Компания Microsoft просит всех пользователей операционной системы Windows до 3 февраля в обязательном порядке провести проверку компьютера обновленным антивирусом, в противном случае им грозит новый и весьма деструктивный червь Nyxem. Вирус может удалить все файлы Word и Excel, а также заблокировать клавиатуру и мышь. Уже известно о 300 тысячах зараженных машин.
В пятницу вирус, названный Nyxem-E, активизируется на всех зараженных компьютерах, стерев с жесткого диска все файлы Word, PowerPoint и Excel, а также сами эти программы, входящие в комплект Microsoft Office. Под угрозой оказался также программный продукт Abode – Acrobat Reader.
Предполагается, что вирус осел на многих машинах, пользователи которых открывали пришедшее им по электронной почте сообщение с предложением посетить бесплатный порно-сайт. Компании, выпускающие антивирусы, заявили, что огромное количество копий червя уже выявлено на PC по всему миру.
Первые сигналы о появлении опасности поступили 16 января, и с тех пор жертв Nyxem становится все больше. Вирус известен также под названиями Blackmal, MyWife, Kama Sutra, Grew и CME-24. Заразив PC, вирус посылает информацию на специальный веб-сайт, где установлен счетчик всех инфицированных компьютеров. На прошлой неделе цифра на счетчике зашкалила за миллион, однако сотрудникам фирмы Lurhq, занимающейся компьютерной безопасностью, удалось выяснить, что примерно треть показателей – накрутки. Тем не менее доподлинно известно, что на данный момент Nyxem-E заразил уже около 300 тысяч машин.
Как и многие вирусы подобного типа, Nyxem пользуется тем, что неопытные пользователи открывают вложенные в письма файлы, которые, в свою очередь, содержат разрушительный код, мгновенно встраиваемый в различные файлы системы.
В строке «Subject» зараженного червем e-mail могут содержаться различные надписи, однако они преимущественно предлагают получателю просмотреть бесплатную порнографию. Примеры надписей: «Fw: Funny», «*Hot Movie*», «Re: Sex Video» и другие. Как сообщает BBC, сразу же после заражения вирус сканирует адресную книгу и автоматически рассылает себя по найденным e-mail. Кроме того, он распространяется по всем компьютерам в локальной сети жертвы.
Отличие Nyxem в том, что он, помимо того, что после заражения машины не уничтожается, а продолжает свое «победное шествие» по Сети, еще и заражает 11 типов файлов, наиболее часто используемых на PC, причем делает это каждое третье число месяца. Среди файлов, которым угрожает червь, такие распространенные типы, как, к примеру, doc, pdf, ppt, rar, zip и xls.
Червь настроен таким образом, что способен самостоятельно препятствовать работе антивирусов. Он блокирует обновление программных продуктов, а также в некоторых случаях может вызывать сбои в функционировании клавиатуры и мыши.
Всем пользователям Windows рекомендовано срочно обновить антивирусы и просканировать систему на предмет заражения Nyxem. Многие компании, выпускающие антивирусы, разработали специальные приложения, которые позволят более эффективно выявить и удалить «бомбу замедленного действия».
Джейсон Стир, технический консультант фирмы Ironport, специализирующейся на разработке защищающих от спама программ, подчеркивает, что Nyxem использует начавшую уже устаревать схему, когда вирус активизируется в определенное число месяца. «Если обратить внимание на похожие вирусы, ходившие по сети 10-15 лет назад, они были довольно деструктивны – форматировали жесткий диск, удаляли файлы и тому подобное», - говорит Джейсон Стир.
Пит Симпсон, сотрудник антивирусной лаборатории Clearswift, указывает на отсутствие какого-либо изящества в таком подходе. «Да, сам код вируса довольно сложен, для написания он требует большого объема практических знаний, но никакой мотив, кроме вандализма, не двигает создателями подобных червей», - говорит Пит.
Оба специалиста полагают, что наибольший удар 3 февраля придется на домашних пользователей Windows. IT-отделы большинства компаний регулярно обновляют антивирусные базы данных и отсекают нежелательную почту еще до того, как она попадет на компьютеры сотрудников.
Домашние пользователи, напротив, зачастую игнорируют обновления Windows и антивирусов, а также не проводят проверку системы на наличие вирусов, а о постоянном резервном копировании файлов на сменные носители речи не идет вообще.
Деловая газета «Взгляд»
Фан, 1.02.2006 - 14:58
3 февраля - Черная пятница Nyxem?
Очередной почтовый червячок собирается загрызть несколько сотен тысяч компьютеров 3 февраля и оставить нас на выходные без любимой игрушки. Почтовый червь Email-Worm.Win32.Nyxem.e (по классификации Лаборатории Касперского) отличается необычной агрессивностью и удаляет файлы на зараженных компьютерах каждое 3-е число месяца. Зловредная программа была впервые обнаружена в середине января, а в эту пятницу должно состояться дебютное выступление червяка на всех зараженных компьютерах. Нам с вами неплохо бы заранее подготовиться к этому мероприятию.
Email-Worm.Win32.Nyxem.e распространяется через Интернет в виде вложений в зараженные электронные письма, а также файлов, расположенных на открытых сетевых ресурсах. По данным специалистов, на данный момент количество зараженных компьютеров равно нескольким сотням тысяч. Их число продолжает расти, что заставляет говорить о серьезности масштаба распространения вредоносной программы.
Червь представляет собой исполняемый в среде Windows файл размером 95 Кб, приложенный к письму с заголовком из заготовленного автором списка, всего около 25 позиций. Среди самых характерных (регулярно наблюдал в рабочем почтовом ящике) заголовков – Image, Photo, My Photos, You must view this videoclip!. Активируется при запуске файла, прописывается в реестре, сканирует файловую систему и рассылает себя по всем найденным адресам электронной почты. Для отправления зараженных писем червь пытается установить прямое соединение с SMTP-сервером. Параллельно червь копирует себя в доступные с пораженного компьютера сетевые ресурсы под именем Winzip_TMP.exe
При этом программа прерывает процессы, осуществляющие персональную защиту компьютера, и предотвращает их повторный запуск, оставляя атакованный ПК незащищенным. Располагая полным контролем над зараженной машиной, «Nyxem.e» также способен самостоятельно загружать свои собственные обновления из Интернета.
Особую опасность представляет содержащаяся в «Nyxem.e» деструктивная функция. В соответствие с ней, червь регулярно сверяется с системной датой компьютера и в случае, если она соответствует третьему числу, через 30 минут после загрузки ПК уничтожает информацию в файлах наиболее распространенных форматов, замещая ее текстом DATA Error [47 0F 94 93 F4 F5]. Стертыми оказываются файлы форматов dmp, doc, mdb, mde, pdf, pps, ppt, psd, rar, xls, zip.
Обращение Евгения Касперского:
«Судя по присутствию червя в мировом Интернет-трафике и все возрастающему потоку жалоб от пользователей, заражению «Nyxem.e» подверглось значительное число компьютеров по всему миру, количество которых может оцениваться в сотни тысяч. Это означает только одно - 3 февраля может стать Судным днем для многих беспечных пользователей, которые могут потерять ценные данные в случае, если их компьютеры подверглись заражению «Nyxem.e». Поэтому я обращаюсь ко всем пользователям компьютеров с просьбой принять простые меры для предотвращения заражения данным червем: не запускать объекты, вложенные в любые письма, получение которых не ожидалось, обновить антивирусные базы установленной на ПК антивирусной защиты и затем провести полную проверку компьютера».
К мобильной связи данный вирус имеет весьма косвенное отношение (смартфоны не пострадают), но все мы являемся активными пользователями Интернета, так что предупреждение вполне уместно. В качестве радикальной меры можно посоветовать вообще не включать компьютер в пятницу или заранее переставить системное время, однако хороший антивирус все-таки надежнее. Ну и, конечно, блюсти личную гигиену и не запускать неизвестно от кого полученные программы. С подробным описанием червяка можно ознакомиться на сайте Лаборатории Касперского.
Фан, 3.02.2006 - 23:14
Компьютерный вирус отступил
Компьютерный вирус, нападения которого опасались интернет-пользователи по всему миру, атаковал всего несколько тысяч компьютеров. Последствия этой атаки оказались не столь разрушительны, как предсказывали специалисты по сетевой безопасности и изготовители антивирусных программ. Больше всего пострадала фондовая биржа Российской торговой системы (РТС). Накануне пришлось даже приостановить торги.
3 февраля – дата активизации нового вируса Nyxem-E, удаляющего из компьютеров файлы электронных таблиц, текстовых документов и другие. По словам специалистов, пока ущерб от вируса не очень большой, что может быть связано с неоднократными предупреждениями об опасности. По разным данным, предполагается, что в мире зловредным «червем» заражены от 300 до 500 тысяч компьютеров и число это может постоянно расти.
Первой заметной жертвой «червя», возможно, стала фондовая биржа Российской торговой системы (РТС). Накануне, 2 февраля, она вынуждена была приостановить торги из-за того, что один из компьютеров биржи вдруг начал генерировать так называемый паразитный трафик в очень больших объемах. Это привело к перегрузке сетевого оборудования. Для того чтобы обезвредить вирус и привести систему в порядок, специалистам понадобилось более часа.
По словам вице-президента РТС Дмитрия Шацкого, вирус проник в систему через Интернет. По последним данным, компьютерный вирус поразил в пятницу около 80 тысяч компьютерных систем в Индии. Оценивая вирус как «не слишком опасный», индийские программисты сетуют на то, что название древнего и почитаемого в Индии трактата о любви используется в негативном контексте и в сочетании со словом «вирус».
«Червь», который также называют Kama Sutra, Grew, BlackMail, MyWife и CME-4, распространяется через электронную почту. Он представляет собой файл размером всего 95 Кбайт, исполняемый в среде Windows. Сложность заключается в том, что заголовок письма и наименование файла могут варьироваться в 20-25 вариантах, поэтому своевременно обнаружить и обезвредить его очень трудно.
