Порнуху смотрим, господа? :winkgrin: Обычно всякие Anal Fucking'и прописываются именно с порно-сайтов - знаю по собственному опыту ;)
А если троян, надо однозначно ставить брэндмауэр, уж там идет контроль над всеми сетевыми процессами и никакая дрянь за пределы компа не вылезет, а при попытке сама себя обнаружит.

Уже устал каждый день удалять шпиена. Ad-aware находит без проблем и удаляет. И так каждый день. Активировал ad-watch, ругается об изменении реестра, блокирую. И снова повторяется. Как бы найти, откуда эта зараза лезет и польностью удалить?

djon72
Такая бяка можетпоявляться при просмотре какого-нить сайта. Или это может быть результат работы "вши" в IE - просто твоя прога не всё нашла.

Посмотри ещё эту тему: http://www.imho.ws/showthread.php?t=49145

djon72
Ты очень торопишься, отсюда и результат.
1. Запомни или запиши название файла (файлов) которые нашел Ad-aware.
2. Затем через меню ПУСК -> НАЙТИ прогони эти файлы по всему компу на предмет копий.
3. Удали все файлы с расширением .tmp
4. Почисть папку с временными интернет файлами.
5. Зайди в редактор реестра и прогони поиском файлы из п. 1.) Все что найдется - удаляй.

Interceptor
Кроме как на форум, никуда не ходил. Так что это отпадает. Да и потом я не пользуюсь IE, а оперой. Короче в растерянности.

alexcop
Может я что то недопонимаю. Находятся не конкретные файлы а записи в реестре. Попробую почистить темпы. Хотя неясно почему ad-aware не находит сам файл, который эту дрянь прописывает.

2 djon72
Кэп на своём сайте асто эту прогу советует с сайта _http://www.anvir.com последняя версия, по-моему 3.7.392. Прога отличная! Сидит в трее и следит за изменение автозвгр. и, даже, перед изменением тебе говорит, что мол она хочет записаться и предлагает несколько действий и полную инфу од этот файле. Так что советую (весит окло 250 кб).

StaideR
Название у проги есть? А то сайт такой не открывается.

StaideR
Та дрянь, которую подцепил djon72 не садится в автозагрузку а прописывается в реестре.
djon72
просмотри внимательно на записи реестра. Там могут быть указаны ссылки на файл или адрес какого-нибудь сайта

Ой! сайт не так написал, конечно же _http://www.anvir.com , а прога называется anvir. Вот её прямая ссылка _http://[покоцано модератором]anvirstp.exe .
2 alexcop
А как же она тогда загружается, если не через реестровский автозапуск? Кстати эта прога не только автозапуск выслеживает, но и ВСЕ без исключения процессы в системе и может их без проблем удалить. А так же показывает всю инфу работающего процесса.

StaideR
Например, прицепившись к дровам. Или стартует вместе с конкретным файлом, при обращении к этому самому файлу. Из сервисов.... да много разных вариантов. Реестровской автозагрузкой даже не все тори пользуются!

djon72
Придётся тебе мониторить реестр на предмет новых записей. Есть специальные проги, которые за этим следят. Некоторые, например, даже спрашивают добавлять такую-то новую запись в реестр или нет. К сожалению, названия не помню. Можно, например, заюзать RegMon, предварительно настроив на мониторинг новых записей. В противном случае создастся нехилый log-файл, в котором нужно ещё и найти иголку в стоге сена. Хотя, если заюзать поиск, то всё будет намного проще: просто ищещь название этого ключа в логе. Тебе будет высвечено какой файл и когда создал этот ключ

anvir - действительно рульная прога. Стоит у меня месяца 3 и частенько спасала, но ставить ее надо на чистый (незагаженный) комп.

