Бился полдня с вирусняками mustafx.exe и mustafx2.exe. Убивал и в винде и с Windows LiveCD. Уже попробовал и AVZ 4.30, провел найденные специально для этих вирусов скрипты (брал их с сайта _virusinfo.info). Результат - при перезагрузке опять стартует mustafx.exe и mustafx2.exe. Прошу помощи.

Jaded, убрал бы nod, раз толку от него нету (мысли вслух).
Рассказ из форума города Валуйки - тц! как звучит :)
- если не пробовалось.

Доброго времени суток.
Прошу помощи в определении, что за вирус.
Ситуация следующая. Машина с нодом имела выход в инет. Лицензионного каспера по плану должны были поставить в течении след-недели. Но как всегда кто то (или что то) подкралось не заметно.
Есстественно ставили в экстренном порядке. Нод снесли. КАспера поставили, базы - свежак. Протестил, прочистил, но какая то скатина все таки осталась. Ее проявления.
1. Каспер не загружается автоматом. Проверил в его настройках. Все впорядке.
2. Попытка запустить что либо (например ярлык FAR с Р/С или из FAR-а какой нибудь EXE) вызывает диалог "Открыть с помощью -> Выбрать программу".
3. Единственный способ запустить какую нибудь прогу - "Запуск от имени" и обязательно снять галку "защитить систему от проги"
4. Касперо прошелся по компу, прочистил. Все что нашел - только удаление.
5. На попытку что либо запустить (только как в п.3) Касперо реагирует "Попытка внеррения в процесс...", все неизвесное что пыталось внедриться - уничтожалось (руками). Сравнивал с безинтернетным компом. Больше оно не появлялось. На текущий момент внедряться пытаются 2-3 проги (на память не помню), но они стандарнтые виндовые. С соседней машиной сравнил и дата и время и размер совпадают. Осталось только побайтово сравнить.
6. В реестре, в автозагрузке (MsConfig-ом, RegEdit не запускается вообще ни как) выключил все, что вызывало хоть малейшее подозрение.


Вот вроде все что вспомнил.
Может кто что еще посоветует.

Если кто знает, подскажите плз ветку в реесте, в которой храняться запускаемые процессы на стадии загрузки системы (не автозагрузка. Эта скатина наверняка там обитает.

Alex Dark Запущенные процессы можно посмотреть более информативной программой ProcessExplorer или ProcessMonitor. Процессы на стадии запуска - утилитой AutoRuns.
Ставить антивирус, в том числе и Касперского, на заражённую машину смысла нет. Возможно, стоит попробовать снести его (Касперского) на время и прогнать машину утилитой Dr.Web CureIt!. Скачанная с офсайта, она имеет последние базы и, собственно для работы не требует установки.

Однозначно надо перепроверять после Каспера. И DrWeb вобщем-то лучший вариант. Лучше всего с CD/DVD или, если в себе уверен, подключив заражённый винт Slave'ом к здоровой машине с DrWeb с последними обновлениями.
Для просмотра всех процессов и веток автозапуска реестра лучшие проги от sysinternals.

Проблема с IУ
 

У мя такая проблема, на IE 6 начала появлятся какая то WinSecurity Toolbar 2.1 и пудрить мне мозги, во-первых при попытке открыть домашнюю страницу вылазит предупреждение(явно липовое) об незащищёности копьютера, появляется окно где предлагают скачать антивирус для XP, понель никак не убирается, поставил IE 8 как была так и осталось, антивирус её не находит, что делать?:help:

Сегодня с утра посмотрел процессы AutoRuns. Удалил все что было подозрительно (сравнив с условно чистой машиной).
Снес KAV. Прошел Dr.Web CureIt. Все найденное под нож.
Поставил KIS, прошелся.
Нашел то же что и Вебер (у него в карантине) + в "System Volume Information" - все под нож.

Могу предположить (т.к. ни кто пока вроде в процесс не влезает) что заразу все таки локализовали.

