Как удалить вирус/троян? - Обсуждение программ

maxximik · 19.11.2003, 10:48

Стоит Win2000 SP3, и вылетает ошибка следующего вида:

F3E9CD64 base at F3E98000
Beginning dump of phisical memory
Dumping physical memory to disk и начинает считать от 0-100
После чего комп перезагружается....
После этой ошибки, при попытке logoff или reboot, вылетает сведение о незаконченной программе Programm 1649, что это такое??? Неирзвестно, в автозапуске её нет, через Диспечер задач её невидно...Отрубить её неизвесно как.
Также в Event Viewer - Application вылетел Event следующего вида:
Event ID: 4124
Source: Ci
Content index on f:\system volume information\catalog.wci is corrupt...

Что делать-то? Помогите плз.....

ВСЕ вопросы по борьбе с вирусами/троянами и прочей нечистью решаем здесь и в этой теме.
Прежде, чем постить вопрос, просьба внимательно прочитать обе темы целиком - с вероятностью 99,9% ответы на эти вопросы уже есть.
Постящие вопросы, ответы на которые уже даны и повторы ответов будут получать ШТРАФЫ.
Dixi.

Borland.

Irzichek · 19.11.2003, 10:57

http://msdn.microsoft.com/library/de...kmsgs/5661.asp

Event Message:
Content index on drive letter is corrupt. Please shutdown and restart the Indexing Service (cisvc).

Source Event Log Event ID Event Type
Ci Application 4124 Warning

Explanation:
This event record indicates that the index information is corrupted and Indexing Service cannot re-index the content automatically.

User Action:
Stop and restart Indexing Service.

maxximik · 19.11.2003, 11:12

Irzichek
про этот Event я прочитал на EventID.net - всё понятно, но с какого перепоя вылетает dump памяти???? вот в чем ВОПРОС !!!

Irzichek · 19.11.2003, 12:16

Почему не поставишь SP4 и все хотфиксы к нему?

maxximik · 19.11.2003, 12:31

Irzichek SP4 вроде еще сырая относительно, с дырами, а заплатки к ней потом еще искать придется

(((

Irzichek · 19.11.2003, 12:35

Ну ты и чудной

Заходишь на майкрософт апдейт, он тебе все критические заплатки сам найдет. А то, что он сырой - так уже несколько месяцев как вышел - в самый раз. У тебя без SP4 дырок больше (как я понял хотфиксы ты не любишь ставить

)

maxximik · 19.11.2003, 13:04

Irzichek Нет не люблю, мне хватило одного с приаттаченным MSblastom давно еще, я тогда залетел конкретно, комп-то обслуживает 16-ть машин еще, и с ребутами

(( не классно было...
Хотя может и стоит действительно врубить SP4, но понимаешь у меня есть нач. который решает что ставить, а что нет....я только могу править без установок, все ихнии Event-ы нормально поправил (даже ужасный 1000 и 1001), а вот с этим сижу незнаю чё и делать.....еще раз так ребутнется-без вопросов поставлю 4-ый SP, а пока пусть живет....
ПРОСТО очень меня интересут с чего-бы он вдруг сбросил всю память? вот что!!!

Irzichek · 19.11.2003, 13:33

На этот вопрос не могут ответить порой даже разработчики

Borland · 19.11.2003, 13:39

maxximik
Похоже, у Тебя какой-то вирус. Или троян...
А дамп физической памяти - стандартная процедура. Делается для того, чтобы потом умный дядька мог посмотреть из-за чего возник BSOD

maxximik · 19.11.2003, 13:55

Borland
DR.Web c обновлением от 16.11.2003 мне ничего не нашел

я тоже думал что вирь вначале..ан-нет.

Добавлено через 12 минут:
Borland
что такое BSOD ???

Borland · 19.11.2003, 14:04

maxximik
BSOD - Blue Screen Of Death, "синий экран смерти"
DrWeb вполне мог пропустить вирус - идеальных антивирусов нет. Попробуй другими антивирями. Желательно загрузившись с заведомо чистой дискеты или подключив винт на другую машину.

maxximik · 19.11.2003, 16:26

Borland СПАСИБО нашел сам:
Расширяем кругозор!!!!!!!!
BSOD(Blue Screen o Death) (Синий Экран Смерти) - это встроенный механизм перехвата ошибок которые могут повредить систему или данные.
совсем умный с вами стану

)спасибо.....
вот вопрос такой !!! есть ли логи этого Экрана и где их можно найти (вроде как с разрешением *.dmp) должны быть, или я неправ.
а отключить хард немогу, и рестартовать тоже немогу-0-- у меня машины к нему подключены другие

Добавлено через 2 часа и 15 минут:
Вообщем Это оказался троян как и говорил Borland --спасибо, он вырубает DrWeb...
называется msreg.exe у кого будет в папке c:\Winnt\msreg.exe.... смотрите если он в автозапуске висит-Давите его...
ВСЕМ Спасибо..Тему я думаю можно считать закрытой......

