sysser, вопрос надо было задавать в другом топике.
Перенесено...

sysser
Вот твой случай: _http://www.nofaq.net/2009/09/не-открываются-сайты-антивирусов-кас/

Звонит мне приятель и говорит: весь экран занят рекламой порнухи - xyecoc.net (требует денюшек через СМС). Сделать ничего нельзя. Я такое уже видел где-то с полгода назад - модуль грузился из автозагрузки, картинка висела поверх всех окон, а в Taskmanager'е запускалось 2 одинаковых процесса. Как только вырубаешь один, второй запускает его снова. Ну, через Safe Mode вопрос решил.
Пробую и тут объяснить что к чему - не получается. Пришлось приехать. Taskmanager не запускается, на три пальца комп не реагирует, в безопасный режим не грузится.
Пришлось грузиться с liveCD и подцеплять реестр. Там эта хрень прописала себя в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon в параметр Shell вместо Explorer.exe (файл типа ksdjfhsdfhsdfs.AVI.EXE в кэше браузера).

добавлено через 3 минуты
ЗЫ: забыл сказать, что у чела стоит лицензионный касперский.
ЗЗЫ: а отловить ключ мне помог Spybot с liveCD базы аж за 2004 год (собственно базы тут вообще не причем, он просто среагировал на кривой ключ реестра)

Бывает, добавляет значение в Userinit после C:\WINDOWS\system32\userinit.exe, или создает ещё один раздел Winlogon.

пользуюсь диал-апом дома за неимением другого интернета, при каждом подключении к инету выскакивает табличка и помещается в карантин 3 файла

[IMG]C:\bug.JPG[/IMG]


чет не хочет прикрепляться рисунок

постараюсь перефразировать или больше описать проблему..

при подключении выдается такая табличка:

16-разрядная подсистема MS-DOS

C:\docume~1\9335~1\locals~1\94553.exe
Процессор NTVDM обнаружил недопустимую инструкцию.
CS:0de3 IP:01ac OP:63 61 74 69 6f Для завершения работы приложения нажмите кнопку "Закрыть"

И при это в карантин антивируса помещается 3 файла:

http:/xxx.xxx.xxx.xxx/bomir.exe
C:Documents and settings\Администратор\Local settings\Temorery internet files\Content.IE5\q4pvamby\bomir[1].exe
C:\docume~1\9335~1\locals~1\Temp\0027.exe

Пользуюсь антивирусом NOD32 4.2.40.0

OS Win XP SP3 32-bit

Windows defener еще стоит, в нем нашол непонятное приложение которое стоит в автозапуске C:\Documents and Settings\Администратор\Application Data\Microsoft\quooquukol.exe
и C:\Documents and Settings\Администратор\Application Data\yjty.exe

пытался найти поиском, не находятся эти файлы, пробовал ККлинером почистить , 0 эмоций, пробовал искать в реестре оно все равно появляется.
Что делать? Могу винду переставить, но охота разобраться.

дык ты доступ к компу своему открой для всех интернетов, тогда глядишь и прикрепится..

Поставил комодо фаервол, вроди блокирует все файлы и трафик никуда не закачивается, но файл C:\Documents and Settings\Администратор\Application Data\yjty.exe все еще показывается в виндовс дефендере.

solution, http://www.virustotal.com/ru/analisi...958-1280312944
http://www.threatexpert.com/report.a...d7df819d38d53d
Комп нуждается в лечении...

После долгих попыток ковыряться в реестре убил винду :rolleyes:, после переустановки все нормально.

Ну вот ты и разобрался как как лечить от вирусов самым радикальным и действенным на 100% методом.

Для следующего раза научись работать FAR-ом или Total-ом, подготовь загрузочную флэшку или загрузочный диск.
Загрузишься с флэшки или диска. Найдешь и удалишь свои файлы. Подключишься к реестру. Из автозагрузки удалишь ссылки на них и на все, что вызывает подозрение (Поаккуратнее. Желательно знать, что может там "жить", а что нет.)
Перезагрузка с диска С:
Полная проверка антивирусом.

PS и почитай эту ветку.

sysser если тебе еще интересно то это наверно вирус конфликер у соседа было такое я его винт снял пхнул себе в ПК и прогнал каспером и стало заходить и к вэбу и к касперу

подскажите пожалуйста у меня заблокировали на компе 2 сайта одноклассники и вконтате,я не могу туда войти,пишет:
Аккаунт заблокирован!
Ваша страница была взломана, и с нее рассылался спам. Чтобы это прекратилось, Вам необходимо активировать Вашу страницу.

