IMHO.WS

IMHO.WS (http://www.imho.ws/index.php)
-   Руководство для новичков (http://www.imho.ws/forumdisplay.php?f=35)
-   -   Компьютерный "триппер". Руководство по удалению вирусов (http://www.imho.ws/showthread.php?t=44122)

Borland 30.06.2011 15:14

Infernus_, проблема утечки памяти существует столько же, сколько существуют компьютеры, и вовсе необязательно связана с наличием вирусов - достаточно одного кривого драйвера или программы в автозагрузке.
Выявить виновника технически возможно удаляя по одной программы и драйверы, но переустановка системы начисто (с форматированием диска) зачастую оказывается существенно дешевле по затратам труда и времени. (А ещё лучше - восстановление чистой системы из заранее созданного образа).

Val14 07.07.2011 13:37

Цитата:

Сообщение от Val14 (Сообщение 1747243)
Мне давно не встречались бутовые вирусы и я не очень верю, что они сейчас получили распространени

Был не прав - Злоумышленники переключились с MBR на загрузчик NTFS-раздел

Умидэнц 22.07.2011 19:00

В дополнение к предыдущему - до сих пор достаточно распространённая зараза под названием winlock (Ransom), одна из разновидностей которой заражает как раз MBR. Правда, относится этот вредонос к троянам, а не вирусам, но всё же.

Alex Dark 21.08.2011 13:24

Джентльмены, я тут столкнулся с одной фичей, победить то я её победил, но как оказалось она вылезла заново.
Может кто с подобным встречался, во всяком случае мне эту проблему надо решить, а то кататься на другой конец города два раза в неделю как то не светит.

Суть: предложили мне в одной маленькой конторке подшабашить, чисто "у нас компы два года работают, наверное им ТО провести надо"
Приехал, а мне с ходу, тут у нас вчера ещё и принтер завис, отвиснуть надо.
Короче, сервак с восьмёркой, не домен. Пользуют восьмёрку терминально человек шесть.
Принтер НР1100 сетевой стоит на компе "А". К терминалу подключаются с наследованием своих принтеров + на серваке этот же принтер висит. В результате один и тот же принтер начинает "плодиться" после подключения очередного пользователя. Но проблема не в этом, это просто описание ситуации.

Зависший принтер надо отвешивать там где он стоит. Выгнал всех из терминала. Лезу на принтер, на той машине где он реально стоит. В принтеры попасть невозможно експлорер виснет, реанимировать можно только убиванием процесса.

В автозагрузке (Starter-ом и msConfig) вижу несколько непотребных загрузок.
К стати, ни ДокторВеб ни АVZ не нашли ни чего что классифицировали-бы как вирь.
Всё что показалось непотребщиной отключил, скинул на флешку, дома скормил касперу, тот не прореагировал ни как.

Насторожили две записи в автозагрузке (одна в реестре, другая в пуск-программы-автозагрузка)
И та и другая ссылалась на один и тот же файл в TEMP с абракодабренным названием (кажется расширением tmp)
Но файлеца этого я на диске не нашёл (пользуюсь ФАР-ом).
В процессах нашёл и убил этот абракодабренный процесс, вернее два процесса. Убить которых получилось только прибив explorer.

Перезагрузился проконтролировал. Всё путём.
Сразу ожил принтер и давай печатать. Посчитал что дело сделано.
Прошла неделя, симптомы повторились.
т.е. принтер опять завис. Причём, как мне кажется висяк начинается именно после попытки отпечатать терминально, по сети. Т к. со слов, по сети все печатали нормально, только в конце дня потребовалось отпечатать с терминальной 1С и тут принтер подвис.

Предпологаю, что на машине с принтером опять появился абракодабренный процесс.
Откуда он берётся пока нет предположений.

Если есть у кого какие мысли, отпишите плиз

Alex Dark 23.08.2011 10:26

Доброго времени суток.
Я оказался не прав. Ни какого абракодабренного процесса не появилось. Всё осталось не тронутым.
Проблема с виндой. Она тупо перестала открывать папку с принтерами. Соответственно и принтер висит.

Умидэнц 23.08.2011 17:14

Пробовали печатать с компа, предварительно отключив его от сети ?
Случаем не сохранилось то самое "аброкадабренное" имя "аброкадабренного" процесса ?
Собственно, в эвентах нет ссылок на проблему запуска службы печати (принт-сервера) ?
Ну и, наконец, не вылетало ошибок процесса spoolsv.exe ?

doro 16.12.2011 21:48

Когда курсор мыши вдруг ни с того ни с сего вдруг всает как вкопанный (как правило, на краю экрана или же на краю какого-нибудь окна) - это не вирус случайно какой-то?

leon534 17.12.2011 00:20

Цитата:

Сообщение от doro (Сообщение 1754954)
Когда курсор мыши вдруг ни с того ни с сего вдруг всает как вкопанный

На всякий случай ответь, пробовал ли заменить мышь?

doro 17.12.2011 03:05

ДА

Val14 17.12.2011 12:48

Цитата:

Сообщение от doro (Сообщение 1754954)
Когда курсор мыши вдруг ни с того ни с сего вдруг всает как вкопанный

Если НЕ вирусы, то железо умирает.

