Помогите избавится от заразы

[FantomIL]

Карпыч
вроде все нормально, а что такое srvany.exe запущеный с системными правами? И надо бы посмотреть процессы сторонним менеджером, ведь искомый может быть скрытым.

[Карпыч]

srvany.exe не причём. Прибил процесс не помогает.
Есть у меня такая тула, называется anvirrus
Только почему то не хочет запускатся...
Пробовал в реестре поискать какой нить странный процесс пока безуспешно.

Посоветуй сторонний менеджер.

[Карпыч]

Пробовал нормальным менеджером процессов. Показывает все процессы, и все потоки. Так и не нашёл, что бы это могло быть. Может проще систему прибить и переставить, но чтото не очень хочется идти на поводу у всяких вымогателей, которые пишут подобный софт.

[HATTIFNATTOR]

srvany+resetservice-это понятно.Сброс активации винды.
cd_clint.dll -«cydoor»- модуль-рекламная крутилка.
Его ставят например КaZaa, FlachGet.

http://webfile.ru/168606
regmon от sysinternals
запусти, options-log boot, после перезагрузки посмотри лог, какая программа обращается к удаленной ветви реестра.
но imho к появляющемуся окну не должно иметь отношения.

[Карпыч]

Что правит реестр, разобрался с помошью монитора. Как это не глупо, это был Ad-Watch SE Professional, которого я настроил на защиту реестра и на исправление его на автомате.
Вобщем получил урок. Осталось только понять, почему выскакивали сообщения при изменении реестра. Вероятно чтото всётаки сидит. Вроде на параною не похоже. Может и вправду отключить системные сообщения и плюнуть на всё? Фаер настроен, антивирус настроен. Реестр защищён. Что ещё нужно для полного счастья...
HATTIFNATTOR
получай голос в карму. Очень помог мне быстро разобратся в собственной глупости и кинул прекрасную тулу. Респект.

[Dede]

Карпыч
Попробуй Microsoft Antispyware, по моему так называется, новая фича от MS. Мне помогла. Удачи.

[Карпыч]

Dede
Спасибо. Проблема решена. Такая картинка не генерируется никакой прогой. И процессы я ковырял вобщем зря. Это всего навсего СПАМ! который приходит из интернета через службу сообщений. Методы устранения описаны в хелпе по виндам. Просто достаточно было перекрыть некоторые порты в фаере.

[sAtAnA]

у меня spyware infection
сообствена сам червяк я удалил dr.web-ам
асталась маленькая праблема (картинка на desctop-e неменяетса)
_http://img375.***************img375/9673/satanabug3sc.jpg
внимание! вапрос.
как мне убоать заразу?

[streepman]

sAtAnA
Хммм.... Недавна лечил такую заразу так:
1. Скачай Spybot и полечись (на download.com - freeware)
2. Затем - для xp - правой кнопкой на десктопе - Properties- Desktop-Customize...-Web там снять галочку с My Current home page и с Lock desktop items
Если чего - будем посмотреть.

[ksuha]

Народ, поймала трояна: модифицированный Win32/Adware.Look2Me приложение в файле C:\Windows\system32\guard.tmp
Нод орал и всячески советовал удалить файл, но он не удаляется. Теперь он его перенес в карантин. Вопрос в следующем - объясните чайнику, что делать дальше?
Или поможет только переустановка всей системы????

После сканирования:
C:\WINDOWS\system32\eaqipqs.dll - троян
C:\WINDOWS\system32\vgactl.cpl - Win32/TrojanDownloader.Qoologic.P троян
C:\WINDOWS\system32\ie50_qcx.dll - Win32/Adware.Look2Me приложение

Огромное спасибо HATTIFNATTOR за помощь! Зы: не могу кинуть тебе сообщение в приват, говорит, что у тебя максимальный объем сохраненных персональных сообщений и не можешь получать новые сообщения, пока не удалишь часть старых.

[anakarn]

ksuha

Цитата:

Нод орал и всячески советовал удалить файл, но он не удаляется.

Поподробнее: файл НОД не может удалить или из самой винды или и то и другое? Как ведёт себя система при попытке удалить файл? Какая система (точная Операционка и файловая система)?

Цитата:

Или поможет только переустановка всей системы????

Зачем же сразу за топор?

