Справка - Поиск - Участники - Войти - Регистрация
Полная версия: Кажется, в моей машине вирус...
Частный клуб Алекса Экслера > Вокруг компьютера
Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, 26, 27, 28, 29, 30, 31, 32, 33
Ann:-)
7 ноября 2010, 22:02
Chief, Я НАШЛА ЭТУ ЗАРАЗУ! Она тихо засветилась в диспетчере!!! Видимо потеряла бдительность! 3d.gif Стоит в папке С:/Programm Files (x86)/pchd
Там есть unibstall.exe. Что-то мне подсказывает, что жать на эту хрень не надо, а нужно как то по хитрому удалить. Как?
Файлы реестра все равно закинула - посмотрите, может она где еще щупальца раскинула?
1.rar
2.rar
Slonjra
8 ноября 2010, 06:40

Ann:-) написала: нужно как то по хитрому удалить. Как?

Загрузится в Safe mode и убить все что там есть..и почистить корзину
А если бы ты сделала все что рекомендовали неделю назад, все было бы намного проще.
какой смысл просить совета у спецов, если им не следовать?

Ann:-)
8 ноября 2010, 13:00

Slonjra написал: А если бы ты сделала все что рекомендовали неделю назад, все было бы намного проще.
какой смысл просить совета у спецов, если им не следовать?

Не срабатывало.
Georgi
10 ноября 2010, 20:52
Между делом завел себе Kido и Sality. mad.gif Собственно, их изничтожил-излечил, но осталась служба
Georgi
10 ноября 2010, 20:54
Да ещё не удаляется, зараза. Или у меня паранойя. srvinstw пишет, что её удалил, да не тут то было. Чего бы с ней ещё сделать?

Vitalka
10 ноября 2010, 21:01

Georgi написал: Да ещё не удаляется, зараза. Или у меня паранойя. srvinstw пишет, что её удалил, да не тут то было. Чего бы с ней ещё сделать?

В стопиццотый раз: критические обновления за позапрошлый год установлены?

Если система без необходимых обновлений, то все так и должно быть. Антивирус удаляет кидо, а дырявая система мгновенно заражается снова. smile.gif
Georgi
10 ноября 2010, 21:19

Vitalka написал:
В стопиццотый раз: критические обновления за позапрошлый год установлены?

Если система без необходимых обновлений, то все так и должно быть. Антивирус удаляет кидо, а дырявая система мгновенно заражается снова. smile.gif

WinXP SP1 + SP3 от августа 10-го + обновки. Система ими же не заражается. КК ничего не находит, КАVTool тоже, СomboFix и AVZ ничего особо подозрительного не видят. "Живые сиди" (вчера-позавчера) от ВЭБ и Касперского тоже не тревожат. Бьюсь головой об стол.
В системной директории сегодня поселились zip.exe (67 kB), sed.exe (97 kB) и ещё парочка таких же. Онлайн-сканеры ничего страшного в них не видят.
Vitalka
10 ноября 2010, 21:48

Georgi написал: WinXP SP1 + SP3 от августа 10-го + обновки.

Тогда действительно странно.

Может, какая-нибудь свеженькая зараза.

Хотя, смотрю, по поводу sed.exe гугль кучу ссылок выдает. Удаляется легко, а вот откудаоно у тебя берется - неясно.
Slonjra
10 ноября 2010, 21:53

Georgi: Онлайн-сканеры ничего страшного в них не видят

И никто не увидит, пока не прибьешь тот процесс.

Если с налету, то примерно так.
Отключаемся от сети, ищем этот процесс в памяти..с помощью Process Explorer от Русиновича.
Открываем эти 2 окна вместе рядышком ( process explorer и Regedit на этом ключе с уже нажатым "удалить" и перед "ОК")
И дальше стрелялка на скорость - убиваем процесс и тут же убиваем ключ в реестре.

Если нерез минуту снова не появится, значит удалось, и вот только теперь запускаем всякие CureIt и Malmware.
Georgi
10 ноября 2010, 22:08

Slonjra написал:
И никто не увидит, пока не прибьешь тот процесс.

Live CD тоже?


Если с налету, то примерно так.
Отключаемся от сети, ищем этот процесс в памяти..с помощью  Process Explorer от Русиновича.

Кого будем бить?
Slonjra
10 ноября 2010, 22:27

Georgi: Live CD тоже?

И он тоже, это поколенеи сделано так, что его никто не считает вирусом.
Это уже потом он подгружает с сети весь остальной мусор..


