Degger, скорее всего это какая-то плугина под IE. Поставь MyIE, в нем будет возможность его отключить и отследить, кто это делает.
Скорее всего...

Degger
Не поленись заглянуть в C:\Program Files\...
Некоторые search там открыто прописываются. Если найдешь, сноси нафик, ну и поиском в реестре, разумеется, этот search прогони.

Degger
Проверь BHO/тулбары (в ИЕ -Сервис-управление надстройками)
Проверь файл hosts (без расширения, по умолчанию содержит только 127.0.0.1 localhost)
Посмотри \Program Files\Internet Explorer\Plugins- не завалялось ли чего лишнего.
Проверь, не появились ли левые адреса в Trusted zone
Проверь Windows\Downloaded program files
Посмотри HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings- не включён ли там какой ProxyServer
Проверь HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefi xes-нет ли под видом префиксов "левых" сайтов
Просмотри ветку HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\ Interfaces -не прописаны ли левые DNS-(NameServer=)
Проверь HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main
- Start Page , Local Page, Default_Page _URL, Default_ Searsh_URL, Search Page.
Подозрительные файлы- на онлайн сканирование.

Компьютерный "триппер"
 

Для того, чтобы меньше цеплять компьютерного
"трипера" предлагаю радикальное средство - НЕ ВХОДИТЬ в инет под учётной записью с правами АДМИНИСТРАТОРА, если вы собираетесь сёрфить в непонятных местах. Создайте себе запись с ОГРАНИЧЕННЫМИ правами для этих целей. В этом случае система САМА не даст прописаться триперу и изменить настройки. Но загрузится он сможет, поэтому обязателен Outpost (блокируйте моментально запросы на непонятные соединения) и после каждого сёрфа проверка Ad-aware + антивирус (у меня например NAV 2004). И только после этого перегружаться в другую учётную записть с правами администратора :beer:

alt
Это понятно, но данный метод хорош только тогда, когда сам лазишь "в непонятных местах" (что бывает КРАЙНЕ редко или никогда), а что делать если ты, например, пошел на обед, а в твое отсутствие кто-то посещает "непонятные места" - сомневаюсь, что они будут проделывать описанные выше действия. :(

Спасибо всем кто откликнулся
 

Наткнулся случайно на форум где уже подобная тема обсуждалась

оттуда узнал про одну полезную софтинку:
HijackThis examines certain key areas of the Registry and Hard Drive and lists their contents and provides the ability to remove any unwanted stuff.. These areas are used by both legitimate applications and hijackers.

с помощью её и вывел нечисть :yees:

Помогите удалить вирус! Советы по удалению вирусов, троянов и прочей нечисти
 

Недавно, небольшая сеть, из двадцати компьютеров, схватила очередную разновидность червяка (W32.Explet.A@mm(symantec), I-Worm.Plexus.a [Kaspersky], WORM_PLEXUS.A [Trend], Win32.Mimail.W [Computer Associates], W32/Plexus@MM [McAfee]). Способ лечения известен - обновить антивирусные базы, загрузиться в safemode, полное сканирование дисков, правка реестра, правка файла hosts. Но! это же не один компьютер, это двадцать! За один день можно и не управиться, а именно столько времени будет у меня, и не больше. Может знающие люди подскажут, есть ли способ автомотизировать эту нудную операцию, что б не нужно было у каждого компа штаны отирать. Буду рад любой информации на данную тему. Заранее спасибо.

P.S.Первое упоминание о нем на нортоновском сайте от 2.06.04.

Помогите убить Trojan.Webus.D
 

Hi люди, встал вот сегодня с утра и к компу. А там Нортоновский антивирь - красное окно virus alert. High risk. Нашел Trojan.Webus.D.
При попытке убить выдал сообщение что допуск к файлу запрещен.
Почитал инфу про трояна этого - не густо, а главное нигде нет указявки как его убить :mad: Отсюда два вопроса:
1. Как удалить эту мразь с машины?
2. Как я мог зацепить этого трояна? Сижу вроде за стенкой, нежелательную почту удаляю не читая, вообще стараюсь никуда не лазить, мля, и тут такое :idontnow:
Спасибо

Читай здесь...
_http://www.bullguard.com/forum/10/Need-Help-removing---trojanddo_6887.html

Посмотри
_http://virusinfo.info/index.php?board=26;action=display;threadid=20

Эксперты по вирусам помогите убить новые вирусы!!!
 

