imho.ws
IMHO.WS  

Вернуться   IMHO.WS > Интернет, Глобальные и Локальные сети > Руководство для новичков
Опции темы
Старый 23.11.2003, 17:32     # 1
borislev
Junior Member
 
Регистрация: 24.03.2003
Пол: Male
Сообщения: 112

borislev Путь к славе только начался
Компьютерный "триппер". Руководство по удалению вирусов

Короче, вляпался я малехо, (по порносайтам не гулял, говорю сразу )

Какая то гадость стала тормозить подьем Винды - у меня XP, выбрасывает окошко, что не могу найти и после этого набор палочек типа ||||||||

Второе проявление - не менее важное, при подьеме IE поднимается несколько pop-up, домашняя страница устанавливается на www.idgsearch.com, на десктопе и в фаворитах появляются иконки ссылки на какие-то левые сайты.
В автозагрузке появились iedll и еще какая-то херня.

Пользовался Norton antivirus, IEDoctor, Ad-aware 6.0, результатов практически никаких

Люди, поможить, кто может, только недавно винду поставил...

Отредактировано модератором. В связи с тем, что данная проблема всплывает очень часто, убедительно прошу, новых тем не открывать, пользоваться приведенными ниже советами. Дополнения и другие рекомендации постить только здесь или ЗДЕСЬ
__________________
Designer

Последний раз редактировалось BorLase; 29.07.2010 в 11:21. Причина: убрал линк на idgsearch
borislev вне форума  
Старый 24.11.2003, 00:14     # 2
hempsmoke
::VIP::
IMHO Молодожен-2006
 
Аватар для hempsmoke
 
Регистрация: 14.06.2002
Адрес: Moscow
Сообщения: 2 921

hempsmoke Отец (мать) всех Гуруhempsmoke Отец (мать) всех Гуруhempsmoke Отец (мать) всех Гуруhempsmoke Отец (мать) всех Гуруhempsmoke Отец (мать) всех Гуруhempsmoke Отец (мать) всех Гуруhempsmoke Отец (мать) всех Гуруhempsmoke Отец (мать) всех Гуруhempsmoke Отец (мать) всех Гуруhempsmoke Отец (мать) всех Гуруhempsmoke Отец (мать) всех Гуруhempsmoke Отец (мать) всех Гуруhempsmoke Отец (мать) всех Гуруhempsmoke Отец (мать) всех Гуруhempsmoke Отец (мать) всех Гуруhempsmoke Отец (мать) всех Гуруhempsmoke Отец (мать) всех Гуруhempsmoke Отец (мать) всех Гуруhempsmoke Отец (мать) всех Гуру
avp
dr web
остальное лажа....

если результатов 0
попробуй дать поиск по схожести имен иконок, адреса и т.д. в системе.
и удали все на....
hempsmoke вне форума  
Старый 24.11.2003, 00:21     # 3
R!xon
Advanced Member
 
Аватар для R!xon
 
Регистрация: 19.12.2002
Сообщения: 492

R!xon Путь к славе только начался
borislev
http://www.imho.ws/showthread.php?s=&threadid=44123
темы нельзя дублировать, прочти правила
R!xon вне форума  
Старый 24.11.2003, 01:32     # 4
alexcop
::VIP::
 
Аватар для alexcop
 
Регистрация: 18.05.2002
Адрес: Moscow
Сообщения: 1 091

alexcop Гурее всех гурых :-)
alexcop Гурее всех гурых :-)alexcop Гурее всех гурых :-)alexcop Гурее всех гурых :-)alexcop Гурее всех гурых :-)alexcop Гурее всех гурых :-)alexcop Гурее всех гурых :-)alexcop Гурее всех гурых :-)alexcop Гурее всех гурых :-)alexcop Гурее всех гурых :-)alexcop Гурее всех гурых :-)alexcop Гурее всех гурых :-)alexcop Гурее всех гурых :-)
borislev
То что ты подцепил - не вирус, к компьютерный триппер.
Воспользуйся советом hempsmoke, который немного опишу поподробней.
Одновременно нажимаешь Ctrl-Alt-Delit и открывается Диспетчер задач Windows.
Там идешь на вкладку процессы и смотришь какие процессы запущены от твоего имени (редко запускаются от имени SYSTEM), короче примечаешь все подозрительное. Выписываешь на бумажку имя исполнителльного файла (Имя образа) и принудительно завершаешь все подозрительные процессы (кнопка Завершить процесс). После этого через меню Пуск запускаешт поиск и в строке имя файла поочереди прописываешь записанные на бумажку отобранные тобой исполнительные файлы (***.exe, ***.com, ***.dll и т.д.) Поисковик через некоторое время выдаст тебе все места, где этот файл прописан - удаляй безжалостно отовсюду) и так по твоему списку до конца. После этого обязательно почисть папку TEMP и Temporary Internet Files. В Свойствах IE выстави стартовую (домашнюю страницу) и перезагрузись.
99,9 % все будет Ок! Чистку реестра на неработающие ссылки и оставленные разными прогами "хвосты" также рекомендуется провести (программ умеющих это делать привеликое множество).
P.S. А правила все же прочитай и учись пользоваться поиском.
__________________
Счастья для всех, даром, и пусть никто не уйдет обиженный (братья Стругацкие)

