Компьютерный "триппер". Руководство по удалению вирусов

[borislev]

Короче, вляпался я малехо, (по порносайтам не гулял, говорю сразу )

Какая то гадость стала тормозить подьем Винды - у меня XP, выбрасывает окошко, что не могу найти и после этого набор палочек типа ||||||||

Второе проявление - не менее важное, при подьеме IE поднимается несколько pop-up, домашняя страница устанавливается на www.idgsearch.com, на десктопе и в фаворитах появляются иконки ссылки на какие-то левые сайты.
В автозагрузке появились iedll и еще какая-то херня.

Пользовался Norton antivirus, IEDoctor, Ad-aware 6.0, результатов практически никаких

Люди, поможить, кто может, только недавно винду поставил...

Отредактировано модератором. В связи с тем, что данная проблема всплывает очень часто, убедительно прошу, новых тем не открывать, пользоваться приведенными ниже советами. Дополнения и другие рекомендации постить только здесь или ЗДЕСЬ

[charon]

Здравствуйте.
Вчера в ИЕ 6 моего начальника вместо искомых страниц в Гугле начали открываться ссылки на поисковик find-fm.com. Т.е. гугл работает правильно, но если щелкнуть на найденной им ссылке, то открывается такая фигня. К сожалению, шеф работает с правами админа на Виндоус ХР СП2.
Я зашел под другим админом, прошерстил систему в безопасном режиме CureIT (от ДрВеб) с последними базами, еще каким-то антиспайваре-софтом. CureIT нашел кое-какие трояны и удалил их. Но сегодня шеф под своей учёткой опять жалуется на те же проблемы.
Посоветуйте, как избавиться от этой фигни? Так же интересно, где в реестре находятся настройки ИЕ 6, которые используют такие malware.

добавлено через 1 минуту
также я вчера поставил последнее кумулятивное обновление для ИЕ 6 (июльское), плюс апрельское обновление для винды, закрывающее уязвимость GDI и обновил Flash Player.

[FantomIL]

charon, Поиск!

Топ переместил.
Приклейте к этой теме, пожалуйста.

Комментарий Модератора:

Borland: Приклеил.

[PavelKraft]

Цитата:

Сообщение от Breeze

прочитать и выполнить - некоторым помогло.

Что-то не работает ссылочка. Если не сложно описать решение проблемы здесь.
Проблема такая же что и у ЛеднеFF.
Антивирус - NOD32 v.2.7, версия вирусной базы данных - 2437 (20070803), при старте системы выдаёт - C:\WINDOWS\Temp\startdrv.exe - модифицированный Win32/Rootkit.Agent.NBS троян.
Спасибо!

[colin]

подскажите, пожалуйста, почему у меня вместо "Internet Explorer" на самой верхной панели написана таинственная надпись "Hacked by Godzilla"?

то есть имеем так - должно быть:
"Яндекс - Internet Explorer", а получаем это:
"Яндекс - Hacked by Godzilla".

смешно, согласен, но как-то непривычно. NOD32 как-то не очень справился. а в Оpera все работает шикарно. без Годзилл.

м?

[PavelKraft]

Цитата:

Сообщение от colin

подскажите, пожалуйста, почему у меня вместо "Internet Explorer" на самой верхной панели написана таинственная надпись "Hacked by Godzilla"?

то есть имеем так - должно быть:
"Яндекс - Internet Explorer", а получаем это:
"Яндекс - Hacked by Godzilla".

смешно, согласен, но как-то непривычно. NOD32 как-то не очень справился. а в Оpera все работает шикарно. без Годзилл.

м?

Вот тут описано, вроде ерунда проблема. _http://homenet.corbina.net/index.php?showtopic=122883&hl=Hacked+by+Godzilla

[medwed]

Проблема такая комп внезапно стал очень тормозить после того как я скачал с сайта производителя прогу Red Eye Remover 2.0 проверил ее Каспером все было ОК, потом после ее инстала и примерно 20 минут использования Каспер заорал, что exeшник от проги заражет:
обнаружено: потенциально опасное ПО Trojan.cryptor
Процесс: C:\Program Files\Red Eye Remover\redeye.exe
После чего я ее снес и еще чуть позже это и началось( мышь медленно передвигалась, окна медленно открывались, проги медленно загружались).
Потом я убил "ALG" процесс и тормоз пропал.

Вчера вечером проверил комп Каспером он ничего не нашел. Потом скачал у Dr. Web их бесплатную утилиту и проверил ею и вот что он обнаружил: http://img75.***************img75/2836/50163100ed2.jpg
Потом проверился еще бесплатной утилитой от NOD 32 она ничего не нашла.
Что это за зверь такой, что Dr. Web нашел и что с ним делать?

[Emelman]

Цитата:

Сообщение от PavelKraft

Что-то не работает ссылочка. Если не сложно описать решение проблемы здесь.
Проблема такая же что и у ЛеднеFF.
Антивирус - NOD32 v.2.7, версия вирусной базы данных - 2437 (20070803), при старте системы выдаёт - C:\WINDOWS\Temp\startdrv.exe - модифицированный Win32/Rootkit.Agent.NBS троян.
Спасибо!