Georgi: Кого будем бить?

Когда наводишь курсор на svchost.exe - под ним в окошке высвечивается какие именно процессы с он запустил.
Вот и ищи твоего sdmhlzm
Georgi
11 ноября 2010, 19:59

Vitalka написал: Хотя, смотрю, по поводу sed.exe гугль кучу ссылок выдает. Удаляется легко, а вот откудаоно у тебя берется - неясно.


Это, возможно, следы GMER, такие как catchme.

Slonjra написал: Когда наводишь курсор на svchost.exe - под ним в окошке высвечивается какие именно процессы с он запустил.
Вот и ищи твоего sdmhlzm

Фишка прикола в том, что сам сервис отключен. Именно с ключом -k netsvcs запущены службы на картинке. Емнип, с Кидо из-под него выпрыгивал и быстро-быстро прятался netsh.exe.
Хочу тупо удалить запись о sdmhlzm из реестра. Прав админа не хватает? Может создать учётку в консоли с бОльшими правами?
Georgi
14 ноября 2010, 15:32

Georgi написал: Хочу тупо удалить запись о sdmhlzm из реестра. Прав админа не хватает? Может создать учётку в консоли с бОльшими правами?

В продолжение темы smile.gif. Проверка "на вшивость" GMERом показала следующую картинку в реестре (слева - regedit, та же ветка реестра, открыты одновременно).
Georgi
14 ноября 2010, 15:49
Каким образом "спрятана" запись в реестре, я так и не понял (хотя позже при замене владельца объекта она нарисовалась явно).
Имя библиотеки (на картинке выше) показалось знакомым, полез в логи AVPTool. Так и есть:
CODE
04.11.2010 16:44:53 Обнаружено: Net-Worm.Win32.Kido.ih C:\WIND\system32\bunsnw.dll  
04.11.2010 16:44:53 Не вылечено: Net-Worm.Win32.Kido.ih C:\WIND\system32\bunsnw.dll Отложено

На всякий случай ещё раз проверил диск на присутствие этой длл-ки из под винды и убунту. Не нашёл. Успокоился, что враг почти изничтожен.
Но запись в реестре покоя на даёт. Для начала удалил все записи в реестре, которые касались sdmhlzm и давали себя удалить. Потом по поиску сверху вниз находил неудаляемые записи данной службы (отмеченной как системной): клик правой кнопкой - "разрешения" - добавлял свою учётку - разрешить (птички), "дополнительно" - выставлял полные права и наследование объекта с субобъектами (вроде так smile.gif ). После чего удалял запись. И так далее...
Перезагрузил шелл - службы нет.
Может кому и понадобится мой опыт. smile.gif
ваня774
26 ноября 2010, 01:26
Прилал собеседник, удружил так сказать ссылку, оказавшуюся приложением. Которое я, общались с человеком не первый раз, открыл. После Эскплорер стал открываться с каких-то левых страниц дайрект ком и подобных. Ставлю в настройках с пустой. Помогает не надолго. Стоит аваст. Делал полную проверку. Ничего не нашел. Что нужно сделать?
XypMa
26 ноября 2010, 16:06

ваня774 написал: Прилал собеседник, удружил так сказать ссылку, оказавшуюся приложением. Которое я, общались с человеком не первый раз, открыл. После Эскплорер стал открываться с каких-то левых страниц дайрект ком и подобных. Ставлю в настройках с пустой. Помогает не надолго. Стоит аваст. Делал полную проверку. Ничего не нашел. Что нужно сделать?

Для начала посоветую отказаться от IE. Поставьте к примеру Firefox и к нему NoScript что бы всякая ерунда скриптовая не лезла. А теперь по делу. Странички грузятся разные или одна и та же? Бывают случаи, когда зараза меняет просто строчку в ярлыке Explorer'а smile.gif"C:\Program Files\Internet Explorer\iexplore.exe" - после последнего ничего не должно быть. Если пакость залезла глубже - обратитесь на http://kaspersky-911.ru/
ваня774
26 ноября 2010, 19:59

XypMa написал: Странички грузятся разные или одна и та же?

Разные, но с общей картинкой Гугл на верху. Причем, сперва открывает какую-то дайрект ком и тут же другую-каждый раз разную.

XypMa написал: после последнего ничего не должно быть

Вроде ничего нет.

