Компьютерный "триппер". Руководство по удалению вирусов - Руководство для новичков - Страница 5

borislev · 23.11.2003, 17:32

Короче, вляпался я малехо, (по порносайтам не гулял, говорю сразу )

Какая то гадость стала тормозить подьем Винды - у меня XP, выбрасывает окошко, что не могу найти и после этого набор палочек типа ||||||||

Второе проявление - не менее важное, при подьеме IE поднимается несколько pop-up, домашняя страница устанавливается на www.idgsearch.com, на десктопе и в фаворитах появляются иконки ссылки на какие-то левые сайты.
В автозагрузке появились iedll и еще какая-то херня.

Пользовался Norton antivirus, IEDoctor, Ad-aware 6.0, результатов практически никаких

Люди, поможить, кто может, только недавно винду поставил...

Отредактировано модератором. В связи с тем, что данная проблема всплывает очень часто, убедительно прошу, новых тем не открывать, пользоваться приведенными ниже советами. Дополнения и другие рекомендации постить только здесь или ЗДЕСЬ

Repressor · 21.05.2004, 20:49

Порнуху смотрим, господа?

Обычно всякие Anal Fucking'и прописываются именно с порно-сайтов - знаю по собственному опыту

А если троян, надо однозначно ставить брэндмауэр, уж там идет контроль над всеми сетевыми процессами и никакая дрянь за пределы компа не вылезет, а при попытке сама себя обнаружит.

27.05.2004, 13:27

Уже устал каждый день удалять шпиена. Ad-aware находит без проблем и удаляет. И так каждый день. Активировал ad-watch, ругается об изменении реестра, блокирую. И снова повторяется. Как бы найти, откуда эта зараза лезет и польностью удалить?

Interceptor · 27.05.2004, 16:05

djon72
Такая бяка можетпоявляться при просмотре какого-нить сайта. Или это может быть результат работы "вши" в IE - просто твоя прога не всё нашла.

Посмотри ещё эту тему: http://www.imho.ws/showthread.php?t=49145

alexcop · 27.05.2004, 16:20

djon72
Ты очень торопишься, отсюда и результат.
1. Запомни или запиши название файла (файлов) которые нашел Ad-aware.
2. Затем через меню ПУСК -> НАЙТИ прогони эти файлы по всему компу на предмет копий.
3. Удали все файлы с расширением .tmp
4. Почисть папку с временными интернет файлами.
5. Зайди в редактор реестра и прогони поиском файлы из п. 1.) Все что найдется - удаляй.

27.05.2004, 16:23

Interceptor
Кроме как на форум, никуда не ходил. Так что это отпадает. Да и потом я не пользуюсь IE, а оперой. Короче в растерянности.

27.05.2004, 16:36

alexcop
Может я что то недопонимаю. Находятся не конкретные файлы а записи в реестре. Попробую почистить темпы. Хотя неясно почему ad-aware не находит сам файл, который эту дрянь прописывает.

StaideR · 27.05.2004, 16:48

2 djon72
Кэп на своём сайте асто эту прогу советует с сайта _http://www.anvir.com последняя версия, по-моему 3.7.392. Прога отличная! Сидит в трее и следит за изменение автозвгр. и, даже, перед изменением тебе говорит, что мол она хочет записаться и предлагает несколько действий и полную инфу од этот файле. Так что советую (весит окло 250 кб).

27.05.2004, 17:06

StaideR
Название у проги есть? А то сайт такой не открывается.

alexcop · 27.05.2004, 18:38

StaideR
Та дрянь, которую подцепил djon72 не садится в автозагрузку а прописывается в реестре.
djon72
просмотри внимательно на записи реестра. Там могут быть указаны ссылки на файл или адрес какого-нибудь сайта

StaideR · 27.05.2004, 18:55

Ой! сайт не так написал, конечно же _http://www.anvir.com , а прога называется anvir. Вот её прямая ссылка _http://[покоцано модератором]anvirstp.exe .
2 alexcop
А как же она тогда загружается, если не через реестровский автозапуск? Кстати эта прога не только автозапуск выслеживает, но и ВСЕ без исключения процессы в системе и может их без проблем удалить. А так же показывает всю инфу работающего процесса.

Interceptor · 27.05.2004, 20:05

StaideR

Цитата:

А как же она тогда загружается, если не через реестровский автозапуск?