Также мы советуем Вам сменить пароль от почтового ящика и проверить Ваш компьютер на вирусы. Никогда не указывайте Ваш пароль от страницы нигде, кроме сайта http://odnoklassniki.ru

Для активации Вашей страницы отправьте SMS с Вашего мобильного телефона с текстом 110521650 на номер 6681.

С уважением, администрация.
Систему переустанавливала,не помогло,антивирус стоял касперского,установила Nod 32.Вобщем та же фигня.Чё делать?:help::help::help::молись:

добавлено через 48 минут
пробывала
1. Открыть C:\WINDOWS\system32\drivers\etc
2. Открыть блокнотом файл hosts
Тоже не помогло((:virus:

и что там увидела?

ну на сайте писали что там очистить нужно и всё заработает,но не помогло

masya0290,
1. Скачай вот с этого сайта http://z-oleg.com/ антивирусную утилиту AVZ (в разделе Downloads/Скачать)
2. Установи
3. Запусти.
4. Войди в меню "Файл", далее пункт меню "Восстановление системы", там отметь галочкой пункты 13 (Очиститка файла Hosts) и 20 (Настройки TCP/IP: удалить статические маршруты) и нажми кнопку "выполнить отмеченные операции.
5. Пробуй зайти на контакт и одноклассников

К рекомендации Billy.
1. Для начала я всё таки бы вернул касперского и купил на него лицензию.
2. Возьми за правило не лазить в инете пока не обновишь базы.
3. Возможно я ошибаюсь, но одноклассники не предлагают отправить смс на номер. Они предлагают ввести номер телефона, указанный при регистрации или высылают пароль на ящик.
4. Если ты зарегистрирована на разных сайтах под одним именем, то быстрее всего и пароли у тебя одинаковые. Насколько я знаю контакты ломали (и не один раз). Отсюда и вывод.

И последнее. Посмотри внимательнее, ты точно пытаешься войти на одноклассники и в контакт. Я сам пару раз попадал на лжеодноклассники (для интересу) потому что в ящик приходили извещения с лжеодноклассников.

Пороно банер заблокировал WinXP
 

Ситуация такова порнобанер заблокировал комп с ОС winXP SP3 раньше такое уже бывало выходил из ситуации так:
грузился в безопасном режиме с поддержкой командной строки потом запускал explorer, ну и с помощью avz чистил систему, перезагружался и все работало.

недавно знакомый поймал себе опять порнобанер я загрузился в безопасном режиме с поддержкой командной строки а банер вылез и там и все заблокировал и недает ничего делать.

Может кто подскажет еще варианты удаления sms информеров? заранее спасибо!!!

Воспользуйся утилитой Dr.Web CureIT! http://www.freedrweb.com/cureit/?lng=ru
Если она не поможет, придется чистить куки, кеш и реестр вручную в безопасном режиме.

я же говорю что безопасный режим тоже заблокирован sms информером и я там ничего запустить немогу!

FACE CONTROL, совершенно ни к чему было создавать отдельный топик.
Перенёс куда надо.
Читай чуть выше.

FACE CONTROL,
Загрузись с любого liveCD (на може Dr.Web есть готовый образ уже с антивирусом). И проверь комп тем же Dr.Web CureIT

Достали экзешки 05(06.46.66.68).exe что с ними делать?
 

Добрый день.
Вопрос такого плана.
2-3 дня мой Outpost Firewall 7.0.4 в Windows XP - SP3
рагуается на то, что в реестре пытаются, что то сделать файлы типа
05.exe 78.exe и т.п от 0 до 100 короче. Скрины приложил. Я все эти экзешники естественно блокирую, но они все равно в процессах отображаются. У меня все проверенно аутпостом и нодом 32 все куплено официально и обновлено. Подскажите как сделать, чтобы это дерьмо не беспокоило мой комп, заранее спасибо.

Hellguards, погонять вирусов надо, лучше сделать это с помощью какого-либо LiveCD, как вариант можно DrWeb LiveCD скачать и просканироват им систему

Вот нашел вроде, снова обновил Nod32, проверил оперативку и диск С, вирусы были скрин приложу, мб у кого то такое будет.

Вируса удаляю, но опять при перезагрузке лезет приложение acleaner.exe и потом он плодит в системе эти вирусы. Сейчас пытаюсь его заблокировать и файерволом и нодом, глянем, что получится

Я бы советовал хотя бы в безопасном режиме лечить, хотя самое то - LiveCD

и неплохо бы прогнать spybot'ом.

