Справка - Поиск - Участники - Войти - Регистрация
Полная версия: Кажется, в моей машине вирус...
Частный клуб Алекса Экслера > Вокруг компьютера
Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, 26, 27, 28, 29, 30, 31, 32, 33
Gopnik
14 марта 2011, 18:54

Vitalka написал:

Я легких путей не ищу smile.gif Загрузился с CD и грохнул ее нафиг. Место освободилось, что есть хорошо, но доступа к параметрам восстановления системы так и не получил.
Chief
14 марта 2011, 20:54

Gopnik : Я легких путей не ищу  Загрузился с CD и грохнул ее нафиг.

Да, это видно...
Восстановление системы отключается через свойства при нажатиии правой педалью крысы на "Мой компьютер"...
Gopnik
14 марта 2011, 22:31

Chief написал: Восстановление системы отключается через свойства при нажатиии правой педалью крысы на "Мой компьютер"...

Типа поумничал? На предыдущей странице я привел скриншот, на котором видно, что это нифига не получается сделать. Вернее наоборот - галка стоит, и убрать ее нет возможности. Кнопка "Параметры" тоже неактивна.
-LF-
14 марта 2011, 23:34
Gopnik, попробуй в реестре найти ветку HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore и убить параметр DisableConfig.

Вот ссылка на Microsoft.

UPD. Вот еще по теме.
Gopnik
15 марта 2011, 15:28

-LF- написал: попробуй в реестре найти ветку HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore и убить параметр DisableConfig.

Спасибо. Это помогло.

Еще заметил одну проблемку. В проводнике в свойствах папки не убирается галка с пункта "Скрывать защищенные и системные файлы (рекомендуется)". Аваст и CureIt больше вирусов не нашли.
-LF-
15 марта 2011, 16:37
Gopnik, попробуй прогнать MBAM - достаточно бесплатной версии. Возможно, вируса уже нет, а отходы его жизнедеятельности в реестре остались.

Также неплохо запустить AVZ и hijackthis. AVZ - с установленным драйвером мониторинга процессов и с поиском rootkit.
Gopnik
15 марта 2011, 17:58


Прогнал все по порядку. МВАМ нашел следы вирусов в реестре и почистил его. AVZ не нашел ничего плохого. Проблема осталась.

А что делать с логом ХайДжека?
-LF-
16 марта 2011, 00:10
В логе ничего криминального не вижу...
Вот тут по такой же проблеме помогло переименовать в ветке HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced флаг "WarningIfNotDefault" в "-WarningIfNotDefault"

Можно еще сделать нового пользователя с админскими правами и посмотреть, как под ним - чтобы исключить ошибки профиля.

Ну и неплохо было бы прогнать sfc /scannow - потребуется диск с windows и, возможно, надо будет переустановить обновления.
Chief
16 марта 2011, 00:14

-LF- : и, возможно, надо будет переустановить обновления.

Не возможно, а обязательно...
-LF-
16 марта 2011, 00:43
Да, можно еще раз прогнать MBAM - ели появятся новые проблемы в реестре, значит, руткит еще жив
DedMorozz
16 марта 2011, 10:01

Gopnik написал: А что делать с логом ХайДжека?

Можно отметить вот эти позиции и пофиксить. Обратите внимание на потенциальные дыры в безопасности, отмеченные в прилагаемом файле символами !!!---ДЫРА---!!!.
И желательно обновиться до SP3, если это возможно.
-LF-
16 марта 2011, 10:51
Да, на сервис-пак я не обратил внимания - SP3 нужно поставить обязательно.
Gopnik
16 марта 2011, 13:40
Всем спасибо за четкие советы. Мне помогло заклинание regsvr32 /i shell32.dll.

MBAM больше ничего не нашел. Дыры закрыл.

Объясните еще, зачем ставить СП3? Просто я живу по принципу: если все нормально работает - не лезь менять настройки.
Chief
18 марта 2011, 02:16

Gopnik : Объясните еще, зачем ставить СП3

Потому как НАДО!!! Дырок без него осталось еще море. А еще и без обновлений critical & security и после установки него хватает.
Constantin
21 марта 2011, 05:56
Расклад такой:
Два компьютера в сети, Win7 Ultimate и Win7 Home, сидят за роутером.
Создана папка Obmen с общим доступом на компе с Win7 Ultimate.

C непонятной периодичностью, в этой папке создается некий .EXEшник, с произвольным именем, который опознается Касперским (KIS 2011), как Worm.Win32.AutoIt.xl

После удаления этого файла, проверка Касперским и CureIt обоих компьютеров ничего не дала, все, типа, чисто.

Через некоторое время, в папке Obmen снова появилась эта зараза. При помощи Process Monitor'a было выяснено, что его создает некий SearchProtocolHost.exe, который не заражен (по мнению того же Касперского и Докотора Веба).