2 alexcop
Ну так! Кэп плохого не посоветует! :) У меня она уже дофига стояла и много раз спасала, даже от sasser'a спасла раз!!! Так что всем, кто её не постави -- рекомендую, тем более, как говорил КЭП (KpNemo кто не понял :)) для руссских она беплатна, совсем беплатна! :)
З.Ы. спасает от многих Ad-aware и вирусов.

Всем
Спасибо за помощь. Проблема решилась радикально. Грохнул папку с темпами и тьфу-тьфу уже несколько часов ничего нет. Видно дрянь сидела там.

Сейчас я как напишу-напишу - мало не покажиться. Несколько минут разделался вот с этой дрянью- Adware.Look2Me
Сейчас опишу.
Пользуюсь оперой как браузером.
Запустил некую прогу по ослиной ссылке (емул).
После этого началась вся хрень.

Стали открываться окошки браузера ИЕ открывается всякая пурга - реклама отстойных буржуйских прог. Открывается сам ИЕ и открывает свою хрень
Иногда с переполнением буффера вылетает winlogon и комп перезагружается(((
Вирь вирем. Я бы этих кодеров подвесил за их кодеки))) :молись:

Все процы просмотрел. Несколько раз Adaware прогнал. понаходила всякого. Однако же, хотя и базы новые эту хрень не нашла.
Итак, читайте внимательно.

С помощью autoruns от sysinternals обнаружил что загружается некая дллка как winlogon notification. Попытка удаления ключа реестра была безуспешна, поскольку прога тут же мониторит этот куст
Удалить файлы, которые являются скрятыми, только для чтения и используются системным процессом Winlogon не было успешным даже в сейф моде. И понятно. Она исполняется при входе пользователя в систему.
Если включен расширенный режим (Verbose) отображения загрузки компонентов системы, то эту дллку можно увидеть при логоне.
При том файлов - копий в корне систем32 несколько. Все датируются примерно одинаковой датой создания. Называются произвольно
3wvx.dll, aoaamon.dll...
Что я делаю? нет не загружаюсь из другой ОС и не отвинчиваю винт.
Вместо того, чтобы войти в систему я удаленно подключаю реестр моей системы и удаляю злополучную ветвь, которая кажется называется IEGuardian (Гардиан какой-то, не помню точно - неважно)
Все. Далее подсовываю файлы Symantec Antivirus CE 9.0, предварительно включив опцию обнаружения Spyware и....
Он идентифицирует файлы как... Adware.Look2Me
Вот такая зараза))))

Кстати подсунул файлики Adaware - он тоже их идентифицировал
Просто когда они загружаются, к ним отсутствует доступ на чтение.
)))

прога для всех начинающих юзверев
Browser Hijack Blaster - не даёт добавлять всякую пакость и менять домашнюю страницу , маленькая и сердитая .
искать в гуглу , если кто не найдет стучите на аську 6939041 :beer: , скину .... или дам ссылку на свой нттр сервер ( он просто не всегда открыт) .

Один из вариантов борьбы с триппером.
Была следующая проблема:
Короче, какой-то красавец полазил по порносайтам, в результате на машине, 2к, появилось в програм файлз папка вебсайтвюєр с двумя екзешниками 124425 и 126653temp - время от времени запускается порносайт, на рабочем столе появляется странная иконка, выдает какие-то ошибки в запуске программы (программу не указывает). Почистил в реестре через regedit все ссылки на эти заразы, через некоторое время, без перезагрузки, все появляется обратно. В run-ах ничего нету. Появились странные процессы (winad.exe, winclt.exe, twink64.exe, lpt.exe, 124425.exe), и в 2к nt server не смог определить "хозяина". В систем32 куча заразы. Возникло также подозрение, что у меня выбивает симантек антивирус корпорейт едишн (возможно это и не так). Начал юзать поиск интернета по названиям процессов и столкнулся со следующим сайтом _ttp://housecall.trendmicro.com/ там есть он лайн проверка, которая выявила кучу троянов (мой симантек ничего не нашел). В общем помогло.

