imho.ws |
|
19.11.2003, 10:48 | # 1 |
ಠ..ಠ
Регистрация: 22.09.2003
Адрес: Moscow
Пол: Male
Сообщения: 1 940
|
Как удалить вирус/троян?
Стоит Win2000 SP3, и вылетает ошибка следующего вида:
F3E9CD64 base at F3E98000 Beginning dump of phisical memory Dumping physical memory to disk и начинает считать от 0-100 После чего комп перезагружается.... После этой ошибки, при попытке logoff или reboot, вылетает сведение о незаконченной программе Programm 1649, что это такое??? Неирзвестно, в автозапуске её нет, через Диспечер задач её невидно...Отрубить её неизвесно как. Также в Event Viewer - Application вылетел Event следующего вида: Event ID: 4124 Source: Ci Content index on f:\system volume information\catalog.wci is corrupt... Что делать-то? Помогите плз..... ВСЕ вопросы по борьбе с вирусами/троянами и прочей нечистью решаем здесь и в этой теме. Прежде, чем постить вопрос, просьба внимательно прочитать обе темы целиком - с вероятностью 99,9% ответы на эти вопросы уже есть. Постящие вопросы, ответы на которые уже даны и повторы ответов будут получать ШТРАФЫ. Dixi. Borland.
__________________
Зерна отольются в пули Пули отольются в гири Таким Ударным инструментом Мы пробьем все стены в мире Последний раз редактировалось Borland; 30.08.2005 в 15:27. |
21.11.2006, 21:50 | # 201 | ||
Junior Member
Регистрация: 23.03.2006
Пол: Male
Сообщения: 192
|
Нашел, точнее - помогли.
Цитата:
Второго ключа у меня и не было. В моем случае зависания XP не было, просто не грузился Рабочий стол. В безопасном режиме - та же картина. А есть случаи, когда в безопасном режиме все OK, в этих случаях происходит зависание какого то сервиса. Если этому событию (Нет ничего на Рабочем столе) предшествовало удаление вируса, то может помочь -следующее: Цитата:
|
||
29.11.2006, 19:43 | # 203 | |
Junior Member
Регистрация: 09.02.2006
Сообщения: 90
|
Цитата:
|
|
29.11.2006, 20:32 | # 204 | |
::VIP::
Регистрация: 18.06.2004
Сообщения: 2 025
|
Цитата:
2. http://www.z-oleg.com/secur/virlist/email-worm.php 3. http://www.z-oleg.com/secur/avz/index.php 4. RemoveIT Pro XT2 - SE http://www.incodesolutions.com/removeit.php 5. Spybot - Search & Destroy http://www.safer-networking.org/ru/index.html Также подходит для лечения и удаления большинства известных бяк! |
|
29.11.2006, 20:44 | # 205 | ||
СуперМод
IMHO Консультант 2005-2009 Регистрация: 14.08.2002
Адрес: Московская ПЛ, ракетный отс
Пол: Male
Сообщения: 14 418
|
Цитата:
Под таким именем он классифицируется ТОЛЬКО Касперским. И соответствующее описание может (и должно!) исходить непосредственно от разработчиков AVP (авторы вируса тоже могли бы помочь, но уверен - не будут)... Т.е. в первую очередь инфа появится (если вообще появится) именно на viruslist... Цитата:
Хотя, возможно, dim99 просто ошибся в написании...
