Помогите избавится от заразы
 

При попытке зайти на любой сайт, Internet Explorer мне выдает:

"Access Blocked - Virus Warning!
You cannot access this site due to following reason:
Your computer was infected by Spyware or Adware Software.
This is dangerous software which disclose your personal
and transferred data and/or display unsolices advertising.
You can use this ADWARE/SPYWARE REMOVAL tools in
order to solve this problem and prevent futurer infection.

You can click Search to look for information on the Internet.

HTTP Error - Access Blocked"

Firefox заходит нормально. Что это за хрень, подскажите плиз?

Катни в сейф моде блохоискалкой, для начала проверь что подозрительного загружается-обычная процедура.

georgebukki
IE у тебя какую-то гадость схватил -- попробуй полечить. Одно из распространенных лекарств здесь: http://www.imho.ws/showthread.php?t=3591

sockets
Делал, не помогает...

Mg0
Там все линки мертвы. Качаю с осла...

Плохо смотрел, однако :rolleyes:
В этом посте тоже смотрел? http://www.imho.ws/showpost.php?p=705968&postcount=455
Вот еще другая штука -- только-только выложили http://www.imho.ws/showpost.php?p=729917&postcount=2

Mg0
Я уже скачал. Сделал Smart System Scan - не помогло. Щас делаю Full.

Нет, LavaSoft Ad-Aware SE Professional 1.05 не помог. IE Registry Recovery тоже.

Забыл добавить, что в HomePage стоит _http://default.home и не убирается (после повторного открытия эксплорера возвращается).

Если оставить эксплорер открытым, то пытается соединиться сюда: _http://www.e-finder.cc/hp/

CWShredder
Попробуй этой програмой прогони :yees:

georgebukki
Посмотри в ИЕ сервис-управление надстройками-может тулбары, хелперы да сёршассистенты какие левые есть?
P.S. Смотрю, в большинстве случаев это был
C:\WINDOWS\ietlbass.dll +что-то в dpf

_http://www.intermute.com/spysubtract/cwshredder_download.html

HATTIFNATTOR
Спасибо за совет, но я все таки не совсем ламер =)


Все решилось с помощью Ad-Watch SE Professional. Запретил писать в HomePage "_http://default.home " и все встало на свои места. Только зараза-то где-то сидит, хоть и не активная! А найти не получается!

georgebukki
А если в LavaSoft Ad-Aware SE Professional 1.05 -- где-то в настройках поставить "запереть домашнюю страницу?"

Mg0
Это я уже сделал. Теперь вопрос в том чтоб найти и удалить заразу.
Она уже неактивна, но все еще на компе.

Извини, твой прошлый пост не заметил. Есть еще такая прога -- PestPatrol называется -- http://www.imho.ws/showthread.php?t=18794. Тяжеловесная, но лечит хорошо. На их офсайте демка лежит, отличается от полной только тем, что показывает, ГДЕ чего поправить надо, но сама не правит. И, по-моему, там on-line проверка есть. Я не думаю, что у тебя после LavaSoft этой заразы тонна осталась, так что можно проверить, а вычистить -- ручками.

Mg0
Пробовал, не нашел.

Кто что не нашел?? Ты -- программу, или программа -- заразу?
если первое -- то на офсайт _www.pestpatrol.com, если второе -- то сдаюсь :( . Тогда только лезть в реестр, проверять там все ключи IE. Можно поиском по реестру попытаться найти это твое _http://default.home. Или на ночь запустить поиск по всему компу файлов со словом default.home. Хотя ежели эта хрень внутри dll, то может, и зашифрована.
И общем, исчерпался я с идеями -- сорри.

Mg0
программа -- заразу
Благодарю за помощь.

Причем здесь Ad-aware?
А"georgebukki" просто механически закрыл страницу,так мог бы было зделать любой Firewoll!!!
Попробуй почисть реестр этой штукой WinTools.net 5.1.1 Pro Ключик рабочий я тут на форуме выложил(по одноименной теме) :contract:

Да,кстати!А с другого браузера пробывал заходить(Opera,Avant)?

Столкнулся тут с какойто дрянью.
Переодически выкидывает сообщение. Бывает ещё другое, которое рекомендует отправится на сайт за лечиловом от SpyWare
Нортон корпоротивный молчит.
Ad-Aware SE Тоже не помогает.
Возможно эта дрянь пролезла, пока фаер был отключен.
Сталкивался ктонить с такой фигнёй?