Если после замирание мыши, всё остальное тоже зависает (т.е. зависает Винда), то меняйте видеокарту или тестируйте память. Вероятнее видеокарта перегревается...

Если клавиатура реагирует, т.е. Винда НЕ зависла, а мышь PS/2, то меняйте мышь на USB-шную, т.к. умер разъем PS/2

doro 17.12.2011 15:02

Цитата:

Сообщение от Val14 (Сообщение 1754968)
всё остальное тоже зависает (т.е. зависает Винда),

Не зависает. Всё остальное работает нормально. Только мышь стоит, хотя обе клавиши работают.
Протестировал по быстрому видюху - вроде всё нормально.

Val14 17.12.2011 16:30

doro,
Цитата:

Сообщение от doro (Сообщение 1754969)
Только мышь стоит, хотя обе клавиши работают

Цитата:

Сообщение от Val14 (Сообщение 1754969)
Винда НЕ зависла, а мышь PS/2, то меняйте мышь на USB-шную, т.к. умер разъем PS/2

Вы отвечаете НЕ на все вопросы. Неизвестно гонялись ли антивирусные программы. Будте более подробны...

doro 17.12.2011 18:43

Цитата:

Сообщение от Val14 (Сообщение 1754972)
Неизвестно гонялись ли антивирусные программы.

Собственно с чего всё началось: был пойман вирус Win32/TrojanDownloader.Carberp.AF (по классификации Esset). NOD вылечить не смог. Пришлось воспользоваться самым свежим на тот момент Cureit и Kaspersky Virus Removal Tool. Вроде очистил. Потом всякая мелочёвка появлялась (по причине частого использования в Internet в качестве браузера IE). Были и Win32/Dorkbot.D, и JS/Kryptik.EC, и Win32/Agent.KKCXZQQ (всё по классификации Esset). NOD вроде всё мочил (по крайней мере прогон бесплатных утилит DrWeb и Касперского ничего не показывал). Ну а потом началась эта морока с мышкой.

Plague 17.12.2011 19:00

doro, возьми любой live-cd (в т.ч. и CureIt - там вроде тоже поддержка мыши есть) и посмотри как будет работать с ним, а не гадай на кофейной гуще. если и под liveCD тож самое будет - значит проблема в железе и данному топику не относится.

doro 10.06.2012 16:57

На Win7 при запуске любой программы вылетает окно Media Pleer (что при запуске исполняемых файлов что при запуске через ярлыки на РС или Пуск) и закрывает запускаемую программу.
Через Безопасный режим с поддержкой командной строки удалось всё же запустить Drweb CureIt. Нашёл какие-то вирусы, удалил и вылечил (какие - не знаю). Но проблема всё равно осталась. :help:

Fermata 11.06.2012 11:50

doro

Вот тут как раз про это:
_http://support.microsoft.com/kb/950505

Или поищи в Гугле win 7 exe fix, там можно найти сразу готовые reg-файлы.

В ощем, это вроде не вирус, а какой-то косяк в реестре.

Alex Dark 18.06.2012 15:22

Цитата:

Сообщение от doro (Сообщение 1761342)
На Win7 при запуске любой программы вылетает окно Media Pleer

А..... (с семёркой не часто сталкиваюсь) AVZ на семёрке такие вещи лечит и вообще как себя ведёт?

PS так для общего развития, вдруг пригодится

FACE CONTROL 19.06.2012 10:32

Доброго времени суток!

ситуация такова при попытке открыть сайт с полями для заполнения вот к примеру

_http://www.ozon.travel/

часть сайта а именно откуда и куда будешь вылетать вообще пустое и так во всех браузерах, думал сначала глючит сайт потом на другом компе попробовал все ок.

сбрасывал в ie все настройки на дефаулт не помогло.
единственное что получилось в опере если включить режим турбо то тогда этот сайт открывается нормально, но уж очень долго.

проверял на вирусы нод 32 все ок.

в чем может быть проблема и как ее можно решить???

зы. ОС Win 7 x64

Alex Dark 22.06.2012 09:06

Я конечно понимаю что у тебя быстрее всего что то другое, но всё же.

Был вчера у знакомого. Типа баннер снять, компу ТО провести.
У него тоже НОД стоит на ХР.

Так вот, баннер снял быстро, но в процессе удаления кучи всяких надстроек, ускорителей, оптимизаторов и другого ПО (которое типа облегчает жизнь и поставляется на комп в комплекте как бесплатное приложение с игрухой или ещё какой прогой) я вдруг заметил, что во обозревателях стали происходить забавные вещи: меняться начальные странички, начали всплывать рекламные хрени типа "Поздравляем, вы выиграли... дай номер телефона" (там где их по определению не может быть, например на ya_точка_ru ) и так далее.

А потом вообще перестал попадать на любые сайты кроме яндекса, майла и рекламных ссылок на них.
В общем то я кое как умудрился качнуть каспертулса, а потом ещё и Cureit.

