imho.ws |
|
19.11.2003, 09:48 | # 1 |
ಠ..ಠ
Регистрация: 22.09.2003
Адрес: Moscow
Пол: Male
Сообщения: 1 940
|
Как удалить вирус/троян?
Стоит Win2000 SP3, и вылетает ошибка следующего вида:
F3E9CD64 base at F3E98000 Beginning dump of phisical memory Dumping physical memory to disk и начинает считать от 0-100 После чего комп перезагружается.... После этой ошибки, при попытке logoff или reboot, вылетает сведение о незаконченной программе Programm 1649, что это такое??? Неирзвестно, в автозапуске её нет, через Диспечер задач её невидно...Отрубить её неизвесно как. Также в Event Viewer - Application вылетел Event следующего вида: Event ID: 4124 Source: Ci Content index on f:\system volume information\catalog.wci is corrupt... Что делать-то? Помогите плз..... ВСЕ вопросы по борьбе с вирусами/троянами и прочей нечистью решаем здесь и в этой теме. Прежде, чем постить вопрос, просьба внимательно прочитать обе темы целиком - с вероятностью 99,9% ответы на эти вопросы уже есть. Постящие вопросы, ответы на которые уже даны и повторы ответов будут получать ШТРАФЫ. Dixi. Borland.
__________________
Зерна отольются в пули Пули отольются в гири Таким Ударным инструментом Мы пробьем все стены в мире Последний раз редактировалось Borland; 30.08.2005 в 14:27. |
29.09.2004, 10:08 | # 102 |
Member
Регистрация: 04.12.2003
Адрес: Vladivostok
Сообщения: 273
|
Да троян сидит в System32 коммандер его находит, но вот удалить файл не получается, упирается всеми четырьмя. Остальной вирусняк в паке мыла, залез внутрь, а там только один текстовый файл размером 1,5 гига вот и как из этого файла вырвать затесавшийся туда вирус? Убить файл целиком нельзя так как это вся переписка, если я правильно понимаю назначение данного файла.
__________________
Часто люди падают с большой высоты из–за недостатков, которые помогли им ее достичь. Ж. Лабрюйер |
30.09.2004, 10:57 | # 106 | |
Member
Регистрация: 04.12.2003
Адрес: Vladivostok
Сообщения: 273
|
Цитата:
Короче почтовикThe Bat! Вирусняки следующие: Win95.Matrix.9216 VBS.Happy Time Win 32.Magistr.24876. Вот такой набор
__________________
Часто люди падают с большой высоты из–за недостатков, которые помогли им ее достичь. Ж. Лабрюйер |
|
01.10.2004, 10:30 | # 107 |
Junior Member
Регистрация: 17.08.2003
Адрес: Украина
Сообщения: 150
|
А вот знает ли кто как боротся с тем что бат иногда получает письмо зараженное, а потом его авп находит и не может вылечить??? что делать? письмо хранится в тбк... фигня какая-то...
__________________
His name is spelled A-P-O-C, with a C - not APOK, because it originates from the word 'apocalypse'... |
01.10.2004, 10:50 | # 108 |
Member
Регистрация: 04.12.2003
Адрес: Vladivostok
Сообщения: 273
|
Короче папку бата лечил по следующему принципу.
Все письма экспортировал в формат *.eml прогнал вебом, зараженные файлы убил, оставшееся импротировал обратно. Троян пока жив, McAfee AVERT Stinger не помог. apoc Попробуй сделать тоже, что и я, а еще при обратном импорте файлов, вернее перед их импортирование задай в настройках, хранить вложения отдельно, тогда думаю в следующий раз будет проще. Всем кто пытался помочь с вирусом большое спасибо и побольше Осталось только убить троян
__________________
Часто люди падают с большой высоты из–за недостатков, которые помогли им ее достичь. Ж. Лабрюйер |
01.10.2004, 15:00 | # 109 | |
Junior Member
Регистрация: 30.10.2003
Адрес: Russia, Magnitogorsk
Сообщения: 165
|
Мой опыт по определению/удалению вирусов под системами Windows.