Последний раз редактировалось alexcop; 24.11.2003 в 01:57.
alexcop вне форума  
Старый 24.11.2003, 17:06     # 5
borislev
Junior Member
 
Регистрация: 24.03.2003
Пол: Male
Сообщения: 112

borislev Путь к славе только начался
Прочитал сегодня, 24 ноября.

Вчерась почистил реестр на предмет всяких левых загрузок (по моему мнению), в Process в общем вижу все, что работает. запущено либо под моим именем, либо под именем System? только 2 процесса работают под именем Local Servise и Network Servise - это svchost, что помоему, является системными. Остальные "левыми" вроде не кажутся, после очиски ветки Run в реестре со вчерашнего дня вроде тьфу-тьфу, пока без багов, (кстати, ни одна фича по поиску spy ничего не находит -пользовался Spy Sweeper от WebRoot, Ad-aware 6.0, Norton AV, стоит IEDoctor...

Думается мне что эта срань где-то тихо-тихо себе сидит, тока не пускаю я ее.

Большое спасибо за помощь всем!!!

Будут советы еще - пишите, спасибо!!!
__________________
Designer
borislev вне форума  
Старый 30.11.2003, 09:28     # 6
press
Guest
 
Сообщения: n/a

помогите и мне такая же хрень

Каждое утро всплывает прога ALERT -корректировщик чясов ,как ее убить смотрел искал вроде везде . ее нигде нет где эта гадость может сидеть. И еще вопрос . Как убить фаил -msbb.exe
он сидит в програмс фаил и при попытке его удалить пишет что занят какимто приложением и не может быть удален <_< При соединении с инетом мой аут пост просит соединится с msbb.exe
bis.180solutionc.com . Братцы помогите ,научите как разбираться с непрошенными гостями . Спасибо
 
Старый 30.11.2003, 17:29     # 7
borislev
Junior Member
 
Регистрация: 24.03.2003
Пол: Male
Сообщения: 112

borislev Путь к славе только начался
press Излечился я сугубо сам, все что мне здесь советовали - ничего не помоголо, хотя СПАСИБО ВСЕМ!!! Иди на googl.com и там напиши твою проблемму или сходи прямо сюда http://forums.spywareinfo.com/index.php?showtopic=16643 это форум антитроянщиков. Там ты получишь все ответы на интересующие тебя вопросы. Удачи тебе!!!
__________________
Designer
borislev вне форума  
Старый 30.11.2003, 22:35     # 8
R!xon
Advanced Member
 
Аватар для R!xon
 
Регистрация: 19.12.2002
Сообщения: 492

R!xon Путь к славе только начался
press
грузишся в безопасном режиме, ищеш на винте msbb.exe киляешь и все,
и не вкоем случае не давай доступа в инет этому процессу
R!xon вне форума  
Старый 01.12.2003, 00:17     # 9
alexcop
::VIP::
 
Аватар для alexcop
 
Регистрация: 18.05.2002
Адрес: Moscow
Сообщения: 1 091

alexcop Гурее всех гурых :-)
alexcop Гурее всех гурых :-)alexcop Гурее всех гурых :-)alexcop Гурее всех гурых :-)alexcop Гурее всех гурых :-)alexcop Гурее всех гурых :-)alexcop Гурее всех гурых :-)alexcop Гурее всех гурых :-)alexcop Гурее всех гурых :-)alexcop Гурее всех гурых :-)alexcop Гурее всех гурых :-)alexcop Гурее всех гурых :-)alexcop Гурее всех гурых :-)
press
Или грохни из-под DOS'а, загрузившись с дискеты.
__________________
Счастья для всех, даром, и пусть никто не уйдет обиженный (братья Стругацкие)
alexcop вне форума  
Старый 01.12.2003, 09:47     # 10
press
Guest
 