Попробуй поискать в реестре сочетание "startdrv". Везде, где найдешь - убивай, т.к. в нормальной (здоровой) версии WinXP такого сочетания не должно быть вообще. Но на всякий случай перед данными действиями сохрани реестр где-нибудь.

[Necromancer]

Добрый вечер, вчера проявился Symantec Antivirus Corporate Edition, с тем, что у меня в Profile Firefox'a найден Downloader:

http://img265.***************my.php?image=virushl6.jpg

Незнаю как лечить, вроде антивирус поймал его, но через некоторое время он появляется опять и при этом в в другой папке, из скриншота все видно.
Вирус появляется при работающем Firefox / IE.

Может кто-то сталкивался, прошу помощи.

[charon]

попробуй почистить временные файлы интернета и кэш в обоих броузерах.

[Cartman]

Necromancer, возми последний CureIt с сайта drweb.ru загрузись с LiveCD и пройдись им.
Делал так по совету Борланда, помогло.

[iSTOPa]

Недавно бился с одним трояном (какой-то downloader) в течении нескольких дней. Он при загрузке системы подменяет файл svchost.exe своим svchost.exe, отличающимся только лишь датой создания (по дате я его и нашёл), не меняя при этом свой размер. Родной же файл svchost.exe он копирует в папку Windows\System32\dllcache. Его определяет только Symantec в момент сканирования отправляемых писем. При подсовывании левого svchost.exe ни Symantec, DrWeb и Nod32 ничего не определяют. При заражении компа изменяет название файла boot.ini на BOoT.iNi, то есть ставит метку для себя, что машина уже заражена. Лечится загрузкой с LiveCD и переписыванием родного svchost.exe. Название файла BOoT.iNi сменил в первый день, на след.день комп опять был заражён. Проделал всё тоже самое, но название BOoT.iNi не менял-комп был заражён только через несколько дней этим же трояном, но другой модификации. Такая байда была на некоторых бухгалтерских машинах, посмотрел аналогично на остальных машинах и выяснил, что были заражены только те машины, на которых не стояли апдейты от Microsoft-а. После обновлений заражения
прекратились. По примерному времени заражения компов в логах WinRout-а выяснил, что бухгалтера в данный момент сидели в форумах такскома.
Левый svchost.exe отослал с пояснениями в Symantec.

Добрый вечер!
Очень прошу Вас о помощи...
Недавно случайно попала на сайт эротического содержания /ну естественно Совершенно случайно /
И теперь столкнулась вот с какой проблемой - постоянно всплывают окошки с порносайтов. Т.е. при нажатии ЛЮБОЙ ссылки /вход на форум, переход в новую тему и т.д / переодически выскакивают окошки такого рода...
Пользуюсь Nod32 - но он практически ничего не находит и Ad-Aware SE Professional - он очаянно борится с вирусами, но пока безуспешно - всё равно окна появляются.
Я и в безопасном режиме проверялась - что-то удаляется, но всё равно не до конца...

Буду благодарна за помощь.
Заранее спасибо.

P.S маленькое пояснение - я девушка, поэтому помогите пожалуйста Доступным для понимания советом.

[Borland]

Gella, лучший совет, который можно дать - ВНИМАТЕЛЬНО изучить данную тему и параллельную ей (ссылка есть в шапке темы). ВСЕ советы и инструкции по борьбе с вирусами, которые смог измыслить коллективный разум форума, здесь уже наличествуют. И от повторения их польза больше не станет...

У меня тоже проблемка возникла: иногда(довольно редко) появляется какой то смех гоблина. Других симптомов нет. Стоит аутпост и нод32 - ничего не показывают. Чё это ваобще такое может быть и как с этим бороться?

[Cartman]

Цитата:

Сообщение от _Baz_

появляется какой то смех гоблина.

Посмотри может он в системных звуках стоит на какое-то событие... Панель управления -> звуки.

Переслушал звуки - нет такого.

[Artais]

Вирус новый (китайский) все перепробовал, никак зараза не хочет удаляться, антивирь его видит но не может удалить. що делать?

[Trotil]

Artais, с чего это вы взяли, что вирус новый и китайский?

Скорей всего ваш случай здесь: http://www.sophos.com/security/analy...2autorung.html

[Alex Dark]

Цитата:

Сообщение от Artais

що делать

загружайся монопольно
открывай реестр-автозагрузка (или выполнить MsConfig - автозагрузка) и смотри там загрузку подозрительных DLL
или то что находит твой антивирус

Воткни флэшку, на нее он засунет свой авторун и dll. Посмотри авторун и ищи это у себя в компе

Вот так на пальцах, не знаю понятно или нет. Извини на прошлой неделе искал, названия не запоминаю.

Есть другой вариант. Намного проще
Качай каспера, ставь, ищи,лечись, потом через месяц сноси и возвращайся к Авасту

[Artais]

Цитата:

Сообщение от Trotil

Artais, с чего это вы взяли, что вирус новый и китайский?

Скорей всего ваш случай здесь: http://www.sophos.com/security/analy...2autorung.html

спасибо за ссылку, но тип вируса отличается.