Компьютерный "триппер". Руководство по удалению вирусов

[borislev]

Короче, вляпался я малехо, (по порносайтам не гулял, говорю сразу )

Какая то гадость стала тормозить подьем Винды - у меня XP, выбрасывает окошко, что не могу найти и после этого набор палочек типа ||||||||

Второе проявление - не менее важное, при подьеме IE поднимается несколько pop-up, домашняя страница устанавливается на www.idgsearch.com, на десктопе и в фаворитах появляются иконки ссылки на какие-то левые сайты.
В автозагрузке появились iedll и еще какая-то херня.

Пользовался Norton antivirus, IEDoctor, Ad-aware 6.0, результатов практически никаких

Люди, поможить, кто может, только недавно винду поставил...

Отредактировано модератором. В связи с тем, что данная проблема всплывает очень часто, убедительно прошу, новых тем не открывать, пользоваться приведенными ниже советами. Дополнения и другие рекомендации постить только здесь или ЗДЕСЬ

Когда у меня у одного сотрудника закачивалось порнушное гавно в ехе'шниках и стартовала с системой, после долгой чистки автозагрузки я просто открыл этот екзешник ResourceHacker'ом и стер от-туда все, что только можно было, тем самым лешив его возможности нормально функционировать и портить жизнь юзверю. Еще не лишним будет поискать упоминания о

Цитата:

msupdate33.exe

в реестре и удалить, но на всякий случай до этой процедуры сделай резервную копию реестра.

[Псих]

Почисть регистр, как советовал Bobuch. Я для этого всегда советую прогу RegSeeker, она меня однажды очень спасла именно в таком деле.
Перед этим скачай какой-нить менеджер процессов и посмотри от куда грузится этот самый файл. У меня стоит Startup. По поиску в разделе Appz очень прекрастно находится, фриварная!
Потом чисть реестр. И удаляй файл.
Возможно даже лучше под безопасным режимом это зделать.
Если файло не будет терется иди в дос.
Если ничего не найдешь из выше описанных проблем, вспоминай приблезительно, когда заразился и делай откат винды
Пуск - Все программы - Стандартные - Системные - Восстановление системы
Главное найти дату когда виря не было!

[HATTIFNATTOR]

_http://virusinfo.info/search.php?searchid=41027

msupdate* как видно в одиночку не появляется.
AVZ должен его знать, если нет - вероятно версия обновилась, нужно делать логи и смотреть.

[Псих]

Цитата:

HATTIFNATTOR:
_http://virusinfo.info/search.php?searchid=41027

Извините, нет совпадений. Попробуйте указать другие темы

[Klyavas]

Только хотел порадоваться, как опять msupdate33.exe в процессах.
Почистил все упоминания в реесте "msupdate33", с программой RegSeeker удалил почему-то уже 2 "msupdate", сначала "disabled" сделал, а потом "delete".
Перезагружаюсь, набираю "msconfig", вот как бы и уже даже в списке "msupdate33.exe", но через час он опять довольный грузит всю систему в процессах...

[Cartman]

Объединяю.

[HATTIFNATTOR]

Цитата:

Сообщение от Псих

Извините, нет совпадений. Попробуйте указать другие темы

_http://virusinfo.info/forumdisplay.php?f=46
В этой теме, поиск по имени msupdate

Господа!!
Я долго читала и пыталась понять... и чета сделать... НО!! Пожалуйста!!! ЕСЛИ НЕ ТРУДНО! Повторите что делать с крошкой-енотом, который стихи пишет. Екзешники появляются в шарах у народа.

[Cartman]

Lamer`s, очень похоже на вирус типа Klez. Рекомендую отключить всю сеть и проверить каждый компьютер антивирусом.
Если хочешь точно опознать вирус - зайди на сайт kaspersky.ru там есть проверка on-line. Определи название вируса и скачай бесплатную утилиту для его лечения. Для самых опасных вирусов они там присутствуют.

Цитата:

Откуда он вообще загружается?!

Примечание в общем плане можно?
Эти места - System Restore, Temp, Temporary Internet Files... - и так известны, но когда в своё время мой комп подхватил этот самый "триппер", и я сидел ночами напролёт, но всё повторялось снова, в конце концов (без всяких антихаккеров и антитроянов; а антивирус - Нортон - и так не видел) виновник (который без устали таскал всякую новую дрянь извне) был найден в том же, неоднократном вычищенном, Temporary Internet Files.
С той поры знаю, что СТАНДАРТНЫМ Delete Files... файлы из интернет-кэша полностью не выкуриваются и остаётся некоторое их количество, и в XP (в малом количестве), и в 98-м (почти всё). Хотя система визуально показывает, что фолдер пуст (если только не посмотреть в его "свойствах")! Поэтому для просмотра его содержимого всегда использую ACDSee или XnView (ну, другими файл-менеджерами я не пользуюсь, наверное, у них тоже нет ограничений Эксплорера! Но кто сидит на нём, эта заметка, может, и пригодится).
Нигде, однако, не встречал упоминания об этом. Системы же переустанавлывались не раз и картина всегда такая - кэш полностью не очищается.

