Как удалить вирус/троян?

[maxximik]

Стоит Win2000 SP3, и вылетает ошибка следующего вида:

F3E9CD64 base at F3E98000
Beginning dump of phisical memory
Dumping physical memory to disk и начинает считать от 0-100
После чего комп перезагружается....
После этой ошибки, при попытке logoff или reboot, вылетает сведение о незаконченной программе Programm 1649, что это такое??? Неирзвестно, в автозапуске её нет, через Диспечер задач её невидно...Отрубить её неизвесно как.
Также в Event Viewer - Application вылетел Event следующего вида:
Event ID: 4124
Source: Ci
Content index on f:\system volume information\catalog.wci is corrupt...

Что делать-то? Помогите плз.....

ВСЕ вопросы по борьбе с вирусами/троянами и прочей нечистью решаем здесь и в этой теме.
Прежде, чем постить вопрос, просьба внимательно прочитать обе темы целиком - с вероятностью 99,9% ответы на эти вопросы уже есть.
Постящие вопросы, ответы на которые уже даны и повторы ответов будут получать ШТРАФЫ.
Dixi.

Borland.

[гоша]

Для троянов могу порекомендовать The cleaner,если у тебя есть троян то он его найдет и грохнет.Сканирует долго,но чистит хорошо.....удачи
_http://www.moosoft.com/products/cleaner/

[Anarchist]

Попробуй _http://unasoft.com.ua/rus/downloadfree.html
Там утилитка лежит FreeUNA копейки весит.

Как раз ищет Backdoor.Ubriel.b и Backdoor.HacDef.073. Backdoor.Ubriel.b
Они воруют информацию об электронных кошельках WebMoney, профили Интернет-пейджера Miranda и настройки почтовых клиентов.
Похоже на твой вариант ...

[V@nya]

Anarchist, ничего не нашла утилитка твоя
Вот sp2 скоро скачаю, и всю систему начисто переставлю.

[Rollers]

V@nya
имеется Тема, по вопросам удаления, той или иной вредоносной программы. От себя скажу, имеется такая маленькая и халявная програмка от McAfee, - Stinger и второе, а что Firewall

[iNHEMAN]

Симптомы смахивают на Troj/Haxdoor-G
_http://www.sophos.com/virusinfo/analyses/trojhaxdoorg.html > посмотри в описании.

<...Troj/Haxdoor-G may log user keystrokes and window text, creating some of the
following log files:
KLOG.SYS
KLOGINI.DLL
IN.A3D
PS.A3D
ERROR.A3D.>

[Borland]

Rollers
Абсолютно прав! Приклеено.

V@nya
Хорош плодить одинаковые темы! Буду пинать!

[y3k]

=) Пока гром не грянит, мужик не перекрестится. Так же и тут, пока вирус на завалится, ламер заплатку не поставит. Надо следить за обновой заплаток от Билла, и фаерволл ставить с анти вирем, лучше анти виря 2, нортон и др.веб =)

[Interceptor]

Anarchist

Цитата:

Как раз ищет Backdoor.Ubriel.b и Backdoor.HacDef.073. Backdoor.Ubriel.b

Незнаю откуда ты взял такую инфу, но смею тебя разочаровать: бэкдоры - это удалённое администрирование, а не стыривание пассов!
Backdoor.HacDef.073 - это вообще руткит для винды. НИЧЕГО общего сос стыриванием пассов он НЕ имеет!

[Mitri4]

руткит -а это что такое

[Interceptor]

Mitri4
Руткит предназначен помочь взломщику укрепиться на взломанной тачке.

Backdoor.HacDef.073 взломщику шелл, а так же скрывает из процессов, сервисов и реестра то, что взломщик прописал в настройках.

Как видно, НИЧЕГО общего со стыриванием пассов к Мире и ВэбМани НЕТ!

Привет! У меня было то же самое.
Что я сделал:
1)Как только начался отсчёт на reboot-зашел в Start->Run-> shutdown -a
->enter;
2)Спокойно правый клик на Мой компьютер ->Manage ->Services ->
->Remote Procedure Call (RPC) - правый клик -свойства-3-я вкладка(рековери) - везде выставляю Take No Action - OK.;
3)На сайт мелкомягких - и качаю заплатки.
4)С сайта McAfee качаю последний Stinger.
5)После перезагрузки запускаю Стингер. - Всё!
6)Убедившись,что вирусов нет возвращаю обычные настройки RPC.

