|
wintsk32
Дал я сёдня братику посидеть за компом,ну он такое ламо. Пока ходил с друзьями погулять,он залез в интернет Я считаю что вирус поселелился так: Братик очевидно первым делом решил поискать "порнография" Увы сейчас полно этих сайтов,которые дурят ламеров :( Либо он ввёл свой е-майл адрес,либо загрузил "xxxphoto.exe",что-то типа этого :mad: Так или иначе на компе появился вырус... Братик сказал что комп не работает... Да-да,какая-то программа загружала ЦП... Через минут пять открылся наконец TaskMannager,и я обнаружил некий wintsk32,закрыл я его и комп пошёл нормально..но вдруг появился и исчез процес exeldir32 и снова появился процес wintsk32... Ну ладно не буду вас мучать,удалил я эти 2 файла всё-таки,(кстати у них были значки блокнота),убрал их с автозагрузки(свинство,да?:mad: ),но решил пройтись по системным папкам... и обнаружил где-то 10 скринсэйверов(скринсэйверы всё-таки!!!) типа Love.scr,XXXF***ing.src,StarWars.scr:confused: и тд Все имели значки блокнота... Удалил я их,короче... и теперь всё окей... Но я обнаружил что это ещё не всё!!!! Этот "эротический скринсэйвер" удалил или изменил какие-то системные файлы!!!!! Не запускается ни одна программа!!! Вот что выдаёт,например,при загрузке блонота: "Windows не удалось найти 'C:\WINDOWS\system32\notepad.exe''.Проверьте, что имя было введено правильно, и повторите попытку. Чтобы выполнить поиск файла, нажите кнопку "Пуск", а затем выберите команду "Найти"." И так со всеми программами!!!!! При попытке изменить какие-либо параметры, выдаёт то-же сообщение, только с "rundll32.exe"!!! Я не могу даже regedit запустить!!!! Подозреваю, что прога изменила rundll32.exe!!! Как-нибудь,помогите!!! Добавлю, что OS - WindowsXP :mad: |
а откат ?
или бекап ?? |
Racer
А у тебя что антивирус не стоит?И ещё скажи у тебя system restore включен?свойство компа>system restore>там будут твои диски если в status написано monitoring то значит он мониторит систему.Эту нужно для того чтобы если что-то случиться чтобы востановить Винду.Извени но я не знаю как это работает(Стыдно:ooh: )потому-что поставил Xp недавно и ещё не разобрался.Подождём когда все придут. Добавлено через 2 минуты: malim Пока писал сообщение Kpnemo опередил меня. |
это червяк Yaha
aka I-Worm.Lentis.gen [KAV], W32/Yaha.t@MM [McAfee], W32/Yaha-T [Sophos] Цитата:
вот тут можно скачать Yaha Removal Tool, а на будущее забыть об avp/norton av и поставить drweb :) |
джах
круто с нортонского сайта можно скачать ремувыбал тул, но про нортон забыть :) |
KpNemo
я не говорю, что NAV плохой антивирус, просто большинство вирусов в первую очередь выводят из строя именно его. drweb не так популярен (а может уважаем?) :) среди вирусописателей. |
Самое страшное в этом то, что вирусняк правит ключик в реестре HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command, после этого ни одна прога (exe) не будет запускаться. Вылечить мона переименовав regedit.exe в regedit.com и восттановить исходное значение этого ключа в %1 %*. Это один из способов решить руками данную проблему...
----- with Respect... |
вывод ???
бекап реестра полностью каждый день :))) адназначно .. ламо возится с мастдаевским бекапером (имхо для маст дая он самый маст даевский, и не кто его не перематдает) качает Handy Beckup + плуг для реестра и живём счастливо. |
progoni a:) webroot spy sweeper
b:) dosovskie versii antivirusov (sovetuu f-prot ili norton) |
2 KpNemo
Если взять 9x винду, то она сама делает бэкап реестра и win.ini+system.ini почти каждый день, так что нада тока грузануться в досе о сделать откат реестра на какой-нить из 5-ти (по дефолту стока винда запоминает последних бэкапов).
----- with Respect... |
Racer переустановка дело хорошее.
Прогони антивирь по всему компу. Твоя тварь себя накидала много где. Может возродиться!!! |
Помогите, вирус!!!
Короче, вляпался я малехо, (по порносайтам не гулял, говорю сразу )
Какая то гадость стала тормозить подьем Винды - у меня XP, выбрасывает окошко, что не могу найти и после этого набор палочек типа |||||||| Второе проявление - не менее важное, при подьеме IE поднимается несколько pop-up, домашняя страница устанавливается на www.idgsearch.com, на десктопе и в фаворитах появляются иконки ссылки на какие-то левые сайты. В автозагрузке появились iedll и еще какая-то херня. Пользовался Norton antivirus, IEDoctor, Ad-aware 6.0, результатов практически никаких Люди, поможить, кто может, только недавно винду поставил... |
а System Restore перед сканированием отключал???
|
Я наверное чайник, но лучше в таких делах лишний раз спросить, как его отключать. Кстати IEDoctor блокирует его. но не убирает и Ad-aware тоже, что делать - подскажи чайнику :(
|
Ну я тоже не гуру! :) Так что прими информацию к размышлению.