Остались только последствия. А именно при запуске программы программа не запускается а распознается как неизвесное расширение файла и соответствующий диалог.
Где, блин, ему почесать? А?

Alex Dark почитай пару страниц хотя бы. Каждый раз что ли писать про АВЗ господина Зайцева. Качаешь ее, прогоняешь по системе и затем восстанавливаешь настройки первоначальные.

Товарисчи форумчане! Это случилось снова! :)
На всякий случай пишу в теме про вирусы, потому как в задумчивости.
У меня возник вопрос по Access. То ли это глюк программы, то ли чего-ещё. В общем, сижу пишу диплом. Создала главную кнопочную форму, понаделала на ней красоты невиданной с золотыми яйцами и кучей кнопочек. Все хорошо, все раскрывается. Но после первого же выхода полностью из Access при повторном заходе главная кнопочная форма начинает висеть поверх всех остальных форм. То есть нажимаю кнопку для перехода на следующую форму, и эта следующая форма открывается, но только ЗА главной формой, которая остается гордо висеть посреди экрана пока её не скрыть.
Подумала, может где в свойствах руки шаловливые погуляли. Сделала ещё одну форму, сравнила с курсовой с прошлого курса главной формой - все один в один. Пока сделала - все хорошо. Опять вышла из программы - опять повисла. Растройство полное, ибо в понедельник защита, а я тусуюсь вокруг кнопочек :(
Приходится вручную принудительно заставлять закрываться в VBA.
Машину проверила, вроде бы все хорошо. Антивирус - Аваст. Access 2003
Этов вирус?

Нет, это M$ Access. И VBA. Программирование - это очень сильное колдунство...

Такая вот проблема. Зацепил я как пишет NOD32 AutoRun.PD пишет, что заражены 2 файла: userinit.exe и system32/system.exe В общем удалять userinit нельзя, а файла system.exe вообще нет такого. Появились и такие же самые процессы с такими же именами, и убить я эти процессы никак не могу, они сразу же появляються опять. Если кто знает как мне избавиться от этого коня, буду благодарен за помощь и советы.

rcarlos, когда ты загружашься в своей системе, вирус грузится в память, и сколько бы ты его не удалял на жёстком диске, он снова скопируется из памяти. Поэтому тебе надо загрузиться с какого-нибудь LiveCD и уже из под него запустить что-нибудь вроде CureIt от DrWeb (_http://www.freedrweb.com/cureit/).

Emelman, а у меня на флэхе CureIt и AVZ
Я их отдновременно запускаю. Конечно тормоза конкретные, но они в паре грохают все с оперативки и из автозагрузки. После проверки критических областей начинают сканить жесткий. Тут я их останавливаю. Перегружаю комп и какой нибудь одной повторяю процедуру полностью. При этом собираюсь и ухожу домой, т.к. дальше я не нужен

А не опасаешься, что копия вируса, которая осталась на винчестере не залезет после перезагрузки снова в память? ;)

ну так ведь ...
Если кто то и остался, то повторная выявит сразу, а дальше по обстановке...

Вообщето главное загасить гадов из оперативки и обломить им запуск во время загрузки. Вобщем то эти две утилитки с этим справляются (пока справлялись). Ну, а от полной проверки ни когда нельзя отказываться, если есть сомнения.
Кстати... Был КИС-7 поставил поверх 8, который первым делом предложил полную проверку и нашел таки 3-х троянцев.

Глянь этот ключ в реестре:
Параметр {Default} должен быть равен "%1" %*


Утилитки без сомнений отличные. Но у них есть как минимум одна слабость - они не видят то, что скрывается (такие вирусы, как Zbot, DNSChanger и пр.). Поэтому в плане автозагрузки очень советую обратить внимание на OSAM Autorun Manager. Он гораздо продвинутее и ни раз меня выручал в ситуациях, когда утилиты Руссновича ничего подозрительного не видели.

