Компьютерный "триппер". Руководство по удалению вирусов

[borislev]

Короче, вляпался я малехо, (по порносайтам не гулял, говорю сразу )

Какая то гадость стала тормозить подьем Винды - у меня XP, выбрасывает окошко, что не могу найти и после этого набор палочек типа ||||||||

Второе проявление - не менее важное, при подьеме IE поднимается несколько pop-up, домашняя страница устанавливается на www.idgsearch.com, на десктопе и в фаворитах появляются иконки ссылки на какие-то левые сайты.
В автозагрузке появились iedll и еще какая-то херня.

Пользовался Norton antivirus, IEDoctor, Ad-aware 6.0, результатов практически никаких

Люди, поможить, кто может, только недавно винду поставил...

Отредактировано модератором. В связи с тем, что данная проблема всплывает очень часто, убедительно прошу, новых тем не открывать, пользоваться приведенными ниже советами. Дополнения и другие рекомендации постить только здесь или ЗДЕСЬ

[Austin]

Dr.God

Вся фишка в том, что не было такого файла в системе...
Другая прога называла его просто-RAndom Trojan)
Ну с этим я справился, оказалось он себя в сервисах прописал!
Есть еще один:
Теперь есть еще один-Abetterinternet, вот его ничего не берет-ПРОБОВАЛ ВСЕ

Нахожу его спайботом, он находится здесь у меня: hkey_users\S-1-5-21-1844.......\Software\aurora

Есть идеи?

[Madness]

Austin
>Нахожу его спайботом, он находится здесь у меня: hkey_users\S-1-5-21-1844.......\Software\aurora
Брехня, ничего страшного в этой ветке быть не может. Возможно это след трояна, но и только...

[HATTIFNATTOR]

Попробуй АВЗ, беттеринтернет она знает (если только это не новая версия).
_http://z-oleg.com/secur/avz-dwn.htm#AE86346E-46EA-445B-B870-5D4920ED66D2 страница загрузки

[Dr.God]

Цитата:

Austin:
вот его ничего не берет-ПРОБОВАЛ ВСЕ

Ручками надо, ручками! http://www.scanspyware.net/info/ABetterInternet.htm
Или лучше так: http://www3.ca.com/securityadvisor/p...x?id=453076992
Выбирай.

[FantomIL]

Austin
Пользуйся поиском! Тема по удалению всякой нечисти уже существует.
Устное предупреждение. Темы объединил.

[Austin]

Всем спасибо
В конце концов решил проблему

Кому интересно решение, вот:
http://netrn.net/spywareblog/archive...urora-nailexe/
_________________

[Werw0lf]

Иногда "триппер" маскируется под системные файлы или приложения типа explorer.exe или iexplorer.exe и т.д.
Информация и лечилка тут: _http://www.wilderssecurity.net/specialinfo/rapidblaster.html

[mrsbc]

Здравствуйте
Вопрос по двум процессам:
system.exe - в диспетчере его видно, а физически найти его не могу ни в проводнике, ни в реестре
VC6SecS.exe - сидит в C:\Program Files\HHVcdV6Sys\VC6SecS.exe - больно уж подозрительное у него название
Пользовался Housecall - ничего не выявил
Ещё одна особенность - перестал запускаться SAV Realtime

[Glaz]

mrsbc
Однозначно триппер!
Про скрытые (невидимые процессы) я уже писал. Есть замечательная бесплатная программа anvir.
Хомяк _http://anvir.com/index_ru.htm
Она показывает не только ВСЕ! запущенные процессы, а также (путь, используемые dll, файлы, потоки, хендлы, драйвера и т.д. и т.п.) Полнейший отчет с возможностью редактирования и удаления.
Кроме того, программа без ведома пользователя не разрешит сделать какие-либо изменения в реестре и т.д. Все на русском.
С помощью этой программы мне удавалось обнаруживать на зараженных машинах замаскированный триппер, именно по запущенным процессам.

[mrsbc]

Glaz, ты можешь по скриншоту обьяснить мне об этом system.exe - шото я ничего толкового не нашёл. Там сплошные девайсы

[Madness]

mrsbc
Процесс System - системный, не триппер оно. А вот если процесс называется system.exe, то да.

[mrsbc]

Madness, в общем, system.exe я нигде не нашёл, мож погрешил на System . Мне интересно, что же у меня Симантек выбивало, счас вроде уже нормально, но я машину мучил и анвиром и хаузколом и авз. В последний раз вообще прикол - после перезагрузки он запускается и тут же сам исчезает. Правда это было при анвире в автозагрузке.
З.Ы. А где же сидит этот system, которй системный ?

[Madness]

mrsbc
>А где же сидит этот system, которй системный ?
Думаю что там же, где и Бездействие системы (system idle).

[repeek]

Вот дерьмо блин, сидит уже 3 месяца и никак я его удалить не могу, всё бросаю да бросаю... и думаю да ладно хрен с ним, потом может как уберу, ну вот достало меня это теперь и решил конкретно енто дело довести до конца и убить суку!!!

В общем что бы не было никаких притензий от Модов, сразу скажу что я переискал здесь всё и в интернете тоже всё и очень многие пронраммы
для удаления этого говна сам пробовал т.е. и руками и ногами блин и
ни как я немогу это удалить!!!

Может кто что подскажет?

вот эта срань :C:\WINDOWS\Windows Update Setup Files\sysutil.dll

Dr.WEB оппознаёт это как Trojan.Virtumod но чистить не хочет!

Повторю ещё раз, что ни руками ни ногами ни через F8 и никакой программой я этот Trojan.Virtumod убрать не в састоянии!

Подскажите, может у кого будут какие идеи?

