Компьютерный "триппер". Руководство по удалению вирусов

[borislev]

Короче, вляпался я малехо, (по порносайтам не гулял, говорю сразу )

Какая то гадость стала тормозить подьем Винды - у меня XP, выбрасывает окошко, что не могу найти и после этого набор палочек типа ||||||||

Второе проявление - не менее важное, при подьеме IE поднимается несколько pop-up, домашняя страница устанавливается на www.idgsearch.com, на десктопе и в фаворитах появляются иконки ссылки на какие-то левые сайты.
В автозагрузке появились iedll и еще какая-то херня.

Пользовался Norton antivirus, IEDoctor, Ad-aware 6.0, результатов практически никаких

Люди, поможить, кто может, только недавно винду поставил...

Отредактировано модератором. В связи с тем, что данная проблема всплывает очень часто, убедительно прошу, новых тем не открывать, пользоваться приведенными ниже советами. Дополнения и другие рекомендации постить только здесь или ЗДЕСЬ

[boor]

FACE CONTROL,
Загрузись с любого liveCD (на може Dr.Web есть готовый образ уже с антивирусом). И проверь комп тем же Dr.Web CureIT

[Hellguards]

Добрый день.
Вопрос такого плана.
2-3 дня мой Outpost Firewall 7.0.4 в Windows XP - SP3
рагуается на то, что в реестре пытаются, что то сделать файлы типа
05.exe 78.exe и т.п от 0 до 100 короче. Скрины приложил. Я все эти экзешники естественно блокирую, но они все равно в процессах отображаются. У меня все проверенно аутпостом и нодом 32 все куплено официально и обновлено. Подскажите как сделать, чтобы это дерьмо не беспокоило мой комп, заранее спасибо.

[Jaded]

Hellguards, погонять вирусов надо, лучше сделать это с помощью какого-либо LiveCD, как вариант можно DrWeb LiveCD скачать и просканироват им систему

[Hellguards]

Вот нашел вроде, снова обновил Nod32, проверил оперативку и диск С, вирусы были скрин приложу, мб у кого то такое будет.

Вируса удаляю, но опять при перезагрузке лезет приложение acleaner.exe и потом он плодит в системе эти вирусы. Сейчас пытаюсь его заблокировать и файерволом и нодом, глянем, что получится

[Jaded]

Я бы советовал хотя бы в безопасном режиме лечить, хотя самое то - LiveCD

[vovik]

и неплохо бы прогнать spybot'ом.

[Hellguards]

я просто не пойму, что они ко мне пристали то? 2-3 дня атакуют, можно ли как то узнать это местные в локалке или это с инета? достали уже файервол разрывается от разных атак, выводит окна, что блокирует и блокирует атаки. И нод разрывается вот еще скринец.... Live CD проверю, но похоже кому то я нужен и если черви и вирусы будут найдены которые я еще не нашел, то они попробуют пройти сквозь нод и файервол. Чем защитить систему лучше чтобы не так просто было взломать мой комп?

P.S Кстати Firewall поставил на максимальную степень защиты, чтобы в системе не произошло выводит таблицу и я смотрю что и куда из процессов просит доступ.

[Jaded]

Hellguards, не надо быть таким упертым прогони систему из под LiveCD - убей заразу и никто уже не будет тогда ломится в нэт и тем самым тревожить твой файрвол. У тебя просто в системе какая-то гадость сама себя клонирует под разными названиями файло и будет это происходить до безконечности пока не убьешь первоисточник. Пок не "отрежешь голову" этой заразе бесполезно какое-либо лечение антивирем т.к. она при последующей перезагрузке начнет все с начала и будет у тебя "день сурка"...

[Hellguards]

Цитата:

Сообщение от Jaded

Hellguards, не надо быть таким упертым прогони систему из под LiveCD - убей заразу и никто уже не будет тогда ломится в нэт и тем самым тревожить твой файрвол. У тебя просто в системе какая-то гадость сама себя клонирует под разными названиями файло и будет это происходить до безконечности пока не убьешь первоисточник. Пок не "отрежешь голову" этой заразе бесполезно какое-либо лечение антивирем т.к. она при последующей перезагрузке начнет все с начала и будет у тебя "день сурка"...

Проверил Live CD нашел 4 вируса в Local settings и еще где-то удалил их, но все равно, прет откуда-то еще, Нод32 также разрывается, но хоть Файервол замолчал пока не кричит об атаках. Сейчас сам подумаю, что еще можно сделать. Гайки в НОД32 и в Файерволе сам закрутил, приложения, что ломятся поставил в блокировки Нода и IP подозрительные в Файерволе. Глянем, что получится... Интересно все равно кто так ломится, ко мне хоть на компе ничего нет ценного...