Вот и у меня какая-то бяка завелась. :)
Norton Internet security 2005 после каждой перезагрузки и входа в сеть (стрим) стал орать, что что-то там обнаруженно и заблокированно. В логах NIS появляется запись:
Проверка Norton Antivirus ничего не дала. Все чисто. :(
Ad-aware 6 тоже ничего не сказал.
Вроде эта бяка появилась после liveUpdate в NIS. Но, может я ошибаюсь. Вот и думаю, бяка это или NIS глючит.
Может у кого было что-нить подобное?

зы. NONE-75 это так у меня комп называется в свойствах системы. :)

- Каспер с расширенными базами опознаёт Стримовский файл автоконфигуратора adiras.exe как порнозвонилку.
Конкретно как "not-a-virus:PornWare.Dialer.Generic"
По-моему ругался и на autoclk.exe(Стримовский-же), не помню точно.

P.S. Нашёл после заблокированного входящего UDP с
комментом что-то вроде "удалённая программа ищет сервер"

А что это за стримовские автоконфигураторы такие? Насколько я знаю, там все руками настраивается. Это файлы официально от стрима?

От Стрима.Такие драйвера идут к юсб хуавею. adiras -инсталлятор от Аналог девайс, а autoclk- Стримовский эмулятор кликанья мышкой. Настраивает WAN-адаптер, создаёт соединение и отправляет ярлык на раб.стол.Потом прописывается в автозагрузку, висит в памяти и "помогает" нажимать "next" в мастерах.

Какая-то срань прилипла. Включаю комп - некоторое время все в норме, а затем начинает "прыгать" мышиный курсор, всплывают окна, которые не вызывались... Антивирус "Каспер" ни хрена не нашел, Ad-Aware никак не может добраться до конца своей работы (окошки-попрыгунчики и все...). Хотел
поставить новый NOD32, да вот скачанный из Инета экземпляр работает только по NT (2000, ХР). А у меня Win98.
На работе один сослуживец сказал, что такое у него такое было при неисправности мыши. Мне в это не верится, т.к. в DOS"e мышь пашет без проблем.
За 15 лет работы на компьютерах с таким дерьмом столкнулся впервые!
Наверное, придется переустанавливать Винду (а как не хочется, это ведь день придется потратить на переустановку программ).
И зараза эта "выскакивает" по разному: иногда сразу после загрузки, иногда через 5-20 минут. Как будто случайный" счетчик времени работает.
Может быть присоветуете способ спасения???
<Добавлено позже>
Похоже, прав был мой сослуживец. Наверное все эти
"дергания" мышиного курсора, хаотично и самопроизвольно
открывающиеся окна есть следствие неисправной мыши, а
не вируса! Сейчас "тупо" засунул провод поглубже в корпус мыши, прилепил его пластырем к корпусу (что не вылез:))) и работаю. Пока (тьфу-тьфу) никаких проблем. Сегодня еще погляжу и, если все будет в порядке, просто куплю новую мышь.

Спасибо, помогло, в принципе. Нашел кучу троянов, но удалить сразу не удалось: писал, что не может их удалить т.к. они используются. Пергрузился в Безопасном режиме (стоит Win2k Prof SP3) - кое что удалось удалить, а некоторые не удалились: нет доступа. Как их можно удалить?

TraNceR-SPb
Удалить очень просто!
Если у тебя операционка Windows XP - нажимаешь Ctrl-Alt-Del и входишь в диспетчер задачь Windobs. Далее кликаешь на вкладку Процессы и ищешь запущенные EXE'шники, которые являются троянами (сравнивай с теми, которые выявила он-лайн проверка). Безжалостно закрывай эти процессы, а дальше спокойно вручную или с помощью все-той же он-лайн проверки грохай троянов из тех мест, где они прописались. Еще раз повторюсь, главное закрыть процесс.