я просто не пойму, что они ко мне пристали то? 2-3 дня атакуют, можно ли как то узнать это местные в локалке или это с инета? достали уже файервол разрывается от разных атак, выводит окна, что блокирует и блокирует атаки. И нод разрывается вот еще скринец.... Live CD проверю, но похоже кому то я нужен и если черви и вирусы будут найдены которые я еще не нашел, то они попробуют пройти сквозь нод и файервол. Чем защитить систему лучше чтобы не так просто было взломать мой комп?

P.S Кстати Firewall поставил на максимальную степень защиты, чтобы в системе не произошло выводит таблицу и я смотрю что и куда из процессов просит доступ.

Hellguards, не надо быть таким упертым прогони систему из под LiveCD - убей заразу и никто уже не будет тогда ломится в нэт и тем самым тревожить твой файрвол. У тебя просто в системе какая-то гадость сама себя клонирует под разными названиями файло и будет это происходить до безконечности пока не убьешь первоисточник. Пок не "отрежешь голову" этой заразе бесполезно какое-либо лечение антивирем т.к. она при последующей перезагрузке начнет все с начала и будет у тебя "день сурка"...

Проверил Live CD нашел 4 вируса в Local settings и еще где-то удалил их, но все равно, прет откуда-то еще, Нод32 также разрывается, но хоть Файервол замолчал пока не кричит об атаках. Сейчас сам подумаю, что еще можно сделать. Гайки в НОД32 и в Файерволе сам закрутил, приложения, что ломятся поставил в блокировки Нода и IP подозрительные в Файерволе. Глянем, что получится... Интересно все равно кто так ломится, ко мне хоть на компе ничего нет ценного...

Антивирус ищет сами вирусы, а если у етбя в ресстре прописано, что IE должен обратиться в такому-то адресу, то ни брандмауэр, ни антивирус этого не заметят, а среагируют только когда вирус уже полезет на комп.
Поэтому я и посоветовал тебе провериться с помощью spybot

Вы правы, у меня, что то прописывалось в IE и оттуда могут запросто быть проблемы, я как раз IE 1-2 раза в день его использую так как по работе только IE нужен. А так юзаю Мозиллу. У меня кстати как только вставляю Флешку, сразу мой комп туда кидает вирус и тут же нод32 его находит и блокирует. Скорее всего так и есть в реестр, что то прописалось, сейчас буду искать

P.S Вы были правы уважаемый, я всегда думал, что лучше Аутпоста только Аутпост, думал он реестры палит тоже, нашел удалил пока полет нормальный перестала система нервничать и я)))

P.S2 Кстати у парня, что делает программу SPYBOT есть кошелек? а то у него на сайте нет WMR, чутка хотел бы подкинуть ему за бескорыстную помощь, я бы лично наверное не делал бесплатно, это не малый труд, респект ему и Вашему форому

И Кстати Почему у Меня в Outpost Firewall выключено слежение за червями? как его включить я не выключал точно и у меня платная версия тоесть я платил за него отключать не должны были (Скрин приложил)

Все полностью систему почистил, пришлось зайти под DOSом и с помощью VC (Volkov Comander) удалить все, на, что было подозрение. Короче червь под названием ACLEANER, удалял я его SPYBOTом, он его удалял, но он через секунду снова восстанавливался. Я даже зашел в реестр и там его нашел и удалил. В том месте где я его в реестре удалял при обновлении он снова появлялся. Мне это надоело я зашел под DOS, удалил на всех своих винтах папку RECYCLER (странно, что она была на всех винтах и там в ней сидел червь в каждой) Потом в папке Windows удалил папку TEMP и в LOCAL SETTINGS удалил так же все связанное с temp. Перезагрузился, прошелся программой SPYBOT и ручками поискал как ранее в реестре червяка, все его уже нет и система как и ранее нормализовалась... Всем спасибо, надеюсь моя борьба кому-то да и поможет, так как наверняка кто то столкнется еще с такой проблемой...

И Решил проблему с отключением поиска червей в автономном режиме
Вы можете включить эти модули самостоятельно следующим способом:

1. Отключите режим внутренней защиты, нажав правой кнопкой мышки на иконку программы в системном трее, и выбрав пункт меню "Отключить внутреннюю защиту".
2. Выйдите из Outpost, нажав правой кнопкой мышки на иконке программы в системном трее и выбрав "Выход".
3. Откройте следующий файл: C:\Program Files\Agnitum\Outpost Firewall Pro\machine.ini
Возможно, понадобится включить отображение расширений файлов в меню "Панель управления - Свойства папки - Вид". Необходимо снять галочку с опции "Скрывать расширения зарегистрированных типов файлов".
4. Измените значение параметра 'EnableScanner' на 'TRUE'.
5. Сохраните изменение.
6. Запустите Outpost, и включите обратно режим внутренней защиты.