Например, прицепившись к дровам. Или стартует вместе с конкретным файлом, при обращении к этому самому файлу. Из сервисов.... да много разных вариантов. Реестровской автозагрузкой даже не все тори пользуются!

djon72
Придётся тебе мониторить реестр на предмет новых записей. Есть специальные проги, которые за этим следят. Некоторые, например, даже спрашивают добавлять такую-то новую запись в реестр или нет. К сожалению, названия не помню. Можно, например, заюзать RegMon, предварительно настроив на мониторинг новых записей. В противном случае создастся нехилый log-файл, в котором нужно ещё и найти иголку в стоге сена. Хотя, если заюзать поиск, то всё будет намного проще: просто ищещь название этого ключа в логе. Тебе будет высвечено какой файл и когда создал этот ключ

alexcop · 27.05.2004, 20:25

anvir - действительно рульная прога. Стоит у меня месяца 3 и частенько спасала, но ставить ее надо на чистый (незагаженный) комп.

StaideR · 27.05.2004, 20:32

2 alexcop
Ну так! Кэп плохого не посоветует!

У меня она уже дофига стояла и много раз спасала, даже от sasser'a спасла раз!!! Так что всем, кто её не постави -- рекомендую, тем более, как говорил КЭП (KpNemo кто не понял

) для руссских она беплатна, совсем беплатна!

З.Ы. спасает от многих Ad-aware и вирусов.

27.05.2004, 21:32

Всем
Спасибо за помощь. Проблема решилась радикально. Грохнул папку с темпами и тьфу-тьфу уже несколько часов ничего нет. Видно дрянь сидела там.

Arc · 16.06.2004, 15:31

Сейчас я как напишу-напишу - мало не покажиться. Несколько минут разделался вот с этой дрянью- Adware.Look2Me
Сейчас опишу.
Пользуюсь оперой как браузером.
Запустил некую прогу по ослиной ссылке (емул).
После этого началась вся хрень.

Стали открываться окошки браузера ИЕ открывается всякая пурга - реклама отстойных буржуйских прог. Открывается сам ИЕ и открывает свою хрень
Иногда с переполнением буффера вылетает winlogon и комп перезагружается(((
Вирь вирем. Я бы этих кодеров подвесил за их кодеки)))

Все процы просмотрел. Несколько раз Adaware прогнал. понаходила всякого. Однако же, хотя и базы новые эту хрень не нашла.
Итак, читайте внимательно.

С помощью autoruns от sysinternals обнаружил что загружается некая дллка как winlogon notification. Попытка удаления ключа реестра была безуспешна, поскольку прога тут же мониторит этот куст
Удалить файлы, которые являются скрятыми, только для чтения и используются системным процессом Winlogon не было успешным даже в сейф моде. И понятно. Она исполняется при входе пользователя в систему.
Если включен расширенный режим (Verbose) отображения загрузки компонентов системы, то эту дллку можно увидеть при логоне.
При том файлов - копий в корне систем32 несколько. Все датируются примерно одинаковой датой создания. Называются произвольно
3wvx.dll, aoaamon.dll...
Что я делаю? нет не загружаюсь из другой ОС и не отвинчиваю винт.
Вместо того, чтобы войти в систему я удаленно подключаю реестр моей системы и удаляю злополучную ветвь, которая кажется называется IEGuardian (Гардиан какой-то, не помню точно - неважно)
Все. Далее подсовываю файлы Symantec Antivirus CE 9.0, предварительно включив опцию обнаружения Spyware и....
Он идентифицирует файлы как... Adware.Look2Me
Вот такая зараза))))

Кстати подсунул файлики Adaware - он тоже их идентифицировал
Просто когда они загружаются, к ним отсутствует доступ на чтение.
)))

argus3010 · 04.09.2004, 22:30

прога для всех начинающих юзверев
Browser Hijack Blaster - не даёт добавлять всякую пакость и менять домашнюю страницу , маленькая и сердитая .
искать в гуглу , если кто не найдет стучите на аську 6939041

, скину .... или дам ссылку на свой нттр сервер ( он просто не всегда открыт) .