__________________
Не засоряйте форум "спасибами"! Для выражения благодарности существуют ПС и репутация! Соблюдайте Правила! Распространенье наше по планете Особенно заметно вдалеке: В общественном парижском туалете Есть надписи на русском языке В. Высоцкий |
||
29.11.2006, 21:10 | # 206 | ||
Junior Member
Регистрация: 23.03.2006
Пол: Male
Сообщения: 192
|
Цитата:
Цитата:
Hoger Нужна инфа, а не средства удаления. Название вируса - без ошибок. Последний раз редактировалось dim99; 06.12.2006 в 20:45. |
||
30.11.2006, 13:59 | # 207 | |
Junior Member
Регистрация: 09.02.2006
Сообщения: 90
|
Цитата:
|
|
30.11.2006, 14:46 | # 208 |
Junior Member
Регистрация: 23.03.2006
Пол: Male
Сообщения: 192
|
Panzer2
Этот вирус создает ветку реестра : HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Image File Execution Options/explorer.exe я не видел ее (HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Image File Execution Options) в контрольных точках HijackThis. Т.е. я не верю свято в какую то определенную прогу типа HijackThis. Странно, ведь это не трой. Чего он так загружает трафик? Последний раз редактировалось dim99; 06.12.2006 в 20:48. |
30.11.2006, 15:23 | # 209 | ||
Junior Member
Регистрация: 09.02.2006
Сообщения: 90
|
Цитата:
ничего плохого нет, если там не установлен отладчик для explorer. А в логах AVZ отладчик обязательно будет отражен. Конечно панацеи нет. Но имхо просьба о помощи в нахождении/удалении вируса с компьютера должна начинаться с логов AVZ и HijackThis. Только после анализа этих логов можно двигаться дальше и давать конкретные советы по лечению конкретной машины. Цитата:
Последний раз редактировалось Panzer2; 30.11.2006 в 15:35. |
||
30.11.2006, 21:53 | # 210 | |||
Junior Member
Регистрация: 23.03.2006
Пол: Male
Сообщения: 192
|
Цитата:
Цитата:
Цитата:
Последний раз редактировалось dim99; 06.12.2006 в 20:51. |
|||
01.12.2006, 15:46 | # 211 | |||
Junior Member
Регистрация: 09.02.2006
Сообщения: 90
|
Цитата:
Цитата:
Цитата:
|
|||
01.12.2006, 16:26 | # 212 |
Newbie
Регистрация: 18.04.2005
Сообщения: 10
|
Исчезла вкладка "Свойства папки"
подцепил какой-то вирус, когда, даже не заметил. Увидел, что пропали расширения файлов в проводнике. В Total Cmd видны. Полез в меню проводника СЕРВИС - СВОЙСТВА ПАПКИ, думал галочка стоит в настройках, а вкладки свойств папки нет! Нет её и в панеле управления. Проверил всё DrWeb потом AVAST. аваст перед загрузкой много чего нашёл, но вкладка не появилась в меню проводника. Вручную нашёл каталоги Bron-Spizaetus и Tok-Cirrhatus, файл bronstab.exe и еще всякую всячину. Удалил всё из реестра, но ничего не помогло.
У кого такое было - поделитесь опытом. |
01.12.2006, 19:50 | # 215 | ||
Junior Member
Регистрация: 23.03.2006
Пол: Male
Сообщения: 192
|
Цитата:
Цитата:
Последний раз редактировалось dim99; 05.12.2006 в 14:49. |
||
03.12.2006, 11:47 | # 216 |
Newbie
Регистрация: 18.04.2005
Сообщения: 10
|
Права администратора не слетели. Сижу в домене, вхожу в комп и с правами админа и под своим паролем (тоже с правами админа). Установлена Win XP SP2 En лицензионная.
При загрузке всегда запускается проводник C:\Windows. Переустановил Service Pack 2 - не помогло |
03.12.2006, 14:15 | # 217 |
СуперМод
IMHO Консультант 2005-2009 Регистрация: 14.08.2002
Адрес: Московская ПЛ, ракетный отс
Пол: Male
Сообщения: 14 418
|
igortver
_http://www.bleepingcomputer.com/forums/lofiversion/index.php/t33568.html _http://www.securitywonks.net/site/forums/archive/index.php/thread-430.html Если с английским проблемы - _http://www.viruslist.com/ru/viruses/encyclopedia?virusid=121383 Тема про борьбу с вирусами у нас ТУТ - клею.
__________________
Не засоряйте форум "спасибами"! Для выражения благодарности существуют ПС и репутация! Соблюдайте Правила! Распространенье наше по планете Особенно заметно вдалеке: В общественном парижском туалете Есть надписи на русском языке В. Высоцкий |
19.12.2006, 20:49 | # 218 | ||
Junior Member
Регистрация: 23.03.2006
Пол: Male
Сообщения: 192
|
По вирусу Email-Worm.Win32.Sceno.ay (так его называет KAV 5.0 712) есть ответ от Касперского:
Цитата:
Цитата:
Последний раз редактировалось dim99; 19.12.2006 в 20:52. |
||
21.12.2006, 20:07 | # 219 |
Junior Member
Регистрация: 23.03.2006
Пол: Male
Сообщения: 192
|
Ответ от Касперского, точнее от его партнера, у которого мы покупаем KAV.