Впервые вирус проявил себя 16 января. Интернет-ресурс, с которого он распространялся, вел подсчет зараженных машин, и число их достигло 300 тысяч. Однако вероятнее всего, что «червь» распространился и на другие компьютеры. Больше всего экземпляров вируса, по данных фирмы Lurhq, специализирующейся на компьютерной безопасности, ушло на компьютеры в Перу, Турции и Индии.
«Червь» создан так, что свои атаки он производит третьего числа каждого месяца. И как раз 3 февраля – первая такая дата. В отличие от всех других вирусов, размножающихся в системе Windows, Nyxem-E сконструирован так, что его потенциальными жертвами должны стать прежде всего офисные компьютерные системы, потому что многие файлы, которые он удаляет, чаще используются в офисах, нежели дома. Это электронные таблицы Excel, текстовые документы Word, файлы презентаций Power Point и другие.
В то же время системы безопасности у корпоративных пользователей защищают компьютеры фирм надежнее, чем домашние, потому от атак Nyxem-E больше могут пострадать именно индивидуальные владельцы «персоналок», передает ВВС.
«3 февраля может стать «судным днем» для тысяч беспечных пользователей персональных компьютеров», – заявлял накануне Евгений Касперский, владелец крупнейшей российской лаборатории антивирусных программ. «Локальная сеть, состоящая из сотен компьютеров, к которым имеется доступ с одного зараженного компьютера, также пострадает. Достаточно одного (зараженного) компьютера в сети – и все остальные потеряют свои данные», – добавляет ведущий вирусный аналитик компании «Лаборатория Касперского» Александр Гостев.
Однако некоторые российские СМИ подозревают производителей антивирусов в искусственном нагнетании страстей – для увеличения объема продаж собственного продукта.
Irgik802, 5.04.2006 - 19:17
не буду в даваться в сантименты...сразу к делу. ситуация такая: локальная сеть, на основном серваке Юзер Гет, открываю вложение в письмо (ожидаемое письмо) и тут вдруг почтовый червь....у меня антивирусник сработал...у "остальных" нет...мне интересно, чем это может "грозить" остальным юзерам и основному серверу...? З.Ы. умоляю, ответы писать, с учётом моей расшатоной нервной системы =)
HellLion, 4.05.2006 - 19:30
Как поставить запрет на всплывающие окна в IE 6.0 Грузятся сами по себе странички причем очень много!!! В процессы прописался непонятный процесс COMMAND,хотя еги из System32 удалил он все равно грузится. Может кто-то сталкивался и может помочь. Дело в том что это на работе а на этот комп антивирус поставить нереально, комп умрет . Заранее благодарен!!!
ZaHack, 4.05.2006 - 19:39
В IE:Сервис - Свойства - Конфиденциальность - Поставь галочку блокировать всплывающие окна. И не пользуйся дырявым Олсом, поставь Мозиллу
Asmodey, 4.05.2006 - 21:29
QUOTE(ZaHack @ 4.05.2006 - 20:39)
В IE:Сервис - Свойства - Конфиденциальность - Поставь галочку блокировать всплывающие окна. И не пользуйся дырявым Олсом, поставь Мозиллу
а ещё лучше Operу
Hell, 5.05.2006 - 0:30
Способ старый, но действенный: Попробуй проверить комп загрузочными дискетами KAV'a. Говорят помогает
PTyTb, 5.05.2006 - 0:52
QUOTE(ZaHack @ 4.05.2006 - 20:39)
И не пользуйся дырявым Олсом, поставь Мозиллу
QUOTE(Asmodey @ 4.05.2006 - 22:29)
а ещё лучше Operу
Может у него прав доступа нету проги устанавливать... Он же пишет - "на работе"!
LMs, 5.05.2006 - 21:15
Проверял машину на вирусы прогой XoftSpy Так вот нашел он троян w32tm.exe, haxdoor! Неполучается его удалить,я удаляю а трой через минуту появляется опять, кто нить с этим сталкивался и как бороться с напастью?
Удали все лишние процессы диспетчером. И эта прелесть наверняка сидит в нескольких папках, в т.ч и в системных.У меня на днях был подобный случай: трояна словил с диска идущего в комплекте к одному известному комп. журналу. Тоже гад разползся по всей системе. Я его в Kaspersky Lab заслал. Через два часа пришло письмо "...Здравствуйте, файл explore.exe задетектирован под именем Trojan-Clicker.Win32.VB.ke Детектирование будет добавлено в следующее обновление. ...". Обновил базы, и Касперский все вылечил в миг. Касперским их давить надо!
dama_tref, 18.05.2006 - 20:12
Добрый день. Сразу хочу предупредить, я в компьютерах практически не разбираюсь, но другой возможности общаться с внешним миром почти нет. С недавнего времени почти перестала работать правая кнопка мышки. Прочитав ваши статьи о новом вирусе подумалось, может и я оказалась в числе тех счастливчиков. Прочистила комп дисками, но кнопка всё равно работает очень плохо. Кроме того всё время открываются messages о критических регистрационных ошибках. Я заходила на указанные сайты, который должны были бы помочь, но там только скенуют и потом, жутко напугав диким кол-вом этих самых критических ошибок, предлагают накупить за бешенные деньги кучу дисков с программами. Я не знаю, действительно ли дело так плохо или они таким образом просто распространяют свою продукцию. Не подскажите, как мне избавиться от этой напасти?
de1ay, 18.05.2006 - 20:31
Много написано, но мало сказано...
QUOTE
Прочистила комп дисками
Какими дисками ты комп чистила? Шлифовальными что-ли?
QUOTE
Кроме того всё время открываются messages о критических регистрационных ошибках.
Это всё бред - скорее всего адвэйр
QUOTE
Я заходила на указанные сайты, который должны были бы помочь, но там только скенуют и потом, жутко напугав диким кол-вом этих самых критических ошибок, предлагают накупить за бешенные деньги кучу дисков с программами
Ну а тут ты вообще лопухнулась.. Зачем лезть на неизвестно какие сайты... Может вместо сканирования на PC грузят очередного шпиона.
QUOTE
С недавнего времени почти перестала работать правая кнопка мышки.
Не пробовала поставить другого грызуна и протестить? Может он просто отработал своё...
Поставь себе прогу из этого поста, обнови базы и проведи полное сканирование системы (там есть и другие варианты). Когда она найдёт всякий бред на твоей машинке - удаляй это всё к чёртикам...
Думаю, выразился понятно )
dama_tref, 18.05.2006 - 21:04
Ой, мама дорогая! Ну, зачем же так ругаться? Я же сразу предупредила, что полный чайник. Диски, которыми я чищу комп, куплены вместе с компьютером в магазине : "Compaq Restor Plus!" "Compaq Operating System CD" "Restor Supplemental Software"
Я попробую сделать то, что ты написал... А как обновить базы?
dama_tref, 18.05.2006 - 21:24
Да, я забыла спросить. У меня стоит AOL Sefty and Security Centre -- они когда-то сотрудничали с McFfee, возможно это из той же серии. Эта новая программа не начнёт блокировать AOL, а то у меня уже так было с NORTON. Я тогда по-незнанию поставила обе программы, в итоге не могла выйти на инет.
de1ay, 18.05.2006 - 23:02
Нет, проблем быть не должно, а базы он сам предложит обновить
QUOTE
Ой, мама дорогая! Ну, зачем же так ругаться?
Видно ты не видела, как я ругаюсь
dama_tref, 18.05.2006 - 23:41
Спасибо огромное! Мама моя родная, столько старых знакомых мне сейчас показали -- 40шт! И это при том, что только вчера чистила комп. Круто они меня...
А на счёт ругани, за 14 лет в механических цехах я думаю у меня уже давно выработался стойкий иммунитет . Так что я этого не сильно боюсь. Спасибо ещё раз!
Сделано в СССР, 1.08.2006 - 11:18
Не знаю, по адресу ли но не вижу куда еще написать. Поймал червя, Brontok.A(есть другие названия) он периодически загружает страницу с текстом, перезагружает комп в некоторых случаях и закрыл мне доступ к реестру что самое обидное. При попытке выполнить regedit пишет что операция запрещена мною самим типа и сразу перегружается. Забавно, комп упорно перезагружается и при попытке открыть этот адрес - http://forum.ixbt.com/topic.cgi?id=4:81492 как будто червяк не хочет чтобы я прочитал как от него избавиться Я так и не успеваю - только загрузится страница и сразу ресетится комп. Бесит, тварь. Так как к реестру доступ вернуть, братцы?
сахалинец, 1.08.2006 - 16:03
попробуй поставить Reg Organizer его в нете нетрудно найти. лучше версии 2.5 там простая регистрация без кряка. Может он в реестр проломится, в принципе наплохая прога, удобная и полезная
Andrey_n, 1.08.2006 - 19:46
Сделано в СССР, напиши какая у тебя винда. Можешь ли ты загрузится в отладочные режимы (безопасный, режим отладки) и оттуда получить доступ к реестру. Если есть возможность проверь файл win.ini,system.ini. Умеешь ли ты работать с реестром ручками? Добавлено: Сделано в СССР. Кое что нашел по твоему "другу".У Каспера на сайте, в его энциклопедии лежит следующее:
При инсталляции червь копирует себя в следующие каталоги со следующими именами: %Documents and Settings%\User\Local Settings\Application Data\csrss.exe %Documents and Settings%\User\Local Settings\Application Data\inetinfo.exe %Documents and Settings%\User\Local Settings\Application Data\lsass.exe %Documents and Settings%\User\Local Settings\Application Data\services.exe %Documents and Settings%\User\Local Settings\Application Data\smss.exe %Documents and Settings%\User\Local Settings\Application Data\winlogon.exe %Documents and Settings%\User\Start Menu\Programs\Startup\Empty.pif %Documents and Settings%\User\Templates\WowTumpeh.com %System%\<Имя пользователя>'s Setting.scr %Windir%\eksplorasi.pif %Windir%\ShellNew\bronstab.exe После чего червь регистрирует себя в ключе автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Bron-Spizaetus"="%Windir%\ShellNew\bronstab.exe" [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Tok-Cirrhatus"="%Documents and Settings%\User\Local Settings\Application Data\smss.exe"
При каждой следующей загрузке Windows автоматически запустит файл червя.