[vovik]

Цитата:

Сообщение от Hellguards

Проверил Live CD нашел 4 вируса в Local settings и еще где-то удалил их, но все равно, прет откуда-то еще

Антивирус ищет сами вирусы, а если у етбя в ресстре прописано, что IE должен обратиться в такому-то адресу, то ни брандмауэр, ни антивирус этого не заметят, а среагируют только когда вирус уже полезет на комп.
Поэтому я и посоветовал тебе провериться с помощью spybot

[Hellguards]

Цитата:

Сообщение от vovik

Антивирус ищет сами вирусы, а если у етбя в ресстре прописано, что IE должен обратиться в такому-то адресу, то ни брандмауэр, ни антивирус этого не заметят, а среагируют только когда вирус уже полезет на комп.
Поэтому я и посоветовал тебе провериться с помощью spybot

Вы правы, у меня, что то прописывалось в IE и оттуда могут запросто быть проблемы, я как раз IE 1-2 раза в день его использую так как по работе только IE нужен. А так юзаю Мозиллу. У меня кстати как только вставляю Флешку, сразу мой комп туда кидает вирус и тут же нод32 его находит и блокирует. Скорее всего так и есть в реестр, что то прописалось, сейчас буду искать

P.S Вы были правы уважаемый, я всегда думал, что лучше Аутпоста только Аутпост, думал он реестры палит тоже, нашел удалил пока полет нормальный перестала система нервничать и я)))

P.S2 Кстати у парня, что делает программу SPYBOT есть кошелек? а то у него на сайте нет WMR, чутка хотел бы подкинуть ему за бескорыстную помощь, я бы лично наверное не делал бесплатно, это не малый труд, респект ему и Вашему форому

И Кстати Почему у Меня в Outpost Firewall выключено слежение за червями? как его включить я не выключал точно и у меня платная версия тоесть я платил за него отключать не должны были (Скрин приложил)

Все полностью систему почистил, пришлось зайти под DOSом и с помощью VC (Volkov Comander) удалить все, на, что было подозрение. Короче червь под названием ACLEANER, удалял я его SPYBOTом, он его удалял, но он через секунду снова восстанавливался. Я даже зашел в реестр и там его нашел и удалил. В том месте где я его в реестре удалял при обновлении он снова появлялся. Мне это надоело я зашел под DOS, удалил на всех своих винтах папку RECYCLER (странно, что она была на всех винтах и там в ней сидел червь в каждой) Потом в папке Windows удалил папку TEMP и в LOCAL SETTINGS удалил так же все связанное с temp. Перезагрузился, прошелся программой SPYBOT и ручками поискал как ранее в реестре червяка, все его уже нет и система как и ранее нормализовалась... Всем спасибо, надеюсь моя борьба кому-то да и поможет, так как наверняка кто то столкнется еще с такой проблемой...

И Решил проблему с отключением поиска червей в автономном режиме
Вы можете включить эти модули самостоятельно следующим способом:

1. Отключите режим внутренней защиты, нажав правой кнопкой мышки на иконку программы в системном трее, и выбрав пункт меню "Отключить внутреннюю защиту".
2. Выйдите из Outpost, нажав правой кнопкой мышки на иконке программы в системном трее и выбрав "Выход".
3. Откройте следующий файл: C:\Program Files\Agnitum\Outpost Firewall Pro\machine.ini
Возможно, понадобится включить отображение расширений файлов в меню "Панель управления - Свойства папки - Вид". Необходимо снять галочку с опции "Скрывать расширения зарегистрированных типов файлов".
4. Измените значение параметра 'EnableScanner' на 'TRUE'.
5. Сохраните изменение.
6. Запустите Outpost, и включите обратно режим внутренней защиты.

[FACE CONTROL]

Доброго времени суток!!1
Ситуация такова есть ноут с установленной win 7, человек попросил помощи, говорит что поймал winlocker(а).

Что я обычно делала в этом случае
1. При включении пк, нажимал F8. Загружалcя в безопасном режиме с поддержкой командной строки. Запускал там explorer. Далее чистил реестр автозагрузку. Перезагружался и все было пучком.
2. Когда режим командной строки выдавал тоже окно winlocker(а). То я грузился с LiveCD, также праил встроенными утилитами реестр и все становилось опять нормально.

Но в этот раз я впервые встретил разновидность такого вируса.
При включении ноута он даже не грузит винду, и не дает запустить даже выбор вариантов загрузки ос. А сразу выдает белыми буквами на черном экране номер телефона и требование на него положить деньги. т.е. я могу только зайти в биос где выбираю вариант загрузки. все далее срабатывает этот вирус.

если я правильно понял то этот вирус поселился в загрузочной записе на жестком диске.

