Как удалить вирус/троян?

[maxximik]

Стоит Win2000 SP3, и вылетает ошибка следующего вида:

F3E9CD64 base at F3E98000
Beginning dump of phisical memory
Dumping physical memory to disk и начинает считать от 0-100
После чего комп перезагружается....
После этой ошибки, при попытке logoff или reboot, вылетает сведение о незаконченной программе Programm 1649, что это такое??? Неирзвестно, в автозапуске её нет, через Диспечер задач её невидно...Отрубить её неизвесно как.
Также в Event Viewer - Application вылетел Event следующего вида:
Event ID: 4124
Source: Ci
Content index on f:\system volume information\catalog.wci is corrupt...

Что делать-то? Помогите плз.....

ВСЕ вопросы по борьбе с вирусами/троянами и прочей нечистью решаем здесь и в этой теме.
Прежде, чем постить вопрос, просьба внимательно прочитать обе темы целиком - с вероятностью 99,9% ответы на эти вопросы уже есть.
Постящие вопросы, ответы на которые уже даны и повторы ответов будут получать ШТРАФЫ.
Dixi.

Borland.

[Trotil]

Рекомендованная инструкция по нахождению и удалению вредоносных программ на вашем ПК.

Этап 1. Попытка лечения зараженного ПК.

1а. Если у Вас есть антивирус - обновите его базы и проверьте компьютер с максимально возможным настройками.

1б. Если у Вас нет антивируса - можно использовать бесплатные средства диагностики (на выбор):

- утилиту от DrWeb - CureIT! : страница загрузки
- онлайн сканер Касперского : http://www.kaspersky.ru/virusscanner

(скачайте последнюю версию, даже если у вас имеются эти средства)

Замечание: выбирайте средство диагностики иной компании, нежели ваш установленный в системе антивирус.

2. Отключите восстановление системы (Windows Me/XP).

Этап 2: Сбор информации с вашего ПК

3. Скачайте следующие утилиты:

- антивирусную утилиту AVZ: Страница загрузки (ссылка на загрузку расположена в самой правой колонке под текстом Скачать (3.0 Мб))
- утилиту HiJackThis: Страница загрузки

(Даже если у Вас есть AVZ или HiJackThis, скачайте их заново!)

4. Распакуйте из архива HiJackThis и поместите в новую отдельную папку.
5. Распакуйте из архива AVZ и поместите в новую отдельную папку.

6. Обновите базы AVZ:
Открыть AVZ: "Файл" => "Обновление баз". Закройте AVZ.

Перед выполнением следующих пунктов (7, 9, 11) закройте свои антивирусные программы, игры, текстовые редакторы и любые другие программы, оставьте запущенным только программу-браузер (Internet Explorer. Если он не запущен - запустите)!!!

-- Протоколы AVZ --

7. Запустите AVZ. Выберите из меню "Файл"=>"Стандартные скрипты" и поставьте галку напротив "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info". Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое сканирование, лечение и исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscure.zip.

8. Обязательно перезагрузите компьютер, так как AVZ в ходе проверки системы может нарушить работу некоторого ПО (в частности антивирусов и фаерволов). После перезагрузки ПО продолжит корректную работу.

9. Запустите AVZ. Выберите из меню "Файл"=>"Стандартные скрипты" и поставьте галку напротив "Скрипт сбора информации для раздела "Помогите!" virusinfo.info". Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscheck.zip.

-- Протокол HiJackThis --

10. Запустите HijackThis. Если программа не запускается или прекращает работу после запуска, переименуте файл программы HijackThis в 1.exe и в дальнейшем используйте его.

11. Нажмите на кнопку "Do a system scan and save a logfile".

12. Сохраните лог. По умолчанию лог сохраняется в папке программы с именем hijackthis.log

Этап 3: оформление запроса на форуме imho.ws.

После этапа сбора информации у вас должно появиться 3 лога:

- hijackthis.log в папке программы HijackThis
- virusinfo_syscheck.zip в директории AVZ в папке "LOG".
- virusinfo_syscure.zip в директории AVZ в папке "LOG".