System restore отключается: правая кнопка, клик на My Computer, и в закладке System Restore отметить Turn off System Restore. Или Control Panel/Performance and maintenance/System.... У меня тоже был неприятный опыт вылавливанию вируса который сам по своей же дурости себе притащил. я нашел его ехе файлы, но каждый раз при рестарте ХР их восстанавливал. Кстати в adaware где то в установках была опция выгружать из памяти, хммм, "опознанные процессы". |
Спасибо, попробую:confused:
Добавлено через 2 минуты: Проблема наверное еще и в том, что НИКТО НИЧЕГО НЕ НАХОДИТ, хотя пользуюсь саммыми последними релизами, периодически AD-watch предлагает заблокировать процесс, на этом все и заканчивается, вот такие дела, пока что делать - не знаю... :( |
старт - ехецуте -мсцонфиг
таб который самый правый , там все проги что стартуют вместе с wин. что тебе кажетса плочим ;) - килл ит. Добавлено через 2 минуты: shit... start - execute - msconfig |
Да вроде и грохнул на фик все чево мне не нравиться, но. как мне кажеться, держит его только IEDoctor, которым заблокировал Desktop и Favorits
|
кого его?
|
процесс "iedll" и еще пару типа "load"
|
borislev
такие вещи чистятся через реестр. ни один антивирус их не находит, так как они таковыми не являются. зайди в реестр и удали все соответствующие ветки и перегрузи машину. при загрузке какой-то модуль, подцепленный тобой на этом сайте, ищет коннект с инетом и его не находит......... по-пробуй |
Покручу сейчас
|
кстатти подобная тема уже обсуждалась:
http://www.imho.ws/showthread.php?s=...highlight=sexy |
borislev
Перед постингом,читаем правила раздела. В них написано: ПОЛьЗУЕМСЯ ПОИСКОМ ПЕРЕД РАЗМЕШЕНИЕМ ПОСТА!!! |
Что лучше искать в реестре - адрес - название сайта, который он подгружает в виде стартовой страницы?
Добавлено через 1 минуту: Чем лучше искать? |
|
Счас ищу
|
Bore
вот он ему и найдет ссылку на временные файлы.... сильно это поможет. borislev во-первых, найди ветку автозапуска. удали все ссылки на файлы, которые были установлены с этого сайта. во-вторых, посмотри все иконки на раб. столе. ищи в реестре по их названию... в-третьих, через в меню "пуск" посмотри появившиеся новые ссылки на файлы. поищи по их названию. в общем, смысл такой - ты должен найти в реестре все записи на файлы, установленные при заходе на вышеупомянутый сайт..... в качестве контроля, закинь поиск по таким словам "porno", "sex", "xxx". только будь осторожен и не удали лишнего. целую!!!! |
Только что олазил весь реестр и при поиске www.idgsearch.com он ни чего он не нашел
Где загрузочные ветви ???:confused: |
блин! да не нужно тебе искать ссылку на сайт. тебе нужны файл, установленные с этого сайта........
HLKM \SOFTWARE \MICROSOFT \WINDOWS \CURRENTVERSION \RUN (и RUNONCE) это автозагрузка...... а в отношении всего реестра, то зайдай в строке поиска название файла (без расширения даже) и пусть ищет......... а какие файлы тебе нужно искать, то я уже подзатрахался объяснять |
Не сердись и спасибо за терпение! :)
Счас потерхаюсь |
borislev
главное определи, какие файлы к тебе залезли на машину. и все..... |
Вроде и не видно ни фига, сейчас попробую перегрузиться, посмотрю, что и как
Добавлено через 37 минут: Короче, перегрузился 2 раза :)) вроде на старте окон никаких не выбрасывает, из реесра ручками таки побоялся чего либо удалять , удалил через IEDoctor, он позволяет конфигурировать все, чего комп подгружает при старте, но как найти, чего в машину залезло...? ума не приложу, и где-то же это сидит. Вроде IE поднимается без поп-апов, но как то дергает, ощущение, что если IEDoctor отключить, то чего-то и выскочит:mad: Добавлено через 1 минуту: Спасибо всем за советы и участие :) если есть еще чего подсоветовать - спасибки |
У меня была та же проблема. Проделал все что тут описанно. Помог нортон2004 + последний апдейт, он нашол какой-то вирус, удалил и все в порядке.:)
|
borislev
А сидит _это_ как правило либо в %windir% ( например известный code.exe можно спокойно удалять ) либо в %windir%\system32 либо в %drive%:\Documents and Settings\%user%\Application Data\ ( только не в поддиректориях. их не трогай ) В последнем все dll и exe в большинстве случаев можно удалять. Только будь уверен, что знаешь что делаешь. Я оттуда вычишаю всё ( кроме поддиректорий ). Но это говорю, только как информацию к размышлению... ни в коем случае не совет, и не указание к действиям! :blin: 2 ALL: кстати, я тут столкнулся с бОльшими непонятками: какая то зараза залезла к людям...вытворяет следующее: - блокирует voice(QoS) соединения ( но это as a matter effect ) - по task manager лишился всего, кроме содержания ( появляется окно без заголовка и без меню ) - убиваю по стандартной схеме все "неизвестные" процессы, чищу реестр ( Run и т.п.), перегружаюсь - зараза на месте (снова в run). - А в листе процессов её нет! - нортон её не видит ( разумеется с последними virus definitions ). Попробую восстановление отключить... но... может что-нибудь ещё посоветуете? Вот ломаю голову: что это может быть. И может ли прога править task manager? :confused: PS настолько живучей гадости я ещё не видел... PPS да, масдай: XP SP1 MUI RUS |
sky7
Хороший вирь убивает Каспера, Нортона, Доктора, ТаскМенэджер... Как вариант, можно попробовать вместо ТМ ProcessViewer от стороннего производителя (например плагин Far'а) для убийства процесса вируса, а потом запустить антивирус с компакта. |
Borland
ProcessViewer я под win98 раньше использовал. Думал под XP не работает... Спасибо за совет - попробую. |
| Часовой пояс GMT +4, время: 10:08. |
Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.