Уже как две недели сидят у меня 3 трояна которые я никак не могу убрать, не одна из моих антивирусных программ их не находит, у меня в данный момент установлены с новыми базами такие проги как: Nod32, TrojanRemover, Spy_Sweeper, но не одна из ни их эти вирусы не видит! :(

Их находит только Trend Micro Haus Call 2004 это Антивирус сканер котоая работает в режиме онлайн на странице:http://de.trendmicro-europe.com

Вот эти суки:

CHN_CODEBASE.A
TROJA_DELF.HC
TROJA_DLOADER.BC

Эксперты по вирусам помогите sos!

Repeek

Качай этот антивирь - ставь и удаляй :)
И посмотри в сети маленькие програмки есть по удалению конкретных вируов мож и на эти найдется
.дык антивирь то один по сути - NOD так что пробуй другие например Dr.Web или KAV

repeek
тем подобных на форуме полно, зачем ещё одну создавать, а что по вопросу так воспользуйся последней сборкой "Stinger" от Маккафи

может немного не в тему, хотел спросить, что за :
на почту приходит раз в два - три дня в 2-3 копиях сразу.

По моему китайцы какие-то...
Засветился скорее всего, и "трипер" тут не при чем.

2niktih -решение "http://www.hotoffers.info"

1) Запускаем Ad-Aware и ничего не сканируем.
2) вызываем task manager (Control-Shift-ESC)
3) прибиваем процесс explorer.exe
4) прибиваем процесс systr.dll (именно это и есть загрузчик
трояна, но он не резидентный и его может и не быть в списке
процессов)
5) переключаемся в Ad-Aware , включаем сканирование и
благополучно прибиваем трояна
6) запускаем снова explorer.exe (с помощью того же task
manager'a) -"файл"-"новая задача(выполнить)"- explorer
7) удаляем %SystemRoot%\system32\systr.dll
8) правим в настройках браузера стартовую страницу на
свою.

Источник -http://forum.drweb.ru/view/97928

2 vavan
Возможно ты пропустил winerdir.exe
Mitglied также умеет бороться с AVP (отключать обновление). Кроме того если включено восстановление
системы копии могут быть и там. Попробуй отключить восстановление системы, загрузиться в безопасном
режиме и просканировать диски.

Подробнее о Mitglieder посмотри здесь - http://securityresponse.symantec.com/avcenter/venc/data/trojan.mitglieder.o.html

Попросили меня посмотреть один ноутбук, сказали: "что-то там не так". Посмотрел... Рабочий стол красного фона а посередине черный квадрат с надписью что-то типа на вашем компе обнаружено Spyware кликните "сюда" или "туда"... Проверил список процессов, и как ожидал увидел много "левых". NAV ругается что не может включить автопротект т.к. его настройки были изменены извне. Прегрузился в безопасный режим, вычистил в реестре все лишнее из автозагрузки НАВом проверил на вирусы ничего не нашел. Удалил все файлы, что упоминались в автозагрузке. Перезагрузил комп, в реестре ничего лишнего не появилось, а вот рабочий стол остался прежним -> нашел на компе файл desktop.htm, убил его, прежний (нормальный) рабочий стол не появился. Посмотрел папку "Рабочий стол" в Documents and Settings - все наместе. На диске "С" нашел папку Desktop откуда и "берется" внешний вид (ярлыки) рабочего стола. Папку не удалить. Причем свойства рабочего стола не посмотреть (используя правую кнопку мыши). Подозреваю, что все-таки какая-то зараз осталась... :( Как от нее избавится?

PS OS - WinXP HE

TraNceR-SPb
Была похожая фигня на компе одного товарища.
Вылечилось очень просто: банальным откатом системы на день, предшествующий появлению заразы.
Если не поможет (такое тоже может случиться) - удаляй все что считаешь нужным из под DOS'a. Также реестр незабудь почистить.

alexcop
Хоть это и банально :) но я никогда его никогда не делал... и насколько я знаю заморочки начались 4-го числа - возможно ли будет сделать откат более чем на день. И кстати как его сделать. А насчет лишнего я даже не знаю... прикладываю скрин процессов. Меня очень смущает такое количество svhost.exe или так и должно быть?

Воспользуйся HijackThis, "Do A system scan",
_http://www.hijackthis.de/en Вот здесь есть
хороший онлайн анализатор логов хайджека,
закинь лог туда и посмотри отмеченные подозрительные
пункты..

svchost'ов может быть и больше.

TraNceR-SPb
Пуск=>Программы=>Стандартные=>Служебные=>Восстановление системы
Там выбираешь "Восстановление более раннего состояния" и на календарике увидишь дни, когда создавались точки восстановления. Загружайся с любой. Если не понравится, то можно всё вернуть обратно (там будут подсказки).
Про svhost.exe точно не знаю, но у меня он тоже много раз запущен, наверно так и надо.