XypMa написал: Для начала посоветую отказаться от IE

У меня есть второй браузер Опера. Но Эксплорер-многолетняя привычка.
А может его переустановить?
Спасибо, за советы.
Чеширка
29 ноября 2010, 09:36
Перестал у меня IE страницы открывать, причем аська работает, торрент работает, а вот IE - не хочет. XP, стоит Аваст, при входе в систему ругается на атаку с какого-то адреса. Запустила быструю проверку CureIt - ничего не нашел...
Georgi
29 ноября 2010, 15:15

Чеширка написала: Перестал у меня IE страницы открывать

77.88.21.3 если набрать в строке адреса - открывается?
Чеширка
29 ноября 2010, 20:12

Georgi : 77.88.21.3 если набрать в строке адреса - открывается?

Нет.
Чеширка
29 ноября 2010, 20:14

Georgi : 77.88.21.3 если набрать в строке адреса - открывается?

Нет.
Сегодня в диспетчере видела какие-то процессы с названиями 80.exe и 90111.exe (такого типа), запустила Process Explorer, ничего такого не увидела больше, зато такое вот нашла - NVIDIA Windows Display Driver Installer. Это кто такой?
Georgi
29 ноября 2010, 20:55

Чеширка написала:
Нет.

AVZ запускается? Что там в "сервис - менеджер файла hosts" , кроме "127.0.0.1-localhost" есть?

Сегодня в диспетчере видела какие-то процессы с названиями 80.exe и 90111.exe

В последний раз мне Virus Removal Tool от Касперского больше понравился, чем CureIt. Субъективно smile.gif. Но точно, что у тебя в этот раз есть над чем работать.
В прошлый, кстати, ничего так и не увидел плохого в логах AVZ.

такого типа), запустила Process Explorer, ничего такого не увидела больше, зато такое вот нашла - NVIDIA Windows Display Driver Installer. Это кто такой?

Такое длинное название? Или это из описания процесса?
Чеширка
30 ноября 2010, 08:22

Georgi написал:  Но точно, что у тебя в этот раз есть над чем работать.
В прошлый, кстати, ничего так и не увидел плохого в логах AVZ.

В прошлый раз просто с диска обновили винду - и все заработало. smile.gif

Georgi написал: Такое длинное название? Или это из описания процесса?

Из описания.
Сделала вчера полную проверку - ничего не нашел.
XypMa
30 ноября 2010, 15:09
Ох шуршит что-то не по ерунде. Извините за повторение, но на http://kaspersky-911.ru/ пробовали обращаться? Они мне в подобных безвыходных ситуациях помогли пару раз. Специалистам то проще определить.
Чеширка
30 ноября 2010, 21:41
Проверила Касперским, нашел тааакую кучу всего...
Пока (ттт) работает, залезла в инет, нашла такую тему.
Чеширка
6 декабря 2010, 15:18
Рано радовалась, вирус порезвился изрядно, так, что пришлось комп специалистам отдавать. Посоветовали поставить Касперского, Интернет Секьюрити, вроде.
Sciolist
6 декабря 2010, 21:39
В списке автозагрузки появились два странных "персонажа":
Load и Run.

Тоже мне, Load Runner... biggrin.gif

В списке процессов их нет. Это даже не файлы, а, похоже... записи реестра. Не знаю, каким образом их занесло в автозагрузку - но, насколько я понял, они есть только в реестре. Из списка автозагрузки их можно удалить только одним способом - удалив из реестра. Однако при следующем запуске системы они снова заводятся.

Незадолго до этого антивирус находил зараженный ключ реестра: PUM.Hijack.StartMenu

Сейчас антивирусы не находят ничего.

Что это может быть? confused.gif

Какая-то зараза, неизвестная антивирусам?
Цезарь82
7 декабря 2010, 08:15
Не знаю, в ту ли тему пишу.
В общем проблема такая-у меня на ноуте завелась программа-шпион. Установленный антивирусник NOD32 сканированием её не обнаруживает, пробовал сканировать Dr.Web CureIt, тот тоже ничего не нашел.
Сканирование Agava дало результат-шпиона он находит, вроде бы помещает в карантин, но после перезагрузки компьютер снова подвергается атакам, снова сканирую агавой и программа снова на том же месте.
Подскажите, как мне избавится от этой гадости?
Спасибо. smile4.gif
Chief
7 декабря 2010, 10:27

Цезарь82 написал: Сканирование Agava дало результат-шпиона он находит, вроде бы помещает в карантин, но после перезагрузки компьютер снова подвергается атакам, снова сканирую агавой и программа снова на том же месте.

А в safe mode просканировать?
ilya_ya
7 декабря 2010, 10:27

Цезарь82 написал:
В общем проблема такая-у меня на ноуте завелась программа-шпион.