В каком направлении копать? Откуда оно может прилезать?
Vitalka
21 марта 2011, 06:59

Constantin написал: C непонятной периодичностью, в этой папке создается некий .EXEшник, с произвольным именем, который опознается Касперским (KIS 2011), как Worm.Win32.AutoIt.xl

После удаления этого файла, проверка Касперским и CureIt обоих компьютеров ничего не дала, все, типа, чисто.

Читай здесь:
http://www.securelist.com/ru/descriptions/...Win32.Autoit.xl

Вкратце - выполни рекомендации по удалению, установи на винду все обновления, а потом задай пользователям хоть какие-то пароли.
Nefertiti
27 марта 2011, 23:28
При переходе от одного видео к другому в youTube происходит переадресация на левые страницы. Браузер IE. Антивирус - Панда, обновляется регулярно, при сканировании ничего не находит. Можно как то с этим бороться, учитывая, что на этом компьютере я не могу менять браузер и антивирус?
DedMorozz
28 марта 2011, 09:27
Nefertiti
Вы можете проверить плагины\дополнения, а так же настройки в ИЕ, проверить систему сканерами DrWeb CureIt и AVZ, посмотреть, что грузится с помощью HijackThis. Это все бесплатные программы не требующие установки и не конфликтующие с резидентным. Один антивирус - хорошо, а четыре лучше.
ЗЫ: С антивирусом понятно, продукт платный. А вот не иметь возможности менять браузер - это что-то не по фен-шую...
Nefertiti
28 марта 2011, 21:06
Спасибо! Настройки и плагины вроде проверяла, даже при отключение всего все равно вылазит. Буду пробовать сканеры.

DedMorozz написал: Nefertiti
А вот не иметь возможности менять браузер - это что-то не по фен-шую...

Пользователи консервативные. При попытке перевести на другой браузер начинаются жалобы. что все не так и неудобно. abuse.gif
ilya_ya
28 марта 2011, 22:44

Nefertiti написала: Спасибо! Настройки и плагины вроде проверяла, даже при отключение всего все равно вылазит.

Обязательно нужно обновить флэшплеер до актуальной версии - сейчас во флэше дыр находят больше, чем в браузерах.
Да и сам IE стоит обновить до актуальной версии (8 - для XP, 9 - для висты и семёрки), чтобы дыр было поменьше.

Nefertiti
Буду пробовать сканеры.

Если ничего не найдётся, то стоит обратиться в техподдержку используемого антивируса - вылавливание таких блох по их части.

Nefertiti
Пользователи консервативные. При попытке перевести на другой браузер начинаются жалобы. что все не так и неудобно.

Для Firefox, кстати, есть "шкурка", имитирующая IE.
А двери эти консервативные пользователи щеколдой запирают, потому что замки с ключами неудобно?
Vitalka
29 марта 2011, 03:00

ilya_ya написал: А двери эти консервативные пользователи щеколдой запирают, потому что замки с ключами неудобно?

Нет, двери они подпирают шваброй. smile.gif

А если серьезно - перевод пользователей на другой браузер (при условии, что админ сумеет связно сформулировать необходимость для начальства, а для юзеров сможет корректно импортировать букмарки и куки) занимает ровно ноль секунд. Т.е. вот только что пользователь работал в ИЕ, а с 12 часов дня он начинает работать в Опере. Или Файрфоксе. Смена броузера в корпоративной среде - это чисто административная процедура.

Хотя это все равно оффтоп в этой теме. Прошу прощения.
Nefertiti
29 марта 2011, 18:09
Тут среда не корпоративная, а семейная - сложнее. Или у меня нервы слабые. smile.gif

А по делу, DrWeb CureIt что-то там нашел и излечил. Посмотрим, полностью ли исчезли переадресации. Я так поняла, что это какой то специфичный Google redirect virus.
ilya_ya
29 марта 2011, 21:52

Nefertiti написала:
А по делу, DrWeb CureIt что-то там нашел и излечил. Посмотрим, полностью ли исчезли переадресации. Я так поняла, что это какой то специфичный Google redirect virus.

В следующий раз пусть с вирусами воеют тот, кто их через дырявый браузер цепляет! wink.gif
Blues Fairy
18 мая 2011, 17:16
Привет, уважаемые! На XP-вой машине постоянно заводится Click.Giftload, и никакими чистилками его не убить, собаку. Пробовала: mbam, spybot (он его и находит, чищу - при новом скане опять вылазит), утилиту касперского. На машине СП3, антивирусы Norton и Avira, спайботовый teatimer. Пробовала сканить из safe mode - фиг. Пробовала одновременно сканить нортоном и спайботом, авирой и спайботом, авирой и mbam-ом - фиг. Находит, убивает, при новом скане опять двадцать пять.
Еще идеи?
ilya_ya
18 мая 2011, 17:31

Blues Fairy написала: Привет, уважаемые!  На XP-вой машине постоянно заводится Click.Giftload
...
На машине СП3

Заплатки, выпущенные после SP3 установлены?
Автобновление включено?