Каспер запуститься не смог (4 svchost каждый по 25% грузили систему намертво). Только в защищённом убив из автозагрузки всё что там было (starter) и ни чего не найдя перегрузился в нормальный режим. В нормальном режиме каспертул нарыл пару троянов, backDoor и ещё что то.
Руганулся на что то что не может удалить и пообещал это сделать после перезагрузки.
При этом выйти на странички инета стало не возможно попасть вообще, кроме майла рамблера и рекламы. А потом и сами странички начали загружаться частично. Т.е. вместо имхо.ws открывался заголовок и разделы статистика и дополнительно (естественно всё в неудобоваримом виде)
А потом и вообще в виде куска html.

Дождался окончания каспертула и перегрузился, после чего комп начал бегать очень шустро, но доступа к сайтам не было вообще (опять же кроме майла рамблера и их рекламы)

Так как времени было не достаточно, то я поставил cureit-а (который с ходу убил какой то процесс в памяти) и пошёл домой.
Хозяин потом позвонил и сказал, что cureit нарыл ещё несколько чего то.

Типа инет ожил. Сам не смотрел ещё.
Так что как то так.

Возможно поэтому в турбо опера тебе что то показала (на сколько я знаю, в турбо к тебе приходит страничка упакованная в архив)


PS Пройдись каспертулом и Cureit-ом

Jaded 22.06.2012 23:02

Сегодня принесли ноут с винлокером, просил 500 р. на номер +79874322969. Эта гадость лежала по адресу c:\Documents and settings\Admin\ms.exe
Маскируется под виртуальную машину Oracle (могу и ошибиться).

FACE CONTROL 26.06.2012 09:21

Цитата:

Сообщение от Alex Dark (Сообщение 1761620)
Пройдись каспертулом и Cureit-ом

каспером не гонял а вот Cureit что-то нашел удалил но результат все тот-же

FACE CONTROL 26.06.2012 21:15

касперский вирусов тоже не нашел, го при открытии сайтов в том числе и и этого форума выходят всплывающие окна то с порнушкой, то с оповещением о взломе одноклассников

Borland 26.06.2012 22:30

FACE CONTROL, судя по имеющейся информации о Вашей проблеме - ни один из антивирусов проблему не определяет.
Такое случается (иногда), при наличии либо малораспространённого malware, либо неправильно выбранного антивируса.
Дать универсальный совет в такой ситуации не получится - нужно либо ждать, пока антивирь научится ловить и лечить конкретный зловред, либо искать "врага" руками и руками же удалять. Лучше всего при этом иметь под рукой чистую систему для сравнения параметров реестра. И хоть какие-то знания в плане "что к чему в этом реестре относится")...
Обычно ещё рекомендуют AVZ в режиме восстановления умолчаний системы - но при этом, вообще говоря, невредно бы понимать, что конкретно происходит. Это как с (хорошо знакомыми) отвёрткой и пассатижами в мине неизвестной конструкции ковыряться - либо всё сложится как надо, либо нет...

Alex Dark 27.06.2012 10:24

Цитата:

Сообщение от FACE CONTROL (Сообщение 1761721)
касперский вирусов тоже не нашел, го при открытии сайтов в том числе и и этого форума выходят всплывающие окна то с порнушкой, то с оповещением о взломе одноклассников

Ну... к сказанному Borland можно добавить только то, что из великошаманских вирусов или вредоносов пока не придумали ни чего такого что не оставляло свой след хотя бы где-то.

хз конечно но, я бы посмотрел hosts и автозагрузку (starter)
А ещё загруженные и загружаемые процессы повнимательнее (System Explorer)
Быстрее всего эта шняжка висит на explorere замаскировавшись под что то системное и до боли знакомое

doro 27.06.2012 18:58

Цитата:

Сообщение от Alex Dark (Сообщение 1761728)
я бы посмотрел hosts

аналогично
Ну, а автозагрузку, наверное, всё же антивирусы неплохо прогоняют. Хотя проверить их работу можно ;-)
Ещё интересно было бы сравнить размеры explorer.exe с тем, что в дистрибутиве

Alex Dark 28.06.2012 18:35

Цитата:

Сообщение от doro (Сообщение 1761732)
Ну, а автозагрузку, наверное, всё же антивирусы неплохо прогоняют. Хотя проверить их работу можно ;-)

Дело в том, что если прога висит в автозагрузке, и её антивир не определяет как зловредную, то он ни чего и не скажет (PS не знаю как сейчас, а некоторое время назад такие проги ни каспертулом ни куритом не определялись. У чела висела такая в автозагрузке (пуск,автозагрузка) и методично меняла стартовую страничку в ИЕ на какую-то онлайн игруху).


А вот о подмене эхплорера я как то не подумал +1

doro 29.06.2012 19:21

Цитата:

Сообщение от Alex Dark (Сообщение 1761756)
он ни чего и не скажет

До поры до времени. Больше недели не замечал бездействий антивирусов - всегда начинали отлавливать


Часовой пояс GMT +4, время: 03:45.

Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.