подскажите сталкивался кто-нибудь с таким вирусом и как восстановить работоспособность windows.

Заранее спасибо!!

[Jaded]

FACE CONTROL, если есть возможность загрузится с LiveCD, то можно убить этот вирус, т.к. LiveCD не использует для работы HDD, а загружается в ОЗУ. Дело в другом - надо иметь под рукой еще и антивирь с актуальными базами, чтобы убить заразу.

[audora]

Всё может быть намного сложнее.

Пробуйте это: _http://support.kaspersky.ru/viruses/solutions?qid=208641245

Во всяком случае, не помешает побывать здесь:
_http://forum.kaspersky.com/index.php?showtopic=209673

[FACE CONTROL]

Цитата:

Сообщение от audora

надо иметь под рукой еще и антивирь с актуальными базами

просто я же говорю что этот вирус не использует скорее всего реестр, а изменяет на жестком диске загрузочную запись, и получается что этот winlocker даже винду не дает загрузить (в отличии от своих предшественников). Поможет ли тут антивирус с актуальными базами??? или нужно шаманить с загрузочной записью на жестком???

[Rodos]

Цитата:

Сообщение от Jaded

FACE CONTROL, если есть возможность загрузится с LiveCD, то можно убить этот вирус, т.к. LiveCD не использует для работы HDD, а загружается в ОЗУ.

Jaded дал дельный совет. Возми LiveCD, и просканируй комп, отсюда: http://www.freedrweb.com/livecd/

[Jaded]

Цитата:

Сообщение от FACE CONTROL

просто я же говорю что этот вирус не использует скорее всего реестр, а изменяет на жестком диске загрузочную запись, и получается что этот winlocker даже винду не дает загрузить (в отличии от своих предшественников). Поможет ли тут антивирус с актуальными базами???

LiveCD - не использует жесткий диск и реестр соответсвенно, т.е. комп работает без загрузки основной ОС и вири не смогут загрузиться, даже если в реестре останется запись на запуск вируса, а спомощью LiveCD инфицированый файл был удален, то соответсвенно и при запуске системы и вирь не стартанет. Думаю логика понятна...
LiveCD Вам в помощь.

добавлено через 2 минуты

Цитата:

Сообщение от Rodos

Возми LiveCD, и просканируй комп, отсюда: http://www.freedrweb.com/livecd/

Вот еще один дельный совет!

[Merlin Cori]

Цитата:

Сообщение от FACE CONTROL

просто я же говорю что этот вирус не использует скорее всего реестр, а изменяет на жестком диске загрузочную запись, и получается что этот winlocker даже винду не дает загрузить (в отличии от своих предшественников).

Если в диска НЕ идет загрузка, то, соответственно, вирусный код, даже если он там присутствует, активироваться не будет.
К сведению, на диске, при установленной ос, есть, как минимум, 2 загрузочные записи.
MBR (Master Boot Record) и просто Boot Record.

Цитата:

Сообщение от FACE CONTROL

Поможет ли тут антивирус с актуальными базами???

Поможет, если вирус пристуствует

Цитата:

Сообщение от FACE CONTROL

или нужно шаманить с загрузочной записью на жестком???

Не стоит. За исключением случая, если достаточно хорошие познания в ассемблере и сможешь разобраться в коде.

[Val14]

Цитата:

Сообщение от FACE CONTROL

если я правильно понял то этот вирус поселился в загрузочной записе на жестком диске

Мне давно не встречались бутовые вирусы и я не очень верю, что они сейчас получили распространение, т.к. лечатся просто - Загрузка с любимого LiveCD, перезапись MBR (я это делаю с помощью BootICE - http://bootice.narod.ru/ )

Возможно дело в ином - заражена система, причем самым примитивным образом : заменен SHELL

Проверте в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметр Shell = Explorer.exe Если значение иное, то это и есть ссылка на вирус

[Infernus_]

Доброго времени суток.
Появилась следующая проблема:
После переустановки WinXP SP3 стала заполняться виртуальная память, выглядит это примерно так:
Включается компьютер, происходит загрузка, а далее, буквально по капле, по мегабайту начинает заполняться память, то-есть если открыть диспетчер задач, то процессы и приложения занимают, практически постоянное кол-во памяти, но если открыть вкладку с быстродействием, то можно будет наблюдать как использование файла подкачки постоянно нарастает, в итоге проходит какое-то время и компьютер закрывает приложения из-за нехватки памяти...
WinXP загружал последние обновления, антивирусами dr.web, avast, касперский, не дали результатов, хотя утилита касперского, против руткитов, выловила какую-то дрянь и обезвредила.

Если кто-то сталкивался, прошу помощи...