Специально по Вашему запросу было подготовлено описание запрошенного вируса: Email-Worm.Win32.Scano.ay Программа-червь, которая распространяет себя по электронной почте. Программа является приложением Windows (PE EXE-файл). Имеет размер 21 570 байт. Упакована WinUpack. Распакованный размер около 83 килобайт. Написана на C++. Инсталляция Заражение происходит при открытии и запуске зараженного файла вложения из письма электронной почты. Червь не работает под ОС Win9x. При запуске копирует свой исполняемый файл в папку Windows с именем: %WinDir%\csrss.exe Создает ключ реестра : [HKLM\Sоftware\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe] "Debugger"="%WinDir%\csrss.exe" или, в случае неудачи создания такого ключа, добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра: [HKCU\Sоftware\Microsoft\Windows\CurrentVersion\Run] "Application" = "%WinDir%\csrss.exe" После этого исполняемый файл червя будет автоматически запускаться при каждом следующем старте Windows Деструктивная активность Червь запускает процесс services.exe и внедряет в его адресное пространство свой код, который выполняет следующие действия: 1. Проверяет значение указанного ниже ключа реестра и восстанавливает его значение в случае его отсутствия : [HKLM\Sоftware\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe] "Debugger"="%WinDir%\csrss.exe" 2. Восстанавливает свой исполняемый файл из копии в оперативной памяти в случае его удаления с жесткого диска. Червь запускает процесс svchost.exe и внедряет в его адресное пространство свой код, который выполняет следующие действия: 1. Пытается установить соединение с Интернет 2. Запускает поток, который ищет в системе окна класса "AVP.AlertDialog" и имитирует в них нажатия на кнопку <Разрешить> или "Allow" 3. Создает файл во временной папке Windows: %Temp%\Message.hta Этот файл содержит тело вируса в зашифрованном виде и VBS скрипт, который производит расшифровку тела вируса, сохраняет его в корневой каталог диска C: под произвольно сгенерированным именем и его последующий запуск. 4. Запускает поток, который производит рассылку зараженных писем с вложенными файлами, которые содержат тело червя. Рассылка производится используя встроенный в червя почтовый клиент. Заголовок письма выбирается случайным образом из списка: Hi, what's up? He, where are you? Hi, drop me a line!!! Hi! Please write to me urgently! Hi! I'm waiting you online today! Will you be online today? When you're gonna answer me? Re: write to me! Re: Call me! Re: Where are you? Re: When you're gonna answer me? Hi!!! How's the mood? Re: How's the mood? Re: Where have you been? Текст письма выбирается случайным образом из списка : Hi!!!!! You haven't been writing for a long time. I began to worry) Where have you been? You remember, you've asked a progy from me? I've finally found it, so here it is. Check it out if this is what you've been looking for... bye Hi, what's up? Will you show up online today? Drop me a line in ICQ, ok? Btw, I'm sending you the docs you've been looking for, find them attached. Check them out, ok? Hi! I'm coming to you tomorrow, ok? When you are going to be home? You remember, you've asked some docs. Please find them attached. Check and see what's inside. That's it. Bye, till tomorrow... Hi! You disappeared again. If you come online, drop me a line, ok? Btw, I sent you those docs that you've been looking for. Check them out. Bye! Hi, give me a call just when you got the message! I'm tired of waiting. Btw, I'm sending that program that you've been looking for. Check it out. Appears to be that one. Bye! Hi, what's up? If you have time tomorrow, please come over. After midday. By the way, don't forget to check the enclosed documents. Bye. See you tomorrow. Hi, I got a free day tomorrow, and I'm waiting for you. Please come after midday. By the way, I'm sending you the documents that you've been asking for. Read them out... Bye! Hi, how are you? What are your plans today? If you have time, please come over, and don't forget to check the program attached. Bye! Hi, what's you gonna do today? I'll come over tonight! By the way, don't give anyone this funny program I'm sending. Check it out. Bye! Hi, I found that program you asked for. Find it attached. Bye. Hi, I saw you around today, but you didn't noticed me ( If you're gonna be at home, give a call, ok? By the way, check this file I'm sending. A very interesting program... What's up! You haven't been writing