Также червь изменяет следующие записи в системном реестре, чтобы заблокировать работу некоторых приложений и опций Windows (Системный Реестр, свойства папок):
%Documents and Settings%\User\Local Settings\Application Data\Bron.tok-XX XX – 2 случайные цифры.
Прочее Червь перегружает зараженную систему в том случае, если обнаруживает открытое окно со следующими строками в заголовке:
.exe Registry
Добавлено: А теперь подскажу как можно добраться до реестра:
...Также червь изменяет следующие записи в системном реестре, чтобы заблокировать работу некоторых приложений и опций Windows (Системный Реестр, свойства папок):
Не знаешь как пиши подскажу! Только обязательно укажи версию винды.
Сделано в СССР, 1.08.2006 - 20:26
Превед, спасибо за помощь! Это все я уже читал конечно же. С реестром работать не умею, не понимаю значений записей там, но пару раз успешно пользовался подобными подсказками для ламаков, тогда чистил от чего-то другого... Винда ХР про.
QUOTE
Если есть возможность проверь файл win.ini,system.ini.
Как проверить их?
QUOTE
При инсталляции червь копирует себя в следующие каталоги со следующими именами: %Documents and Settings%\User\Local Settings\Application Data\csrss.exe %Documents and Settings%\User\Local Settings\Application Data\inetinfo.exe %Documents and Settings%\User\Local Settings\Application Data\lsass.exe............ ..................
Тоже не совсем понятно - и что дальше?
QUOTE
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Bron-Spizaetus"="%Windir%\ShellNew\bronstab.exe" [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Tok-Cirrhatus"="%Documents and Settings%\User\Local Settings\Application Data\smss.exe"
Здесь я пробовал менять значения или вообще удалять полностью запись из реестра(доступ к нему удалось получить при помощи сахалинской проги Reg Organizer , но тщетно - восстанавливает обратно сволочь. Может что-то упустил, сейчас еще раз попробую. Кстати формат С в данном случае решит проблему в крайнем случае?
Andrey_n, 1.08.2006 - 20:47
Смотри в реестре все ключи типа RUN,RUNOnce.
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Bron-Spizaetus"="%Windir%\ShellNew\bronstab.exe" [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Tok-Cirrhatus"="%Documents and Settings%\User\Local Settings\Application Data\smss.exe"
Удаляй все ссылки в реестре на эти файлы.Особенно в RUN,RUNONCE:
%Documents and Settings%\User\Local Settings\Application Data\csrss.exe %Documents and Settings%\User\Local Settings\Application Data\inetinfo.exe %Documents and Settings%\User\Local Settings\Application Data\lsass.exe %Documents and Settings%\User\Local Settings\Application Data\services.exe %Documents and Settings%\User\Local Settings\Application Data\smss.exe %Documents and Settings%\User\Local Settings\Application Data\winlogon.exe %Documents and Settings%\User\Start Menu\Programs\Startup\Empty.pif %Documents and Settings%\User\Templates\WowTumpeh.com %System%\<Имя пользователя>'s Setting.scr %Windir%\eksplorasi.pif %Windir%\ShellNew\bronstab.exe
Только затем удаляй эти файлы!
Почитай внимательно, все ключи и все файлы которые задействованы перечислены. Постарайся найти откуда к тебе этот вирус пришел, процентов 85 что по почте. Удали! Если что пропустишь он воссоздаст себя заново, такая это ЗАРАЗА! Так что убивай до конца, и не перезагружайся, пока не будешь уверен что все. И еще помни про строку ... Прочее Червь перегружает зараженную систему в том случае, если обнаруживает открытое окно со следующими строками в заголовке: .exe Registry Так что не провоцируй перезагрузки. Успехов! Извини если немного запутано объяснил.
Удаляй все ссылки в реестре на эти файлы.Особенно в RUN,RUNONCE:
%Documents and Settings%\User\Local Settings\Application Data\csrss.exe %Documents and Settings%\User\Local Settings\Application Data\inetinfo.exe %Documents and Settings%\User\Local Settings\Application Data\lsass.exe %Documents and Settings%\User\Local Settings\Application Data\services.exe %Documents and Settings%\User\Local Settings\Application Data\smss.exe %Documents and Settings%\User\Local Settings\Application Data\winlogon.exe %Documents and Settings%\User\Start Menu\Programs\Startup\Empty.pif %Documents and Settings%\User\Templates\WowTumpeh.com %System%\<Имя пользователя>'s Setting.scr %Windir%\eksplorasi.pif %Windir%\ShellNew\bronstab.exe
Только затем удаляй эти файлы!
Если что пропустишь он воссоздаст себя заново, такая это ЗАРАЗА! Так что убивай до конца, и не перезагружайся, пока не будешь уверен что все.
В общем к реестру доступ только через прогу, так, через regedit не дает. Прога не дает изменить некоторые записи в реестре, например восстановить прямой доступ к реестру через regedit, меняешь 1 на 0 но сохранить не удается. Где-то еще что-то лежит, что восстанавливает . Что делать не знаю...
Вам необходимо отключить службу востановления системы (кнопка ПУСК/Настройка/Панель управления/Администрирование/Службы/востановления системы- стоп!), а потом просканировать комп. Настройки антивируса должны быть жесткими.После чего червяк помрет,а так же рекомендуется поставить файрвол или использовать встроенный в Window Добавлено: еще один совет
через поиск киляй экзешники, потом в безопасном режиме запусти msconfig поудаляй оттуда все левые галочки, ну а потом спайбот, после него касперский. Но мне кажется помог только НОД 32, касперский что то мозги делал, но вири не удалял.
Попробовал эту штуку - пишет что мол у тебя нечего чистить-то чувак! У меня версия червяка называется Brontok.A а там пишут что лечат версию N. Вчера после многочисленных мытарств, перестала самопроизвольно загружаться сраная страничка, но... K regedit по-прежнему нет доступа - сразу же перегружается, после ругательств. К тому же в папке Local settings/Application Data лежат его файлы с иконками папок, которые через секунду после удаления появляются снова. Видимо удалось удалить компоненты червя, но не полностью - наверно он медленно развивается, поэтому пока нет странички. Становится интересно, азарт даже какой-то, хотя злит ужасно.
CODE
в безопасном режиме запусти msconfig поудаляй оттуда все левые галочки, ну а потом спайбот, после него касперский. Но мне кажется помог только НОД 32, касперский что то мозги делал, но вири не удалял.
С твоих слов я понял что у тебя был такой-же червяк - нет?
Andrey_n, 2.08.2006 - 14:51
Сделано в СССР, есть предложение! Напиши в обычном ворде или блокноте или Far простой текстовый файл, и сохрание его с расширением reg. Перепиши в точности как ниже, после REGEDIT4 пустая строка. Удачи. REGEDIT4
ЗЫ... Возможно червяк уже готов, но его дерьмо в реестре не дает дочистить комп. Может проблема осталась лишь в возвращении доступа к реестру - если я туда попаду, то смогу спокойно добить гада... Какие мысли? Как получить доступ туда опять? Или не то? Добавлено:
QUOTE(Andrey_n @ 2.08.2006 - 14:51)
Напиши в обычном ворде или блокноте или Far простой текстовый файл, и сохрание его с расширением reg.
А что мне с ним потом делать, куда сохранить-то?
сахалинец, 3.08.2006 - 3:47
Слава богу червяка у меня не было, но меня заинтересовала твоя проблема и я вчера обшарил кучу сайтов и поисковиков и все что стоит внимания тебе выдал. Ты пиши что получилось. А я еще попробую что нибудь нарыть. Попробуй еще AD Aware может теперь найдет какой нибудь ключ реестра, ты его через прогу и бахнешь. У меня вчера была такая фига выловил какую то лабудистику - после выхода из инет модем сам пытался включится, но не вирус, запустил AD Aware. нашел ключи реестра и спомощью проги Reg Organizer жахнул ключи и снес все сслыки на них. Теперь все ОК.
Сделано в СССР, 3.08.2006 - 6:03
QUOTE(сахалинец @ 3.08.2006 - 3:47)
меня заинтересовала твоя проблема и я вчера обшарил кучу сайтов и поисковиков и все что стоит внимания тебе выдал. Ты пиши что получилось. А я еще попробую что нибудь нарыть.
Хех, ну я тож перерыл инет и русский и английский, и в общем все это уже видел. Проблема в том что я очевидно неграмлтно использую что-то. я штук 5 прог, включая твою прогнал. Перестала выскакивать html-страничка. Это уже хорошо. Но выполнить regedit упорно не дает. Такое впечатление, что червяк если и убит, то успел в реестре изменить записи которые меня не воспринимают как администратора. Где-то какой-то ключ еще не переделал я. Да, вот еще - обнаружил что фаер(Нортон 2004) после какой-то перезагрузки стал включаться с отключенной установкой безопасности и вообще в нем все функции выключены - проверка вторжения, блокировка рекламы - все в общем отключено. И тоже не дает включить, пишет что у меня мало прав для этого... Из папки Local settings/Application Data вдруг почему-то исчез весь мусор от червя, хотя до этого я не мог удалить некоторые из файлов... Вообще не понимаю как это? Но нету... Короче надо как-то получить права, а как я не понимаю...
Сделано в СССР, 3.08.2006 - 6:14
Кстати все изменения произошли после использования AVZ которую Гражданин посоветовал. Эта штука нашла у меня 21 вредоносную программу, тогда как Ad Aware находил только 7, и остальные тоже 6-8... Ну вот такая фигня в общем...
Andrey_n, 3.08.2006 - 19:45
Сделано в СССР, ты сохрани просто файл на диске.У тебя будет к примеру файл primer.reg. Кликай на него мышой или Ентером, он скажет внести информацию из файла в рееестр, или что то в этом духе, скажи Yes! И все, должно сработать. Если все прокатит получишь доступ к реестру, только не перезагружайся, и напиши что получилось. Если все сработает, я тебе напишу файл, и выложу здесь, как остальную гадость из реестра убрать (от этого вируса). Удачи!