Операционка Windows 2000 Prof. Так, как ты описал сделать, я попробовал сразу - "Отказ доступа" :( Кое-что получилось удалить таким образом в Безопасном режиме, но некоторые попрежнему удалить не получается - нет доступа.

TraNceR-SPb
Тогда грузи DOS и удаляй из под него.

Файловая система диска, на котором стоит Windows (ну и зараженные файлы) - NTFS

TraNceR-SPb
Есть много софта для этих целей.
К примеру - NTFS Reader 1.01 - доступ к NTFS разделам HDD из под DOS. :yees:
Хомяк
Дерзай!

Проще всего зайти на sysinternals.com, взять у них Process Explorer и поубивать все процессы, несмотря на доступ.

А вообще, много таких утилиток.

Partyzan
Спасибо за идею! Но столкнулся с другой проблемой. Зараженные файлы:
в папке WINNT:
m7.exe
questmod.dll
toolbar.exe

WINNT/SYSTEM32:
q643593.dll
vbiewer.ocx
... ничего подобного в списке процессов нет :(

TraNceR-SPb
То что их нет в списке процессов - не значит что вредный код из них не выполняется. Те же dll и ocx могут вызываться другими процессами.

Так я написал названия файлов для того: мало ли кто-то встречался с такой проблемой и знает какие именно процессы вызывают эти файлы. А вообще можно как-нибудь узнать: какие процессы вызывают определенные файлы?

Попробуй поставить AVK и проверить хард. Если не поможет открой таск бар(ctrl+shift+esc) открой закладку PROCESSES отфильтруй по CPU наверху появится процесс который больше всех загружает проц. Отключи его на х**(если это не explorer.exe). Удали все программы которые появились. Удили iedll и почисти реестр. Возможно у тебя не хватает оперативки (желательно 512 мб).

Проблема в том, что эти dll'ки судя по всему, уже подгружаются какой-нибудь программой типа эксплорера. Сложный случай, лично у меня руками в подобном случае поправить не получилось.

Берешь антивирус и/или сканер троянцев(например, Ad-Aware) и вперед.

Проверял Др.Вебом и Spy Sweeper-ом оба понаходили кучу троянов, всех удалили. Но у Спай Свипера постоянно вылетают алерты об изменениях в системе. Т.е. что-то где-то сиддит и гадит :( NAV ничего не видит.

TraNceR-SPb, используй Hiren's Boot CD или WinPE. Из под них все можно поудалять.
Еще как вариант - подцепить на другую машину хард или поставить на этот же хард еще одну винду в другую папку. :)

TraNceR-SPb
Если руками сделать ничего не получается, форматируй диск и устанавливай windows заново. По крайней мере будет меньше головной боли.

TraNcer-SPb
_http://virusinfo.info/index.php?board=26;action=display;threadid=20
,см п."Если проблема не исчезла"
m7.exe - TrojanDownloader:Win32/Swizzor.BT
vbiewer.ocx - TrojanDownloader:Win32/Dyfuca.CT

dll и ocx могут находиться как BHO в браузере.

Спасибо всем за советы.
Проблема разрешилась более простым способом: после перезагрузки, не запуская IE и Проводник, запустил файл-менеджер от имени другого пользователя с правами администратора и удалил эти файлы.

new.globosearch.com
 

В IE при запуске на пустой странице появляется фрейм закачиваемый судя по всему с http://www.new.globosearch.com/ с парой ссылок (там же можно посмотреть на него). Далее при работе в этом фрейме выводятся банеры с вопросами начинающимися с "ЗНАЕТЕ ЛИ ВЫ..." ну и например "какая самая яркая звезда?".
Пробовал антивиры (Вебер, Макафи, AntivirXP и пара др.) - мимо.
Пробовал Lavasoft Ad-Aware - находит все кроме этого фрейма-банера...Завтра еще PetsPatrol попробую, но может уже ктонить сталкивался - помогайте, чем вывести заразу?...