обратил. вещичка вроде не плохая. Проблема в том что ему инет нужен для работы. А этот "девайс" не всегда под рукой

Товарисчи, у знакомого возник такой вопрос. Писать буду не я, ибо после вчерашнего дня варенья писать не в состоянии ))) :

В компьютере завелся вирус: Trojan.GS.Agent.za, касперский его удаляет, но он опять появляется и касперский его опять обнаруживает и это продолжается уже долго. Панда, Доктор Вэб и т.п. его тоже видит и типа удаляет, точнее не его а зараженные файлы. Источник они не определяют. Удаляют файлы, если после этого запустить антивирус снова, он снова находит эти же файлы. Постоянно появляется в автозагрузке. После удаления оттуда, выйдешь - войдешь он опять там.

Подскажите как удалить его иным способом. Компьютер выносить запрещено, сети и интернета нет, в общем, секретные данные и все такое.

Кысь, я бы попробовал загрузиться в безопасном режиме и просканировать компьютер. Или загрузиться с LiveCD, если есть такая возможность, и просканировать компьютер утидитами типа CureIt! или AVPTool.

DrWeb CureIt! рулит не по-детски...

Доброго времени суток.
В архивах с кейгеном антивирус Доктор Веб обнаруживает вирус. Например Троянский конь. Это происходит из-за того, что генератор часто обновляется и похож на действия вредоносного кода вируса? И часто ли в кейгенах можно обнаружить вирус. Прочитал много книг, ничего по этому твопросу не рассмотрено. Кто сталкивался с этой траблой? Может стоит проверит онлайн антивирусом, к примеру вирус тотал.

Кейген кейгену рознь... Зависимо от того, что имел ввиду автор.
Есть "нормальные" кейгены, про которые антивирусы (в худшем случае) говоря что это "hack tool".
Есть кейгены "с дополнительной функциональностью", которые помимо заявленной функциональности имеют и другую, не факт что безвредную...
Есть псевдокейгены, которые основную функцию не выполняют, а вот "неучтённых" - сколько угодно.
Многие Hack Tool's имеют в себе вирусоподобные куски кода, на что и реагируют антивирусы.
В общем, боитесь вредоносного ПО - пользуйтесь только легально приобретёнными программами.

В кейгене вирус
 

Борланд не могли бы вы,воложить ссылку,где про эту тему побольше почитать, либо книжку скачать умную?

Ни статей, ни книг толковых по компьютерной вирусологии мне как-то не попадалось... Информация добытая по крупицам на личном опыте и из описаний вирусов (эти можно посмотреть у Кошмарского на http://www.viruslist.ru/), а также "по сусекам" коллективного разума (форумы и т.п.) в процессе поиска способов удаления вирусов, в том числе для именно этого топика...

P.S. И не просите, сам я такую книгу/статью писать не возьмусь! :biggrin:

Проигрывается звуковой файл на японском
 

Время от времени проигрывается какой-то звуковой файл на японском языке, просматриваю процессы и вижу iexplore.exe, хотя браузер не запущен, при этом занимаемая процессом память все растет и растет, потом начинаются жуткие тормоза, если убить процесс, то японская речь прекращается и тормоза проходят, но ненадолго, через некоторое время все начинается заново, антивирусная проверка ничего не дает. Помогите это победить.:молись:

попробуй утилиту AVZ помогает найти источники запуска и есть возможность выдернуть из реестра

2Mods
Склейте с этой: http://imho.ws/showthread.php?t=44122&page=20
Please

Стала периодически самопроизвольно перезагружаться система. Перед перезагрузкой иногда появляется сообщение:
Пробовал вчера просканировать скачанным Curelt от Dr.Web и сделать глубокое сканирование своим штатным NOD32 - после 10-ти минут сканирования тем и другим комп уходит в перезагруз.
Понятно гадость какая то сидит. Как и чем её убить?:confused:

Интересно что, поиск решения проблемы в интернете даёт в основном ссылки на посты форумов 2003 года. За 5 лет этот вирус должен уже давно стать классикой и лежать во всех базах всех антивирусников. Однако.