Сделано в СССР, 3.08.2006 - 21:44
Ну че Андрюх, сделал я как ты сказал. Как только кликнул по нему комп тут же сказал мне что администратор мне не разрешает доступ и сразу перегрузился.
Andrey_n, 3.08.2006 - 22:09
Попробуй загрузится в Безопасном режиме и запустить reg-файл там. Может получится.
Добавлено: Второй вариант попробуй загрузится в Безопасном режиме, и выбери учетную запись Администратор. Попробуй тоже самое при обычной загрузке.
Andrey_n, 3.08.2006 - 22:25
Попробуй перед запуском reg-файла, при загрузке в обычном режиме, запустить вот эту прогу: http://classpath.naro...er141beta3.zip с помощью нее найди процессы: bronstab.exe smss.exe и удали или убей их. Затем попробуй запуск reg-файла.
Сделано в СССР, 3.08.2006 - 22:31
Все равно не разрешает. Правда не перегружается при этом. Учетной записи Администратор у меня нет, Я сам администратор. Попробовал создать пользователя с правами админа и там попробовать - та же картина, не разрешает, но не ресетится...
Сделано в СССР, 3.08.2006 - 22:55
Процесс bronstab.exe у меня не значится. smss убил, запустил файл - перезагрузка... Процессов до хренищща - winlogon.exe 4 штуки аж, svhost - 6 и много подозрительных. Я правда не разбираюсь в этом почти, поэтому не знаю какой из процессов рабочий а какой шпионский.
Hell, 3.08.2006 - 23:51
winlogon.exe - должен быть 1-ин процесс (остальные убей) svhost - 5-ть штук (оставшийся скорее всего убить не получиться) bronstab.exe - не знаю, первый раз читаю.
По поводу прав админа: Не знаю знаешь ты или нет, но в компе есть 2 типа админских прав: - админ по рождению (встроенная учётная запись) - админ приобретённый (ты сам назначаешь учётную запись с админскими правами).
У встроенной учётной записи прав чуть-чуть побольше. Присвой встроенной учётной записи имя учётной записи, под которой ты входишь в систему и сделай ещё раз всё то, что тебе писал Andrey_n. Не знаешь - отпиши.
Сделано в СССР, 4.08.2006 - 0:05
У меня значит встроенный админ, только у него имя а не слово "администратор". При включении комп логается сразу под админом без запросов и пароля. Хотя в папке Documents and Settings есть папка под названием Administrator и с моим именем.
Hell, 4.08.2006 - 0:33
Понятно... Скажи? А такой вопрос - тебе просто интересно с этим вирусом разобраться или там какая важная информация? Если инфа важная скинь на флешку или запиши на болвань. И "формат С"... Да! кстати! у тебя FAT или NTFS? В любом случае грузишься с загрузочной дискеты и ручками удаляешь те файлы, о которых тебе писали выше. А если интересно разобраться, то... - "формат С"
Сделано в СССР, 4.08.2006 - 1:12
Информации никакой важной или ценной нет. Формат С всегда можно но слишком уж примитивно, интересно победить так. К тому же это не всегда спасает. Насколько я понимаю в ХР FAT не бывает. NTFS конечно.
Andrey_n, 4.08.2006 - 7:26
Бывает в XP и FAT32. Кое-что поясню: bronstab.exe это та зараза,которая прописывается в реестр, в автозапуск.
При инсталляции червь копирует себя в следующие каталоги со следующими именами: %Documents and Settings%\User\Local Settings\Application Data\csrss.exe %Documents and Settings%\User\Local Settings\Application Data\inetinfo.exe %Documents and Settings%\User\Local Settings\Application Data\lsass.exe %Documents and Settings%\User\Local Settings\Application Data\services.exe %Documents and Settings%\User\Local Settings\Application Data\smss.exe %Documents and Settings%\User\Local Settings\Application Data\winlogon.exe %Documents and Settings%\User\Start Menu\Programs\Startup\Empty.pif %Documents and Settings%\User\Templates\WowTumpeh.com %System%\<Имя пользователя>'s Setting.scr %Windir%\eksplorasi.pif %Windir%\ShellNew\bronstab.exe После чего червь регистрирует себя в ключе автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Bron-Spizaetus"="%Windir%\ShellNew\bronstab.exe" [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Tok-Cirrhatus"="%Documents and Settings%\User\Local Settings\Application Data\smss.exe"
Найди все перечисленные файлы , как процессы и попробуй убить их. Ничего страшного не произойдет, в край перегрузишься. Затем тот файл, который ты создал с расширением .reg, попробуй запустить, если не получится выложи сюда то что ты написал в этот файл.Успехов!
Сделано в СССР, 8.08.2006 - 1:33
Короче ничего не лечит. Комп упорно не чистится и сразу перегружается при обращении к реестру. Файлы не удаляются. Туплю видимо но у меня нет определенных прав, которых я сам себя и лишил по словам моего компа... Единственное чего удалось добиться - это перестала появляться мерзкая страничка. Неужели форматировать?
ЗЫ ... в reg-файл я то и прописал что ты советовал...
Hell, 8.08.2006 - 3:13
Попробуй ещё зайти с загрузочной дискеты для NTFS - и ручками...
А вообще ещё один метод борьбы. Поспрошай у друзей-линуксоидов или пусть помогут сделать загрузочные дискетки с антивирем. Не знаю как сейчас, а у ранних версий Каспера такая функция была... Может и поможет...
Сделано в СССР, 11.08.2006 - 0:32
В общем не смог победить до конца. Пришлось форматить. Срамота... Ламак он и в Аргентине ламак.
Misu, 13.09.2006 - 17:53
Такая проблема- пару дней назад сидела за компам с включенным фотошопом и винампом. Вдруг комп просто перестал реагировать на команды, а затем выскачила табличка, сообщающающая о близком лимите виртуальной памяти (до того момента с таким термином вообще не была знакома). А вот уже третий день не могу запустить проверку компа (который теперь тормозит по-черному) на вирусы- окно программы (symantec antivirus) самовольно закрывается, и когда пыталась в нете скачать касперского так же сразу закрывается окно скачиванья и ничего не сохраняется. При чем такая нездоровая реакция исключительно на антивирусные программы. Не знаю связано ли это между собой, видима это какой то вирус, но я его даже удалиь не могу. Если тут можно что нибудь исправить в домашних условиях, помогите пожалуйста.
The Godfather, 13.09.2006 - 18:29
Misu Попробуй посмотреть в Диспетчере задач (Это по Ctrl-Alt-Delete ) какой процесс использует больше всего пямяти и имеет подозрительное имя и попробуй его завершить. И возьми антивирус у друзей или скачай с этого форума. Если не будет ставиться, то у тебя 100% вирус.
Фан, 13.09.2006 - 18:30
нажми ctrl+alt+del)) Посмотри "лишние" процессы.. И напиши здесь, что у тя вызывает сомнение
Misu, 13.09.2006 - 18:41
эээ...если смотреть в приложения- то там все как надо, их там всего 3, а если смотреть процессы, то их там 55 и больше половины названий я в первый раз вижу (а что такое выделение памяти? 407 Мб- это что то нормальное или нет?). А еще я что то вычита про непонятный мне термин firewall, но когда попыталась найти в поисковике, окно с результатами сразу закрылось
konf, 13.09.2006 - 19:26
а ход конем типа "восстановление до предыдущей контрольной точки" не катит? (Пуск--Все программы--Служебные--Восстановление системы) а дальше-искать вирусы и ad-aware...
Misu, 14.09.2006 - 6:37
Можно попробывать, ток объясните что это за контрольные точки, как в них искать вирусы и что происходит при востановлении системы
elfasszz, 18.09.2006 - 19:14
В комп подруги залезла эта тварь: not-a-virus:AdWare.Win32.NewDotNet, и заразила вот этот файлик: C:/Progam Files/NewDotNet/newdonet 7_22.dll C помощью каспера удалив ее пропал Интернет. Выкиньте мне этот файл или дайте ссылку на его. Или предложите другие решения этой проблемы…
de1ay, 18.09.2006 - 19:18
Во-первых: переехали. Во-вторых: шли куда подальше ето newdotnot... В-третьих: у тебя пропал коннект или в ie проблемы с отображением страниц?
Misha90, 18.09.2006 - 19:49
Помогите! Скачал генератор ключей, проверил каспером, он показал что всё чисто. запускаю программу и тут началось..... Пишет что надо выслать коды для веб мани на такой то e-mail, с рабочего стола всё пропало, в пуске почти чисто, окно если откроешь, то не закроешь и самое интересное: вместо часов слово "БЛ??Ь"
de1ay, 18.09.2006 - 20:28
Из процессов удали.. Из автозагрузки удали... Хм.. из реестра врядли удалить возможно... А ещё легче: переустанови систему
Misha90, 18.09.2006 - 21:07
Насчёт процессов: отсутствует диспетчер задач, пишет что доступ запрещён системным администратором. Из автозагрузки чё только не удалял(через Эверест и msconig)
elfasszz, 18.09.2006 - 21:43
QUOTE(iLLuZionist @ 18.09.2006 - 20:18)
Во-первых: переехали. Во-вторых: шли куда подальше ето newdotnot... В-третьих: у тебя пропал коннект или в ie проблемы с отображением страниц?