Nike · 12.12.2003, 16:36

Подхватил где-то W32/ Lovsan.worm, W32.Blaster.Worm, WORM_MSBLAST.A. или как его ещё называют Win32.HLLW.LoveSan.11296 а может и не его. Ну вообщем первое время выдавал табличку с обратным отсчётом времени и перезагружал комп. Я переустановил винду стало всё нормально а потом когда идёт загрузка винды сразу кидает на перезагрузку. Утилита FixBlast его не находит.
В файрволе всё время фигурирую исходящие и входящие следующие порты
TCP; Inbound; Local List of services: 135, 139, 445, 593; Block.
UDP; Inbound; Local List of services: 135, 137,138; Block.
Закрыл их и на входящие и на исходящие вроде перестал, но всё равно время от времени когда лазию по локалке бывает вырубается комп.
Люди добрые кто знает плиз посоветуйте как избавиться от этой заразы.

C18 · 12.12.2003, 17:57

Если выдавал табличку, то возможно это msblaster. Как с ним бороться, лезешь на сайт майкрасофт, и скачиваешь там патч - антибластер, но будь повнимательнее, там для каждой винды свой патч.

Ну а если это не он, то попробуй найти его в процессах, сними задачу, а потом найди его на винте поиском и удали, и попробуй еще реестор почистить.

Nike · 12.12.2003, 18:14

Я же сказа что ото он и есть в самом начале я написал все его называния. Патч от майкрософт установил, току от этого нет всё равно комп перезанружается.

12.12.2003, 19:08

Загружаеся с диска (СД)
формотируешь диск С format c: (все данные в том числе и вирусы будут уничтожены)
ставишь винду на чистый диск.
Ставишь Антивирус какоё-нибудь (с последними обновлениями) и проверяешь остальные диски

12.12.2003, 19:18

У меня была подобная проблема... решил :
1)полной переустановкой винды
2) установкой файрволе, я использовал нортон...
3) Установкой Патч от майкрософт, выкачал с инета зарание...
с отключением от сети....
пробывал с сетко зараза появлялась опять, как незнаю....
будут вопросы пиши

ISP · 12.12.2003, 20:29

У тебя какая ОС если ХР зайди в ПУ система дополнительно
загрузка и восстановление параметры и убери галочку

выполнить автомат перезагрузку
Такое бывает у нее))

-=DarkOne=- · 12.12.2003, 22:22

насколько я знаю все антивирусы советуют перезагрузиться в safemode а потом запускать антивирус и т.п. И напиши каким ты пользуешся антивирусом и что показывают результаты проверки?

Nike · 12.12.2003, 23:09

eTrust EZ Antivirus лицензионный и AVP пробовал ни одного вируса не находит. Ща пробую отключить автоматическое обновление. Хотя это врядли оно так как файр вол показыват что с моего компа идут запросы по 139 порту, а этот как рас этот вирь тут и лезит.

19.11.2003, 11:12	# 3
maxximik ಠ..ಠ Регистрация: 22.09.2003 Адрес: Moscow Пол: Male Сообщения: 1 940	Irzichek про этот Event я прочитал на EventID.net - всё понятно, но с какого перепоя вылетает dump памяти???? вот в чем ВОПРОС !!! __________________ Зерна отольются в пули Пули отольются в гири Таким Ударным инструментом Мы пробьем все стены в мире

19.11.2003, 12:31	# 5
maxximik ಠ..ಠ Регистрация: 22.09.2003 Адрес: Moscow Пол: Male Сообщения: 1 940	Irzichek SP4 вроде еще сырая относительно, с дырами, а заплатки к ней потом еще искать придется ((( __________________ Зерна отольются в пули Пули отольются в гири Таким Ударным инструментом Мы пробьем все стены в мире

