.06.2009 - 17:15

Рекомендую сканировать комп прогой Adware Se Professional.Надёжна в работе,все вирусы,трояны и прочие червеподобные найдёт и уничтожит))

middleman, 7.06.2009 - 12:56

0:21:21 0.0.0.0 Обнаружена атака, узел не заблокирован WRONG_PACKET

Вариант первый:
Четыре нуля это ты атакуешь сам себя. либо стоит какой-то глюкавый драйвер, который генерит неправильные пакеты сам себе, либо у тебя вирус, который опять-же генерит эти пакеты.

Вариант второй (более вероятный):
Из сетки или инета приходят тебе пакеты, в которых адрес отправителя подменен на четыре нуля. есть софт, который умеет такое делать.

Вот здесь обсуждается похожий вопрос:

Kalaw, 23.10.2009 - 10:35

каждое второе число месяца меняем это число в компе на 4-е и вирус Nyxem понимает что он снова "мимо кассы"

HeroBoitz, 13.11.2009 - 2:07

При загрузке Win XP Появляется стандартное зелёное поле рабочего стола, в правом нижнем углу говорит что ваша версия винды не лицензионная и просит отправить смс.

Солнышко, 13.11.2009 - 6:07

Вам сюда

volneb, 7.01.2010 - 23:41

RODISLAV, 27.01.2010 - 17:42

Прошу помочь. В ПК завёлся вирь. Не могу войти в безопасный режим.Сразу чёрный экран и зависание. Не работает запись на ДВД приводе. Тормозит всё. Проги-антивири не помогают. Только хуже.

eli2003, 28.01.2010 - 7:33

зачем "безопасный режим"?
на drweb скачай minDrWebLiveCD-5.0.0.iso, рисуй на диск и ..запускай свою машинку с этой пластины.
Далее запускаем DrWeb (значек на рабочем столе есть), указываем свой системный винт (а лучше все проверить), запускаем и ...ждем.
После сканирования предложат или удалить или попробовать полечить.
Удачи.

RODISLAV, 1.02.2010 - 14:12

Может и не взять! У меня по данным разведки WORM WIN32.HLLW.GAVIR.INI
Cure IT не может найти ничего. BITDEFENDER QICK SCAN тоже импотент.

Anthony, 1.02.2010 - 14:33

Это ж почтовый червь.
LiveCD загружайте и убирайте всё лишнее из автозагрузки правкой реестра. Там же убейте все autorun.inf и те файлы/папки что в этих самых autorun.inf числятся.
Убедитесь что нет в загрузке пользователя никаких исполяемых файлов рядом с userinit.exe

Далее AVZ - восстановление safe mode (и не только)

KLUCHICK, 1.02.2010 - 14:37

А бессмертное произведение от Олега Зайцева не рулит? Я бы начал именно с него.
эту архинаиполейзнейшую утилиту рекомендую всегда иметь под рукой на флэшечке. Времена уж нынче неспокойные стали

RODISLAV, 6.02.2010 - 18:17

AVZ ничего не находит. В реестр лезть боюсь - не спец.

KLUCHICK, 6.02.2010 - 18:35

Надеюсь, вы включили все опции при сканировании AVZ? Там есть славный скриптик - восстановление системы, точнее это 19 скриптов, там есть и разблокировка безопасного режима и восстановление polices администратора. Попробуйте его.

И. как вариант, воспользоваться Live CD от Доктора Веба. Славная такая штучка, всегда держу её в своей "аптечке".

Ramz, 7.02.2010 - 16:12

есть такая штука Wireshark
запустил

6587 370.974092 109.171.55.122 109.171.55.255 NBNS Name query NB VKONTAKTE.RU<00>

долбится постоянно

ну и еще много кого и куда отсылается , вроде все броузеры закрыты

Происходит сразу при включении подключения

что это??

Кот в Сапогах, 7.02.2010 - 16:20

Не понял сути опроса - уточнил.