пропал коннект...
de1ay, 18.09.2006 - 21:49
Misha90, переставляй систему.
elfasszz, если при удалении он зацепил с собой один из сетвых сервисов, то восстанавливай систему.. или проверь настройки подключения, легче так-же переустановить
elfasszz, 18.09.2006 - 22:27
QUOTE
elfasszz, если при удалении он зацепил с собой один из сетвых сервисов, то восстанавливай систему.. или проверь настройки подключения, легче так-же переустановить
Восстановлять систему не получается… пробовал уже… можно по подробней о переустановки , я слаб в этом деле
de1ay, 18.09.2006 - 22:33
QUOTE
можно по подробней о переустановки , я слаб в этом деле
Помогите! Скачал генератор ключей, проверил каспером, он показал что всё чисто. запускаю программу и тут началось..... Пишет что надо выслать коды для веб мани на такой то e-mail, с рабочего стола всё пропало, в пуске почти чисто, окно если откроешь, то не закроешь и самое интересное: вместо часов слово "БЛ??Ь"
кейген в лабораторию касперского отправь, пусть добавят в базу
ЭЖД, 21.09.2006 - 8:32
QUOTE(Misha90 @ 18.09.2006 - 19:49)
Помогите! Скачал генератор ключей, проверил каспером, он показал что всё чисто. запускаю программу и тут началось..... Пишет что надо выслать коды для веб мани на такой то e-mail, с рабочего стола всё пропало, в пуске почти чисто, окно если откроешь, то не закроешь и самое интересное: вместо часов слово "БЛ??Ь"
у тебя рассширенные базы стоят? а фаервол есть? с часами вообще класс...
betepon, 3.10.2006 - 9:58
Приши мне сегодня два письма письмо № 1 - (привожу перевод) Наш сайт получил с вашего почтового адреса письмо с вирусом. Для устранения проблеммы установите Update, приложеный в письме.
К письму приложен файл Update-KB9078-x86.zip
Письмо № 2 (привожу перевод) Это письмо выслано в 7-ми битной кодировке ASCII. Поскольку оно может неправильно отобразиться - файл переведен в бинарный.
К письму приложен файл data.elm.exe
Проверка на вирусы вируса не выявила. Однако настораживает то, что на этот сайт никогда письма не отправлялись, и даже более того. Эти письма пришли на мертвый почтовый ящик, который принимает почту, но никогда и никому ничего не отправляет.
Может это не вирусы, но выглядит это очень и очень подозрительно. Прошу подсказки 1. Что делать? 2. Если вирус - почему молчит обновленный антивирус (Nod32)?
Volk, 3.10.2006 - 12:57
Ничего не делать! Просто удалить и письма и файл! И забыть! Неужели не ясно, что нельзя открывать прикреплённые файлы? Тем более ЕХЕ! А антивирусов идеальных не бывает! Я взял для себя за правило -удаляю без сожаления! По крайней мере здоровье компа дороже, чем какой то файл! Удачи!
RHBZ, 9.10.2006 - 5:27
При установки игры "пазлы", скачанной с этого адреса (http://www.softinka.r...u/puzzles.rar) антвирус Касперский Personal 5.0.391 обнаружил троянскую программу. Всё удалил, но при перезагрузке всё повторяется.Файл расположенный C:/ WINDOWS/sistem32/winkey.dll никак не удаляется, пишет что файл занят другим приложением. Помогите его удалить!!! ПОЖАЛУЙСТА!!!
de1ay, 9.10.2006 - 7:05
В безопасном режиме загрузись и удаляй файл сколько влезет
lordslavik, 9.10.2006 - 15:10
Народ кто сталкивался с Trojan-Proxy.Win32.Horst.kj Помогите немогу найти его файлы кроме setup и autorun.inf грохает екзешники и картинки в тех папках где лежит, после перегруза появляется снова. На касперском описания нет.
mish-kok, 9.10.2006 - 17:23
lordslavik Вот что пишет касперский: Trojan-Proxy.Win32.Horst.jq Детектирование добавлено 22 сен 2006 08:52 MSK Обновление выпущено 22 сен 2006 10:26 MSK Поведение Trojan-Proxy, троянский proxy-сервер У тебя какая версия стоит????? То что было до 6.0 антивирусом назвать трудно!!!!!
e.m.e., 10.10.2006 - 21:59
привет. имеется Троян TrojanHorse Downloader Generic (и еще что то там ) со вчерашнего дня. в файле C:\ProgramFiles\InetGet2\eltadperf.exe папка InetGet2 вообще пустая помогите ! спасибо
eli2003, 24.10.2006 - 6:53
Win32logon.exe Прошу совета. Пару недель назад поставили тарелку на интернет. второй раз сегодня попалось - повышенная активность сети(ничего не запущено), проверяю - процесс Win32logon.exe крутит и локалку и спутник. Закрываю процесс - запускается снова, перекидываю файлик в другое место - всё спокойно. Но это не выход. Может кто подскажет Что Это и Откуда у него ноги растут? Размер - 110 592 байта Спасибо! P.S. Антивирус на него не реагирует (могу файлик прислать на проверку) но то, что он (похоже) создает Update.exe в temp и ieexplorer.exe в корневой сразу отрабатывается антивирем.
zano, 12.01.2007 - 0:11
Люди разтолкуйте проверяю систему антивирем NOD32 все вродь нормально нов конце он выдает такое C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat - ошибка открытия (файл заблокирован) [4] и таких ошибок штук три четыре
de1ay, 12.01.2007 - 1:03
В этом файлике хранится инфа о том, какими средствами окрывать те или иные расширения файлов. Естественно, доступ к нему закрыт.
zano, 12.01.2007 - 1:56
Спасибо за ответ. Но как их проверить антивирусом??? он их что не проверяет
de1ay, 12.01.2007 - 8:39
Отправить на virustotal.com. Доступа к файлу тебе никто не даст.
Quim2005, 12.01.2007 - 8:42
2zano - исправлять их может только винда, поэтому и смысла проверять их нет. Касперыч тоже их проверять не может, но такие ошибки просто не выдает, хотя в общем-то должен обо всем говорить
zano, 14.01.2007 - 0:47
Всем кто помагал спасибо. Успокоили я думал кранты или антивирь глюкнутый
D'm~, 14.04.2007 - 19:07
Ребят, нужна помощь. Кратко суть проблемы.. По необходимости установил Spyware Doctor. Вычистил, что нужно было. Просканил систему для профилактики - все чисто. Перезагрузился - тоже чисто.. красота. Вот.. Потом немного побродил в инете. Решил еще раз проверить. Нашел 4 вируса.. Я, естественно, их прибил. Вообщем выяснилось что эти вирусы залезают после посещения определенного сайта. Этот сайт создали мои друзья, и я на 100% уверен что не они затолкали туда эту дрянь.
После посещения главной страницы:
После посещения форума:
Если запретить cookies для этого сайта, то Trojan Dropper'а нет.
Как можно защитить свой комп от этого, и откуда это все может лезть?
Использую Eset Smart Security 3.0.128.0 (Ежедневное обновление), который ничего не находит при сканировании. Spyware Doctor 5.0.0.179 И еще второй фаервол в ADSL модеме.
Очень надеюсь на вашу помощь.
de1ay, 15.04.2007 - 8:12
Лже-активность это, не обращай внимания.
Alexey83, 15.05.2007 - 21:51
Блин, Касперский пропустил трояна и не хочет удалять:( пишет "Требуеться специальное лечение, файл будет удалён после перезагрузки компьютера" перезагружал уже раз пять и всё равно ничего не удаляет. Установил NOD32, обновил, сделал проверку компа, вирусов никаких не обнаружил, зато файлов 30 не может открыть пишет "Файл заблокирован" придёться форматнуть диски, касперский подвёл
sla-tron, 17.05.2007 - 10:24
Не надо форматировать диски.
QUOTE
Касперский пропустил трояна и не хочет удалять
Ну и удалите вручную.
QUOTE
NOD32, обновил, сделал проверку компа, вирусов никаких не обнаружил, зато файлов 30 не может открыть пишет "Файл заблокирован"
Может в этот момент файлики использовались или это архивы запороленные.
Лёха83, 20.05.2007 - 9:25
QUOTE(sla-tron @ 17.05.2007 - 10:24)
Может в этот момент файлики использовались или это архивы запороленные.
надпись была такая "Ошибка открытия (файл заблокирован) [4]", может это их касперский так зашифровал или это сам вирус так шифровался)?
И ещё если на компе побывали трояны, дней пять, там жили, а я в это время выходил на вэбмани и другии сервисы, где храниться немоного денежек. Нужно ли менять везде пароли? своровал ли этот вирус их? касперский тогда нашёл пять троянов, назывались: Trojan.Generic (Модифицированый)
sla-tron, 20.05.2007 - 20:04
QUOTE(Лёха83)
Нужно ли менять везде пароли? своровал ли этот вирус их?
По хорошему лучше канеш поменять. Воровал ли троян пароли сказать трудно, название нуно полное.
Но я б в тот же миг ломанулся менять пароли на все
Лёха83, 21.05.2007 - 3:40
Да сегодня поменяю пароли от греха подальше:)
anGel21, 21.05.2007 - 9:01
QUOTE
"Ошибка открытия (файл заблокирован)"
Чтоб такого небыло, загружаешь винду с командной строки, соответственно не чего не запуская, не загружая (всем "NO") и после запускаешь NOD32 и тогда он все файлы видит и проверяет 100%. Жаль что у него нет такой фишки изначально.
soleil123, 21.06.2007 - 15:36
Ребят, помогите пожалуйста...SOS....SOS...
со вчерашнего дня
В комп залезла эта тварь...
" NORTON 2007"не хочет удалять... немогу найти где лежит ... Помогите его удалить!!! Что делать?
nvova, 21.06.2007 - 15:57
QUOTE(soleil123 @ 21.06.2007 - 16:36)
Ребят, помогите пожалуйста...SOS....SOS...
со вчерашнего дня
В комп залезла эта тварь...
" NORTON 2007"не хочет удалять... немогу найти где лежит ... Помогите его удалить!!! Что делать?
Че го-то мне уже с нортоном надоели (не в обиду автору), просто уже 3й чкловек за неделю мне говорит, что у него нортон не может удалить вирус Пользуемся НОДом или Каспером .
veterok2308, 2.09.2007 - 21:00
Вирус ли, или еще какая зараза? А может просто глюк? Суть: мышка иногда начинает помаленьку перемешаться и все. Интересно почему? Сканирование Доктором Веб, А-squared,утилитой Зайцева,ничего не выявило. Может кто знает что это такое?
-=$eReG@=-, 3.09.2007 - 0:29
Отключи мышь(выдерни из системника). Если перестанет - значит мышку меняй, а если нет - то кто-то ей помогает. Проверь все запущеные процессы. А вообще Касперским или Нодом просканировать не мешало бы.