[Postman]

Добрый день всем.
Использовал поиск - нашел эту тему, решил написать.
Имею подозрение, что подхватил вирус (с 3 сентября в папке Windows появилась папка Inetdata, а там services.exe, который грузиться от имени пользователя. Удалил в безопасном режиме, поудалял из реестра ключи которые добавляли его в автозагрузку)...
В общем вируса вроде больше нет, но я сохранил этот файл (переименовав его), кроме того есть файл с расширением VBS (что это такое?), не могу в нем разобраться, но вроде он рубит процесс OUTPOST
(это я решил из этого:
Set colProcessList = objWMIService.ExecQuery _
("SELECT * FROM Win32_Process WHERE Name = 'OUTPOST.EXE'")
For Each objProcess in colProcessList
objProcess.Terminate())

В общем, файлы остались, если есть желающие посмотреть на них (и могущие разобраться), могу скинуть - если вы потом обьясните мне что это такое

Еще вопрос: можно ли как-нибудь разобрать экзешник до читаемого состояния? Или до кода на котором его писали?

Заранее спасибо!

[y3k]

Добрый, добрый =)
Скорей всего этот вирус ты подхватил с какого нибудь сайта, расширение VBS - Visual Basic - язык программирования, пусть он простой, но все же язык, и небось на сайте был какой нить ActiveX и к тебе его засосало=) OUTPOST.exe - это естественно файрволл Agnitum Outpost Firewall. И кстати необязательно загружаться в безопасном режиме=) достаточно убрать его и процессов, потом из папки потом и из автозагрузки путем тулзы встроенной в винду ХР - Выполнить ---- msconfig
Насчет программы показывающий исходный код, врят ли, тогда бы исходники винды уже бы были у всяких там хакеров =) и потом представь сколько существуеют языком программирования и в программе должны быть встроенны все методы компиляции всех языков, и если например ты не знаеш на каком языке написана та, или иная программа, и наша супел тулза должна определить на каком языке она написана и вообщем...я такой не видел=) и врят ли она есть, ну только мож в каком нить узком кругу людей

[Postman]

y3k,
Папку не давала удалить винда, она писала что она системная. тоже самое с процессом, выдавалась надпись, что он "критический системный".
Хотя может я не обратил внимание и пытался закрыть истинный Services...
В MSconfig оно тоже само себя писало. Надо мне было с самого начала чистить реестр. А я не допетрил... Только откуда эти сволочи узнали что у меня именно Аутпост?
Спасибо за ответ!!!

Outpost стоит у многих людей.
А насчет того что процесс "критический системный" - когда-то я видел такую информацию, что если процесс переименовать так, чтобы он начинался с system, то винда не даст его убить.

Сам не проверял, но кто-то из знакомых сказал что так и есть.

[wiremind007]

postman ты уверен что inetdata был вирус?! у меня есть inetinfo ето тоже вирус? хотя нортон его не подбирает...

[pion]

Файл C:\WINDOWS\inetdata\services.exe создаёт TrojanDownloader.Win32.Krepper.g (Troj/Krepper-G)
http://www.sophos.com/virusinfo/anal...jkrepperg.html

[Solvent]

А вот какую бяку подцепил. Но фишка в том, что AVP, при сканировании его не видит, а видит лишь тогда, когда комп. находится в режиме ожидания, вот тогда, вылетает окно, что, вирус обнаружен, и пора запустить сканер. Запускаю сканер, AVP говорит, что вируса нет. В чём дело?
Запускал Trojan Remover, тоже ничего нашёл? Получается, что как бы троянец есть, и как бы его нет?
Не хочется переустанавливать ось.

Trojan Downloader.win32istbar.er

[Mitri4]

попробуй здесь очень классный сканер,поставь самую нижнюю ссылку,если он сам не поставит,только не давай автомтическое стирание

[Adroit]

На работе долго и упорно стоял Mac антивирь, достал он меня, особенно своей нелюбовью к Aston, то обновляться отказывается то еще что, а дисплей агента вообще не отображается, короче я его сношу и ставлю имевшегося под рукой Doctor Web, прогоняю на вирусняк и оппа!!! Один троян и три вируса. Вирусняк обнаружен в файле мыльника. Теперь вопрос как мне эту хрень почистить. Да и еще ad-aware почемуто упорно данного трояна не видит, при попытке убить данную нечисть вебом он ушел в глубокий даун. Советуйте с чего начать...