Сообщения: n/a

кое чего нашел это оказывается "паук-банерасос" Пытался искать его в ДИСПЕТЧЕРЕ ЗАДАЧ не нашел ,может он там и есть ,но как он там записан ?
Я его не могу удалить обычным способом потому что он работает ,значит должен быть в диспет.задач в процесах.
 
Старый 01.12.2003, 11:06     # 11
Borland
СуперМод
IMHO Консультант 2005-2009
 
Аватар для Borland
 
Регистрация: 14.08.2002
Адрес: Московская ПЛ, ракетный отс
Пол: Male
Сообщения: 14 377

Borland - Гад и сволочь
press
Попробуй посмотреть список процессов FAR'ом (F11->Process list). Внимательно просмотри список процессов, если процесса с нужным Тебе именем нет - просмотри каждый процесс по F3 на предмет поиска в инфе о процессе имени этого "паука". Соответствующий процесс удаляется (убивается) по Shift-Del.
Borland вне форума  
Старый 01.12.2003, 12:28     # 12
Resizer
Junior Member
 
Аватар для Resizer
 
Регистрация: 27.11.2002
Адрес: Moscow, Russia
Сообщения: 127

Resizer Известность не заставит себя ждать
неплохой материал по поводу "триппера" здесь
Resizer вне форума  
Старый 02.12.2003, 09:16     # 13
press
Guest
 
Сообщения: n/a

Всем большое спасибо паук-банеросос был убит и отправлен в мусор . Запустил msconfig.exe обнаружил в автозапуске отключил и убил...
 
Старый 10.12.2003, 00:18     # 14
DeTo
::VIP::
 
Аватар для DeTo
 
Регистрация: 29.03.2003
Адрес: Israel
Пол: Male
Сообщения: 861

DeTo Имеются все основания чтобы гордиться собойDeTo Имеются все основания чтобы гордиться собойDeTo Имеются все основания чтобы гордиться собойDeTo Имеются все основания чтобы гордиться собойDeTo Имеются все основания чтобы гордиться собойDeTo Имеются все основания чтобы гордиться собойDeTo Имеются все основания чтобы гордиться собойDeTo Имеются все основания чтобы гордиться собойDeTo Имеются все основания чтобы гордиться собой
Помогите избавиться от трояна

Ну вообщем последние дней 5 стал замечать что после рестарта компа стартовой страницей становиться какойто левый адрес http://81.211.105.9/index.php?v=1
и в таск менеджере при старте запускаеться какойто левый процес shdloader.exe который ктомуже невозможно убить,точнее убить то можно но он сразуже сново появляеться. Пытался найти файл shdloader.exe при помощи поисковика винды,результат нулевой. прога Trojan Remover тоже ничего не находит!мусор я на комп никакой не ставлю и не ставил,так что не пойму откудо оно могло взяться. жду вашик советов.
Изображения
Тип файла: jpg tm.jpg (49.2 Кбайт, 85 просмотров - Кто скачивал? )
DeTo вне форума  
Старый 10.12.2003, 00:22     # 15
Prof
::VIP::
профсто вип
 
Регистрация: 09.03.2003
Адрес: Estonia/Tallinn
Пол: Male
Сообщения: 787

Prof Имеются все основания чтобы гордиться собойProf Имеются все основания чтобы гордиться собойProf Имеются все основания чтобы гордиться собойProf Имеются все основания чтобы гордиться собойProf Имеются все основания чтобы гордиться собойProf Имеются все основания чтобы гордиться собойProf Имеются все основания чтобы гордиться собойProf Имеются все основания чтобы гордиться собойProf Имеются все основания чтобы гордиться собойProf Имеются все основания чтобы гордиться собойProf Имеются все основания чтобы гордиться собой
Если он загружается каждый раз значит висит где-то в реестре . Зайди в regedit и сделай там поиск по названию файла. Когда найдёшь, то посмотри где он лежит на винте и сотри и сам файл и строчку в реестре.
Prof вне форума  
Старый 10.12.2003, 00:29     # 16
kiedis
::VIP::
 
Аватар для kiedis
 
Регистрация: 11.05.2003
Адрес: Karlsruhe, Germany
Сообщения: 484

kiedis Известность не заставит себя ждатьkiedis Известность не заставит себя ждать
victor-p
может это вовсе не троян, а просто spyware
попробуй пропусти разок Ad-Aware

ух ты, прям стихами заговорил...))
__________________
"Before you judge a man, walk a mile in his shoes. After that, who cares? ...He's a mile away and you've got his shoes."