KrokoTx, 3.09.2007 - 5:40
Цитата | Quote(veterok2308 @ 2.09.2007 - 22:00)
Вирус ли, или еще какая зараза? А может просто глюк? Суть: мышка иногда начинает помаленьку перемешаться и все. Интересно почему? Сканирование Доктором Веб, А-squared,утилитой Зайцева,ничего не выявило. Может кто знает что это такое?
Если антивирусники ничего не нашли, а мышь PS/2, то попробуй в свойствах мыши установить большее "число проверок в секунду", а также поставить галку "быстрая инициализация".., иначе пробуй как -=$eReG@=-
newmailqu, 3.09.2007 - 10:17
Мышь оптическая?
Legat, 5.09.2007 - 9:21
если оптическая, то попробуй сменить поверхость под мышкой на что то менее блестящее. А еще может быть наводки (от сотового например)
veterok2308, 22.09.2007 - 23:05
Всеи спасибо. Все теперь работает. Глюк был в самой мышки. Заменил на новую и все ОК.
Equilibria, 9.11.2007 - 19:42
Может кто сталкивался с подобной проблемой и сможет помочь:
Попала на компьютер тварь под названием “Adware.TrustIn.Popups”. Вынести нельзя ВООБЩЕ никак. Это не вирус, а как написано выше – adware. По крайней мере по характеристике Symantec. Хотя у меня создалось впечатление что Symantec ошибается. Программа ведёт себя как типичный вирус, за тем лишь исключением что не расползается. Хоьтя и вири не все расползаются. Вот что эта зараза делает: 1) При вызове «Мой компьютер» (или вообще любой папки, точно не определила) она пытается произвести какие-то действия. Возможно рекламного зарактера. Мой анти-вирус блокирует, борется с заразой, удаляет, что занимает секунд 15. После чего «Мой компьютер»/папка загружается. 2) Самовосстанавливается. И прописалась же скотина! Я выметала все файлы связанные с ней, все регистрационные ключи (а их было немало) которые смогла найти. Что Ad-Aware, что Norton Internet Security удаляют лишь на время (на минуту-две!). 3) При закрытии любой папки выскакивает ошибка Explorer’а “the memory could not be read”. 100% связано с этой программой. Возможности переустановить систему у меня пока нет, сперва нужно закончить работу. Нужно: Либо вычислить как эта дрянь восстанавливается. Либо запретить создание файла (очень желательно сделать) “trustincontext.dll” в: C:\Program Files\TrustIn Contextual. Какой прогой это можно сделать? Та же самая WinTools.net например не может поставить запрет?
Отключение анти-вируса тоже не вариант. Программа интерактивна с Explorer’ом, и постоянно выдаёт ошибку описанную в пункте 3. Прибъёшь программу – ошибка исчезает. Но программа постоянно восстанавливается.
1.Run a scan to detect and remove any TrustIn Popups infection. 2.Restart your PC and run another scan for any remaining traces of TrustIn Popups. .
SSinchuk, 9.11.2007 - 20:18
Equilibria Попробуй сначала вынести эту заразу из памяти. Можно этим попробовать Spyware Process Detector 3.10 например. А вот потом уже начинай сносить и вычищать реестр.
Teshka, 9.11.2007 - 20:26
Возможно этот файл запускается как служба и прописан в реестре - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services, проверь внимательно
Andrey_n, 9.11.2007 - 20:53
To Teshka, по поводу вот этого "...Либо запретить создание файла (очень желательно сделать) “trustincontext.dll” в: C:\Program Files\TrustIn Contextual..." могу посоветовать следующее: Если эта длл и есть вирусня или скажем его тело, то можно просто открыть этот файл к примеру в Far-е, и произвольно удаляешь из этой длл строчки, проще говоря рушишь код ), сори, после этого сохраняешь, и перезапускаешься. Система поначалу будет сильно ругаться, но после этих действий ты сможешь убить эту заразу. В качестве тяжелой артилерии рекомендую AVZ (антивирус Зайцева).Удачи!
pluto2007, 9.11.2007 - 21:25
Были у меня проблемы подобные -при выключнии эта гадость сохраняется из ОЗУ в восстановительные файлы, а при старте системы она опять в памяти гадит, надо просканировать систему перед стартом с чем справляется AVAST 4. конечно может кто поспорит но -ничто другое не помогло. Dr Web как проститутка свалился.... КАСПЕРСКОГО НЕ ПРОБОВАЛ. Как бороться тебе решать. у меня сейчас стоит AVAST 4, вирусы просачиваются но при сканировании обнаруживаются -флешку таскаю меж тремя компами вот и имею ...
Equilibria, 10.11.2007 - 9:05
Единственное что более-менее помогло, это очистка файла. Я почему-то об этом методе забыла, хотя раньше им пользовалась. Как Andrey_n и говорил, я скопировала файл, вычистила, зетем удалила оригинальный (прогрпммой Unlocker, так как он использовался Explorer'ом) и поставила этот. Пока всё работает хорошо и быстро. После перезагрузки оригинальный файл не восстанавливается. Если повезёт, закнчу работу уже сегодня и форматну наконец.
Ради интереса пробовала разные программы для удаления жтого Adware, в том числе TrustIn Popups Removal Tool - не помогает. Анти-вирусы, ни анти-шпионы, анти-adware, просто удаляют все файлы и ключи, которые потом с тем же успехом восстанавливаются. В сервисах программа тоже прописана не была, так что вычистка файла оставалась единственным вариантом. Хоть это помогло. Всем спасибо.
kol2000, 10.12.2007 - 10:04
А у меня такая вот беда: "Virut.AQ"... Ну ничего не помогает. Поиск по форуму не дал результатов ((( Да и вообще в инете мало инфо по этой дряни.
Сержикус, 16.02.2008 - 20:56
Подскажите, кто знает, у меня антивирус показывает файл как failed, и вроде как ниче с ним сделать не может. файл называется Worm.Win32.Feebs.nj. , каковы его функции и на что он влияет?
geronima, 16.02.2008 - 21:06
Цитата | Quote(Сержикус @ 16.02.2008 - 23:59)
Worm.Win32.Feebs.nj. , каковы его функции и на что он влияет?
Это семейство интернет-червей для ОС Windows, распространяющихся в виде вложений в зараженные электронные письма и по сетям файлообмена. Данные черви могут выгружать из системы различные межсетевые экраны и антивирусные программы. JavaScript-компонент, который распространяется в виде вложения в зараженные письма и загружает с определенных серверов исполняемую копию червя, сохраняет ее на заражаемом компьютере и запускает на исполнение. Одновременно с загрузкой исполняемой копии червя JavaScript-компонент показывает на заражаемом компьютере обманную интернет-страницу, сообщающую об отсутствии соединения. Также JavaScript-компонент удаляет следующие записи из системного реестра:
Подскажите, кто знает, у меня антивирус показывает файл как failed, и вроде как ниче с ним сделать не может. файл называется Worm.Win32.Feebs.nj. , каковы его функции и на что он влияет?
viruslist.com думаю найдешь все что тебя интересует.
Сержикус, 16.02.2008 - 21:31
а можно его вручную удалить из компа, так ведь?
geronima, 16.02.2008 - 21:38
Цитата | Quote(Сержикус @ 17.02.2008 - 0:34)
а можно его вручную удалить из компа, так ведь?
Конечно, с учетом, если знать где он находится.
Сержикус, 16.02.2008 - 21:58
антивирь показывает его местонахождение, но поиском и визуально не вижу, что можно сделать?
Солнышко, 16.02.2008 - 22:08
Открыть любую папку в меню. Сервис-свойство папки-вид. Найти и кликнуть по строке "Показывать скрытые файлы и папки". Сразу ищи файлы autoexec.ini autoexec.bat Их появление-верный признак действия на компе вредоносных программ.
Pixelen, 13.04.2008 - 22:40
блин у меня на жестких скрытый автаран сидит, а скрытые файлы не отображаются каким антивирем можно это устранить? нод не видит сцобака.
vic171, 14.04.2008 - 0:12
Попробуй Avast он после установки сканирут систему, и уничтожает всяку бяку, надо скину на свой фтр мыло [email protected]
dodik, 14.04.2008 - 1:44
Это скорей всего VBS.Igidak,посмотри файловым менеджером(чиобы видеть скрытые файла) или поправь ключик -HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced "ShowSuperHidden"=dword:00000001 (в конце должна быть 1)если есть куча авторанов всех типов расширений то это он,не хочу копипастить,если ты введешь в яндексе VBS.Igidak,то там в первых ссылках найдешь сайт Dr.Web,с подробным объяснением по лечению.
KLUCHICK, 14.04.2008 - 18:19
Оченно хорошая чистилка... Зовут её Cureit... живёт у доктора WEB на сайте совершенно на халяву предоставляется.
Технология - перезагружаем, жмём F8 выбираем защищённый режим потом запускаем Cureit... Дёшево и сердито
В аттачике файлик - антиавтораннер... Тоже моно запустить - хуже не будет.
Pixelen, 14.04.2008 - 21:46
спасибо! снес автараны с помощью anti..(прикольная прога), cureit ниче не нашел, скрытые по прежнему не вижу .
PTyTb, 14.04.2008 - 23:17
Цитата | Quote(Солнышко @ 16.02.2008 - 23:11)
autoexec.bat Их появление-верный признак действия на компе вредоносных программ.
Тебе придется все же,вручную исправить эти два ключа реестра,или попросить кого нибудь здесь написать батничек.
Pixelen, 15.04.2008 - 15:29
Порыл реестр, ключи в порядке, а пофиг переживу, если че систему перебью У меня еще были случаи когда пропадало свойство папки в вкладке сервис и в Панель управления помогало тока переустановка ОС. Никто не устранял проблему другим методом?
dodik, 15.04.2008 - 17:26
Цитата | Quote(Pixelen @ 15.04.2008 - 5:32)
Порыл реестр, ключи в порядке, а пофиг переживу
Ну и чудесно!