Внимание! Последний архив не путать с virusinfo_cure.zip!!! Его категорически запрещено выкладывать на форуме!

Прикрепите их к вашему сообщению или залейте их на файлообменник.
Создайте ваше сообщение в этой теме с указанием симптомов заражения вашего ПК. Мы постараемся вам помочь на основе логов вашей системы, насколько это возможно.

И последнее: напишите мне ПС в личку, чтобы я их посмотрел, а то могу пропустить ваш запрос.

© Использованы правила оформления запроса в разделе Помогите! портала VirusInfo.Info.
Источник правил: http://virusinfo.info/showthread.php?t=1235

[morJ]

Незнаю в какой теме задавать свой вопрос, если здесь будет лишним плз дайте ссылку и можете удалять мой топик.
Нужен антивирус который устанавливался бы на флэшку. Надоело тащить на свой комп вирусы с других компов. Нужна не портэйбл версия которую надо запускать а именно для установки на флэшку. Кто знает плз дайте знать.
Заранее тнх.

Комментарий Модератора:

Borland: Не бывает. У флешки нету процессора, на котором мог бы работать антивирь. А комп, если на нём есть вирус, вместо запуска антивиря с флешки снесёт его нафиг. Кроме того, запуск в системе второго антивирусного монитора (если на компе есть свой, второй с флешки) с вероятностью 99,99% приведёт к краху системы не хуже чем вирус.

[aortak]

в контекстном меню при клике мышки по жесткому диску появилось "open(0)" Че это, и как с ней бороться?

[audora]

Так это опять старина autorun.inf. Поищи решение поиском на форуме.
И вот сдесь ещё посмотри:
http://forum.oszone.net/thread-74606-2.html

[mutant]

Цитата:

Сообщение от aortak

в контекстном меню при клике мышки по жесткому диску появилось "open(0)" Че это, и как с ней бороться?

Мне помнится помогла в решении аналогичной проблемы программа anti-autorun с сайта bombina.com

[Judge]

Цитата:

Сообщение от Audora

И вот сдесь ещё посмотри:

Можно посмотреть ещё и вот здесь.

Цитата:

Сообщение от mutant

программа anti-autorun с сайта bombina.com

СтОит ли рисковать, если

Цитата:

Имейте ввиду, что вируса может и не быть, и программа удалит некоторые полезные файлы autorun, и тогда кое-что придётся запускать вручную.

Этот троян достаточно просто удаляется и вручную.

[bob02]

подскажите пожалуйста что за файл u94.exe
он генерит у меня траффик

[Emelman]

Цитата:

Сообщение от bob02

подскажите пожалуйста что за файл u94.exe
он генерит у меня траффик

Во-первых, Вы не указали где находится данный файл (путь); во-вторых, если это вирус, то имя файла не редко генерится случайным образом и в следующий раз имя файла может быть иным; в-третьих, проверьте данный файл каким-нибудь антивирусом (лучше CureIt'ом), почему то мне кажется, что после проверки вопрос будет закрыт.

[Alexz]

Еще можно проверять подозрительные файлы системой _http://www.virustotal.com/ru/ - я довольно часто ей пользуюсь. Попробуйте, это один из вариантов решения.

помагите плиз , если такая проблема уже была просмотрена то ссылочку на неё плиз.
итак в чём суть проблемы , в ключаю компьютер , всё вроде норм , как загрузке рабочего стола , появляется на весь экран , надпись закрывая собой всё что на рабочем столе , "у вас истёк срок лицензионного соглашения windows " он у мя 3 года работал и тока щас эта надпись вышла , перед этим никаких напопинаний сказано не было , но внизу есть примечательная поментка , что код моно получит СМС , при зажатии Ctrl+Alt+Delete на мгновение появляется окно и тутже ичезает , кое как выписал названии программы , зашёл через ебзопасный режим удалил её и похожие на неё названия "sound" .
думал всё норм стало , но сразу же после удаления у меня на компе начало само по себе включатся интеренет эксповер , заходя на какойто китайский сайт , я пытался удалить его , удалил сначала через "панель управления , и т.д. " вроде полностю удалил ,ошибка не справилась , далее начал сам искать через " поиск" нашёл , удалил , и теперь вылезает окно експловера на долю секнуду скрывая собой все приложения на компьютере , в которых я сижу в данный момент , и закрывается с периодом примерно 8-10 секунд , есть 2 файла "explorer" которые не могу удалить с компьютера , плиз обьясните в чём проблема ..