for a long time: I got news. I've finally that program you needed: I'm sending it out. Use it. Bye! Hi, drop me a line today, ok? And see the program I'm sending. Bye! Hi, drop me a line if you can. Btw, I have a new ICQ. Please don't forget to check the attached documents. Bye. Hi! How are you? Drop me a line if you can. I found your documents and I'm emailing them to you. Bye. Файл-вложение назван одним из следующих имен: Message File Document README Passwords Readme Important New COOL Archive Fotos private confidential secret images your_documents backup 5. Червь получает зашифрованный URL для загрузки файла из Интернет по следующей ссылке: Файл скачивается в рабочую папку с исполняемым файлом червя и сохраняется с именем 1.exe после чего запускается. 6. Червь копирует свой исполняемый файл на все разделы жесткого диска в папки, имена которых содержат в себе следующие строки. bear donkey download ftp htdocs http icq kazaa lime morpheus mule shar source upload pub log Имя файла червя выбирается произвольно из следующего списка: 1001 Sex and more.rtf 3D Studio Max 6 3dsmax ACDSee 10 full Adobe Photoshop 10 full Adobe Premiere 10 Ahead Nero 8 Altkins Diet.doc American Idol.doc Arnold Schwarzenegger.jpg Best Matrix Screensaver new Britney sex xxx.jpg Britney Spears and Eminem porn.jpg Britney Spears blowjob.jpg Britney Spears cumshot.jpg Britney Spears fuck.jpg Britney Spears full album.mp3 Britney Spears porn.jpg Britney Spears Sexy archive.doc Britney Spears Song text archive.doc Britney Spears.jpg Britney Spears.mp3 Clone DVD 6 Cloning.doc Cracks & Warez Archiv Dark Angels new Dictionary English 2004 - France.doc DivX 8.0 final Doom 3 release 2 E-Book Archive2.rtf Eminem blowjob.jpg Eminem full album.mp3 Eminem Poster.jpg Eminem sex xxx.jpg Eminem Sexy archive.doc Eminem Spears porn.jpg Eminem.mp3 Full album all.mp3 Gimp 1.8 Full with Key Harry Potter 1-6 book.txt Harry Potter 5.mpg Harry Potter all e.book.doc Harry Potter e book.doc Harry Potter game Harry Potter.doc Harry Potter and the Sorcerer's Stone game How to hack new.doc Internet Explorer 9 setup Kaspersky Internet Security 6.1 KeyALL Kaspersky`s Pub 6.0 Ultimate Kazaa Lite 4.0 new Kazaa new Keygen 4 all new Learn Programming 2004.doc Lightwave 9 Update Magix Video Deluxe 5 beta Matrix 3 .mpg Microsoft Office 2003 Crack best Microsoft WinXP Crack full MS Service Pack 6 source code Norton Antivirus 2005 beta Opera 11 free Partitionsmagic 10 beta Porno Screensaver britney RFC compilation.doc Ringtones.doc Nostradamus.doc From me with love World Trade Center last video.mpeg anthrax.doc Osama Bin Laden.jpg Taliban Osama bin Laden.mpg Yellow Pages Ringtones.mp3 Saddam Hussein.jpg Screensaver2 Serials edition.txt Smashing the stack full.rtf Star Office 9 Teen Porn 15.jpg The Sims 4 beta Ulead Keygen 2004 Visual Studio Net Crack all Vista review.doc WinAmp 13 full with sources Windows Vista Sourcecode.doc Windows 2003 crack Windows XP crack WinXP eBook newest.doc XXX hardcore pics.jpg и одного из расширений: .exe .pif .scr 7. Червь производит поиск на всех жестких дисках файлов имеющих следующие расширения : .adb .asp .cfg .cgi .mra .dbx .dhtm .eml .htm .html .jsp .mbx .mdx .mht .mmf .msg .nch .ods .oft .php .pl .sht .shtm .stm .tbb .txt .uin .wab .wsh .xls .xml .dhtml При нахождении таких файлов червь производит поиск в этих файлах адресов электронной почты и рассылает по этим адресам зараженные письма. Письма не рассылаются по адресам содержащим ниже перечисленные строки : @example. 2003 2004 2005 2006 @microsoft rating@ f-secur news update .qmail .gif anyone@ bugs@ contract@ feste gold-certs@ help@ info@ nobody@ noone@ 0000 Mailer-Daemon@ @subscribe kasp admin icrosoft support ntivi unix bsd linux listserv certific torvalds@ sopho @foo @iana free-av @messagelab winzip winrar samples spm111@ .00 --- abuse panda cafee spam pgp @avp. noreply local root@ postmaster@0 .1 .2 .3 .4 .5 .6 .7 .8 .9 Рекомендации по удалению 1. При помощи <Диспетчера задач> завершить зараженные процессы services.exe и svchost.exe. 2. Удалить все копии червя на жестком диске 3. В редакторе реестра удалить ключи реестра: [HKLM\Sоftware\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe] [HKCU\Sоftware\Microsoft\Windows\CurrentVersion\Run\Application] 4. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (<a href="http://www.kaspersky.ru/trials">скачать пробную версию</a>). Последний раз редактировалось dim99; 21.12.2006 в 20:15. |