после перезагрузки компьютер снова подвергается атакам, снова сканирую агавой и программа снова на том же месте.

Как шпион-то называется?
Заплатки на системе все стоят?
Фаерволл включён?
"Общий доступ к файлам и принтерам" отключён/запаролен или всё открыто?
ilya_ya
7 декабря 2010, 10:29

Sciolist написал: В списке автозагрузки появились два странных "персонажа":
Load и Run.

А подробнее? Где именно создаются и точные названия. Можно ещё попробовать с помощью соответствующих утилит отследить, кто создаёт эти записи в реестре.
Цезарь82
7 декабря 2010, 10:49

Chief написал: А в safe mode просканировать?

Мммм, можно поподробнее как это сделать? smile.gif

ilya_ya написал: Как шпион-то называется?

МоМ какой-то. На диске С-Program files-ATI Technologies/

ilya_ya написал: Заплатки на системе все стоят?

Хм. Вряд ли.

ilya_ya написал: Фаерволл включён?

Только тот, который на антивируснике.

ilya_ya написал: "Общий доступ к файлам и принтерам" отключён/запаролен или всё открыто?

Как посмотреть запаролен ли он? rolleyes.gif
XypMa
7 декабря 2010, 13:51

Цезарь82 написал: Не знаю, в ту ли тему пишу.
В общем проблема такая-у меня на ноуте завелась программа-шпион. Установленный антивирусник NOD32 сканированием её не обнаруживает, пробовал сканировать Dr.Web CureIt, тот тоже ничего не нашел.
Сканирование Agava дало результат-шпиона он находит, вроде бы помещает в карантин, но после перезагрузки компьютер снова подвергается атакам, снова сканирую агавой и программа снова на том же месте.
Подскажите, как мне избавится от этой гадости?
Спасибо. smile4.gif

Попробуйте обратиться сюда http://kaspersky-911.ru/ что бы меньше мороки было. А вообще надо бы на будущее с политиками безопасности разобраться по лучше.
ilya_ya
7 декабря 2010, 14:28

Цезарь82 написал:
МоМ какой-то. На диске С-Program files-ATI Technologies/

Точнее никак? Вообще, судя по расположению, весьма вероятно, что это ложное срабатывание на какой-то файл из поставки драйверов ATI-шной видеокарты.

Как посмотреть запаролен ли он?

Если все учётные записи закрыты паролем, что и доступ из сети запаролен.
Chief
7 декабря 2010, 21:12

Цезарь82 написал: Мммм, можно поподробнее как это сделать?

F8 при начале загрузки...
Sciolist
7 декабря 2010, 22:35

ilya_ya написал:
А подробнее? Где именно создаются и точные названия. Можно ещё попробовать с помощью соответствующих утилит отследить, кто создаёт эти записи в реестре.

Все, они уже сами сдохли. biggrin.gif
BLA$TER
3 февраля 2011, 13:25
У меня такая проблема.
Когда приходят клиенты и просят произвести какие-нибудь манипуляции с их флэшками, у них там появляются ярлыки документов, папок видео. Я сначала думал, что у них инфицированные флэшки, но эта картина повторяется в 10 из 9 случаев.

Особых симптомов на компьютере не наблюдается кроме подвисаний за последнее время.

Антивирус Avast, версия 5.05.507, версия определений вирусов 110203-0
DedMorozz
3 февраля 2011, 14:28

BLA$TER написал: Антивирус Avast, версия 5.05.507,

На офсайте DrWeb есть бесплатная утилита DrWeb CureIt. Это антивирусный сканер не требующий установки. Проверьте им свой компьютер, ибо замечено, что ни один антивирус не дает 100% защиты. Оптимально будет держать резидентный антивирь одного производителя, а изредка проверять сканерами от другого.
Только ни в коем случае не устанавливайте два и более резидентных антивируса - систему можно будет уронит так, что спасет только переустановка.
BLA$TER
4 февраля 2011, 12:33

DedMorozz написал: На офсайте DrWeb есть бесплатная утилита DrWeb CureIt.

То есть, даже если это троян она может определить? Просто у меня подобная ситуация была: постоянно сождавались неизвестные папки на всех носителях, причем удалить их не было никакой возможности.

DedMorozz написал: Только ни в коем случае не устанавливайте два и более резидентных антивируса - систему можно будет уронит так, что спасет только переустановка.

