imho.ws
IMHO.WS  

Вернуться   IMHO.WS > Программы и Операционные системы > Обсуждение программ
Опции темы
Старый 19.11.2003, 10:48     # 1
maxximik
ಠ..ಠ
 
Аватар для maxximik
 
Регистрация: 22.09.2003
Адрес: Moscow
Пол: Male
Сообщения: 1 940

maxximik Гурее всех гурых :-)
maxximik Гурее всех гурых :-)maxximik Гурее всех гурых :-)maxximik Гурее всех гурых :-)maxximik Гурее всех гурых :-)maxximik Гурее всех гурых :-)maxximik Гурее всех гурых :-)maxximik Гурее всех гурых :-)maxximik Гурее всех гурых :-)maxximik Гурее всех гурых :-)maxximik Гурее всех гурых :-)maxximik Гурее всех гурых :-)maxximik Гурее всех гурых :-)maxximik Гурее всех гурых :-)maxximik Гурее всех гурых :-)
Как удалить вирус/троян?

Стоит Win2000 SP3, и вылетает ошибка следующего вида:

F3E9CD64 base at F3E98000
Beginning dump of phisical memory
Dumping physical memory to disk и начинает считать от 0-100
После чего комп перезагружается....
После этой ошибки, при попытке logoff или reboot, вылетает сведение о незаконченной программе Programm 1649, что это такое??? Неирзвестно, в автозапуске её нет, через Диспечер задач её невидно...Отрубить её неизвесно как.
Также в Event Viewer - Application вылетел Event следующего вида:
Event ID: 4124
Source: Ci
Content index on f:\system volume information\catalog.wci is corrupt...

Что делать-то? Помогите плз.....

ВСЕ вопросы по борьбе с вирусами/троянами и прочей нечистью решаем здесь и в этой теме.
Прежде, чем постить вопрос, просьба внимательно прочитать обе темы целиком - с вероятностью 99,9% ответы на эти вопросы уже есть.
Постящие вопросы, ответы на которые уже даны и повторы ответов будут получать ШТРАФЫ.
Dixi.

Borland.
__________________
Зерна отольются в пули
Пули отольются в гири
Таким Ударным инструментом
Мы пробьем все стены в мире

Последний раз редактировалось Borland; 30.08.2005 в 15:27.
maxximik вне форума  
Старый 28.11.2010, 16:23     # 281
Borland
СуперМод
IMHO Консультант 2005-2009
 
Аватар для Borland
 
Регистрация: 14.08.2002
Адрес: Московская ПЛ, ракетный отс
Пол: Male
Сообщения: 14 418

Borland - Гад и сволочь
Проблема-то не в ноде, а в трояне... Переношу в Как удалить вирус/троян?
Соответственно, раз уж он настолько жёсткий - нужно сначала лечить систему, а уже потом обновлять нод.
Загрузите систему в "режиме защиты от сбоев" и попробуйте пролечить свежим "DrWeb® CureIt!".
Если лечение в режиме защиты от сбоев не проходит - Dr.Web® LiveCD на болванку и лечить систему загрузившись с него.
А уже избавившись от malware - восстанавливайте работоспособность любимого нода...
__________________
Не засоряйте форум "спасибами"! Для выражения благодарности существуют ПС и репутация! Соблюдайте Правила!
Распространенье наше по планете
Особенно заметно вдалеке:
В общественном парижском туалете
Есть надписи на русском языке

В. Высоцкий

Borland вне форума  
Старый 28.11.2010, 20:01     # 282
uland
Junior Member
 
Регистрация: 01.04.2004
Адрес: Питер
Сообщения: 96

uland Нимб уже пробиваетсяuland Нимб уже пробивается
Инструкция по удалению Olmarik trojan на Spywarevoid-
http://www.spywarevoid.com/remove-ol...k-removal.html, там же Free skanner, правда им никогда не пользовался.
__________________
Uland
uland вне форума  
Старый 20.12.2011, 11:50     # 283
Antonio_mm
Member
 