TraNceR-SPb
>Рабочий стол красного фона а посередине черный квадрат с надписью что-то типа
Видел такую фигню, если desktop.htm был в windows, то это вроде оно, так же проверь HKEY_CURRENT_USER\Control Panel\Desktop, там Wallpaper и OriginalWallpaper.

Sterwoza, alexcop
Не получилось восстановить систему: Написал, что невозможно восстановить систему с контрольно точки. Щаз попробую с другой восстановиться, если не получится буду думать дальше.

Не открывается эксплорер
 

Вин ХП
на компе была куча троев все вроде пофиксил но толку нет, веравно не работает т.е. нажимаешь на моем компутере 2ра за мышью и тишина не открывается и все люди добрые помогите очень надо изличит ком от этой беды

скорее всего вирусня испоганила файлы какие то или реестр....переставлять и не мучиться :-)

Попробуй зделать откат системы (Восстановление) на точку, которая ближе всего к дню, когда установил систему.
Когда сделаешь откат, снова прогони машину на вирусы!

дак в лом ее заново устанавливать там дофига настроек и прог хотелось бы выличить!

делал толку нет, на вири сразу прогнал винт на другом компе все пофиксил и еще на шпионов прогнал дофигище было тож пофиксил все

Не заново установить, а переустановить. Разница-то есть наверное :) Ежели уверен, что вирей более нет, то думаю поможет.

и это уже сделал результатов нет :(

Поиск - рулит!
http://www.imho.ws/showthread.php?t=44122
Склеиваю.
И ещё есть тема здесь ...

С недавних пор стала появляться вот такая штука (см. аттач). Где она живёт, как избавиться?

Werw0lf
Об этом уже было.
Отключи в службах административные сообщения и доставать больше не будут.

У меня такая проблема : через несколько минут после загрузки Windows(XP sp1 ) компьютер впадает в ступор , начинает усиленно урчать винчестером ,загрузка процессора достигает ~100% (разумеется всё повисает) ,а в диспатчере задач написано ,что столько ресурсов кушает "Бездействие системы" .Пробовал сканировать антивиром (Кашпировский и ДрВеб) и spybot'ом с ad-aware. - безрезультатно ,в автозагрузке тоже ничего подозрительного нет . Причём где-то через минуту это проходит . Смотрел через какой-то process viewer - он показывает ,что единственный процесс в системе - это pagefile.sys . Какие-нибудь соображения ? :help:

Virgil
ИМХО не похоже на "триппер", посмотри здесь: http://imho.ws/showthread.php?t=82157

Virgil
>pagefile.sys
Это не процесс, это имя файла свопа => маскируется кто-то.

Virgil
На будущее, поставь прогу AnVir Task Manager
Хомяк _http://www/anvir.com
В любой момент можешь просмотреть что запущено, какие DLL используются, что в автозагрузке и т.д. + программа не дает, без твоего ведома, делать изменения в реестре, что обычно бывает при заражении триппером или вирусом. + бесплатна + на русском языке.
Сам пользуюсь очень давно и очень часто спасала от разных эксплоитов и прочей дряни.

Помогите с трояном! Не все так просто!
 

Привет всем!
Очень расчитываю на вашу помощь!

Сразу скажу, что не первый раз удаляю трояны, но такого я еще не видел!

Значит так, в Таск менеджер я обнаружил неизвестный мне процесс (имя-простой набор букв с расширением ехе), я сделал ему энд...вместо него тут же появился другой-с другим названием....так до бесконечности.

Использовал прогу EasyCleaner>Start up, среди процессов каторые появляються при загрузки я увидел тот же самый файл, что и в Таск менеджер, прога каторая его поднимала называется TODO: Production name, в последствии независимо под каким именем он не появлялся в Таск менеджер-он всегда относился к этой проге.
Все эти чертовы файлы прописывались в систем 32 в папке винды.

Ок думаю. использую я прог-му HijackThis
Она с легкостью удаляла ненужный процесс...который в туже секуунду появлялся под новым именем.

Мной также были использованны прогр-мы: Spybot, ad-aware, Xoft-soft.

Удалял я и в ручную через regedit, ничего не помогает.

Сейчас я уже не знаю. что делать, расчитываю на вас.

Переустановку винды и формат диска не предлогать.

Вероятно ты подцепил это TODO на порносайте. Отключи систему восстановления винды, перегрузись в безопасном режиме с правами администратора попробуй удалить. Рекомендую воспользоваться утилитой "Процес Эксплорер", которая показывает все файлы и библиотеки связанные с процесом - _http://www.sysinternals.com/ntw2k/freeware/procexp.shtml.

P.S. Почисти папки посещения интернет.

Я не уловил? Каким образом оно прописанно в автозагрузке? Если знаешь файл, ответственный за безпорядки - убивай его из под DOS, если не сработает по F8 (безопасный режим).