1. Мой набор программ для выявления заразы: Anvir_Ru _http://anvir.com/index_ru.htm FAR clrav.com _http://www.kaspersky.ru/faq?qid=146226903 (там есть ссыла) Антивирусы: NOD, AVP, Нортон. OutpostPro2_225 Дополнительный комп для поиска в инете и подключения в случае надобности винта с обследуемой тачки. 2. Загружаем обследуемый компьютер. Устанавливаем Anvir. Запускаем. Смотрим процессы и автозапуски на наличие подозрительных/незнакомых программ. Заметили заразу? Надо определить что это. Идем например на _http://www.viruslist.com/viruslist.html. 3. Если определили что это за вирус то в зависимости от того как он прописывается в системе удаляем его из системы: А) Если просто прописан в автозапуске, то сносим все процессы связанные с вирусом, удаляем запись из автозапуска, затем удаляем сам вирус. Перегружаемся и прогоняем всю тачку «любимым» антивирусом. Б) Если эта зараза подменяет собой шел запуска, то вот тут нам поможет clrav.com… Он по умолчанию восстанавливает стандартное значение в реестре. При этом в комплекте есть setassoc.reg. Он если что поможет Сносим все процессы связанные с вирусом. Удаляем сам вирус FARом. Перегружаемся и прогоняем всю тачку «любимым» антивирусом. При этом в обоих случаях перед перегрузкой желательно еще раз проверить АнВиром Автозапуск и список процессов! При этом ИМХО – NOD хорошо ловит червяков, макровские вирусы. Очень быстрый антивирус! КАВ – хорошо ловит трояны, джава скрипты и прочую лабуду. Но медленный Нортон ловит и то и другое но надо обновлять базы, что иногда ИМХО проблемно По скорости что то среднее между НОДом и КАВом. Я им не пользуюсь. Хватает связки NOD+KAV. 4. Не нашли вирус в известных? Берем эту заразу и пробуем онлайн проверку это файла на сайтах производителей антивирусов. Если определился то возвращаемся к пункту 3. 5. Если и Онлайн-проверка не помогла то вот тут нам пригодится ОутПост (может другой аналог). Надо определить что этот вирус делает. (в основном последнее время попадаются вирусы с Интернет активностью, и редко с деструктивной активностью). 6. Далее действия такие. Так как мы сами не не программисты вирусологи то придется этот фаил/вирус/заразу отправлять в сервисную службу производителей антивирусов (например на newvirus@kaspersky.com). При этом для упрощения их работы я делал следующее: А) Если вирус с Интернет активностью то в письме указывал что он делает и куда ломится. Б) Копировал все ссылки из реестра на данный фаил в письмо. В) Прикрепляем сам фаил к письму. И ждем ответа Таким образом я нашел уже 2 новых вируса Примечание: При выполнение пункта 6 надо учесть следующие не все программы загруженные в памяти ЯВЛЯЮТСЯ вирусами! ИМХО несколько раз проверти что это за файл и что он делает (входит ли он в дистрибутив Виндовс), прежде чем его запакуете и отправите по указанному адресу На профессионала не претендую, но может кому пригодится Цитата:
Тела писем остаются в базе пока не сожмешь
__________________
======================== Why drink and drive,when you can smoke and fly? |
|
04.10.2004, 07:43 | # 110 | |
Full Member
Регистрация: 17.09.2002
Адрес: г. Moscow
Сообщения: 685
|
Цитата:
Если вы нашли вирус, то: Вам необходимо выслать нам Ваши регистрационные данные (дата и место покупки, название фирмы, на которую оформлялась лицензия) и Ваш ключевой файл. Группа поддержки AVP, С уважением, Алексей Слущев А кто ж покупал AVP? Лично я, нет. |
|
05.10.2004, 16:12 | # 111 | ||
Junior Member
Регистрация: 30.10.2003
Адрес: Russia, Magnitogorsk
Сообщения: 165
|
Цитата:
В ответ приходило примерно следующее Цитата:
__________________
======================== Why drink and drive,when you can smoke and fly? |
||
12.10.2004, 21:44 | # 112 |
IMHO-::VIP::-2006
Web Hunter Регистрация: 15.01.2004
Адрес: 45-ая параллель
Пол: Male
Сообщения: 4 062
|
Trojan.Dicool