Неплохо было бы проверить есть ли упоминания в реестре о найденых файлах

Вообще, если из системы не удаляется можно удалить загрузившись с другой ОСи (если есть ещё установленные на этом компе). Или подрубив этот винт как вторичный (слэйв) к другому компу и оттуда уже удалить.
Ещё вариант: загрузиться с Live-CD - загрузочный диск с полноценной операционкой (может быть типа windows или unix, только учти, что из-под unix'а может не удаляться, т.к. NTFS (если у тебя эта ФС) может не читаться вообще или по-умолчанию только читать, удалять или записывать что-то не позволит)

[ksuha]

Троян был умертвлен с помощью нескольких хороших людей и программок. Всем, кто откликнулся - огромное спасибо!

[anakarn]

ksuha
А можно поподробнее как избавилась: может, на вооружение возьму если вдруг чего не знаю

[ksuha]

anakarn
Значится был Look2Me. Мене посоветовали сначала отсканировать систему с помощью HijackThis, потом с помощью AVZ. Потом я прислала людям сохраненные логи - обнаружились три зверька:
C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe
C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00002.dll
C:\WINDOWS\system32\drivers\i386p.sys
Эту пару мне сказали стереть в SafeMode
C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe
C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00002.dll
А последнего в AVZ - Файл/отложенное удаление
выбрать и перезагрузиться.
В Hijack сделать Fix для
O4 - HKLM\..\Run: [WService] WService.EXE
O4 - HKCU\..\Run: [Shell] "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe"
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O20 - Winlogon Notify: Installer - C:\WINDOWS\system32\dnl4013qe.dll
Потом - Пуск/Выполнить 2 команды:
net stop TlntSvr
sc config TlntSvr start= disabled
Потом я скачала Dr.Web - установила, заменила в нем один файл, который мне тоже дали. Потом просканировала в AVZ и убрала мусор, список которого мне тоже подсказали. В общем все теперь супер-работает!

[teodor]

Подцепил какую-то заразу. Такого еще не встречал за последние 5 лет.
Стоит DrWeb с купленным ключом. OutPost - регулярно обновляю.
никаких сигналов от них...
Начал тренироваться с Shadow User. После этого заражения.
1-й раз активизировался 20 ноября. часов с 17 до 19. При загрузке винды заставка, со словом "Windows" начинает мигать и меняет цвета и структуру рисунка на точки. Мигает, что-то делает до 30 минут доводил ожидание, но далее загрузка не продвинулась.
Стояло 3 винды- 2000sp4,XP sp2,2003sp1- ни одна не смогла загрузиться.
2- на следующее утро взял винт на работу. Форматировал разделы. удаляю их, начинаю новую установку в пустое место, создавая новый раздел и форматирую его - пошли копироваться фф, первая перезагрузка проходит. Но, как только начинается первая загрузка системы с заставкой - мигает и на этом загрузка прекращается. Хотя винт чего-то делает.
3-После N-ой попытки, к обеду IDE винт перестала видеть система. Закончил свое существование.
4 - На следующий день сын включил свой винт часов 19, и работал как ни в чем не бывало. Вирус заснул... т.к.

Все повторилось 15 декабря. В точности - один к одному.
Ожидаю 10 января...
Как с этим бороться не знаю.
!16 декабря часов в 16, в последней надежде, установил Red Hat 9. И поработал в нем.
Установка виды прошла успешно. Но, в 19 часов вечера все хорошо работало и у сына. Не успел определить. Само прошло или он все же сидел в своей скрытой патиции. Своем скрытом (от винды) разделе.

[h0ttab]

2 Mg0

если мне памить не изменяет то ті подхватил на какомто сайте експлоит которій успешно заменил ондну из Длл Винді если у тебя стоить ХРень зделай ей Sfc я так лично лечил с успехом

[Naked]

Цитата:

teodor:
Форматировал разделы. удаляю их, начинаю новую установку в пустое место

как форматировал? попробуй partition'ом... даже при простом форматировании в начальных секторах остаются данные, нужно все отформатировать, поставить винду и тогда точно не будет никаких вирусов...

[iam_xor]

все настройи и надстройки ИЕ хранятся в реестре
и при наличии "прямые руки 1.0" вредители успешно анигилируются