19.11.2003, 13:04	# 7
maxximik ಠ..ಠ Регистрация: 22.09.2003 Адрес: Moscow Пол: Male Сообщения: 1 940	Irzichek Нет не люблю, мне хватило одного с приаттаченным MSblastom давно еще, я тогда залетел конкретно, комп-то обслуживает 16-ть машин еще, и с ребутами (( не классно было... Хотя может и стоит действительно врубить SP4, но понимаешь у меня есть нач. который решает что ставить, а что нет....я только могу править без установок, все ихнии Event-ы нормально поправил (даже ужасный 1000 и 1001), а вот с этим сижу незнаю чё и делать.....еще раз так ребутнется-без вопросов поставлю 4-ый SP, а пока пусть живет.... ПРОСТО очень меня интересут с чего-бы он вдруг сбросил всю память? вот что!!! __________________ Зерна отольются в пули Пули отольются в гири Таким Ударным инструментом Мы пробьем все стены в мире

19.11.2003, 13:55	# 10
maxximik ಠ..ಠ Регистрация: 22.09.2003 Адрес: Moscow Пол: Male Сообщения: 1 940	Borland DR.Web c обновлением от 16.11.2003 мне ничего не нашел я тоже думал что вирь вначале..ан-нет. Добавлено через 12 минут: Borland что такое BSOD ??? __________________ Зерна отольются в пули Пули отольются в гири Таким Ударным инструментом Мы пробьем все стены в мире

12.12.2003, 16:36	# 13
Nike Full Member Регистрация: 15.11.2003 Сообщения: 507	Как удалить вирус? Подхватил где-то W32/ Lovsan.worm, W32.Blaster.Worm, WORM_MSBLAST.A. или как его ещё называют Win32.HLLW.LoveSan.11296 а может и не его. Ну вообщем первое время выдавал табличку с обратным отсчётом времени и перезагружал комп. Я переустановил винду стало всё нормально а потом когда идёт загрузка винды сразу кидает на перезагрузку. Утилита FixBlast его не находит. В файрволе всё время фигурирую исходящие и входящие следующие порты TCP; Inbound; Local List of services: 135, 139, 445, 593; Block. UDP; Inbound; Local List of services: 135, 137,138; Block. Закрыл их и на входящие и на исходящие вроде перестал, но всё равно время от времени когда лазию по локалке бывает вырубается комп. Люди добрые кто знает плиз посоветуйте как избавиться от этой заразы.

19.11.2003, 10:48	# 1
maxximik ಠ..ಠ Регистрация: 22.09.2003 Адрес: Moscow Пол: Male Сообщения: 1 940	Как удалить вирус/троян? Стоит Win2000 SP3, и вылетает ошибка следующего вида: F3E9CD64 base at F3E98000 Beginning dump of phisical memory Dumping physical memory to disk и начинает считать от 0-100 После чего комп перезагружается.... После этой ошибки, при попытке logoff или reboot, вылетает сведение о незаконченной программе Programm 1649, что это такое??? Неирзвестно, в автозапуске её нет, через Диспечер задач её невидно...Отрубить её неизвесно как. Также в Event Viewer - Application вылетел Event следующего вида: Event ID: 4124 Source: Ci Content index on f:\system volume information\catalog.wci is corrupt... Что делать-то? Помогите плз..... ВСЕ вопросы по борьбе с вирусами/троянами и прочей нечистью решаем здесь и в этой теме. Прежде, чем постить вопрос, просьба внимательно прочитать обе темы целиком - с вероятностью 99,9% ответы на эти вопросы уже есть. Постящие вопросы, ответы на которые уже даны и повторы ответов будут получать ШТРАФЫ. Dixi. Borland. __________________ Зерна отольются в пули Пули отольются в гири Таким Ударным инструментом Мы пробьем все стены в мире Последний раз редактировалось Borland; 30.08.2005 в 15:27.

19.11.2003, 10:57	# 2
Irzichek Junior Member Регистрация: 04.12.2002 Сообщения: 76	http://msdn.microsoft.com/library/de...kmsgs/5661.asp Event Message: Content index on drive letter is corrupt. Please shutdown and restart the Indexing Service (cisvc). Source Event Log Event ID Event Type Ci Application 4124 Warning Explanation: This event record indicates that the index information is corrupted and Indexing Service cannot re-index the content automatically. User Action: Stop and restart Indexing Service.

19.11.2003, 12:16	# 4
Irzichek Junior Member Регистрация: 04.12.2002 Сообщения: 76	Почему не поставишь SP4 и все хотфиксы к нему?