Ramz, 7.02.2010 - 16:46

Вот и вопрос кому и почему отсылка идет и файр стоит и т.д. и т.п., а пакеты идут
а не то, что такое Wireshark

джер, 27.03.2010 - 22:17

И на старуху бывает... блин... я старый пердун... словил сегодня нового виря))) мошть не нового, но для меня новинка))
правая нижняя часть экрана занята баннером с надписью (интерпретация моя) вы посетили порно сайт и у вас теперь проблема... отправте смс и всё отключится
не знаю кто где из моей семьи лазил в нете... проверить не смог..комп тормозит конкретно, диспетчер задач заблокирован...
не смог даже на вирустотал зайти... отключается браузер...
помогла переустановка оси

пс. Shadow_Defender был отключен заранее, т.к. накануне обновлял Авиру и снова поставить защитный режим забыл. В рабочем режиме на момент поимки виря была Авира, The Cleaner, TrojanHunter(все с обновленными базами).

mish-kok, 27.03.2010 - 22:23

C такой проблемой на сайт касперского:
http://support.kasper...uses/deblocker

джер, 27.03.2010 - 22:33

согласен, знал, но повторяю тормоз конкретный у компа был..лиса открывается и сразу закрывается... IE также себя вёл.. кто, куда чего качает не проверишь... решение принял сразу о переустановке оси... благо всё нужное на запасном HD...

kostya-chist, 27.03.2010 - 23:49

Из-за такой ерунды систему сносить?
полчаса времени на удаление.

sudden, 28.03.2010 - 0:40

вот на будущее ссылка на страницу с полезной программкой

ua9zag, 28.03.2010 - 4:06

Вчера сосед словил виря, правая нижняя часть экрана занята баннером с надписью что то типа вы посетили порно сайт и у вас теперь проблема... отправьте смс. Сосед отправил смс, с него снялись все деньги и пишет недостаточно средств отправьте еще смс.
Картинка с анимацией голой женщины.В диспетчер задач зайти не дает.Через Тотал Соммандер плагин автозапуск программ увидел в загрузке непонятная запись проги.Я отрубил из загрузки перезагрузился и все заработало нормально.

Proffy66, 14.04.2010 - 10:53

После перезагрузки компа (WinXP SP3) на десктопе появилась вот такая картинка размером 785х545 (на мониторе разрешение 1280х800):


Оказывается, в реестре по пути:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

прописался параметр Shell со значением "C:\Documents and Settings\All Users\systems.exe". Удалил скрытый файл systems.exe (размер - 304кб) и проблема исчезла. Может кому-то пригодится эта информация.

Hell, 14.04.2010 - 14:45

а можно еще и сюда: _http://www.drweb.com/.../index/?lng=ru залезть и там поискать код разблокировки.

RODISLAV, 9.04.2011 - 7:47

Привет! Не знаю может кто сталкивался с такой проблемой. Не качает BITSPIRIT, DM, почти не пишет НЕРО и некоторые другие неудобства. Сделано - замена микросхемы Биос, замена активного Винта, обнуление MBR, EMBR всех Винтов ПК, удаление разделов Винтов с форматированием в NTFS. Ничего не меняется. Зараза похоже передается и через флэшки. Видимо поможет только замена мамки и винтов.

RODISLAV, 30.10.2011 - 15:25

проблема решена.

Nicolay_7, 12.02.2015 - 15:28

Доводим до вашего сведения ,что вы являетесь свидетелем по гражданскому делу №19547. В случае неявки по причинам ,признанным судом неуважительными,на вас будет наложен штраф в размере до одной тысячи рублей.При неявке на судебное заседание
без уважительных причин по вторичному вызову вы можете быть подвергнуты
принудительному приводу (ч. 2 ст. 168 ГПК Российской Федерации).Ваш емайл был зарегистрирован на Едином портале госуслуг для получения в электронном виде услуг и информационных сообщений.Это письмо создано автоматически, вы можете оставить свои комментарии и замечания на Едином портале госуслуг.
Подробности гражданского дела в архиве прикреплённого документа (со ссылкой на документ)

Шифрует все по формату и расшаренные папки тоже:
имя_файла[email protected]



С тех.поддержки DR.Web дали эту утилиту. Восстанавливает больше чем на 90% файликов. Комментарии смотреть в архиве.
У кого нет лицензии качаем отсюда .....