[Emelman]

Цитата:

Сообщение от ОлеГъ

"у вас истёк срок лицензионного соглашения windows "... ...код моно получит СМС

Если это то, что вы наблюдали у себя на компьютере (или что-то подобное), то решение проблемы находится в соседней теме.
А вообще, один из самых надежных способов борьбы с вирусами, которые уже поразили систему, на мой взгляд - загрузиться с LiveCD и проверить полностью систему CureIt'ом (о чем я и многие здесь неоднократно писали).

эту проблему я уже устранил , у меня каждые 15 секунд вылазиет интернет експловер и сразу же исчезает , сам сижу через оперу , пытался удалить не получается (
незнаю что делать((

[sobak]

у меня проблему с активацией винды через смс решил CCleaner, ну и предварительное удаление через msconfig всего ненужного с автозагрузки ) а так вроде бы везде пишут что drweb live-cd с ним оч хорошо справляется...

[vest]

Проблема следующая.
Знакомы выходил в интернет посредством "Оперы", не знаю где лазил, но теперь у него при запуске на весь экран (монитор) сообщение "Вы пытаитесь загрузить порно ролик (фильм) с сайта ... вышлите СМС на номер ..... .
По телефону ему советую загрузится в безопасном режиме, загрузка проходит, но картинка только с большими буквами опять на весь монитор.
Кнопку пуск не видно, при нажатии клавиши которая со значком майкрософт, не активна.
Качаю ему LiveCD, но как он её загрузит если экран закрыт.

[Cartman]

vest, в том и фишка LiveCD, что грузится не зараженная винда (с харда), а записанная на диске, т.е. чистая.

[Breeze]

Подвидов этой гадости - множество, и если этот баннер есть и в ИнтернетЕкплорере, то, скорее всего источник находится в C:\Documents and Settings под кем-то из пользователей, в какой именно директории - припомнить не могу, но откуда растут ноги можно вычислить по неизвестному(незнакомому) процессу из диспечера задач (забить его в поиск). Всё проделывается из безопасного режима из-под администратора(не юзера с правами) путём нажатия трёх волшебных кнопок и прибивания незнакомых процессов.
Сама программка состоит из 3-4 файлов: ехешника, батника, inf и ещё чего-то. Мне удавалось удалить под виндой Unlocker-ом.

[vest]

Cartman, скачал по ссылке LiveCD, записал на диск, вот что у меня получилось (2 скриншота), на моем компьютере не запускается, как им пользоваться.
Или на зараженной машине он запускается автоматом.

[Emelman]

vest, чтобы любой LiveCD загружался, необходимо в BIOS'е выставить загрузку не с винчестера, а с CD. Только в таком случае во время загрузки компьютера будет грузиться система записанная на диск, а не ваша родная (в данном случае инфицированная).

[vest]

Emelman, меня, что смущает в этой сборке, там нет авторана, или я что-то не правильно скачал.
архив весит - 66,5 МВ

[Emelman]

vest, autorun.ini - это файл отвечающий за автоматическое выполнение определённых действий при открытии содержимого диска. В Вашем случае открывать диск не нужно, Вам надо с него загрузиться, для этого нужен файл boot.ini.
А то, что архив весит мало, то это не страшно. Судя по скринам, Вы скачали загрузочный диск с ресурса DrWeb'а. Лично я его не использовал, но более чем уверен, что образ у Вас правильный. Осталось только выяснить, вы с BIOS'ом знакомы? Понимаете, что и где надо выставить, чтобы компьютер грузился не с винчестера, а с компакт-диска?