Аватар для Antonio_mm
 
Регистрация: 16.07.2005
Сообщения: 201

Antonio_mm МолодецAntonio_mm МолодецAntonio_mm Молодец
Вот такая проблема:
Поймали вирус "autorun" с флешки на Windows XP SP2 Home.
Я уже не один раз избавлялся от таких, но вот в чем проблема. Он прописался в реестре тут
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\netsvcs (в конце списка)
Все как обычно вроде...
Стер название. По этому названию нашел его тут
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
Проблема первая не могу удалить, даже если выставляю разрешения на полный доступ...
Нашел и саму DLL в System32, её удалил с помощью Unlocker'а.
В ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon все нормально!
На следующий день все возобновилось...
В netsvcs появились другие сочетания букв по которым можно найти в разделе service, но не удалить...
Вопрос: как еще можно удалить ветку в реестре принудительно из под винды?
Комп находится в сети и умудрились подхватить еще на один через другую флешку...
Просканировал AVZ вроде сегодня не достает... Но следы остались и я не могу их почистить...
__________________
Когда я поднимался по лестнице, я встретил человека, которого там не было. Его и сегодня там не было. Хоть бы он ушел...
Antonio_mm вне форума  
Старый 20.12.2011, 12:42     # 284
Val14
Full Member
 
Аватар для Val14
 
Регистрация: 12.10.2002
Пол: Male
Сообщения: 1 014

Val14 Гурее всех гурых :-)
Val14 Гурее всех гурых :-)
Цитата:
Сообщение от Antonio_mm Посмотреть сообщение
Вопрос: как еще можно удалить ветку в реестре принудительно из под винды?
Вы надеетесь бороться с вирусом, поставив удаление ветки реестра в авторан ? Это вряди ли получится...
Ветку можно удалить имея на то право(permissions), при условии, что она не "захвачена" как ресурс. думаю, что троян не дает удалить "свою" ветку, поэтому, даже имея все права, удалить её не удается.

Нужно лечить комп и думать, как не допускать новых заражений.

Последний раз редактировалось Val14; 20.12.2011 в 12:46.
Val14 вне форума  
Старый 20.12.2011, 12:46     # 285
Merlin Cori
Moderator
 
Аватар для Merlin Cori
 
Регистрация: 29.04.2002
Адрес: Moscow
Пол: Male
Сообщения: 2 980

Merlin Cori СуперБогMerlin Cori СуперБогMerlin Cori СуперБог
Merlin Cori СуперБогMerlin Cori СуперБогMerlin Cori СуперБогMerlin Cori СуперБогMerlin Cori СуперБогMerlin Cori СуперБогMerlin Cori СуперБогMerlin Cori СуперБогMerlin Cori СуперБогMerlin Cori СуперБогMerlin Cori СуперБогMerlin Cori СуперБог
надо грузится с лив сд, что-то вроде ERD Commander и пытаться править реестр из него. Плюс к этому, то что в посте Borland,
Цитата:
Сообщение от Borland Посмотреть сообщение
Загрузите систему в "режиме защиты от сбоев" и попробуйте пролечить свежим "DrWeb® CureIt!".
Если лечение в режиме защиты от сбоев не проходит - Dr.Web® LiveCD на болванку и лечить систему загрузившись с него.
Потому что копии этой dll на 100% лежат в system restore и после перезагрузки попадают обратно
__________________
Есть две бесконечные вещи, Вселенная и глупость.
Впрочем, на счет Вселенной, я не уверен



Вклад IMHO.WS в медицину и науку
Присоединяйтесь!!!!!
Merlin Cori вне форума  
Старый 20.12.2011, 13:22     # 286
Val14
Full Member
 
Аватар для Val14
 
Регистрация: 12.10.2002
Пол: Male
Сообщения: 1 014

Val14 Гурее всех гурых :-)
Val14 Гурее всех гурых :-)
Цитата:
Сообщение от Merlin Cori Посмотреть сообщение
Потому что копии этой dll на 100% лежат в system restore и после перезагрузки попадают обратно
А что понимается под "system restore" ? и какая связь с перезагрузкой и попаданием "обратно" ?

Я не понял смысл фразы. можно её переформулировать ?
Val14 вне форума  
Старый 20.12.2011, 13:32     # 287
Antonio_mm
Member
 