[Mrimidalv]

Win32.hllm.perf
Подцепил тут эту гадость (по дурке, каюсь), вроде бы она называется еще Trojan-PSW.Win32.LdPinch.hk. DrWeb его пропустил. После того как понял, что имею неприятности, прогнал сканером drweb. Он выявил данный троян и удалил его. Однако после перезагрузки машины Guard опять перехватывает его и сообщает об удалении. Сканирую еще раз. Троян опять на месте, опять удаляется. Перезагружаю машину- все повторяется. На всякий случай скачал cureit со свежим модулем. Прогнал, удалил, после перезагрузки тоже самое.
Собственно вопрос:
При сканировании DrWeb показывает следующие удаленные файлы:
csrss.exe с\windows Win32.hllm.perf

Возможно ли вообще удалить окончательно эту гадость? И если возможно то как?

[trimel]

Цитата:

Mrimidalv:
Возможно ли вообще удалить окончательно эту гадость?

да , можно , читай 206 пост . надо после удаления файла вычистить реестр.

[Mrimidalv]

Вообщем что я сделал:
1. копирнул из windows\system32 в \windows\ файлик csrss.exe, все равно его два процесса services.exe и svchost.exe отслеживают на наличие, а вот на размер, дату и тому подобное они не реагируют. Хотя можно в windows файлик csrss.exe заменить любым другим, не забыв его заранее переименовать в csrss.exe.
Просто так файлик и в сейфмоде не удаляется, тут же появляется снова, этому способствуют больные services.exe и svchost.exe, а вот заменить можно.
2.Затем идем в сейфмод с cmd...
убил \windows\csrss.exe
и в реестре убил HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
Debugger = CWINDOWScsrss.exe.
Эта ветка тоже при наличие в памяти вируса не убивается. Тут же возникает вновь. Т.е. предварительно нужно проделать то, что было описано в п.1.
3. После этого перегрузился (сторож наконец-то показал нулевую активность) и отправил Dr.Web сканировать все подряд на наличие каких-нибудь еще вирусов. Пока Win32.HLLM.Perf больше нигде не проявился.

[repeek]

В моём Taskmanager я вижу несколько IEXPLORE, пробую удалять, но возникают всё снова и снова!

кто-нибудь с такой траблой встречался, что это за дрянь, троян?
Мои Dr.web и Spy Sweeper и Trojan Remover не помогли, как это убрать?

_http://home.arcor.de/abarus/taskmanager.jpg

Repeek

[traktorist]

Цитата:

repeek:
В моём Taskmanager я вижу несколько IEXPLORE, пробую удалять, но возникают всё снова и снова!

Так это вообще-то не троян и не вирь. Это детище Микрософта.
Если серьезно - то когда у тебя открыто несколько окон IE - то в Taskmanager их тоже может быть несколько.
Если открываешь сслыку в IE в новом окне - еще один запущенный процесс в Taskmanager не появляется. Если же ты запускаешь из Пуска/Рабочего стола еще одну копию IE, то и в Taskmanager появляется еще один запущенный процесс...

[repeek]

так в том то и дело, что когда вобще ни одно IE не открыто их всё ровно
несколько штук. Странно, но что это может быть?

Repeek

[alexcop]

repeek
Попробуй прогнать антивирусом Зайцева. Он меня несколько раз спасал.
Домашняя страница _http://z-oleg.com/secur/avz/download.php
Утилита бесплатна. Скачай ее и сделай обновления базы.

[Dr.God]

Цитата:

repeek:
так в том то и дело, что когда вобще ни одно IE не открыто их всё ровно
несколько штук.

Скорее всего у тебя завёлся adware: http://www.liutilities.com/products/...rary/iexplorer
Это легко проверить, помимо прог для борьбы с паразитами, утилитой TaskInfo. Посмотрев процесс и его треды.

[Cartman]

Werw0lf, а вот дублировать вопрос было совсем не обязательно.
Устное предупреждение. Сообщение удалено.

[morJ]

Привет всем. Даже незнаю что подхватил , короче раза 3-4 за рабочий день открываются Error-ы Интернет Эхплорера (см. скрины) и потом просят скачать с разных сайтов проги которые устраняют эту проблему иногда это

Адресов всего 3 errorsafe.com, winantivirus.com, drivecleaner.com пока других небыло. Достало уже. На компе стоит корпоративный Нортон- сканирование ничего недало, Ад-адваре тоже непомог.
Какие могут быть варианты?