А если установлен антивирус, можно ли попутными утилитами воспользоваться, например AVZ?
DedMorozz
4 февраля 2011, 21:15
BLA$TER
Аваст у Вас стоит резидентно (постоянно). AVZ и DrWeb CureIt - это сканеры, не требующие установки. Пользоваться можно параллельно с Авастом.
Имелось ввиду: нельзя ставить 2 резидентных антивируса, например Аваст и DrWeb Бастион.

BLA$TER написал: если это троян она может определить?

Может.

BLA$TER написал: постоянно сождавались неизвестные папки на всех носителях, причем удалить их не было никакой возможности.

Стопроцентно вирус. А бесплатный Аваст - это почти решето. Особенно если давно не обновлялся.
BLA$TER
5 февраля 2011, 05:01
Просканил Eset-ом он-лайн, дак он кучу вирей нашел. Действительно, сносить его надо.

DedMorozz написал: Стопроцентно вирус. А бесплатный Аваст - это почти решето.

Конечно бесплатный smile.gif Хоть и обновленный
Насколько мне известно, в России сильно развита практика употребления бесплатного ПО. Что уж говорить о KZ. У нас до сих пор бабушки торгующие семечками и насваем параллельно предлагают DVD со всяким пиратским ПО.
Georgi
7 февраля 2011, 21:28

BLA$TER написал: Когда приходят клиенты и просят произвести какие-нибудь манипуляции с их флэшками, у них там появляются ярлыки документов, папок видео. Я сначала думал, что у них инфицированные флэшки, но эта картина повторяется в 10 из 9 случаев.

В свойствах ярлыка дорожка к зловредине прописана.
BLA$TER
8 февраля 2011, 15:19

Georgi написал: В свойствах ярлыка дорожка к зловредине прописана.

Что именно: корневой файл, каталог или запись в реестре?
Неужели так просто "троянчики лечатся?"
Georgi
8 февраля 2011, 21:27

BLA$TER написал:
Что именно: корневой файл, каталог или запись в реестре?
Неужели так просто "троянчики лечатся?"

Путь к исполняемому файлу.
Эти - в принципе несложно. Только если дыры не закрыты, имеют свойство появляться снова и снова.
Gopnik
13 марта 2011, 22:44
Прошу помощи. Пропадает свободное место на диске С. Размер 20 ГБ, суммарный объем всех файлов и папок (включая скрытые и системные) 7,87 ГБ, если верить результатам проверки программы Scanner, должно остаться 11,6 ГБ. Проводник и ТС показывают, что осталось только 1,7 ГБ. Куда делось остальное?
Вот скрин сканнера
ilya_ya
14 марта 2011, 00:21

Gopnik написал: Прошу помощи. Пропадает свободное место на диске С. Размер 20 ГБ, суммарный объем всех файлов и папок (включая скрытые и системные) 7,87 ГБ, если верить результатам проверки программы Scanner, должно остаться 11,6 ГБ. Проводник и ТС показывают, что осталось только 1,7 ГБ. Куда делось остальное?

System Volume Information и Recycler сколько занимают?
Gopnik
14 марта 2011, 12:41

ilya_ya написал: System Volume Information и Recycler сколько занимают?

Вот скрин с Тотал Командера
Gopnik
14 марта 2011, 13:43
Так же не могу поменять параметры сохранения точек восстановления системы
Gopnik
14 марта 2011, 14:31
Похоже все дело в папке System Volume Information. Тотал и проводник показывают, что у нее нулевой размер. Но в нее нельзя зайти, требует пароль администратора, которого я отродясь не ставил. Аваст нашел в ней кучу запароленных архивов и убил несколько вирусов VBS:Malware-gen. Но это ни к чему не привело. Что делать?

Vitalka
14 марта 2011, 18:25

Gopnik написал: Похоже все дело в папке System Volume Information. Тотал и проводник показывают, что у нее нулевой размер. Но в нее нельзя зайти, требует пароль администратора, которого я отродясь не ставил.

Так и должно быть.

Чтобы в нее войти, нужно иметь соответствующие права. По дефолту такими правами обладает только система. Для этого нужно сначала (под админским логином) стать ее владельцем (включая вложенные объекты), и лишь потом назначить себе полный доступ.
Дальше >>
Эта версия форума - с пониженной функциональностью. Для просмотра полной версии со всеми функциями, форматированием, картинками и т. п. нажмите сюда.
Invision Power Board © 2001-2016 Invision Power Services, Inc.
модификация - Яро & Серёга
Хостинг от «Зенон»Сервера компании «ETegro»