Компьютерный "триппер". Руководство по удалению вирусов

[borislev]

Короче, вляпался я малехо, (по порносайтам не гулял, говорю сразу )

Какая то гадость стала тормозить подьем Винды - у меня XP, выбрасывает окошко, что не могу найти и после этого набор палочек типа ||||||||

Второе проявление - не менее важное, при подьеме IE поднимается несколько pop-up, домашняя страница устанавливается на www.idgsearch.com, на десктопе и в фаворитах появляются иконки ссылки на какие-то левые сайты.
В автозагрузке появились iedll и еще какая-то херня.

Пользовался Norton antivirus, IEDoctor, Ad-aware 6.0, результатов практически никаких

Люди, поможить, кто может, только недавно винду поставил...

Отредактировано модератором. В связи с тем, что данная проблема всплывает очень часто, убедительно прошу, новых тем не открывать, пользоваться приведенными ниже советами. Дополнения и другие рекомендации постить только здесь или ЗДЕСЬ

[crawler]

Я не понял, а чего все на аутпост тянут? С каких это пор файервол стал работать проксиком?
Очаровашка
Как обычно, ты "выудила" интересную дрянь. ИМХО это дрянь подменила Winsock32. Попробуй откатить систему назад - может помочь. Если нет - переустановка.
И еще есть сайт - WhatIsMyIp.com показывает твой реальный ИП.

[Кысь]

Так, Аутпост на всякий случай удалила, на шпиёны проверила, ничего не нашла. Нашла в процессах (которые одинарным КТрл-АЛьт-Дэл) процесс wuauclt.exe. Сначала сменила приоритет на низкий потом удалила. После этого сразу же система зависла, всё забрал один из процессов svchost.exe (их там 4 одинаковых). После этого wuauclt.exe появился опять и уже нельзя сменить его приоритет и удалить. Пишет, что отказано в доступе. Хотя я вроде бы описание прочитала, что он не влияет на стабильность системы и его можно отключить.
Попробую откат, может поможет

[Breeze]

Тут вчера интересная штука по почте пришла - Заражен: троянская программа Trojan-Proxy.Win32.Mitglieder.ed exe_aq 8.6 КБ и нашёл её Каспер6 после обновления баз при сканировании, как сторож он её пропустил.

Ссылка на securitylab.ru: Этот процесс (имеется в виду wuauclt.exe) проверяет Web сайт Microsoft на наличие последних обновлений для операционной системы. Завершение работы процесса не влияет на стабильность системы, однако вы не сможете оперативно установить новые обновления безопасности Microsoft Windows.

Файл wuauclt.exe всегда расположен в директории C:\Windows\System32. В случае, если запущен процесс wuauclt.exe, расположенный в другой директории, такой процесс должен быть немедленно удален. В настоящее время известно несколько вирусов и сетевых червей, использующих имя файла wuauclt.exe для сокрытия своего присутствия в системе.
http://www.securitylab.ru/processinfo/265684.php

[Plague]

Очаровашка
wuauclt.exe - это служба обновлений винды
и он должен работать.
Seduxen дело говрит - посмотри откуда он запущен. а если хочешь его вырубить, то вырубай не таск менеджером, а через управление службами.

[Кысь]

Я почему на него внимание обратила, что он появился буквально на днях. И запущен он от моего имени. Имя пользователя стоит не System или исчо что, а моё имя.

[Plague]

он и должен быть запущен от твоего имени. а на днях - потому что на днях мелкомягкие апдейты выпустили, а ты их наверно не скачала еще.

[Кысь]

В огбщем, я так поняла, что надо переустанавливать систему?
На сайте WhatIsMyIp.com мне вот что открылось: (и у самой Оперы значок в левом верхнем углу с О поменялся на иероглиф)
解释: 在页面检索完成之前,请求超时。

尝试下列:
刷新页: 单击“刷新”按钮来再次搜索此页。超时可能是由于 Internet 拥塞造成的。
检查拼写: 请检查您是否正确键入了网页地址。键入的网页地址不正确。
联系网站: 您可能想要联系网站的管理员,以确认网页仍然存在。您可以使用网站主页上列出的电子邮件地址或电话号码与他们联系。
如果您仍然看不到请求的页面,请与您的管理员或支持人员联系。


技术信息(提供给支持人员)
错误代码 10060: 连接超时
背景信息: 网关不能从您要访问的网站接收到及时响应。这可能表明网络阻塞,或者该网站遇到技术困难。
日期: 2006-7-13 15:18:49
服务器: qyd001.champtech.com.cn
源: 防火墙

И КАсперский вдруг ни с того, ни с сего решил сделать проверку компьютера (точнее, сделал не предупредив), хотя давным давно отключена проверка по расписанию и всегда делаю вручную

[Naked]

Хм...так насколько я понял, ИЕ работает нормально?? тогда надо либо рыться в настроках оперы, либо попробовать ее удалить и заново поставить.... Если бы проблема была бы в вирусе или в чем-то подобном, то вряд ли бы ИЕ нормально работал....