mrsbc · 04.11.2004, 15:53

Один из вариантов борьбы с триппером.
Была следующая проблема:
Короче, какой-то красавец полазил по порносайтам, в результате на машине, 2к, появилось в програм файлз папка вебсайтвюєр с двумя екзешниками 124425 и 126653temp - время от времени запускается порносайт, на рабочем столе появляется странная иконка, выдает какие-то ошибки в запуске программы (программу не указывает). Почистил в реестре через regedit все ссылки на эти заразы, через некоторое время, без перезагрузки, все появляется обратно. В run-ах ничего нету. Появились странные процессы (winad.exe, winclt.exe, twink64.exe, lpt.exe, 124425.exe), и в 2к nt server не смог определить "хозяина". В систем32 куча заразы. Возникло также подозрение, что у меня выбивает симантек антивирус корпорейт едишн (возможно это и не так). Начал юзать поиск интернета по названиям процессов и столкнулся со следующим сайтом _ttp://housecall.trendmicro.com/ там есть он лайн проверка, которая выявила кучу троянов (мой симантек ничего не нашел). В общем помогло.

Madchild · 08.11.2004, 21:06

Вот и у меня какая-то бяка завелась.

Norton Internet security 2005 после каждой перезагрузки и входа в сеть (стрим) стал орать, что что-то там обнаруженно и заблокированно. В логах NIS появляется запись:

Цитата:

Rule "Default Block Bla Trojan horse" blocked (NONE-75(12.13.14.15),1042).
Inbound UDP packet.
Local address,service is (localhost,1042).
Remote address,service is (NONE-75(12.13.14.15),1042).
Process name is "N/A".

Проверка Norton Antivirus ничего не дала. Все чисто.

Ad-aware 6 тоже ничего не сказал.
Вроде эта бяка появилась после liveUpdate в NIS. Но, может я ошибаюсь. Вот и думаю, бяка это или NIS глючит.
Может у кого было что-нить подобное?

зы. NONE-75 это так у меня комп называется в свойствах системы.

HATTIFNATTOR · 09.11.2004, 03:43

Цитата:

Сообщение от Madchild

Может у кого было что-нить подобное?

- Каспер с расширенными базами опознаёт Стримовский файл автоконфигуратора adiras.exe как порнозвонилку.
Конкретно как "not-a-virus:PornWare.Dialer.Generic"
По-моему ругался и на autoclk.exe(Стримовский-же), не помню точно.

P.S. Нашёл после заблокированного входящего UDP с
комментом что-то вроде "удалённая программа ищет сервер"

Partyzan · 17.11.2004, 15:03

А что это за стримовские автоконфигураторы такие? Насколько я знаю, там все руками настраивается. Это файлы официально от стрима?

23.11.2003, 17:32	# 1
borislev Junior Member Регистрация: 24.03.2003 Пол: Male Сообщения: 112	Компьютерный "триппер". Руководство по удалению вирусов Короче, вляпался я малехо, (по порносайтам не гулял, говорю сразу ) Какая то гадость стала тормозить подьем Винды - у меня XP, выбрасывает окошко, что не могу найти и после этого набор палочек типа \|\|\|\|\|\|\|\| Второе проявление - не менее важное, при подьеме IE поднимается несколько pop-up, домашняя страница устанавливается на www.idgsearch.com, на десктопе и в фаворитах появляются иконки ссылки на какие-то левые сайты. В автозагрузке появились iedll и еще какая-то херня. Пользовался Norton antivirus, IEDoctor, Ad-aware 6.0, результатов практически никаких Люди, поможить, кто может, только недавно винду поставил... Отредактировано модератором. В связи с тем, что данная проблема всплывает очень часто, убедительно прошу, новых тем не открывать, пользоваться приведенными ниже советами. Дополнения и другие рекомендации постить только здесь или ЗДЕСЬ __________________ Designer Последний раз редактировалось BorLase; 29.07.2010 в 11:21. Причина: убрал линк на idgsearch

21.05.2004, 20:49	# 81
Repressor ::VIP:: Регистрация: 05.05.2003 Адрес: Hell Сообщения: 1 377	Порнуху смотрим, господа? Обычно всякие Anal Fucking'и прописываются именно с порно-сайтов - знаю по собственному опыту А если троян, надо однозначно ставить брэндмауэр, уж там идет контроль над всеми сетевыми процессами и никакая дрянь за пределы компа не вылезет, а при попытке сама себя обнаружит. __________________ Доказать - значит громко повторить сказанное...