Все началось с того, что я однажды в поисках какого кряка видимо неаккуратно кликнул мышью . После очередной загрузки компа спустя где то минуты 3 начались дикие тормоза – проц загружали explorer.exe и system в пропорции где то 65% и 35 % тормоза длятся до тех пор, пока не установишь соединение с интернетом. Позже я обратил внимание на наличие в корне диска С архива explorer.cab. В нем находились файлы explorer.exe и .ini файл. Dr. Web руганулся на них, сказав, что там Trojan.Dicool. Когда устанавливается коннект с сетью, тормоза прекращаются. Outpost говорит, что explorer.exe лезет по трем адресам:
время процесс протокол удаленный адрес удаленный порт 13:34:04 explorer.exe TCP test.pcvew3.com 6632 13:33:54 explorer.exe TCP service2.costlist.biz 5816 13:33:44 explorer.exe TCP service2.pcvew3.com 3131 Чистка системы Dr.web-ом, AVPersonal, Ad-aware ничего не дала. Вдобавок ко всему еще появился файл в корне диска С:/ _RF.RPT очень напоминающий некий отчет о проведенных мной действиях и инфа о запущенных процессах. Большая просьба, кто может, помогите избавиться от этой дряни, переустанавливать систему неохота |
13.10.2004, 10:57 | # 113 | |
СуперМод
IMHO Консультант 2005-2009 Регистрация: 14.08.2002
Адрес: Московская ПЛ, ракетный отс
Пол: Male
Сообщения: 14 405
|
Цитата:
В ней описано ручное удаление заразы
__________________
Не засоряйте форум "спасибами"! Для выражения благодарности существуют ПС и репутация! Соблюдайте Правила! Распространенье наше по планете Особенно заметно вдалеке: В общественном парижском туалете Есть надписи на русском языке В. Высоцкий |
|
30.10.2004, 17:03 | # 114 |
Guest
Сообщения: n/a
|
VIRUS !!!
Одним словом выклиу4ил стенку на пару минут и подхватил вирус... А вирус та сам вроде ни4его и не делаэт, просто когда пытаэшиа вклиу4ит какоэ либо акно нампример: Ctrl + Alt + del CPU % ано появлиаэтсиа и сразу ис4езаэт тозе самоэ когда пытаэшиа вклиу4ит msconfig, или антивирус или стенку !!! как удалит эго нзн да и найти проблема... Эсли у кого был такой вирус
Помагите разобратсиа позалуйста !!!! |
31.10.2004, 00:08 | # 115 |
СуперМод
IMHO Консультант 2005-2009 Регистрация: 14.08.2002
Адрес: Московская ПЛ, ракетный отс
Пол: Male
Сообщения: 14 405
|
MeT
Топик читай!..
__________________
Не засоряйте форум "спасибами"! Для выражения благодарности существуют ПС и репутация! Соблюдайте Правила! Распространенье наше по планете Особенно заметно вдалеке: В общественном парижском туалете Есть надписи на русском языке В. Высоцкий |
31.10.2004, 01:46 | # 116 |
Junior Member
Регистрация: 19.01.2004
Адрес: Да
Сообщения: 122
|
кстати о дяде Билли $$$ ...
слышал что есть прога / возможность сохранять все апдейты ( в случае с XP ) дабы при переустановке системы не скачивать по новой все ~ 30 мб. речь идет о возможности сохранить их отдельно \ выделить их из системы. P.S. это и безопаснее чем " голой " системой лезть за заплатками |
31.10.2004, 01:51 | # 117 |
СуперМод
IMHO Консультант 2005-2009 Регистрация: 14.08.2002
Адрес: Московская ПЛ, ракетный отс
Пол: Male
Сообщения: 14 405
|
ZAP
И причём тут удаление вирусов?
__________________
Не засоряйте форум "спасибами"! Для выражения благодарности существуют ПС и репутация! Соблюдайте Правила! Распространенье наше по планете Особенно заметно вдалеке: В общественном парижском туалете Есть надписи на русском языке В. Высоцкий |
31.10.2004, 08:45 | # 118 |
Junior Member
Регистрация: 19.01.2004
Адрес: Да
Сообщения: 122
|
да при том - что пока ты прокачаешь эти самые 30 мб апдейтов в 2-3 захода - ты успеваешь подхватить в среднем 2-3 вируса + адваре. по статистике среднее время " жизни" компа без защиты - 20-40 мин. согласись - вещь полезная
|
31.10.2004, 12:59 | # 120 | |
Junior Member
Регистрация: 30.10.2003
Адрес: Russia, Magnitogorsk
Сообщения: 165
|
Цитата:
__________________
======================== Why drink and drive,when you can smoke and fly? |
|