[crawler]

Очаровашка
A что говорит ipconfig ? Может у тебя гейтвэй не тот ?

Цитата:

Сообщение от Dr.God

hal.dll - библиотека ядра системы. Вероятно, если конечно ты его не менял на ядро не поддерживаемой системой, что-то его изменило. Советую брать ядро с дистрибутива и менять повреждённое, т.е. просто копируешь файл hal.dll в WINDOWS\system32, заменяя прежний.
Хотя похоже, что там уже ничего "здорового" (целого) не осталось...

А точек отката не осталось?

Хочу сразу сказать, что заменить не получится
НЕТ ДОСТУПА К ФАЙЛУ

[Borland]

Цитата:

Alextechno:
Хочу сразу сказать, что заменить не получится
НЕТ ДОСТУПА К ФАЙЛУ

Для того, чтобы заменить системный файл необходимо загрузиться с LiveCD. Например, Infr@ CD.

[Cartman]

Цитата:

Borland:
Для того, чтобы заменить системный файл необходимо загрузиться с LiveCD.

Не обязательно. Можно его переименовать, и на освободившееся место положить другой.

[alexcop]

еще помогает прога unlocker, которая блокирует или завершает процесс или приложение, который используется и в настоящий момент занят.
Рекомендую к использованию!
Подробно про программу здесь: http://www.imho.ws/showthread.php?t=...light=unlocker

[antigo]

поймал довольно странной вирус (или скорее всего троян) - смысл в том что в корневых папках жёстких дисков создаются файлы autorun.ini, setup.exe (40 KB). в принципе файлы на первый взгляд не опасные - ни НОД32 ни SB S&D ни AD-AWARE ни чего не замечают. Hу просто не приятно что они есть (к тому же сама иконка жестокого диска меняется) - пробывал стирать - через пару минут опять появляются - в общем пытался погуглить вроде че-то на немецком нашёл - но похожесть с английским весьма далёкая (: поэтому нифига не понял - ну в общем может кто знает как с этим бороться

[traktorist]

Цитата:

antigo:
поймал довольно странной вирус (или скорее всего троян) - смысл в том что в корневых папках жёстких дисков создаются файлы autorun.ini, setup.exe (40 KB). в принципе файлы на первый взгляд не опасные - ни НОД32 ни SB S&D ни AD-AWARE ни чего не замечают. Hу просто не приятно что они есть (к тому же сама иконка жестокого диска меняется) - пробывал стирать - через пару минут опять появляются - в общем пытался погуглить вроде че-то на немецком нашёл - но похожесть с английским весьма далёкая (: поэтому нифига не понял - ну в общем может кто знает как с этим бороться

Касперским попробуй пройдись, 6-й версией. Прчием желательно с загрузочного диска
Avast, опять же поюзай
Trojan Remover попробуй

[Cartman]

antigo, комп в сети? Диски расшарены? Может какая-то зараза по сетке это дело закидывает? В диспечере задач ничего подозрительного не висит?

[antigo]

в етом то и дело что в сетке - но во втором компе скан теми-же програмами тоже ничего не находит - самое интересное что специально пытался запустить ауторун на втором компе (любопытство страшная сила) и ничего, никакие файлы не появились - то-есть второй комп остался не заражен...????

[Cartman]

Цитата:

antigo:
в етом то и дело что в сетке

Ну попробуй сетку отрубить и файлы удалить. Убедимся, что дело не во второй машине.

[antigo]

обрубил, запустил в сафе моде прогнал SBS&D, AD-AWARE, NOD32- пусто - через пару часов опять файлы появились ((

[Romanio]

Самое лучшее использовать AVZ в таких случаях, он бесплатен, и не раз вырачал меня, так как AVZ заточен под это, когда антивирусы бесильны, что либо зделать. Вообще это софт номер один, и его возможности колосальны, он должен быть у каждого человека с антивирусным софтом.

http://www.z-oleg.com/secur/avz/download.php

Этот архив разжимаешь и запускаешь AVZ и обнови базы последние.

Здесь советы по лечению можете почитать:

http://www.z-oleg.com/secur/advice/