Repeek_s

[Псих]

Цитата:

repeek:
Dr.WEB оппознаёт это как Trojan.Virtumod но чистить не хочет!

Может не совсем в тему, но у меня у самого стоит ДрВеб, но когда дело доходит до лечения, захожу с ЛивСД и лечу АВП. ДрВеб никогда нормально не лечит.

[fedor-ua]

Всем день добрый! Подскажите как справиться со следующей проблемой: был обнаружен на компе вирус W32.Marak
(Virus.Win32.Mkar.a («Лаборатория Касперского») также известен как: Win32.Mkar.a («Лаборатория Касперского»), W32/Mkar.gen (McAfee), W32.Marak (Symantec), Win32.HLLP.Mrak.3 (Doctor Web), Win32/Mkar.A (RAV), Worm/Mkar.D (H+BEDV), Win32:Mkar (ALWIL), Win32/Mkar.A (Grisoft), Win32/Mkar.A (Eset)
Неопасный вирус. Написан на языке C/C++.
Заражает только файлы Win32 EXE PE. При заражении добавляет к файлу свой код (около 8КБ) и дописывает в самый конец инфицированного файла некую структуру данных, содержащую строку «Mrak1pack». Данная структура используется вирусом для идентификации уже зараженных файлов.
Поиск файлов для заражения производит по всем дискам, в том числе, по сетевым ресурсам.
При работе создает невидимые окна с имененами классов mrakMainWndClass и mrakcontrolWndClass.
Для хранения своих переменных использует ключ реестра:
[SOFTWARE\Microsoft\Mrak]
Может добавлять себя в автозагрузку системы, создавая ключ:
[SOFTWARE\Microsoft\Windows\CurrentVersion\Run\NetStart]).
C машины эту гадость убрать удалось, но уже было заражено около 300 файлов. Вопрос в следующем: можно ли восстановить запорченные .exe файлы и если да, то как. Буду признателен за ответы так как принципиально именно восстановить файлы, а не удалить. Заранее спасибо тем, кто откликнется.

[kosmos]

Помогите решить проблему с вирусом W32.Licum. Семантек не справляется, NOD32 тоже что-то не то делает, на каспере описание есть а как бороться ним неизвестно. Выкашивает экзешники, дописывает в них свой код. Система глючит, ни работать ни играть... нифига. Что с ним делать, 3 дня назад систему снес и вот опять снова.. блин. Скрин в приложении, ссылка на описание вот тут
Может кто знает как с ним бороться?

[HATTIFNATTOR]

Раз дошли руки до описания то и лечить должен уметь.
Зайди на онлайн проверку Каспером и пролечи. 6mb.
_http://www.kaspersky.com/downloads/kws/kavwebscan.html

[HATTIFNATTOR]

Благодаря одной старой уловке, упомянутой в knowlegebase Microsoft еще для Windows NT4 можно сделать охоту на malware более эффективной, запустив Вашу любимую AntiSpyware программу под учетной записью SYSTEM. Аккаунты SYSTEM и Администратора имеют одинаковые привилегии но различные функции, аккаунт SYSTEM используется самой операционной системой и сервисами, запущенными под Windows. Это внутренний аккаунт, он не виден в User Manager, не может быть добавлен ни к каким группам и ему не могут быть назначены права пользователя. (С другой стороны учетная запись SYSTEM обнаруживается на диске NTFS в менеджере файлов в разделе "Разрешения для.." вкладки "Безопасность", по умолчанию ей предоставлен полный доступ ко всем файлам на диске NTFS. Здесь SYSTEM имеет те же самые функциональные привилегии как и аккаунт Администратора). Такой прием в некоторых случаях может обнаружить и удалить malware которые иначе не были бы замечены, или помочь в борьбе с вредоносными программами умеющими изменять пользовательские привилегии (например группы Администраторы).

Чтобы запустить программу под аккаунтом SYSTEM запустите командную строку ("Пуск" -> "Выполнить" -> CMD <Ввод> ). В открывшейся командной строке наберите "at ХХ:ХХ /interactive cmd.exe <Ввод>" (где ХХ:ХХ - текущее системное время+2минуты, также должна работать служба "Планировщик"(Task Scheduler)). Если все введено правильно появится подтверждение "Добавлена новая задача с кодом 1" и через 2 минуты откроется новое окно командной строки от имени %windir%\system32\svchost.exe. Теперь Вы залогинены под аккаунтом SYSTEM.
Кликните правой кнопкой на ярлыке программы, которую Вы хотите запустить и в открывшемся меню левой кнопкой на "Свойства". Скопируйте поле "Объект" вкладки "Ярлык", содержащее полный путь к исполняемой программе, затем кликните правой кнопкой в открытом svchost.exe окне командной строки и в открывшемся меню левой кнопкой нажмите "Вставить". Нажмите "Ввод". Ваша программа запущена с учетной записью SYSTEM.



Ссылки по теме

_http://support.microsoft.com/kb/120929
_http://support.microsoft.com/kb/q132679

[HATTIFNATTOR]

Здесь можно самостоятельно проанализировать лог HijackThis.

_http://hjt.iamnotageek.com/

Легенда:

Bad - Remove almost always - Вредоносные, удалять однозначно.
OK Most of the time - don't need to touch - Системные, не трогать.
Probably not needed - Safe to remove - Вероятно не нужны, но удаляйте только если уверены!
Generally harmless - third party applications - Безопасный софт сторонних производителей.
Bad if you don't know what it is - Потенциально небезопасный если Вы не знаете что это (сами не устанавливали).
Unknown Item - Investigate further - Эти пункты анализатору неизвестны.

Для известных парсеру пунктов\приложений имеются достаточно подробные описания.