19.11.2003, 12:35	# 6
Irzichek Junior Member Регистрация: 04.12.2002 Сообщения: 76	Ну ты и чудной Заходишь на майкрософт апдейт, он тебе все критические заплатки сам найдет. А то, что он сырой - так уже несколько месяцев как вышел - в самый раз. У тебя без SP4 дырок больше (как я понял хотфиксы ты не любишь ставить )

19.11.2003, 13:33	# 8
Irzichek Junior Member Регистрация: 04.12.2002 Сообщения: 76	На этот вопрос не могут ответить порой даже разработчики

19.11.2003, 13:39	# 9
Borland СуперМод IMHO Консультант 2005-2009 Регистрация: 14.08.2002 Адрес: Московская ПЛ, ракетный отс Пол: Male Сообщения: 14 519	maxximik Похоже, у Тебя какой-то вирус. Или троян... А дамп физической памяти - стандартная процедура. Делается для того, чтобы потом умный дядька мог посмотреть из-за чего возник BSOD

19.11.2003, 14:04	# 11
Borland СуперМод IMHO Консультант 2005-2009 Регистрация: 14.08.2002 Адрес: Московская ПЛ, ракетный отс Пол: Male Сообщения: 14 519	maxximik BSOD - Blue Screen Of Death, "синий экран смерти" DrWeb вполне мог пропустить вирус - идеальных антивирусов нет. Попробуй другими антивирями. Желательно загрузившись с заведомо чистой дискеты или подключив винт на другую машину.

19.11.2003, 16:26	# 12
maxximik ಠ..ಠ Регистрация: 22.09.2003 Адрес: Moscow Пол: Male Сообщения: 1 940	Borland СПАСИБО нашел сам: Расширяем кругозор!!!!!!!! BSOD(Blue Screen o Death) (Синий Экран Смерти) - это встроенный механизм перехвата ошибок которые могут повредить систему или данные. совсем умный с вами стану )спасибо..... вот вопрос такой !!! есть ли логи этого Экрана и где их можно найти (вроде как с разрешением .dmp) должны быть, или я неправ. а отключить хард немогу, и рестартовать тоже немогу-0-- у меня машины к нему подключены другие Добавлено через 2 часа и 15 минут:* Вообщем Это оказался троян как и говорил Borland --спасибо, он вырубает DrWeb... называется msreg.exe у кого будет в папке c:\Winnt\msreg.exe.... смотрите если он в автозапуске висит-Давите его... ВСЕМ Спасибо..Тему я думаю можно считать закрытой...... __________________ Зерна отольются в пули Пули отольются в гири Таким Ударным инструментом Мы пробьем все стены в мире

12.12.2003, 17:57	# 14
C18 Newbie Регистрация: 30.11.2003 Сообщения: 12	Если выдавал табличку, то возможно это msblaster. Как с ним бороться, лезешь на сайт майкрасофт, и скачиваешь там патч - антибластер, но будь повнимательнее, там для каждой винды свой патч. Ну а если это не он, то попробуй найти его в процессах, сними задачу, а потом найди его на винте поиском и удали, и попробуй еще реестор почистить.

12.12.2003, 18:14	# 15
Nike Full Member Регистрация: 15.11.2003 Сообщения: 507	Я же сказа что ото он и есть в самом начале я написал все его называния. Патч от майкрософт установил, току от этого нет всё равно комп перезанружается.

12.12.2003, 19:08	# 16
fedot2 Guest Сообщения: n/a	Загружаеся с диска (СД) формотируешь диск С format c: (все данные в том числе и вирусы будут уничтожены) ставишь винду на чистый диск. Ставишь Антивирус какоё-нибудь (с последними обновлениями) и проверяешь остальные диски

12.12.2003, 19:18	# 17
Tramp_72 Guest Сообщения: n/a	У меня была подобная проблема... решил : 1)полной переустановкой винды 2) установкой файрволе, я использовал нортон... 3) Установкой Патч от майкрософт, выкачал с инета зарание... с отключением от сети.... пробывал с сетко зараза появлялась опять, как незнаю.... будут вопросы пиши

12.12.2003, 20:29	# 18
ISP Member Регистрация: 15.07.2002 Сообщения: 246	У тебя какая ОС если ХР зайди в ПУ система дополнительно загрузка и восстановление параметры и убери галочку выполнить автомат перезагрузку Такое бывает у нее)) __________________ I S P

12.12.2003, 22:22	# 19
-=DarkOne=- Member Регистрация: 22.02.2002 Адрес: TUD Сообщения: 242	насколько я знаю все антивирусы советуют перезагрузиться в safemode а потом запускать антивирус и т.п. И напиши каким ты пользуешся антивирусом и что показывают результаты проверки?

12.12.2003, 23:09	# 20
Nike Full Member Регистрация: 15.11.2003 Сообщения: 507	eTrust EZ Antivirus лицензионный и AVP пробовал ни одного вируса не находит. Ща пробую отключить автоматическое обновление. Хотя это врядли оно так как файр вол показыват что с моего компа идут запросы по 139 порту, а этот как рас этот вирь тут и лезит.