Аватар для Antonio_mm
 
Регистрация: 16.07.2005
Сообщения: 201

Antonio_mm МолодецAntonio_mm МолодецAntonio_mm Молодец
Цитата:
Сообщение от Val14 Посмотреть сообщение
"захвачена" как ресурс
Как-то узнать это можно? Тоесть как вообще узнать какой ресурс использует "энная" ветка?
Цитата:
Сообщение от Merlin Cori Посмотреть сообщение
надо грузится с лив сд, что-то вроде ERD Commander и пытаться править реестр из него
Это можно, уже делал (приходилось)... меня интересует сделать это из самой винды.
Цитата:
Сообщение от Merlin Cori Посмотреть сообщение
Потому что копии этой dll на 100% лежат в system restore
А что там должно лежать? Как отобрать мусор?
Кстати вирус мне закрыл просмотр скрытых файлов, но я в этом разобрался, все показывает!
__________________
Когда я поднимался по лестнице, я встретил человека, которого там не было. Его и сегодня там не было. Хоть бы он ушел...
Antonio_mm вне форума  
Старый 20.12.2011, 13:41     # 288
Plague
Administrator
 
Аватар для Plague
 
Регистрация: 06.05.2003
Адрес: Московская Подводная Лодка
Пол: Male
Сообщения: 12 042

Plague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague Демиург
Plague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague Демиург
Цитата:
Сообщение от Antonio_mm Посмотреть сообщение
меня интересует сделать это из самой винды.
если вирус написан не студентом-недоучкой - никак.
"Умно" написанный вирус контролирует и свои ветки реестра, и свое собственное нахождение в памяти.

Единственный вариант, как выше сказали - LiveCD и редактирование реестра оттуда.
__________________
все "спасибы" - в приват и в репутацию! не засоряйте форум!!!!
~~~~~~~~~~~~~~~~~~~~~~

The time has come it is quite clear, our antichrist is almost already here.
M.M.
Plague вне форума  
Старый 20.12.2011, 13:46     # 289
Val14
Full Member
 
Аватар для Val14
 
Регистрация: 12.10.2002
Пол: Male
Сообщения: 1 014

Val14 Гурее всех гурых :-)
Val14 Гурее всех гурых :-)
Цитата:
Сообщение от Antonio_mm Посмотреть сообщение
Как-то узнать это можно? Тоесть как вообще узнать какой ресурс использует "энная" ветка?
Кроме установить программу ProcessMonitor ничего в голову не приходит...
Val14 вне форума  
Старый 20.12.2011, 16:59     # 290
Antonio_mm
Member
 
Аватар для Antonio_mm
 
Регистрация: 16.07.2005
Сообщения: 201

Antonio_mm МолодецAntonio_mm МолодецAntonio_mm Молодец
Цитата:
Сообщение от Val14 Посмотреть сообщение
Кроме установить программу ProcessMonitor ничего в голову не приходит...
Скачал!
Покавырялся... был бы благодарен, если кто подсказал как проследить какой ресурс не дает удалить зловредную ветку?
__________________
Когда я поднимался по лестнице, я встретил человека, которого там не было. Его и сегодня там не было. Хоть бы он ушел...
Antonio_mm вне форума  
Старый 20.12.2011, 17:56     # 291
Plague
Administrator
 
Аватар для Plague
 
Регистрация: 06.05.2003
Адрес: Московская Подводная Лодка
Пол: Male
Сообщения: 12 042

Plague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague Демиург
Plague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague Демиург
фильтр:
path | contain | ветка (не обязательно полностью) | [then] include

и смотри... только повторяю еще раз: если вирь написан не-криворуким студентом, процесс прибить не удастся.
__________________
все "спасибы" - в приват и в репутацию! не засоряйте форум!!!!
~~~~~~~~~~~~~~~~~~~~~~

The time has come it is quite clear, our antichrist is almost already here.
M.M.
Plague вне форума  
Старый 21.12.2011, 11:09     # 292
Val14
Full Member
 
Аватар для Val14
 
Регистрация: 12.10.2002
Пол: Male
Сообщения: 1 014

Val14 Гурее всех гурых :-)
Val14 Гурее всех гурых :-)
Antonio_mm, Совет про ProcessMonitor был дан, как ответ на вопрос - "чем ?", но если это руткит, троян и т.п., то мониторить обращения к реестру хорошо для общего развития. Не очень уверен, что это поможет вылечить систему.

Знаком со случаями, когда руткит садился как драйвер и, при каждой новой загрузке ОСи, создавал вирус с новым случайным именем.

Удалять его было бесполезно - нужно лечить компьютер !
Val14 вне форума  


Ваши права в разделе
Вы НЕ можете создавать новые темы
Вы не можете отвечать в темах.
Вы НЕ можете прикреплять вложения
Вы НЕ можете редактировать свои сообщения

BB код Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Часовой пояс GMT +4, время: 02:59.




Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.