- Billy Connelly
kiedis вне форума  
Старый 10.12.2003, 00:33     # 17
ViFFz
Junior Member
 
Аватар для ViFFz
 
Регистрация: 14.08.2002
Адрес: Israel
Сообщения: 155

ViFFz Известность не заставит себя ждать
у тебя вирус
http://securityresponse.symantec.com...gaobot.cb.html
ViFFz вне форума  
Старый 10.12.2003, 00:44     # 18
hempsmoke
::VIP::
IMHO Молодожен-2006
 
Аватар для hempsmoke
 
Регистрация: 14.06.2002
Адрес: Moscow
Сообщения: 2 921

hempsmoke Отец (мать) всех Гуруhempsmoke Отец (мать) всех Гуруhempsmoke Отец (мать) всех Гуруhempsmoke Отец (мать) всех Гуруhempsmoke Отец (мать) всех Гуруhempsmoke Отец (мать) всех Гуруhempsmoke Отец (мать) всех Гуруhempsmoke Отец (мать) всех Гуруhempsmoke Отец (мать) всех Гуруhempsmoke Отец (мать) всех Гуруhempsmoke Отец (мать) всех Гуруhempsmoke Отец (мать) всех Гуруhempsmoke Отец (мать) всех Гуруhempsmoke Отец (мать) всех Гуруhempsmoke Отец (мать) всех Гуруhempsmoke Отец (мать) всех Гуруhempsmoke Отец (мать) всех Гуруhempsmoke Отец (мать) всех Гуруhempsmoke Отец (мать) всех Гуру
нехило... на 4 мега троянчик...
ищи эти файлы в реестре и удаляй нах...
wstart32.exe
sndloader.exe

не помню точно, но вот здесь вроде запускаются проги при старте..

HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Runservic es
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run

Удачи!

Добавлено через 8 минут:
Цитата:
SheFF:
у тебя вирус
неужели?
hempsmoke вне форума  
Старый 10.12.2003, 00:56     # 19
kiedis
::VIP::
 
Аватар для kiedis
 
Регистрация: 11.05.2003
Адрес: Karlsruhe, Germany
Сообщения: 484

kiedis Известность не заставит себя ждатьkiedis Известность не заставит себя ждать
victor-p
и только не sHdloader.exe, a sNdloader.exe
на скриншоте даже видно
__________________
"Before you judge a man, walk a mile in his shoes. After that, who cares? ...He's a mile away and you've got his shoes."

- Billy Connelly
kiedis вне форума  
Старый 10.12.2003, 16:35     # 20
DeTo
::VIP::
 
Аватар для DeTo
 
Регистрация: 29.03.2003
Адрес: Israel
Пол: Male
Сообщения: 861

DeTo Имеются все основания чтобы гордиться собойDeTo Имеются все основания чтобы гордиться собойDeTo Имеются все основания чтобы гордиться собойDeTo Имеются все основания чтобы гордиться собойDeTo Имеются все основания чтобы гордиться собойDeTo Имеются все основания чтобы гордиться собойDeTo Имеются все основания чтобы гордиться собойDeTo Имеются все основания чтобы гордиться собойDeTo Имеются все основания чтобы гордиться собой
Спасибо всем за помощь,но удаление вайлов и инфу из реестра не помогает,после рестарта все поновой.пойдука я зделаю формат,для меня енто 40 минут =)
__________________
Невыносимых людей нет, есть узкие двери)))
DeTo вне форума  

Опции темы

Ваши права в разделе
Вы НЕ можете создавать новые темы
Вы не можете отвечать в темах.
Вы НЕ можете прикреплять вложения
Вы НЕ можете редактировать свои сообщения

BB код Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Часовой пояс GMT +4, время: 23:16.




Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.