Отключи службу Messenger - службу сообщений.

P.S. Это не вирус.

То, что это не вирус, это понятно. Но то, что это какая то зараза, это определённо. Сейчас проверился ещё раз на спай, прибил один ключ реестра. После чего получил такое же сообщение, а Ad-Watch манюкнулся на тот же ключ, который был восстановлен.
ключ автозапуска cd_clint.dll Данный файл с жёсткого диска удалён и перезагрузке комп матерится на ключ. Типа файл не найден.
При удалении ключа руками, эффект тот же.
Специалисты по ХРюше, глянте, какой процесс может это вызывать?

Карпыч
вроде все нормально, а что такое srvany.exe запущеный с системными правами? И надо бы посмотреть процессы сторонним менеджером, ведь искомый может быть скрытым.

srvany.exe не причём. Прибил процесс не помогает.
Есть у меня такая тула, называется anvirrus
Только почему то не хочет запускатся...
Пробовал в реестре поискать какой нить странный процесс пока безуспешно.

Посоветуй сторонний менеджер.

Пробовал нормальным менеджером процессов. Показывает все процессы, и все потоки. Так и не нашёл, что бы это могло быть. Может проще систему прибить и переставить, но чтото не очень хочется идти на поводу у всяких вымогателей, которые пишут подобный софт.

srvany+resetservice-это понятно.Сброс активации винды.
cd_clint.dll -«cydoor»- модуль-рекламная крутилка.
Его ставят например КaZaa, FlachGet.

http://webfile.ru/168606
regmon от sysinternals
запусти, options-log boot, после перезагрузки посмотри лог, какая программа обращается к удаленной ветви реестра.
но imho к появляющемуся окну не должно иметь отношения.

Что правит реестр, разобрался с помошью монитора. Как это не глупо, это был Ad-Watch SE Professional, которого я настроил на защиту реестра и на исправление его на автомате. :bad:
Вобщем получил урок. Осталось только понять, почему выскакивали сообщения при изменении реестра. :idontnow: Вероятно чтото всётаки сидит. Вроде на параною не похоже. Может и вправду отключить системные сообщения и плюнуть на всё? Фаер настроен, антивирус настроен. Реестр защищён. Что ещё нужно для полного счастья...
HATTIFNATTOR
получай голос в карму. Очень помог мне быстро разобратся в собственной глупости и кинул прекрасную тулу. Респект.

Карпыч
Попробуй Microsoft Antispyware, по моему так называется, новая фича от MS. Мне помогла. Удачи.

Dede
Спасибо. Проблема решена. Такая картинка не генерируется никакой прогой. И процессы я ковырял вобщем зря. Это всего навсего СПАМ! который приходит из интернета через службу сообщений. Методы устранения описаны в хелпе по виндам. Просто достаточно было перекрыть некоторые порты в фаере.

у меня spyware infection
сообствена сам червяк я удалил dr.web-ам
асталась маленькая праблема (картинка на desctop-e неменяетса)
_http://img375.***************img375/9673/satanabug3sc.jpg
внимание! вапрос.
как мне убоать заразу?

sAtAnA
Хммм.... Недавна лечил такую заразу так:
1. Скачай Spybot и полечись (на download.com - freeware)
2. Затем - для xp - правой кнопкой на десктопе - Properties- Desktop-Customize...-Web там снять галочку с My Current home page и с Lock desktop items
Если чего - будем посмотреть.

Народ, поймала трояна: модифицированный Win32/Adware.Look2Me приложение в файле C:\Windows\system32\guard.tmp
Нод орал и всячески советовал удалить файл, но он не удаляется. Теперь он его перенес в карантин. Вопрос в следующем - объясните чайнику, что делать дальше?
Или поможет только переустановка всей системы????
:idontnow:
После сканирования:
C:\WINDOWS\system32\eaqipqs.dll - троян
C:\WINDOWS\system32\vgactl.cpl - Win32/TrojanDownloader.Qoologic.P троян
C:\WINDOWS\system32\ie50_qcx.dll - Win32/Adware.Look2Me приложение

Огромное спасибо HATTIFNATTOR за помощь! :beer: Зы: не могу кинуть тебе сообщение в приват, говорит, что у тебя максимальный объем сохраненных персональных сообщений и не можешь получать новые сообщения, пока не удалишь часть старых.

