IMHO.WS

IMHO.WS (http://www.imho.ws/index.php)
-   Обсуждение программ (http://www.imho.ws/forumdisplay.php?f=3)
-   -   Как удалить вирус/троян? (http://www.imho.ws/showthread.php?t=45835)

pskov 03.11.2004 00:29

Ребята !! НИД хелп !!!

У меня W98 и OPERA 7.54 начало тормозить и потом вообще зависает при заходе в НЕТ.

Просканировал Dr.WEB ( v4.32a ) выдало мне ,что

С:/OPERA 7.54/PROFILE/CACHE 4 / opr 00224 CLASS
инфицирован Exploit.ByteVerity и не может быть исцелён

Тогда я удалил : opr 00224 CLASS

Снова просканировал антивирем и мне выдало :

......СACHE4/ opr 001 UU.js инфицирован и не может быть исцелён
и ещё добавило gziped.gz
я снова удалил .

Теперь перед загрузками мне выдает:
С:/Program Files/Trojan Hunter 3.9 и показывает поддерикторию (или как это назвать)
thsec.dll

Теперь пробовал зайти с Оперой в НЕТ ,так она ОЧЕНЬ долго грузиться и вообще не хочет входить.А также отказался соединяться с сервером и БАТ .

Перед заходом в НЕТ Firewall (Outpost Firewall Pro ver. 2.5.369.4608 (369))
выдаёт такое сообщение :

"Cкрытый процесс запрашивает исходящее соединение" и пишет
C:/WINDOWS/SYSTEM/KERNEL32.DLL


Ребята помогите как это всё вылечить. Не могу заходить в НЕТ ,что б вам отправить сообщение бегаю за три квартала в кафе.

Mitri4 03.11.2004 00:45

отключи фаервол и подключись http://www.pandasoftware.com/actives..._principal.htm сюда и просканируй комп потом сюда
http://housecall.trendmicro.com/hous...start_corp.asp

http://www.bitdefender.com/scan/licence.php и сюда,кто-нибудь да чего- нибудь да сделает. удачи.

STkatchenko 04.11.2004 05:44

проберь рам на плохие сектара!

pskov 05.11.2004 20:50

proskaniroval.Vidalo no bad.

No nachalo rabotat vse (pravda chutok tormozilo) i ya reshil perezagruzit W98 s CD. Nachalo vidavat chto u menya povrejdeniya i ya doljen gruzit v "save rejime". Aj 251 min. Nu ladno . No kogda vse bilo zagrujeno i octavalos 14 min i na poslednem punkte ostanovilos,tak ,Blin, uje celiy chas postoyanno restartuet.
Vipisivaet,chto neobhodimo restart i opyat zagruzitsa i snova.

Ya pered etim zdelal zagruzochnoe flopy i cherez nego vkluchil skanirovanie(tam napisano kakie komandi vvodit v DOSe).
2 chasa skanirovalo a potom vidalo chto u menya net bedov.

Opyat vstavil CD i ono nachalo opyat s 14 min i karusel.

Cherez disketu zashol v helpi i poproboval vse funkcii.Vse po staromu. Edinstvennoe ne mogu v DOSe nabrat komandi otklyuchit AntiVir i Firewall.Tam v helpah napisano chto nado otklyuchit Antivir. A kak ego otkluchit cherez DOS komandi?
Ya vspomnil,chto kajis ne otklyuchil eti dve progi. Blin ves v stresse i sovsem iz bashki viletelo.Prochital preduprejdenie i otkluchil tolko s rabochego stola.

Narod! Podsobite. Sam v stresse i komp dohnet.

beast_drc 06.11.2004 12:11

Помогите удалить непонтную прогу
 
Проблема в следующем человек посидел за моим рабочим компом и после этого появилась прога дозвона до порно провайдера =)
И она никак не убирается... елси удалить все ее файлы то после перезагрузки она снова восстанавливается, что делать? как вообще бороться с такого рода программами?

Kitana Haru 06.11.2004 12:15

Поставь Ad-aware SE Personal - он всё сделает за тебя.

aleksand 06.11.2004 19:39

Сделай так: http://virusinfo.info/index.php?boar...lay;threadid=8

pskov 07.11.2004 15:31

tak u menya ne perezagrujaetsa sama OS s CD.Vse zagruzilos normalno ,a doslo do punkta "Setting up Hardware and Finalizing seting" i poyavlyaetsa panelka :chto komp trebuet perezagruzki i esli ne perezagruzitsa cherez 15 sek , to samomu nado perezagruzit.Potom visvechivaetsya panelke "Vi hotite ostanovit slujbu i zakrit prilojenie?" I knopki "da","nat". Ya ni na kakuyu ne jmu i komp sam otkluchaetsa i perezagrujaetsa. I poyavlyaetsa snova finalnaya chast zagruzochnoy paneli i tek celiy chas.
Ya poproboval ostavit komp perezagrujetsya na chas. Cherez chas prishol i poyavilos soobshenie:
"A fatal exception 0d has occured at 0028:C001FCE in VXD VMM(01)+00000FCE.The current aplication will be terminated."

Ya opyat perezagruzil komp i mne visvetilo na restart i pognalo po novoy perezagrujetsa.


To chto ti dal mne ssilku horosho i spasibo bolshoe,no ona dlya W ME i W XP,a u menya W98 i samoe glavnoe chto ya ne mogu voyti v nee chto b provodit kakie-libo monipulyacii napisannie tam.

Ya mogu zayti tolko cherez DOS komandi,t.k. predvaritelno zdelal puskovuyu flopy. Mogu zayti i v lyubuyu progu: DR.Web ili OutPost 2,5 (eti u menya stoyat)chto b poprobovat ih otkluchit,mojet oni perezapuskayut komp.No ya ne mogu operirovat imi tak kak ne znayu v kakuyu papku zahodit gde propisani kamandi i kakie menyat i na chto.
A v toy ssilke chto ti dal opisano vse manipulyacii mishkoy.

Ya daje ne mogu vernut proces instalyacii OS nazad. Bud ona neladna. Ved ona uje bolee ili menee cnosno nachala rabotat i esli mne pomojete snova vernut na ishodnoe,to ya snimu vinchester i skopiruyu cennuyu infu na CD ,a sam vint povezu k znakomomu pochistit kak ukazano v ssilke.

No seycas ne mogu vizti ,t.k. ne hochu svetit ihfu. Mne za nee golovu snesut.

pskov 09.11.2004 23:14

to aleksand

spasibo pochistil vsemi chetirmya progami.
No vhodit esho ne mogu ,t.k. nado srochno na vokzal.
Mama pri smerti.

Esli mojno ,to po priezdu esho obratitsa k tebe esli budut trabli

esho raz spasibo.

geomon 18.11.2004 14:34

В Program Files появилась такая папка и в ней три файла:
WinAdShift.dll
WinAdCtl.exe
WinAdAlt.exe
Не обратил бы на это внимание, но антивирус PC-cillin 2005 при выставлении галочки на сканирование Spyware и Adware постоянно жалуется.
Так что это за зверь и откуда он взялся?
Прописан в автозагрузке, после удаления снова появляется.
Папку с этими файлами не удалить. Просканировал SpyBot-ом, ESD - нуль.
Кто сталкивался? Может все это проделать в безопасном режиме?

pion 18.11.2004 16:00

geomon
_http://virusinfo.info/index.php?board=22;action=display;threadid=154

geomon 19.11.2004 09:09

pion
Спасибо за ссылку. Систему снес. Переустанавливаю.

LN berf 24.11.2004 18:44

файл hello.exe в корневой директории диска C
 
Здравствуйте.
С некоторых пор а именно с 11/12/2004 22:31 PM у меня на диске С живет файл под названием hello.exe. Поиск в интернете дал сведения что это может быть червь W32/HELLO.Worm, сам файл весит 0 KB ровно :). Удалить никак не могу, говорит что он используется каким-то процессом. Посмотрел все процессы на task managere, ничего подозрительного не нашел. Как удалить живность??

Спасибо

Raven B. 24.11.2004 18:56

Из DOSа...
Или антивирусом.
Или найти через prcview процес убить.

Emelman 24.11.2004 18:58

LN berf
Попробуй загрузиться с системной дискеты и убить его под DOS.

Plague 24.11.2004 19:18

а лучше попробовать заюзать поиск по форуму.
все 500 раз обсуждалось
http://www.imho.ws/showthread.php?t=45835
http://www.imho.ws/showthread.php?t=44122
устное предупреждение. объединяю с этим:
http://www.imho.ws/showthread.php?t=45835

зы. про удаление файлов, используемых процессом:
http://www.imho.ws/showpost.php?p=697143&postcount=17

LN berf 24.11.2004 22:39

Plague

А можно узнать каким именно образом связана проблема удаления файла hello.exe с червями lovesun, msblaster, тулбарами, окнами при старте IE и т.д.?. К слову сказать я прочистился F-Prot v 3.15 и Lavasoft Ad-Aware SE 1.05 никаких подозрительных изменений в реестре нет. Объясни пожалуйста

Wicked Phoenix

Драйв отформатирован под NTFS, дос его не видит. Я пробовал ставить драйвера для NTFSa но видно руки не оттуда, ничего не вышло.

Plague

1. Загрузился в safe-mode плюется тем же сообщением
2. Спасибо за программу, попробую покопаться

Emelman 25.11.2004 11:19

LN berf
Для убивания процессов можно еще использовать программы Process Killer или AnVir Task Manager. Первая находится по адресу:
_http://[Ссылки в другом разделе! Устное предупреждение! Borland.]prkiller.rar
Вторую нужно искать...

HATTIFNATTOR 26.11.2004 23:18

LN berf
Антивируc стоит? Не dr Web случайно?
P.S. У последнего Веба наблюдается такое, удаляет вирус и оставляет на его месте файл
с тем-же именем и нулевым размером. Раз не веб ,тады ой.
P.P.S А удалить через recovery console?

LN berf 28.11.2004 03:40

HATTIFNATTOR

Антивирус: F-Prot v 3.15 с последним апдейтом. А файл все еще живет :)

Dr.God 14.12.2004 00:13

Цитата:

LN berf:
А можно узнать каким именно образом связана проблема удаления файла hello.exe с червями lovesun, msblaster
Hello.exe - грубо говоря, файл одного из процессов: msblast.exe, mslaugh.exe, teekids.exe, penis32.exe и т.п., если что-то подобное есть, то убей сам процесс, а потом удали файл.

madsurrge 30.12.2004 21:17

LN berf
Есть такая штука - ReadNTFS (_www.bootdisk.com/readntfs.htm)
Создаешь с ее помощью загрузочную дискету с возможность чтения NTFS разделов, грузишься с нее и убиваешь свой happy.exe :cool:

dimam 08.01.2005 23:13

Подскажите пожалуйста, что это за зверь такой

http://img67.exs.cx/img67/2763/vir1.jpg

и как с ним бороться.

HATTIFNATTOR 09.01.2005 00:29

По мнению Нортона была произведена несанкционированная
запись в hosts файл windows(файл dns).
Если компьютер домашний, а тобой записи в файл hosts не производились, или не производились администратором сети(рабочая машина), то:
Надо открыть hosts файл на редактирование и удалить все записи кроме
127.0.0.1 localhost (запись, содержащаяся там по умолчанию).
строки начинающиеся с символа "#" удалять не надо.
Также (если были посторонние записи) следует просканировать компьютер на вирусы, возможно найдется что-то из этого-

_http://www.viruslist.com/ru/viruses/encyclopedia?virusid=56954
_http://www.viruslist.com/ru/viruses/encyclopedia?virusid=57636
_http://www.viruslist.com/ru/viruses/encyclopedia?virusid=32133

P.S. После редактирования можно присвоить файлу hosts атрибут "только чтение".
P.P.S. Подробнее про hosts файл можно почитать здесь-
_http://willy.nm.ru/articles/what_is_hosts.html

Judge 09.02.2005 05:40

Заразился Explorer!
DrWeb определил заразу, как Win32.Beavis.5098, проверка на сайте viruslist.com дала диагноз Win32.Bube.d. Реестр прочищен. Run проверен. Все левые проги удалены. Никакого файла explorer.new нет (как предполагается на viruslist). Но DrWeb продолжает упорствовать и говорит, что explorer заражёнhttp://www.animac.ru/smiles/invision/09.gif. Что делать? Поможет ли запрет через Outpost запрет любой сетевой активности для Explorer`a? Или поможет только переустановка винды?!

Borland 09.02.2005 12:08

Judge
Загрузись с любого загрузочного диска с поддержкой твоей файловой системы (для фат32 пойдёт даже просто загрузочная дискетка w98, для нтфс - какой-нить PE) и замени заражённый файл файлом из дистрибутива в c:\windows и в c:\windows\system32\dllcashe.
И на всякий случай сразу прогони диск антивирусом (типа DrWeb386).

Venberg 10.02.2005 02:42

Judge
Если FAT32, то загрузиться с загрузочной дискетки от Win98 и с CDROM запустить AVP for DOS с самыми последними базами. Поврежденные файлы заменить из дистрибутива. Правда с Explorer'ом могут быть проблемы, если обновлял версии эксплорера. Тогда можно будет произвести установку win98 по верх установленной системы с восстановлением поврежденных файлов.
Если winXP, то можно попробовать подключить диск к другому системнику с WinXP и проверить диск антивирусом. И так же переустановить систему по верх если не поможет. Или переустановить только отдельные компоненты WinXP, через установку компонент виндовс, после лечения диска.

Judge 11.02.2005 02:31

Borland, Venberg
Спасибо за помощь! Забыл указать ось: XP Home. Но теперь это уже не имеет значения, поскольку (вы будете смеяться) раздел пропал вместе с виндой и буквой "Е". Поскольку работа через DOS и командную строку для меня всё-равно, что древние манускрипты, то я попытался из под 98-й восстановить винду из образа, изготовленного с помощью Acronis. Но, видно, что-то сглючило и после перезагрузки в Explorer`e не оказалось раздела с осью, а Partition Magic показал , что на месте винды осталось только 14 кило "праха". Куда бесследно делась винда размером 5,5 Гиг?! :idontnow:
P.S. Пару недель назад я ловил уже этот вирус: переустановка компонентов или винды в режиме восстановления тогда не помогло.

kostiksimb 17.03.2005 16:02

Чем можно прибить вирусы типа диалер
 
У нас что-то в последнее время у абонентов участились случаи самопроизвольного дозвона до Люксембурга или Африки с соответствующими счетами в суммы с 3,4 нулями.

Существует ли какой софт для отлова диалеров?
Касперские и т.д. и т.п. это не умеют ловить.

:help:

HATTIFNATTOR 17.03.2005 16:24

Касперский прекрасно умеет это ловить. Просто детектирование адваре\спайваре\диалеров
в AVP реализовано в расширенных базах. Необходимо загрузить расширенные базы и проверить машину\машины.
Как это сделать описано тут - http://www.kaspersky.ru/faq?qid=154884805
Подробнее о расширенных базах
http://www.kaspersky.ru/extraavupdates?chapter=147575293
http://www.kaspersky.ru/extraavupdates?chapter=147575437

P.S. Либо воспользуйся специализированными утилитами-
список можно посмотреть здесь- http://www.securinfo.ru/GoodAntispy?v=gcz

kostiksimb 17.03.2005 16:55

а кроме каспера что нить есть другое, каспер больно любит ресурсы есть :mad:

Borland 17.03.2005 17:24

Цитата:

kostiksimb:
Чем можно прибить вирусы типа диалер
Тем же, чем и все остальные! http://www.imho.ws/showthread.php?t=45835
Объединяю.

hempsmoke 11.04.2005 22:19

Вложений: 2
Убился уже - не знаю что и делать:
подцепил заразу, которая показывает раз в полчаса окна (алерты), предупреждающие о том, что мой компьютер заражен, я использую 47 нелегальных программ, реестр испорчен и вообще все плохо - и предлагают метод, как от этого избавиться. (скрины прилагаются)

пробовал:
KAV - не дал результатов
Ad-Aware SE Professional - ничего
The SpyWare Detective - ничего
Spybot - Search & Destroy - нашел DSO Exploit - подозреваю, что это именно он, т.к. постоянно сношу его через программу, он появляется заново.

DSO Exploit - пользуется уязвимостью IE, которые до сих пор не залатаны. (я использую надстройку над IE и никогда проблем подобных н было)

здесь http://www.nsclean.com/dsostop.html якобы предлагаю утилиту, которая имуннифицирует IE.

Ничего не помогает. Устал, запарился...
Окна появляются только когда сидишь в нете.

:молись: кто чем может или я разобью монитор...

Спасибо всем заранее!

leksa 12.04.2005 00:20

Просто снеми хард и поставь на другой комп и просканируй любым Антивирем.Я так частенько спасался от такого рода червяков. :beer:

hempsmoke 12.04.2005 00:31

leksa
Цитата:

KAV - не дал результатов
у меня несколько физ. дисков и антивирь не на системном.

Korben 12.04.2005 16:25

Цитата:

у меня несколько физ. дисков и антивирь не на системном.
1) физических или логических?
2) а какая разница на системном или нет? :)
3) Просто возьми прогу, вроде ProwiseManager и понаблюдай во время неприятностей, какой процесс появляется, которого до того не было.
4) Возьми этот файл и отправь в суппорт своего антивиря.
Я так часто делаю - это намного проще, чем искать "совершенный антивирус"... ;)

hempsmoke 12.04.2005 21:56

Цитата:

Korben:
1) физических или логических?
когда я скажу физический, ты еще раз переспросишь? :)
Цитата:

Korben:
2) а какая разница на системном или нет?
мало ли какая дрянь сидит и контролирует... ;)
Цитата:

Korben:
3) Просто возьми прогу, вроде ProwiseManager и понаблюдай во время неприятностей, какой процесс появляется, которого до того не было.
4) Возьми этот файл и отправь в суппорт своего антивиря.
спасибо. попробую.

hempsmoke 12.04.2005 23:00

Вложений: 1
по-ходу этот процесс - csrss.exe в винде отвечает за что-нить или это как раз и есть паразит?

HATTIFNATTOR 12.04.2005 23:43

Цитата:

Сообщение от hempsmoke
Spybot - Search & Destroy - нашел DSO Exploit - подозреваю, что это именно он, т.к. постоянно сношу его через программу, он появляется заново.

Это баг Spybot'а.
csrss -по крайней мере находится на штатном месте, если имеет размер 6кб, копирайты Майкрософт и пройдет проверку онлайн сканированием-_http://virusscan.jotti.org/ можно сказать что чистый.

Borland 13.04.2005 11:53

hempsmoke
Насколько я чего-то понимаю, эти сообщения - банальнейший СПАМ.
Всё, что необходимо для победы над этой заразой - отключить службу "Alerter". ;)


Часовой пояс GMT +4, время: 03:50.

Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.