Сканирование происходило из под рабочей винды? При загрузке с какого-нибудь LiveCD, CureIT должен был всё вычистить.

А вообще, на всякий случай, кажется команда "Пуск" -> "Выполнить" -> "shutdown -a" должна прерывать перезагрузку.

А кто сказал, что это тот же самый вирус? :confused:
Даже не исключено, что и вообще не вирус, а проблемы с железом/драйверами...
Система какая? Обновления все стоят?

Не должна, в данном случае... И даже если прервёт - ничего хорошего из этого не получится...

А вот насчёт LiveCD согласен. Если это, конечно, именно вирус...

Сканировал установленным NODом и скопированной на жёсткий диск CurelT. Попробовать скопировать CurelT на CD-RW и просканировать с него?
Система стоит Windows XP SP2 (не официальная).

RSA, проверь кулер на процере, температуру (можно Everestom), в биосе реакция на перегрев.
На днях была похожая ситуация. Бился с вирусом, а оказался банальный перегрев

RSA, не надо ничего копировать на CD-RW. Нужно просто загрузиться в гарантированно чистой ОС и просканировать винчестер антивирусом из-под неё.
Если у тебя нету LiveCD и ты не знаешь, что это такое - скачай на сайте того же DrWeb iso-образ "DrWeb LiveCD", запиши его на компакт-диск и просканируй систему загрузившись с этого диска. Так будет проще всего...

И ни одного патча после? :eek: Такую машину вообще нельзя к сети подключать...

Загрузился в гарантированно чистой ОС и попытался просканировать заражённый винчестер антивирусом из-под неё. После нескольких минут сканирования и CurelT, и AVZ появляется синий экран с пространным английским текстом о том, что проверяемый жёсткий диск повреждён и надо с ним что то делать иначе повредит систему.
Похоже что лечить бесполезно. Придётся переустанавливать систему.

RSA, если винчестер серьёзно повреждён (т.е. "находится при смерти"), то до переустановки его неплохо бы заменить...

Вчера (10-го апреля) позвонили с 3-х разных мест (OS везде WinXP, антивирусы разные, но обновляющиеся) говорят, что на экране до меню Logon видят сообщение с предложением отправить СМС для разблокировки. В Safe Mode не пускает. Нечто подобное раньше в IE встречалось, но убиралось легко через отключение модулей. У кого-нибудь была подобная ситуация? Есть какие-то методы борьбы с данной заразой?

KalaSh, а что за антивирусы стояли?
Касперский сообщает: «Лаборатория Касперского» анализирует новую версию вредоносной программы Kido (Conficker)
Возможно остальные антивирусы своевременно не среагировали.
Методы, скорее всего, просты, поставь зараженный хард на компьютер с установленным и обновленным KAV-ом и пролечи его. Потом на место и sfc ему.
Просто не знаю, на сколько быстро Dr.Web среагирует. Можно было бы попробовать и с LiveCD просканить CureIt-ом.

PS. Чувствую я, завтра начнется веселуха у меня.

Symantec 10-й, Dr.Web 4-й, и Nod32 3-й версии. Все они разные, а результат один.

KalaSh, я конечно не рекламирую, но вирус (точнее вредоносное ПО) kido в ЛК расценивают как одну из самых опасных угроз конца 2008 - начала 2009. И поэтому прстально за ним наблюдают. В конце 2008 функционал данного ПО содержал около 200 единиц. На данный момент около 1000.
И естевственно функционал постоянно расширяется.

ЗЫ. Ну мне это известно из доклада представителя ЛК, который я прослушал буквально в пятницу. ;)

Cartman
Спасибо. Мы тоже с ним (Kido) сталкивались. Симптомы его знаем (отключение шар). В том, числе знаем какие заплатки нужно ставить, дабы избежать проблем с ним. Но новый (о котором я написАл выше) чуть отличается от предыдущего, поэтому и обратился к форумчанам.