ksuha
Поподробнее: файл НОД не может удалить или из самой винды или и то и другое? Как ведёт себя система при попытке удалить файл? Какая система (точная Операционка и файловая система)?
Зачем же сразу за топор? :)

Неплохо было бы проверить есть ли упоминания в реестре о найденых файлах

Вообще, если из системы не удаляется можно удалить загрузившись с другой ОСи (если есть ещё установленные на этом компе). Или подрубив этот винт как вторичный (слэйв) к другому компу и оттуда уже удалить.
Ещё вариант: загрузиться с Live-CD - загрузочный диск с полноценной операционкой (может быть типа windows или unix, только учти, что из-под unix'а может не удаляться, т.к. NTFS (если у тебя эта ФС) может не читаться вообще или по-умолчанию только читать, удалять или записывать что-то не позволит)

Троян был умертвлен с помощью нескольких хороших людей и программок. Всем, кто откликнулся - огромное спасибо! :чмок: :beer: :claps: :чмок:

ksuha
А можно поподробнее как избавилась: может, на вооружение возьму если вдруг чего не знаю :cool:

anakarn
Значится был Look2Me. Мене посоветовали сначала отсканировать систему с помощью HijackThis, потом с помощью AVZ. Потом я прислала людям сохраненные логи - обнаружились три зверька:
C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe
C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00002.dll
C:\WINDOWS\system32\drivers\i386p.sys
Эту пару мне сказали стереть в SafeMode
C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe
C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00002.dll
А последнего в AVZ - Файл/отложенное удаление
выбрать и перезагрузиться.
В Hijack сделать Fix для
O4 - HKLM\..\Run: [WService] WService.EXE
O4 - HKCU\..\Run: [Shell] "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe"
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O20 - Winlogon Notify: Installer - C:\WINDOWS\system32\dnl4013qe.dll
Потом - Пуск/Выполнить 2 команды:
net stop TlntSvr
sc config TlntSvr start= disabled
Потом я скачала Dr.Web - установила, заменила в нем один файл, который мне тоже дали. Потом просканировала в AVZ и убрала мусор, список которого мне тоже подсказали. В общем все теперь супер-работает! :yees: :claps: :beer:

Подцепил какую-то заразу. Такого еще не встречал за последние 5 лет.
Стоит DrWeb с купленным ключом. OutPost - регулярно обновляю.
никаких сигналов от них...
Начал тренироваться с Shadow User. После этого заражения.
1-й раз активизировался 20 ноября. часов с 17 до 19. При загрузке винды заставка, со словом "Windows" начинает мигать и меняет цвета и структуру рисунка на точки. Мигает, что-то делает до 30 минут доводил ожидание, но далее загрузка не продвинулась.
Стояло 3 винды- 2000sp4,XP sp2,2003sp1- ни одна не смогла загрузиться.
2- на следующее утро взял винт на работу. Форматировал разделы. удаляю их, начинаю новую установку в пустое место, создавая новый раздел и форматирую его - пошли копироваться фф, первая перезагрузка проходит. Но, как только начинается первая загрузка системы с заставкой - мигает и на этом загрузка прекращается. Хотя винт чего-то делает.
3-После N-ой попытки, к обеду IDE винт перестала видеть система. Закончил свое существование.
4 - На следующий день сын включил свой винт часов 19, и работал как ни в чем не бывало. Вирус заснул... т.к.

Все повторилось 15 декабря. В точности - один к одному.
Ожидаю 10 января...
Как с этим бороться не знаю.
!16 декабря часов в 16, в последней надежде, установил Red Hat 9. И поработал в нем.
Установка виды прошла успешно. Но, в 19 часов вечера все хорошо работало и у сына. Не успел определить. Само прошло или он все же сидел в своей скрытой патиции. Своем скрытом (от винды) разделе.

2 Mg0

если мне памить не изменяет то ті подхватил на какомто сайте експлоит которій успешно заменил ондну из Длл Винді если у тебя стоить ХРень зделай ей Sfc я так лично лечил с успехом

как форматировал? попробуй partition'ом... даже при простом форматировании в начальных секторах остаются данные, нужно все отформатировать, поставить винду и тогда точно не будет никаких вирусов...

все настройи и надстройки ИЕ хранятся в реестре
и при наличии "прямые руки 1.0" вредители успешно анигилируются