27.05.2004, 16:20	# 84
alexcop ::VIP:: Регистрация: 18.05.2002 Адрес: Moscow Сообщения: 1 091	djon72 Ты очень торопишься, отсюда и результат. 1. Запомни или запиши название файла (файлов) которые нашел Ad-aware. 2. Затем через меню ПУСК -> НАЙТИ прогони эти файлы по всему компу на предмет копий. 3. Удали все файлы с расширением .tmp 4. Почисть папку с временными интернет файлами. 5. Зайди в редактор реестра и прогони поиском файлы из п. 1.) Все что найдется - удаляй. __________________ Счастья для всех, даром, и пусть никто не уйдет обиженный (братья Стругацкие)

27.05.2004, 16:48	# 87
StaideR Member Регистрация: 03.03.2004 Адрес: Minsk.by Сообщения: 326	2 djon72 Кэп на своём сайте асто эту прогу советует с сайта _http://www.anvir.com последняя версия, по-моему 3.7.392. Прога отличная! Сидит в трее и следит за изменение автозвгр. и, даже, перед изменением тебе говорит, что мол она хочет записаться и предлагает несколько действий и полную инфу од этот файле. Так что советую (весит окло 250 кб). __________________ Кто понял жизни смысл и толк, давно замкнулся и умолк. 0(^_^)0 Последний раз редактировалось StaideR; 27.05.2004 в 18:50.

27.05.2004, 18:38	# 89
alexcop ::VIP:: Регистрация: 18.05.2002 Адрес: Moscow Сообщения: 1 091	StaideR Та дрянь, которую подцепил djon72 не садится в автозагрузку а прописывается в реестре. djon72 просмотри внимательно на записи реестра. Там могут быть указаны ссылки на файл или адрес какого-нибудь сайта __________________ Счастья для всех, даром, и пусть никто не уйдет обиженный (братья Стругацкие)

27.05.2004, 16:05	# 83
Interceptor Banned Регистрация: 04.09.2002 Адрес: В сети ;) Сообщения: 783	djon72 Такая бяка можетпоявляться при просмотре какого-нить сайта. Или это может быть результат работы "вши" в IE - просто твоя прога не всё нашла. Посмотри ещё эту тему: http://www.imho.ws/showthread.php?t=49145

27.05.2004, 16:23	# 85
djon72 Guest Сообщения: n/a	Interceptor Кроме как на форум, никуда не ходил. Так что это отпадает. Да и потом я не пользуюсь IE, а оперой. Короче в растерянности.

27.05.2004, 16:36	# 86
djon72 Guest Сообщения: n/a	alexcop Может я что то недопонимаю. Находятся не конкретные файлы а записи в реестре. Попробую почистить темпы. Хотя неясно почему ad-aware не находит сам файл, который эту дрянь прописывает.

27.05.2004, 17:06	# 88
djon72 Guest Сообщения: n/a	StaideR Название у проги есть? А то сайт такой не открывается.

27.05.2004, 18:55	# 90
StaideR Member Регистрация: 03.03.2004 Адрес: Minsk.by Сообщения: 326	Ой! сайт не так написал, конечно же _http://www.anvir.com , а прога называется anvir. Вот её прямая ссылка _http://[покоцано модератором]anvirstp.exe . 2 alexcop А как же она тогда загружается, если не через реестровский автозапуск? Кстати эта прога не только автозапуск выслеживает, но и ВСЕ без исключения процессы в системе и может их без проблем удалить. А так же показывает всю инфу работающего процесса. __________________ Кто понял жизни смысл и толк, давно замкнулся и умолк. 0(^_^)0 Последний раз редактировалось Borland; 26.01.2005 в 23:29.

27.05.2004, 20:25	# 92
alexcop ::VIP:: Регистрация: 18.05.2002 Адрес: Moscow Сообщения: 1 091	anvir - действительно рульная прога. Стоит у меня месяца 3 и частенько спасала, но ставить ее надо на чистый (незагаженный) комп. __________________ Счастья для всех, даром, и пусть никто не уйдет обиженный (братья Стругацкие)

27.05.2004, 20:32	# 93
StaideR Member Регистрация: 03.03.2004 Адрес: Minsk.by Сообщения: 326	2 alexcop Ну так! Кэп плохого не посоветует! У меня она уже дофига стояла и много раз спасала, даже от sasser'a спасла раз!!! Так что всем, кто её не постави -- рекомендую, тем более, как говорил КЭП (KpNemo кто не понял ) для руссских она беплатна, совсем беплатна! З.Ы. спасает от многих Ad-aware и вирусов. __________________ Кто понял жизни смысл и толк, давно замкнулся и умолк. 0(^_^)0

27.05.2004, 21:32	# 94
djon72 Guest Сообщения: n/a	Всем Спасибо за помощь. Проблема решилась радикально. Грохнул папку с темпами и тьфу-тьфу уже несколько часов ничего нет. Видно дрянь сидела там.