Доброго времени суток!!1
Ситуация такова есть ноут с установленной win 7, человек попросил помощи, говорит что поймал winlocker(а).

Что я обычно делала в этом случае
1. При включении пк, нажимал F8. Загружалcя в безопасном режиме с поддержкой командной строки. Запускал там explorer. Далее чистил реестр автозагрузку. Перезагружался и все было пучком.
2. Когда режим командной строки выдавал тоже окно winlocker(а). То я грузился с LiveCD, также праил встроенными утилитами реестр и все становилось опять нормально.

Но в этот раз я впервые встретил разновидность такого вируса.
При включении ноута он даже не грузит винду, и не дает запустить даже выбор вариантов загрузки ос. А сразу выдает белыми буквами на черном экране номер телефона и требование на него положить деньги. т.е. я могу только зайти в биос где выбираю вариант загрузки. все далее срабатывает этот вирус.

если я правильно понял то этот вирус поселился в загрузочной записе на жестком диске.

подскажите сталкивался кто-нибудь с таким вирусом и как восстановить работоспособность windows.

Заранее спасибо!!

FACE CONTROL, если есть возможность загрузится с LiveCD, то можно убить этот вирус, т.к. LiveCD не использует для работы HDD, а загружается в ОЗУ. Дело в другом - надо иметь под рукой еще и антивирь с актуальными базами, чтобы убить заразу.

Всё может быть намного сложнее.

Пробуйте это: _http://support.kaspersky.ru/viruses/solutions?qid=208641245

Во всяком случае, не помешает побывать здесь:
_http://forum.kaspersky.com/index.php?showtopic=209673

просто я же говорю что этот вирус не использует скорее всего реестр, а изменяет на жестком диске загрузочную запись, и получается что этот winlocker даже винду не дает загрузить (в отличии от своих предшественников). Поможет ли тут антивирус с актуальными базами??? или нужно шаманить с загрузочной записью на жестком???

Jaded дал дельный совет. Возми LiveCD, и просканируй комп, отсюда: http://www.freedrweb.com/livecd/

LiveCD - не использует жесткий диск и реестр соответсвенно, т.е. комп работает без загрузки основной ОС и вири не смогут загрузиться, даже если в реестре останется запись на запуск вируса, а спомощью LiveCD инфицированый файл был удален, то соответсвенно и при запуске системы и вирь не стартанет. Думаю логика понятна...
LiveCD Вам в помощь.

добавлено через 2 минуты
Вот еще один дельный совет!

Если в диска НЕ идет загрузка, то, соответственно, вирусный код, даже если он там присутствует, активироваться не будет.
К сведению, на диске, при установленной ос, есть, как минимум, 2 загрузочные записи.
MBR (Master Boot Record) и просто Boot Record.


Поможет, если вирус пристуствует
Не стоит. За исключением случая, если достаточно хорошие познания в ассемблере и сможешь разобраться в коде.

Мне давно не встречались бутовые вирусы и я не очень верю, что они сейчас получили распространение, т.к. лечатся просто - Загрузка с любимого LiveCD, перезапись MBR (я это делаю с помощью BootICE - http://bootice.narod.ru/ )

Возможно дело в ином - заражена система, причем самым примитивным образом : заменен SHELL

Проверте в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметр Shell = Explorer.exe Если значение иное, то это и есть ссылка на вирус

Доброго времени суток.
Появилась следующая проблема:
После переустановки WinXP SP3 стала заполняться виртуальная память, выглядит это примерно так:
Включается компьютер, происходит загрузка, а далее, буквально по капле, по мегабайту начинает заполняться память, то-есть если открыть диспетчер задач, то процессы и приложения занимают, практически постоянное кол-во памяти, но если открыть вкладку с быстродействием, то можно будет наблюдать как использование файла подкачки постоянно нарастает, в итоге проходит какое-то время и компьютер закрывает приложения из-за нехватки памяти...
WinXP загружал последние обновления, антивирусами dr.web, avast, касперский, не дали результатов, хотя утилита касперского, против руткитов, выловила какую-то дрянь и обезвредила.

Если кто-то сталкивался, прошу помощи...:молись: