IMHO.WS

IMHO.WS (http://www.imho.ws/index.php)
-   Руководство для новичков (http://www.imho.ws/forumdisplay.php?f=35)
-   -   Компьютерный "триппер". Руководство по удалению вирусов (http://www.imho.ws/showthread.php?t=44122)

borislev 23.11.2003 17:32

Компьютерный "триппер". Руководство по удалению вирусов
 
Короче, вляпался я малехо, (по порносайтам не гулял, говорю сразу )

Какая то гадость стала тормозить подьем Винды - у меня XP, выбрасывает окошко, что не могу найти и после этого набор палочек типа ||||||||

Второе проявление - не менее важное, при подьеме IE поднимается несколько pop-up, домашняя страница устанавливается на www.idgsearch.com, на десктопе и в фаворитах появляются иконки ссылки на какие-то левые сайты.
В автозагрузке появились iedll и еще какая-то херня.

Пользовался Norton antivirus, IEDoctor, Ad-aware 6.0, результатов практически никаких

Люди, поможить, кто может, только недавно винду поставил...

Отредактировано модератором. В связи с тем, что данная проблема всплывает очень часто, убедительно прошу, новых тем не открывать, пользоваться приведенными ниже советами. Дополнения и другие рекомендации постить только здесь или ЗДЕСЬ

hempsmoke 24.11.2003 00:14

avp
dr web
остальное лажа....

если результатов 0
попробуй дать поиск по схожести имен иконок, адреса и т.д. в системе.
и удали все на....

R!xon 24.11.2003 00:21

borislev
http://www.imho.ws/showthread.php?s=&threadid=44123
темы нельзя дублировать, прочти правила

alexcop 24.11.2003 01:32

borislev
То что ты подцепил - не вирус, к компьютерный триппер.
Воспользуйся советом hempsmoke, который немного опишу поподробней.
Одновременно нажимаешь Ctrl-Alt-Delit и открывается Диспетчер задач Windows.
Там идешь на вкладку процессы и смотришь какие процессы запущены от твоего имени (редко запускаются от имени SYSTEM), короче примечаешь все подозрительное. Выписываешь на бумажку имя исполнителльного файла (Имя образа) и принудительно завершаешь все подозрительные процессы (кнопка Завершить процесс). После этого через меню Пуск запускаешт поиск и в строке имя файла поочереди прописываешь записанные на бумажку отобранные тобой исполнительные файлы (***.exe, ***.com, ***.dll и т.д.) Поисковик через некоторое время выдаст тебе все места, где этот файл прописан - удаляй безжалостно отовсюду) и так по твоему списку до конца. После этого обязательно почисть папку TEMP и Temporary Internet Files. В Свойствах IE выстави стартовую (домашнюю страницу) и перезагрузись.
99,9 % все будет Ок! Чистку реестра на неработающие ссылки и оставленные разными прогами "хвосты" также рекомендуется провести (программ умеющих это делать привеликое множество).
P.S. А правила все же прочитай и учись пользоваться поиском.

borislev 24.11.2003 17:06

Прочитал сегодня, 24 ноября.

Вчерась почистил реестр на предмет всяких левых загрузок (по моему мнению), в Process в общем вижу все, что работает. запущено либо под моим именем, либо под именем System? только 2 процесса работают под именем Local Servise и Network Servise - это svchost, что помоему, является системными. Остальные "левыми" вроде не кажутся, после очиски ветки Run в реестре со вчерашнего дня вроде тьфу-тьфу, пока без багов, (кстати, ни одна фича по поиску spy ничего не находит -пользовался Spy Sweeper от WebRoot, Ad-aware 6.0, Norton AV, стоит IEDoctor...

Думается мне что эта срань где-то тихо-тихо себе сидит, тока не пускаю я ее.

Большое спасибо за помощь всем!!!

Будут советы еще - пишите, спасибо!!!

press 30.11.2003 09:28

помогите и мне такая же хрень
 
Каждое утро всплывает прога ALERT -корректировщик чясов ,как ее убить смотрел искал вроде везде . ее нигде нет где эта гадость может сидеть. И еще вопрос . Как убить фаил -msbb.exe
он сидит в програмс фаил и при попытке его удалить пишет что занят какимто приложением и не может быть удален <_< При соединении с инетом мой аут пост просит соединится с msbb.exe
bis.180solutionc.com . Братцы помогите ,научите как разбираться с непрошенными гостями . Спасибо

borislev 30.11.2003 17:29

press Излечился я сугубо сам, все что мне здесь советовали - ничего не помоголо, хотя СПАСИБО ВСЕМ!!! Иди на googl.com и там напиши твою проблемму или сходи прямо сюда http://forums.spywareinfo.com/index.php?showtopic=16643 это форум антитроянщиков. Там ты получишь все ответы на интересующие тебя вопросы. Удачи тебе!!!

R!xon 30.11.2003 22:35

press
грузишся в безопасном режиме, ищеш на винте msbb.exe киляешь и все,
и не вкоем случае не давай доступа в инет этому процессу

alexcop 01.12.2003 00:17

press
Или грохни из-под DOS'а, загрузившись с дискеты.

press 01.12.2003 09:47

кое чего нашел это оказывается "паук-банерасос" Пытался искать его в ДИСПЕТЧЕРЕ ЗАДАЧ не нашел ,может он там и есть ,но как он там записан ?
Я его не могу удалить обычным способом потому что он работает ,значит должен быть в диспет.задач в процесах.

Borland 01.12.2003 11:06

press
Попробуй посмотреть список процессов FAR'ом (F11->Process list). Внимательно просмотри список процессов, если процесса с нужным Тебе именем нет - просмотри каждый процесс по F3 на предмет поиска в инфе о процессе имени этого "паука". Соответствующий процесс удаляется (убивается) по Shift-Del.

Resizer 01.12.2003 12:28

неплохой материал по поводу "триппера" здесь

press 02.12.2003 09:16

Всем большое спасибо паук-банеросос был убит и отправлен в мусор . Запустил msconfig.exe обнаружил в автозапуске отключил и убил...:p

DeTo 10.12.2003 00:18

Помогите избавиться от трояна
 
Вложений: 1
Ну вообщем последние дней 5 стал замечать что после рестарта компа стартовой страницей становиться какойто левый адрес http://81.211.105.9/index.php?v=1
и в таск менеджере при старте запускаеться какойто левый процес shdloader.exe который ктомуже невозможно убить,точнее убить то можно но он сразуже сново появляеться. Пытался найти файл shdloader.exe при помощи поисковика винды,результат нулевой. прога Trojan Remover тоже ничего не находит!мусор я на комп никакой не ставлю и не ставил,так что не пойму откудо оно могло взяться. жду вашик советов.

Prof 10.12.2003 00:22

Если он загружается каждый раз значит висит где-то в реестре . Зайди в regedit и сделай там поиск по названию файла. Когда найдёшь, то посмотри где он лежит на винте и сотри и сам файл и строчку в реестре.

kiedis 10.12.2003 00:29

victor-p
может это вовсе не троян, а просто spyware
попробуй пропусти разок Ad-Aware

ух ты, прям стихами заговорил...))

ViFFz 10.12.2003 00:33

у тебя вирус
http://securityresponse.symantec.com...gaobot.cb.html

hempsmoke 10.12.2003 00:44

нехило... на 4 мега троянчик...
ищи эти файлы в реестре и удаляй нах...
wstart32.exe
sndloader.exe

не помню точно, но вот здесь вроде запускаются проги при старте..

HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Runservic es
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run

Удачи!

Добавлено через 8 минут:
Цитата:

SheFF:
у тебя вирус
неужели? ;)

kiedis 10.12.2003 00:56

victor-p
и только не sHdloader.exe, a sNdloader.exe
на скриншоте даже видно

DeTo 10.12.2003 16:35

Спасибо всем за помощь,но удаление вайлов и инфу из реестра не помогает,после рестарта все поновой.пойдука я зделаю формат,для меня енто 40 минут =)

hempsmoke 10.12.2003 22:34

не надоооооО!!!!!! скачай беллютени:
Microsoft Security Bulletin MS03-026 http://www.microsoft.com/technet/tre...n/MS03-026.asp
Microsoft Security Bulletin MS03-001 http://www.microsoft.com/technet/tre...n/MS03-001.asp
Microsoft Security Bulletin MS03-007 http://www.microsoft.com/technet/tre...n/MS03-007.asp

DeTo 11.12.2003 00:10

hempsmoke
Цитата:

не надоооооО!!!!!!
Поздно :)))
Форматнулся теперь вроде все ок.
Скажи если не секрет что это за белютени такие?

hempsmoke 11.12.2003 03:48

ms03 бюллетени безопасности
026
Цитата:

Обработка некорректно составленных сообщений может привести к сбою в работе системы. Это уязвимое место связано с интерфейсом DCOM (Distributed Component Object Model), который ведет прослушивание портов RPC. Этот интерфейс обрабатывает запросы на активацию объектов DCOM, отправляемых клиентскими компьютерами (например, запросов путей в стандартном формате записи имен (UNC)) серверу. Злоумышленник, которому удастся воспользоваться этим уязвимым местом, получит возможность запускать на компьютере пользователя собственный код от имени учетной записи «Локальный компьютер». Он сможет выполнять в системе любые действия, в том числе устанавливать программы, просматривать данные, изменять и удалять их, а также создавать новые учетные записи с полными правами.
001
Уязвимость в системе безопасности возможна из-за непроверяемого буфера в службе локатора. Специально посылая неправильно сформированный запрос службе локатора, злоумышленник может остановить службу локатора или попытаться запустить свой код на Вашем компьютере.
007
Цитата:

Для реализации атаки пользователю достаточно лишь открыть специально созданный документ, посланный злоумышленником. Таким документом может быть любой тип документа, поддерживающий VBA, например текстовый документ Microsoft Word, электронная таблица Microsoft Excel или презентация Microsoft PowerPoint. Если Word используется в качестве почтового редактора HTML для Microsoft Outlook, таким документом может быть электронное сообщение. Однако текущий пользователь должен ответить на это умышленное сообщение или переслать его, чтобы сработал дефект в языке программирования VBA.
VBA - Basic Visual

DeTo 11.12.2003 16:06

Понял спсаибо.

DeTo 21.03.2004 14:18

Вложений: 1
Во блин невезет мне по жизни!
Походу снова подцепил какуюто дрянь!
После того как открыл оутлуком письмо со знакомого адреса подгрузился левый процес directs.exe
Нашел я его в папке Windows/sys32 снес его,почистил реестр. Пару минут поработало нормально а потом сново появились значения в реестре,файл directs.exe
Ну просканил я комп др вебом он нашел какойто там вирус,удалил,и снова пару минут работает а потом вирь. Ну я плюнул на все зделал формат системного диска,вроде все гладко было а вот пару минут назад залей в такс менеджер и снова вижу этот процес!!! Глаза на лоб,руки автоматом на форум полезли!!!
И че это за зараза такая может кто уже сталкивался,ато выходит мистика какаято!
Прилагаю в зип архиве злополуйные directs.exe может поможет кто...

Добавлено через 13 минут:
Вот вроде нашел про него инфу,но как избавиться ума не преложу!
http://www.viruslist.com/viruslist.html?id=144822463

Rollers 21.03.2004 16:01

victor-p
тут посмотри Stinger tool

DeTo 21.03.2004 17:19

Rollers
Спасибо за совет,прога нашла около 120 зараженых ехе файлов,притом все они прятались в моем любимом варезе =(((

Добавлено через 21 минуту:
Вроде как прога вырезала вредоносную чать кода из файлов!
Rollers
Тебе в любом случае спасибо и пятерка =)

CH3ST 24.03.2004 17:57

victor-p
gi. kidal takoy je tebe, kak i Rollers
:biggrin: :virus:

sockets 07.04.2004 03:51

Вот прихожу на работу , а мне подарочек сделали :( Как не открою инет а он мне под домашней страницей радость в качестве поискового сайта показывает.Я как не сменю а он заново.... Вообщем и едевеер ничего не находит, спайбут тоже молчит, и лицензионный антивирь -тыха...Фаервол рабочий так же не колбасит...И где искать в реестре эту заразу? :(

alexcop 07.04.2004 15:08

sockets
Если у тебя операуионка windows XP, для начала попробуй откатить систему на любой из дней, предшествующих дню заражению компьютерным триппером.

sockets 07.04.2004 18:35

Не помогает...Сегодня попробую интернет эксплорер убить и переустановить, так же приготовил всякого рода булетпрофсофт спаеры и троян хантеры, а вось поможет)))))) Как же все таки я буду душить свой рабочий персонал ))))

sockets 08.04.2004 02:36

И так, наконец то хоть какой то триперолов сумел хотя бы найти что за гадость:
the cleaner profeccional scaner
А вынюхал он вот это:

Trojan Startpage
Tape Browser Hijacker
c:\winnt\system32\aihe.dll

Теперь вот думаю не опасно ли диелель сносить - комп то рабочий-грохну чего сь? :(

В конечном итоге, прочтал все топики по данной тематике, и утопил гада))) все в порядке, задышал полной грудью(не впалой). :dance:

alexcop 08.04.2004 12:54

Цитата:

sockets:
cleaner profeccional scaner
Что за зверь такой, почему не знаю.
Кинь ссылку в РМ.

nil 10.04.2004 19:55

Домашняя страничка
 
Кто подскажет,что за беда ? При каждом новом включении
компа при заходе в интернет открывается страничка
мне не известная и не нужная. Захожу в настройки
ставлю то что мне надо,но при последующей загрузке
всё повторяется.Где знал поковырялся,вроде нормально,
но проблемма осталась

ZAP 10.04.2004 20:46

скачай Spysweeper адрес вроде www.webroot.com
скорее всего ты подцепил программу - паразит которая тебе и и траффик поганит

sockets 10.04.2004 21:52

А может поиском воспользуешся?

nil 10.04.2004 21:53

ПРОГОНЯЛ ЧЕРЕЗ ЭТО ВСЕ ЧИСТО

sockets 10.04.2004 21:54

http://www.imho.ws/showthread.php?s=...5&pagenumber=1

nil 11.04.2004 01:07

Спасибо избавился от заразы прогой Spy Sweeper
кстати стояла spybot search которая не помогла

Repressor 11.04.2004 01:39

Если говорить о сути проблемы, то скорее всего она состояит в том, что левая страница была прописана в одном из ключей реестра. При желании эту пакость можно устранить вручную.


Часовой пояс GMT +4, время: 22:17.

Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.