HoBu4eK, 30.07.2008 - 15:37
Не знаю правильно ли выбрал тему, но у меня такая проблема, после сканирования SpyHanter-ом в winlogon е обнаружил Trojan.Vundo после удаления система грузится но после ввода логина и паролья виснет. Сделал систем рестор все нормально заработало но троян все таки сидит. На другом компе после сканирования SpyHanter-ом тоже самое. Symantec_Removal_Tools__25-in1_.exe не обнаруживает ничего, что делать помогите пожалуйста. Система Вин ХП.
kik55, 30.07.2008 - 17:06
Цитата | Quote(HoBu4eK @ 30.07.2008 - 15:40)
Не знаю правильно ли выбрал тему, но у меня такая проблема, после сканирования SpyHanter-ом в winlogon е обнаружил Trojan.Vundo после удаления система грузится но после ввода логина и паролья виснет. Сделал систем рестор все нормально заработало но троян все таки сидит. На другом компе после сканирования SpyHanter-ом тоже самое. Symantec_Removal_Tools__25-in1_.exe не обнаруживает ничего, что делать помогите пожалуйста. Система Вин ХП.
msnmsgr.exe в папке Windows и в автозапуске. просится в сеть. Nod32 вобще не реагирует. Кто нибудь сталкивался с этим?
Ramz, 27.09.2008 - 8:43
Тоже с autorun.inf сталкиваюсь постоянно,... последний раз в его пользу *.com файл еще какой-то появился, др.вебом замочил... Теперь все тормозит со страшной силой.. долго открываются приложения и также долго закрываются (Опера, mplayer ...и др.) Как вернуть систему к обычной нормальной жизни без переустановки пока не знаю
KLUCHICK, 27.09.2008 - 23:00
Цитата | Quote
Как вернуть систему к обычной нормальной жизни без переустановки пока не знаю
Рецепт традиционный. Загружай компьютер в безопасном режиме (по прижатой клавише F8) Перед этим действом скачай свеженькую утилиту CureIt от Dr.Web _ftp://ftp.drweb.com/...eit/launch.exe и сохрани её в корне диска C:
После загрузки в безопасном режиме запусти CureIt. Думаю, мноого интересного найдётся
Удачной охоты!
HugoBo-SS, 17.10.2008 - 19:55
Adobe Flash Player - множественные нарушения защиты
ОПИСАНИЕ
В Adobe Flash Player обнаружен ряд уязвимостей к нарушению защиты.
1. Ошибка при применении правил междоменной политики, расположенных в файле, позволяет обойти некоторые ограничения защиты на веб-серверах, содержащих такие файлы.
2. Ошибка реализации ActionScript в классах Socket и XMLSocket позволяет несанкционированно определить состояние порта (открыт или закрыт) на удаленном компьютере.
3. Методы "FileReference.browse()" и "FileReference.download()" могут быть вызваны без уведомления и вмешательства пользователя. Это позволяет сформировать вызов, незаметно загружающий файлы с компьютера жертвы или на компьютер жертвы. ЗАЩИТА
Версия 10.0.12.36 не подвержена уязвимостям. Патч для версий 9.x выйдет в начале ноября 2008 г.
Источник: Cnews Bugtrack
Плагины используются во всех виндовозных браузерах, так что обновляйтесь!
Eleonore, 9.01.2009 - 15:49
Вирус... бесплатный доктор вэб нашел Trojan.Downloader.26759 Если загрузится в безопасном режиме синий экран. при восстановление системы или запуске каспера ошибки, адрес к программе неверный. Приложение касперского тоже такую же ошибку выдает. Если запускать ярлык каспера из программ файлс таже ошибка.
или
Как восстановить систему[B]?...Комп работает медленно. (((
Eleonore, 9.01.2009 - 16:35
или скажите как прописать путь к экзешнику восстановления системы...
kik55, 9.01.2009 - 17:53
загрузитесь с загрузочного диска ОС и выбирайте восстановление системы.
Termo, 9.01.2009 - 17:55
как на счет точки восстановления системы?
middleman, 15.01.2009 - 2:21
Привет, народ. Вот уж не думал, что когда-то окажусь в этой теме, но как говориться от сумы и от тюрьмы не зарекайся ))
Сейчас я расскажу историю своих сегодняшних наблюдений, а вы скажете кто что об этом думает. Сразу попрошу пропустить советы про переустановку системы, отправку фаила на анализ касперскому и другие простые пути решения )). Как решить проблему быстро я и так знаю, но этот конкретный вирус меня на столько заинтересовал, что мне стало интересно а было ли что-то подобное у кого-то еще и вдруг кто-то из наших спецов расокпал в чем тут дело.
так вот история...
Вводные данные: Одноядерный (цел 1,8) ноут с гигом оперативки: + Windows XP SP3 + последние заплатки + Авира антивир с последними обновами. Фаервол - аппаратный на ADSL модеме + комодо на домашнем серваке, который раздает инет ноуту... не спрашивайте зачем. надо.)
Ноут до сегодня работал идеально не проявляя типичных симптоов заражения, что странно, но объяснимо. История началась с того что мне пришло в голову переставить алкоголя. запустил штатное удаление, все снес, попросил перезагрузку. после загрузки системы контроль автозапуска возмутился новым пунктом в списке. c:\program files\SATASERY\ellzuP_45_S2BOOK.exe где на сколько я потом понял из скудной инфы в инете "ellzu" - случайные символы, а S2BOOK соответственно название моей машины. так вот точно помня что ничего такого я туда не ставил лезу в эту папку и первым делом экзешник на анализ. Результат: 12/39 (30.77%) не много, но ощутимо.
ладно. исследуем дальше и натыкаемся среди кучи *.tmp фаилов ощутимых размеров на несколько маленьких и интересных файликов. как то: ellzuP_45_S2BOOK.exe.internet.log со следующим содержанием:
это на сколько я понял лог работы самого бота заразившего уже промеждупрочим и сам антивирус (там были записи процессов антивируса, но сюда не попали).
После попытки снести из автозагрузки "первую ласточку" пошли валом проблемы. во-первых постоянно в автозагрузку добавляется непонятный процесс с несуществующим названием фаила, а при попытке его удалить оттуда предлагается "delete RyHDCpl from the registry"
кроме этого вирус начал проявлять себя создавая к каждому экзешнику на вставленой флешке кучу фаилов вида *.exe_tmp.exe, которые на зараженной машине удалить нереально (авторан не трогает, что странно). При попытке удаления зараженных исполняемых фаилов получаем отказ в доступе и стопроцентную загрузку процессора процессом RunDll.
так вот собственно несколько вопросов...
Почему эта гадость не придерживается какой-то одной линии поведения?
Правильно ли я понял из второго лога что отправить ничего никуда у зверя не вышло?
Какую цель преследует система (хде деньги?)
Откуда сие добро теоритически могло у меня взяться за серым айпи и двумя фаерволами и как ОНО вообще распрастраняется?
Почему касперский, авира, вэб, нортон и нод (запущеные с Live CD и обновленные через инет) ничего подозрительного не видят? (кстати на вирустотале нод нечто определил. наверное у них другой нод).
Чего еще можно ждать от этого зверя если позволить ему зверствовать дальше?
Какие еще могут быть эффективные способы выявления заразы кроме описаных и борьбы с ней кроме радикальных?
SoulSurvivors, 15.01.2009 - 5:08
У меня проблема схожая с товарисчем у которого скрытый autorun.inf Авторана вроде totalcommander не увидел. Однако если попробовать через ОС поставить показывать скрытые файлы и папки настройки сбрасываются. Собсно, нод вирус уже один рас спалил, да видать полностью не зачистил
middleman, 15.01.2009 - 10:07
SoulSurvivors, нет. авторана нет. стопудов. зараженная флешка проверялась из-под линукса с показом всех фаилов (мне кажется маловероятной на столько адская кросплатформенность вируса, что он умудрился скрываться под линуксом) только мусор вида *.TMP_EXE возле всех экзешников. Зачем вирусне нужен этот мусор непонятно, а особенно учитывая, что троян в принципе скрытый. не пойму смысла так явно показывать свое присутствие.
Andrey_n, 15.01.2009 - 10:21
middleman, недавно лечил ноут с немного похожей бякой. Что за фрукт не понял, антивиры обходит только в путь. Загрузка только в нормальном режиме, все остальное BSOD. Посмотреть на BSOD возможности нет, т.е. система творит что хочет ..., подключил вторым винтом к своему ноуту, почистил AVZ и Др.веб с последними базами лицензион. , нашел кучу дряни, вычистил, поставил обратно - танцы с бубном продолжаются, реестр правил, ключи грохал. Как справился слоэно сказать, в прямом смысле расскачивал систему , реестр, cureit,avz...OSAM. Выяснил одну закономерность, поведение такое же как твоего, т.е. четкой линии поведения нет, файлы создает, ключи в реестре, AVZ его засекает в паранойном режиме сканирования. С помощью AVZ восстановил системные настройки. Когда система позволила поставить на себя антивирь, поставил ДРВеба 4,44 и уже изнутри начал его долбать. После такого длинного описания скажу одну очень характерную для него черту: все нормальные exe файлы при сканировании AVZ показываются как зараженные , точнее не то что зараженные а что они являются активными руткит компонентами, вычистить их нельзя, для того чтобы остановить вирус надо удалить все ехе с компа...что вообщем то нереал, но можно с помощью OSAM найти библиотеки котрые грузяться в момент загрузки и создают "зомбиков". Сори, понимаю написано не понятно, но за все время работы с компами, были разные вири и руткиты в том числе, но такой изощренный первый раз ..
Stasya09, 21.02.2009 - 12:25
Всем доброго дня. Пишу по такому поводу. У меня была проблема с инетом. При скачивании, выбивало комп. с полной перезагрузкой. Стоял каспер 7, он ни чего не показывал. Снесла каспера, поставила Dr. Web Skaner. Показал 2 трояна. Удалила. Выбивать перестало. Но симптомы заражения имеются. Ещё раз отсканировала комп. Показал 5 подозрительных, пишет возможно DLOADER, Trojan. И 3 модификации Win 95. Что это значит? Лечить их или удалять?
