|
Help! подхватил вирус..
вобщем пришло на мыло какое-то письмо, в аттаче был zip-архив, в котором текстовый документ... я его скопировал на диск, проверил антивирусом(досктор веб)... вируса не было обнаружено... ну я взял с друри да и распаковал архив...
ничего не произошло... файл даже не открылся... на следующий день включаю комп и вижу, что многие папки набиты какими-то файлами, причём при перезапуске компа они снова появляются... что делать??? |
Не мешало бы написать какая у тебя операционка и когда ты в последний раз обновлял антивирусные базы.
Стандартная методика отлова вирусов: 1. Сторонними утилитами сканим запущеные процессы и убиваем все подозрительные. 2. Проверяем все места откуда возможна автозагрузка (конфигурационные файлы, папки, реестр, сервисы и т. д.) и убиваем все подозрительное. 3. В Виндах проверяем автоматический планировщик. 4. Сканируем носители информации несколькими антивирусами с самыми свежими базами. Если после перезагрузки вирус продолжает быть на диске, то либо ты не тщательно все сделал, либо заражены системные файлы. По моему опыту, в таком случае, проще всего форматнуть диск и переставить систему зачисто, как это не печально. |
думаю мне ничто не поможет:(((((((((
у меня как мне сказали куча червей и троянов...(lsass.exe, svchost.exe............) какой вирус создаёт файлы я не знаю... да это уже и не важно... интересно как я их тока собрал... у меня файрвол - outpost, антивирусник - доктор веб... операционка - winXP думаю теперь тока форматировать надо.. |
К слову: lsass.exe, svchost.exe и т.п. - это стандартные процессы ХП-шки.
Ты не горячись. К Вебу все последние обновления стоят, версия веба последняя? Проверь весь винт и все файлы на вирусы. Что за файлы появляются? Собрать троянов и т.п. кучу ты не мог, Вебы бы отреагировал. А вот запустить одного какого-нить из письма - мог запросто. Надо ловить зверя... |
Mishgun [SU]
странно, а мне сказали что это черви... да и читал где-то, что эти файлы часто инфицируются... а вообще нормально, если в открытых портах svchost.exe 20 раз повторяется?? я до выходных подожду а потом уже форматировать буду... нет... у меня др. веб не последней версии(у меня 4.3)... файл который я открывал не был инфицирован.. могу кому-нить переслать письмо что я получил... |
не надо сразу форматировать !
ходи на сайт симантека и бери ихние бесплатные virus removal tools 90% что всё найдут и пофиксят |
Ital
В атаче найдёшь превосходный инструмент для попытки отловить эту пакость. Кстати, текстовый файл в архиве, это ещё не вирус. Хотя было бы интересно глянуть. Кинь на karpych@msn.com |
A voobshe , sovet na budushee, snesi na hren Weba i postav' Kaspera. V principe Web ne plohoy antivirus, odnako kogda skanish im odin edinstveniy fayl (windows explorer ----> pravaya knopka ---->Test with Dr.Web) to on kak to strano rabotaet: zapuskaetsya, proveryaet vse tekyshie fayli i ........ ostanavlivaetsya. To est tot fayl kotoriy dolgen bit proveren , na samom dele ne proveryaetsya. Kasper ge proveryaet fayl i daet otchet (proverka tekushih procesov otkluchena mnoy). Vozmogno chto na etoy stadii ti i spoymal zverya. Versiya Weba - poslednyaya, obnovleniya po e-mailu. S kasperom - obnovleniya avtomatom kagdiy den po inetu.
Vot tak to. |
Карпыч, неплохая штука, но как отличить процесс вредоносный от нужнопрограмного так сказать :rolleyes:
|
sockets
Чисто логически. Если вполне благопристойный процесс начинает шуровать по регистрам или щемится в автозагрузку, можно с уверенностью сказать, что это вирус. |
Сново логически, а если я на работе и куча рабочего софта установлено?
К примеру у меня на работе от оракла до сапа забит весь комп , и вычеслить что то на подобии вируса или трояна, это иголка в стоге сена:(Процессов очень много, а грохнуть чисто логически затем что то не то, грозит массой вони со стороны отдела тех поддержки :biggrin: |
sockets
Однако возни будет намного больше, если переставлять полностью винды после формата диска. А такой вариант тут тоже проскакивал. Собственно найти червя довольно сложнео ручками. Никто и не говорит, что это просто. Но попытатся всёже стоит. И желательно разными методами. |
Да , совсем недавно столкнулся с червячком Homepage , причем нивкаком емесконфиге его замечено не было , да и в контрлалтделит тоже ниче не показывал особенного, а вот дом страница с серчем зато, одарялись редкостной заразой...Пришлось три варезных проги испытывать на лицензионном softe (ну я потом все честно убрал) :dance:
Помоему лучше всего каким нибудь нортоном для начала с диска обсканить весь комп, затем едевеер и вперед на мины)) |
А можно ещё Пандой онлайн попробовать проверить.
|
Карпыч
на мыло отправил... хотя мне уже кажется это и не текстовый файл... прога что в аттаче не помогает, она из автозагрузки не может вирус убрать(rundllw называется файл)... SapeR ещё раз... куда сходить?? чё за симантек? Valentino глючнее касперского я не видел антивирусов!!! он всю систему вешает и проверяет "двигается ли мышка":biggrin: щас попробую этой пандой проверить... |
Ital
Посылку получил. Детально не разберался, но на вскидку могу предположить, что это червь, который использует уязвимость winamp. Ну или чтото типа того. Файл явно не тот за который себя выдаёт. message.scr Явно не текст. Запускать не пробовал пока. думаю завтра будут результаты анализа. Добавлено через 1 час и 16 минут: при запуске ан вирь интересуется, хочу ли я добавить в загрузки какойто там компонент нортона антивируса... Так как такова антивируса у меня нет, соответственно не хочу. Процесс запущенный при открытии мыла выглядит также как имя файла. Где он ещё пытался наследить, мне просто лениво искать . ночь на дворе. Завтра на свежую голову продолжим. Добавлено через 9 минут: ad aware и Ad-watch ничего плохого не посоветывал. Может потому что я раньше процесс ручками кильнул? вобщем покопаюсь лучше на свежую голову утром. Добавлено через 5 минут: Исследования пришлось прекратить, так как Панда онлайн кильнула эту пакость неспросив разрешения. а резервной копии у меня не сохранилось. Думаю вопрос закрыт. |
Ital!
Если ты уже нашел имя файла в автозагрузке, кто мешает найти все файлы с таким именем и удалить их вручную откуда бы то не было? |
STOlet
весь прикол в том что он не удаяется. Карпыч у меня от этой панды комп зависает... придётся её скачать.. |
| Часовой пояс GMT +4, время: 11:05. |
Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.