16.06.2004, 15:31	# 95
Arc Banned Регистрация: 31.05.2004 Адрес: Омск Сообщения: 65	Сейчас я как напишу-напишу - мало не покажиться. Несколько минут разделался вот с этой дрянью- Adware.Look2Me Сейчас опишу. Пользуюсь оперой как браузером. Запустил некую прогу по ослиной ссылке (емул). После этого началась вся хрень. Стали открываться окошки браузера ИЕ открывается всякая пурга - реклама отстойных буржуйских прог. Открывается сам ИЕ и открывает свою хрень Иногда с переполнением буффера вылетает winlogon и комп перезагружается((( Вирь вирем. Я бы этих кодеров подвесил за их кодеки))) Все процы просмотрел. Несколько раз Adaware прогнал. понаходила всякого. Однако же, хотя и базы новые эту хрень не нашла. Итак, читайте внимательно. С помощью autoruns от sysinternals обнаружил что загружается некая дллка как winlogon notification. Попытка удаления ключа реестра была безуспешна, поскольку прога тут же мониторит этот куст Удалить файлы, которые являются скрятыми, только для чтения и используются системным процессом Winlogon не было успешным даже в сейф моде. И понятно. Она исполняется при входе пользователя в систему. Если включен расширенный режим (Verbose) отображения загрузки компонентов системы, то эту дллку можно увидеть при логоне. При том файлов - копий в корне систем32 несколько. Все датируются примерно одинаковой датой создания. Называются произвольно 3wvx.dll, aoaamon.dll... Что я делаю? нет не загружаюсь из другой ОС и не отвинчиваю винт. Вместо того, чтобы войти в систему я удаленно подключаю реестр моей системы и удаляю злополучную ветвь, которая кажется называется IEGuardian (Гардиан какой-то, не помню точно - неважно) Все. Далее подсовываю файлы Symantec Antivirus CE 9.0, предварительно включив опцию обнаружения Spyware и.... Он идентифицирует файлы как... Adware.Look2Me Вот такая зараза)))) Кстати подсунул файлики Adaware - он тоже их идентифицировал Просто когда они загружаются, к ним отсутствует доступ на чтение. )))

04.09.2004, 22:30	# 96
argus3010 Newbie Регистрация: 31.12.2002 Адрес: Israel Сообщения: 25	прога для всех начинающих юзверев Browser Hijack Blaster - не даёт добавлять всякую пакость и менять домашнюю страницу , маленькая и сердитая . искать в гуглу , если кто не найдет стучите на аську 6939041 , скину .... или дам ссылку на свой нттр сервер ( он просто не всегда открыт) . __________________ just forward

04.11.2004, 15:53	# 97
mrsbc ..... Регистрация: 26.07.2004 Адрес: Бывший охотник за головами 2006 Бывший IMHO спортсмен 2006,7 Сообщения: 7 607	Один из вариантов борьбы с триппером. Была следующая проблема: Короче, какой-то красавец полазил по порносайтам, в результате на машине, 2к, появилось в програм файлз папка вебсайтвюєр с двумя екзешниками 124425 и 126653temp - время от времени запускается порносайт, на рабочем столе появляется странная иконка, выдает какие-то ошибки в запуске программы (программу не указывает). Почистил в реестре через regedit все ссылки на эти заразы, через некоторое время, без перезагрузки, все появляется обратно. В run-ах ничего нету. Появились странные процессы (winad.exe, winclt.exe, twink64.exe, lpt.exe, 124425.exe), и в 2к nt server не смог определить "хозяина". В систем32 куча заразы. Возникло также подозрение, что у меня выбивает симантек антивирус корпорейт едишн (возможно это и не так). Начал юзать поиск интернета по названиям процессов и столкнулся со следующим сайтом _ttp://housecall.trendmicro.com/ там есть он лайн проверка, которая выявила кучу троянов (мой симантек ничего не нашел). В общем помогло.

17.11.2004, 15:03	# 100
Partyzan Junior Member Регистрация: 06.01.2004 Адрес: Москва Сообщения: 165	А что это за стримовские автоконфигураторы такие? Насколько я знаю, там все руками настраивается. Это файлы официально от стрима?