Компьютерный "триппер". Руководство по удалению вирусов

[borislev]

Короче, вляпался я малехо, (по порносайтам не гулял, говорю сразу )

Какая то гадость стала тормозить подьем Винды - у меня XP, выбрасывает окошко, что не могу найти и после этого набор палочек типа ||||||||

Второе проявление - не менее важное, при подьеме IE поднимается несколько pop-up, домашняя страница устанавливается на www.idgsearch.com, на десктопе и в фаворитах появляются иконки ссылки на какие-то левые сайты.
В автозагрузке появились iedll и еще какая-то херня.

Пользовался Norton antivirus, IEDoctor, Ad-aware 6.0, результатов практически никаких

Люди, поможить, кто может, только недавно винду поставил...

Отредактировано модератором. В связи с тем, что данная проблема всплывает очень часто, убедительно прошу, новых тем не открывать, пользоваться приведенными ниже советами. Дополнения и другие рекомендации постить только здесь или ЗДЕСЬ

[Borland]

sysser, вопрос надо было задавать в другом топике.
Перенесено...

[Mg0]

sysser
Вот твой случай: _http://www.nofaq.net/2009/09/не-открываются-сайты-антивирусов-кас/

[vovik]

Звонит мне приятель и говорит: весь экран занят рекламой порнухи - xyecoc.net (требует денюшек через СМС). Сделать ничего нельзя. Я такое уже видел где-то с полгода назад - модуль грузился из автозагрузки, картинка висела поверх всех окон, а в Taskmanager'е запускалось 2 одинаковых процесса. Как только вырубаешь один, второй запускает его снова. Ну, через Safe Mode вопрос решил.
Пробую и тут объяснить что к чему - не получается. Пришлось приехать. Taskmanager не запускается, на три пальца комп не реагирует, в безопасный режим не грузится.
Пришлось грузиться с liveCD и подцеплять реестр. Там эта хрень прописала себя в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon в параметр Shell вместо Explorer.exe (файл типа ksdjfhsdfhsdfs.AVI.EXE в кэше браузера).

добавлено через 3 минуты
ЗЫ: забыл сказать, что у чела стоит лицензионный касперский.
ЗЗЫ: а отловить ключ мне помог Spybot с liveCD базы аж за 2004 год (собственно базы тут вообще не причем, он просто среагировал на кривой ключ реестра)

[Georgen]

Цитата:

Сообщение от vovik

Там эта хрень прописала себя в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogo в параметр Shell вместо Explorer.exe

Бывает, добавляет значение в Userinit после C:\WINDOWS\system32\userinit.exe, или создает ещё один раздел Winlogon.

[solution]

пользуюсь диал-апом дома за неимением другого интернета, при каждом подключении к инету выскакивает табличка и помещается в карантин 3 файла

[IMG]C:\bug.JPG[/IMG]


чет не хочет прикрепляться рисунок

постараюсь перефразировать или больше описать проблему..

при подключении выдается такая табличка:

16-разрядная подсистема MS-DOS

C:\docume~1\9335~1\locals~1\94553.exe
Процессор NTVDM обнаружил недопустимую инструкцию.
CS:0de3 IP:01ac OP:63 61 74 69 6f Для завершения работы приложения нажмите кнопку "Закрыть"

И при это в карантин антивируса помещается 3 файла:

http:/xxx.xxx.xxx.xxx/bomir.exe
C:Documents and settings\Администратор\Local settings\Temorery internet files\Content.IE5\q4pvamby\bomir[1].exe
C:\docume~1\9335~1\locals~1\Temp\0027.exe

Пользуюсь антивирусом NOD32 4.2.40.0

OS Win XP SP3 32-bit

Windows defener еще стоит, в нем нашол непонятное приложение которое стоит в автозапуске C:\Documents and Settings\Администратор\Application Data\Microsoft\quooquukol.exe
и C:\Documents and Settings\Администратор\Application Data\yjty.exe

пытался найти поиском, не находятся эти файлы, пробовал ККлинером почистить , 0 эмоций, пробовал искать в реестре оно все равно появляется.
Что делать? Могу винду переставить, но охота разобраться.

[Plague]

Цитата:

Сообщение от solution

[IMG]C:\bug.JPG[/IMG]


чет не хочет прикрепляться рисунок

дык ты доступ к компу своему открой для всех интернетов, тогда глядишь и прикрепится..

[solution]

Поставил комодо фаервол, вроди блокирует все файлы и трафик никуда не закачивается, но файл C:\Documents and Settings\Администратор\Application Data\yjty.exe все еще показывается в виндовс дефендере.

[Borland]

solution, http://www.virustotal.com/ru/analisi...958-1280312944
http://www.threatexpert.com/report.a...d7df819d38d53d
Комп нуждается в лечении...