1509ert, 28.02.2009 - 23:38
Помогите решить проблему, уже две недели воюю с вирусом, сначала он давал жизни чудил что хочет . НОД и Авира в упор его не видели. Сейчас стоит Аваст и вот что выдаёт "25.02.2009 13:40:52 DCOM Exploit attack from 91.124.174.169:135 25.02.2009 13:55:03 DCOM Exploit attack from 91.124.110.98:135 25.02.2009 16:30:00 DCOM Exploit attack from 91.124.57.131:135 28.02.2009 22:12:58 DCOM Exploit attack from 91.124.117.2:135 28.02.2009 22:18:45 DCOM Exploit attack from 91.124.52.217:135 28.02.2009 22:24:12 DCOM Exploit attack from 91.124.117.2:135 28.02.2009 22:24:19 DCOM Exploit attack from 91.124.0.44:135 28.02.2009 22:25:15 DCOM Exploit attack from 91.124.52.217:135 28.02.2009 22:26:38 DCOM Exploit attack from 91.22.76.86:135 28.02.2009 22:28:38 DCOM Exploit attack from 91.124.254.36:135" Как от этого избавится, может кто знает? Сразу скажу система Виндовс ХР сборка "Зверь", антивирус "Аваст", чиста винта проводилась два раза вместе с переустановкой ПО.
ARKTURZero, 1.03.2009 - 7:26
Атаки на 135 порте DCOM RPC. Попробуй Windows Worms Doors Cleaner он закрывает все червячные порты. Их нужно в первую очередь закрывать в принципе. https://softoroom.org/topic53259s10.html И зачем эта тема на форуме существует?
Ramz, 6.06.2009 - 16:06
Оутпост выдает:
0:21:21 0.0.0.0 Обнаружена атака, узел не заблокирован WRONG_PACKET и так днями и ночами Чего это
Vtsapin, 6.06.2009 - 17:15
Рекомендую сканировать комп прогой Adware Se Professional.Надёжна в работе,все вирусы,трояны и прочие червеподобные найдёт и уничтожит))
middleman, 7.06.2009 - 12:56
0:21:21 0.0.0.0 Обнаружена атака, узел не заблокирован WRONG_PACKET
Вариант первый: Четыре нуля это ты атакуешь сам себя. либо стоит какой-то глюкавый драйвер, который генерит неправильные пакеты сам себе, либо у тебя вирус, который опять-же генерит эти пакеты.
Вариант второй (более вероятный): Из сетки или инета приходят тебе пакеты, в которых адрес отправителя подменен на четыре нуля. есть софт, который умеет такое делать.
каждое второе число месяца меняем это число в компе на 4-е и вирус Nyxem понимает что он снова "мимо кассы"
HeroBoitz, 13.11.2009 - 2:07
При загрузке Win XP Появляется стандартное зелёное поле рабочего стола, в правом нижнем углу говорит что ваша версия винды не лицензионная и просит отправить смс.
Прошу помочь. В ПК завёлся вирь. Не могу войти в безопасный режим.Сразу чёрный экран и зависание. Не работает запись на ДВД приводе. Тормозит всё. Проги-антивири не помогают. Только хуже.
eli2003, 28.01.2010 - 7:33
Цитата | Quote(MAFUSAIL2 @ 27.01.2010 - 20:42)
Прошу помочь. В ПК завёлся вирь. Не могу войти в безопасный режим.Сразу чёрный экран и зависание. Не работает запись на ДВД приводе. Тормозит всё. Проги-антивири не помогают. Только хуже.
зачем "безопасный режим"? на drweb скачай minDrWebLiveCD-5.0.0.iso, рисуй на диск и ..запускай свою машинку с этой пластины. Далее запускаем DrWeb (значек на рабочем столе есть), указываем свой системный винт (а лучше все проверить), запускаем и ...ждем. После сканирования предложат или удалить или попробовать полечить. Удачи.
RODISLAV, 1.02.2010 - 14:12
Может и не взять! У меня по данным разведки WORM WIN32.HLLW.GAVIR.INI Cure IT не может найти ничего. BITDEFENDER QICK SCAN тоже импотент.
Anthony, 1.02.2010 - 14:33
Цитата | Quote(MAFUSAIL2 @ 1.02.2010 - 14:12)
Может и не взять! У меня по данным разведки WORM WIN32.HLLW.GAVIR.INI Cure IT не может найти ничего. BITDEFENDER QICK SCAN тоже импотент.
Это ж почтовый червь. LiveCD загружайте и убирайте всё лишнее из автозагрузки правкой реестра. Там же убейте все autorun.inf и те файлы/папки что в этих самых autorun.inf числятся. Убедитесь что нет в загрузке пользователя никаких исполяемых файлов рядом с userinit.exe
Далее AVZ - восстановление safe mode (и не только)
KLUCHICK, 1.02.2010 - 14:37
А бессмертное произведение от Олега Зайцева не рулит? Я бы начал именно с него.
эту архинаиполейзнейшую утилиту рекомендую всегда иметь под рукой на флэшечке. Времена уж нынче неспокойные стали
RODISLAV, 6.02.2010 - 18:17
AVZ ничего не находит. В реестр лезть боюсь - не спец.
KLUCHICK, 6.02.2010 - 18:35
Надеюсь, вы включили все опции при сканировании AVZ? Там есть славный скриптик - восстановление системы, точнее это 19 скриптов, там есть и разблокировка безопасного режима и восстановление polices администратора. Попробуйте его.
И. как вариант, воспользоваться Live CD от Доктора Веба. Славная такая штучка, всегда держу её в своей "аптечке".
6587 370.974092 109.171.55.122 109.171.55.255 NBNS Name query NB VKONTAKTE.RU<00>
долбится постоянно
ну и еще много кого и куда отсылается , вроде все броузеры закрыты
Происходит сразу при включении подключения
что это??
Кот в Сапогах, 7.02.2010 - 16:20
Не понял сути опроса - уточнил.
Ramz, 7.02.2010 - 16:46
Вот и вопрос кому и почему отсылка идет и файр стоит и т.д. и т.п., а пакеты идут а не то, что такое Wireshark
джер, 27.03.2010 - 22:17
И на старуху бывает... блин... я старый пердун... словил сегодня нового виря))) мошть не нового, но для меня новинка)) правая нижняя часть экрана занята баннером с надписью (интерпретация моя) вы посетили порно сайт и у вас теперь проблема... отправте смс и всё отключится не знаю кто где из моей семьи лазил в нете... проверить не смог..комп тормозит конкретно, диспетчер задач заблокирован... не смог даже на вирустотал зайти... отключается браузер... помогла переустановка оси
пс. Shadow_Defender был отключен заранее, т.к. накануне обновлял Авиру и снова поставить защитный режим забыл. В рабочем режиме на момент поимки виря была Авира, The Cleaner, TrojanHunter(все с обновленными базами).
mish-kok, 27.03.2010 - 22:23
Цитата | Quote
словил сегодня нового виря))) мошть не нового, но для меня новинка)) правая нижняя часть экрана занята баннером с надписью (интерпретация моя) вы посетили порно сайт и у вас теперь проблема... отправте смс и всё отключится ===>> помогла переустановка оси
согласен, знал, но повторяю тормоз конкретный у компа был..лиса открывается и сразу закрывается... IE также себя вёл.. кто, куда чего качает не проверишь... решение принял сразу о переустановке оси... благо всё нужное на запасном HD...
kostya-chist, 27.03.2010 - 23:49
Цитата | Quote(джер @ 27.03.2010 - 22:17)
помогла переустановка оси
Из-за такой ерунды систему сносить? полчаса времени на удаление.
sudden, 28.03.2010 - 0:40
вот на будущее ссылка на страницу с полезной программкой
Вчера сосед словил виря, правая нижняя часть экрана занята баннером с надписью что то типа вы посетили порно сайт и у вас теперь проблема... отправьте смс. Сосед отправил смс, с него снялись все деньги и пишет недостаточно средств отправьте еще смс. Картинка с анимацией голой женщины.В диспетчер задач зайти не дает.Через Тотал Соммандер плагин автозапуск программ увидел в загрузке непонятная запись проги.Я отрубил из загрузки перезагрузился и все заработало нормально.
Proffy66, 14.04.2010 - 10:53
После перезагрузки компа (WinXP SP3) на десктопе появилась вот такая картинка размером 785х545 (на мониторе разрешение 1280х800):
» Нажмите, для открытия спойлера | Press to open the spoiler «
прописался параметр Shell со значением "C:\Documents and Settings\All Users\systems.exe". Удалил скрытый файл systems.exe (размер - 304кб) и проблема исчезла. Может кому-то пригодится эта информация.
Привет! Не знаю может кто сталкивался с такой проблемой. Не качает BITSPIRIT, DM, почти не пишет НЕРО и некоторые другие неудобства. Сделано - замена микросхемы Биос, замена активного Винта, обнуление MBR, EMBR всех Винтов ПК, удаление разделов Винтов с форматированием в NTFS. Ничего не меняется. Зараза похоже передается и через флэшки. Видимо поможет только замена мамки и винтов.
RODISLAV, 30.10.2011 - 15:25
проблема решена.
Nicolay_7, 12.02.2015 - 15:28
На днях наши бухи словили трояна через mail.ru со следующим содержанием:
Доводим до вашего сведения ,что вы являетесь свидетелем по гражданскому делу №19547. В случае неявки по причинам ,признанным судом неуважительными,на вас будет наложен штраф в размере до одной тысячи рублей.При неявке на судебное заседание без уважительных причин по вторичному вызову вы можете быть подвергнуты принудительному приводу (ч. 2 ст. 168 ГПК Российской Федерации).Ваш емайл был зарегистрирован на Едином портале госуслуг для получения в электронном виде услуг и информационных сообщений.Это письмо создано автоматически, вы можете оставить свои комментарии и замечания на Едином портале госуслуг. Подробности гражданского дела в архиве прикреплённого документа (со ссылкой на документ)
Шифрует все по формату и расшаренные папки тоже: имя_файла[email protected]
С тех.поддержки DR.Web дали эту утилиту. Восстанавливает больше чем на 90% файликов. Комментарии смотреть в архиве. У кого нет лицензии качаем отсюда .....