[solution]

После долгих попыток ковыряться в реестре убил винду , после переустановки все нормально.

[Alex Dark]

Цитата:

Сообщение от solution

Что делать? Могу винду переставить, но охота разобраться.

Ну вот ты и разобрался как как лечить от вирусов самым радикальным и действенным на 100% методом.

Для следующего раза научись работать FAR-ом или Total-ом, подготовь загрузочную флэшку или загрузочный диск.
Загрузишься с флэшки или диска. Найдешь и удалишь свои файлы. Подключишься к реестру. Из автозагрузки удалишь ссылки на них и на все, что вызывает подозрение (Поаккуратнее. Желательно знать, что может там "жить", а что нет.)
Перезагрузка с диска С:
Полная проверка антивирусом.

PS и почитай эту ветку.

sysser если тебе еще интересно то это наверно вирус конфликер у соседа было такое я его винт снял пхнул себе в ПК и прогнал каспером и стало заходить и к вэбу и к касперу

[masya0290]

подскажите пожалуйста у меня заблокировали на компе 2 сайта одноклассники и вконтате,я не могу туда войти,пишет:
Аккаунт заблокирован!
Ваша страница была взломана, и с нее рассылался спам. Чтобы это прекратилось, Вам необходимо активировать Вашу страницу.

Также мы советуем Вам сменить пароль от почтового ящика и проверить Ваш компьютер на вирусы. Никогда не указывайте Ваш пароль от страницы нигде, кроме сайта http://odnoklassniki.ru

Для активации Вашей страницы отправьте SMS с Вашего мобильного телефона с текстом 110521650 на номер 6681.

С уважением, администрация.
Систему переустанавливала,не помогло,антивирус стоял касперского,установила Nod 32.Вобщем та же фигня.Чё делать?

добавлено через 48 минут
пробывала
1. Открыть C:\WINDOWS\system32\drivers\etc
2. Открыть блокнотом файл hosts
Тоже не помогло((

[Merlin Cori]

Цитата:

Сообщение от masya0290

1. Открыть C:\WINDOWS\system32\drivers\etc
2. Открыть блокнотом файл hosts

и что там увидела?

[masya0290]

ну на сайте писали что там очистить нужно и всё заработает,но не помогло

[Billy]

masya0290,
1. Скачай вот с этого сайта http://z-oleg.com/ антивирусную утилиту AVZ (в разделе Downloads/Скачать)
2. Установи
3. Запусти.
4. Войди в меню "Файл", далее пункт меню "Восстановление системы", там отметь галочкой пункты 13 (Очиститка файла Hosts) и 20 (Настройки TCP/IP: удалить статические маршруты) и нажми кнопку "выполнить отмеченные операции.
5. Пробуй зайти на контакт и одноклассников

[Alex Dark]

Цитата:

Сообщение от masya0290

Вобщем та же фигня.Чё делать?

К рекомендации Billy.
1. Для начала я всё таки бы вернул касперского и купил на него лицензию.
2. Возьми за правило не лазить в инете пока не обновишь базы.
3. Возможно я ошибаюсь, но одноклассники не предлагают отправить смс на номер. Они предлагают ввести номер телефона, указанный при регистрации или высылают пароль на ящик.
4. Если ты зарегистрирована на разных сайтах под одним именем, то быстрее всего и пароли у тебя одинаковые. Насколько я знаю контакты ломали (и не один раз). Отсюда и вывод.

И последнее. Посмотри внимательнее, ты точно пытаешься войти на одноклассники и в контакт. Я сам пару раз попадал на лжеодноклассники (для интересу) потому что в ящик приходили извещения с лжеодноклассников.

[FACE CONTROL]

Ситуация такова порнобанер заблокировал комп с ОС winXP SP3 раньше такое уже бывало выходил из ситуации так:
грузился в безопасном режиме с поддержкой командной строки потом запускал explorer, ну и с помощью avz чистил систему, перезагружался и все работало.

недавно знакомый поймал себе опять порнобанер я загрузился в безопасном режиме с поддержкой командной строки а банер вылез и там и все заблокировал и недает ничего делать.

Может кто подскажет еще варианты удаления sms информеров? заранее спасибо!!!

[Rodos]

Воспользуйся утилитой Dr.Web CureIT! http://www.freedrweb.com/cureit/?lng=ru
Если она не поможет, придется чистить куки, кеш и реестр вручную в безопасном режиме.

[FACE CONTROL]

Цитата:

Сообщение от Rodos

вручную в безопасном режиме.

я же говорю что безопасный режим тоже заблокирован sms информером и я там ничего запустить немогу!

[Borland]

FACE CONTROL, совершенно ни к чему было создавать отдельный топик.
Перенёс куда надо.
Читай чуть выше.