Для начала физически отключить комп от всех соединений с локалками и с инетом, отключить восстановление системы, вылечить и проверить, не вылезет ли пакость при отсутствии связи. Если не вылезет, значит, инфекция пролезает через какую-то дыру в системе - надо ставить заплатки и менять пароли. Если вылезет, значит, в системе болтается какой-то компонент, который антивирусами не детектится. В этом случае лучше всего обратиться в техподдержку того антивируса, который стоит.

Blues Fairy
18 мая 2011, 17:52

ilya_ya написал: Заплатки, выпущенные после SP3 установлены?
Автобновление включено?

Естессно.

Вылезает и при отключении связи. Думается мне, этот giftload переписывает себя в registry практически сразу же после очистки, потому и пыталась одновременно с двух концов его прищемить. Пока по нулям-с.
ilya_ya
18 мая 2011, 20:03

Blues Fairy написала:
Вылезает и при отключении связи.

Попробуй Dr.Web CureIt в безопасном режиме работы системы. Если и после этого зараза вылезет при полном отсутствии связи во время лечения и после него, то явно в системе болтается ещё что-то, что антивирусы не ловят. Вэтом случае писать в поддержку используемого антивируса.
alexXXL
18 мая 2011, 20:14
Обязательно отключите восстановление системы. Скорее всего он там прячется.
Blues Fairy
18 мая 2011, 21:56
Ага, попробую, мерси.
Blues Fairy
19 мая 2011, 02:06
Отключение system restore вроде помогло, спасибо. Посмотрим, как дальше себя поведет. Кстати, фейковый Windows Security Alert так и сидит, и ничем его не ухватить. Может, через него вся эта дрянь лезет?

Так или иначе, пора с XP-ей слезать, задолбали эти дыры.
ilya_ya
19 мая 2011, 20:23

Blues Fairy написала: Кстати, фейковый Windows Security Alert так и сидит, и ничем его не ухватить. Может, через него вся эта дрянь лезет?

Может, через него, может, просто через ту же дыру, что он пролез. CureIt при полной проверке ничего не нашёл?
Что техподдержка антивируса говорит? Или коммерческий антивирус стоит "не совсем лицензионный"?
Blues Fairy
19 мая 2011, 22:06

ilya_ya написал: Может, через него, может, просто через ту же дыру, что он пролез. CureIt при полной проверке ничего не нашёл?
Что техподдержка антивируса говорит? Или коммерческий антивирус стоит "не совсем лицензионный"?

Все либо лицензионное (Norton), либо фришное, но пока никуда не звонила, и CurIT не гоняла. На досуге займусь, а пока между делом пооблизываюсь на макбуки. lips.gif
Мышук
27 мая 2011, 15:35
С утра Авира замучила сообщением о находке Crypted.Gen, постоянно в папке C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5. Файл context_static_r511[1].js. Я так понимаю, это что-то джавовское? Полный скан ничего не дал, CureIt в безопасном режиме ничего не нашел (буквально 0 вирусов). Но Авира не унимается. Я вручную удалила все папки, в которых такой файл был - не помогает. Что бы еще сделать такого полезного? Очень неохота переустанавливать Винду, да еще на старом компе, там столько полезного.
Система - Win XP SP3, браузеров много, но вылезает эта фигня только под Эксплорером. Я, конечно, могу им не пользоваться вообще, но хотелось бы разобраться с тем, что это такое.
Sergei Zhu
29 мая 2011, 00:23

Мышук написала: С утра Авира замучила сообщением о находке Crypted.Gen, постоянно в папке C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5. Файл context_static_r511[1].js. Я так понимаю, это что-то джавовское? Полный скан ничего не дал, CureIt в безопасном режиме ничего не нашел (буквально 0 вирусов). Но Авира не унимается. Я вручную удалила все папки, в которых такой файл был - не помогает. Что бы еще сделать такого полезного? Очень неохота переустанавливать Винду, да еще на старом компе, там столько полезного.
Система - Win XP SP3, браузеров много, но вылезает эта фигня только под Эксплорером. Я, конечно, могу им не пользоваться вообще, но хотелось бы разобраться с тем, что это такое.

Это ложное срабатывание которое будет исправлено в одном из следующих обновлений (ссылка)
Vitek2011
15 июня 2011, 18:50
Я считаю, что при больших заражениях, систему лучше переустановить заново, сохранив важные файлы на другом диске, кроме С. Потому что, даже если показалось, что будто все вычистили, теперь такие вирусы делают, что обязательно что-нибудь да останется испорченным в системных файлах или где еще. А если вы раньше позаботились о сохранности и сделали бэкап Акронисом, то вообще все окей: удалить и отформатировать С, и перенести на него бэкап.
И вообще, я вот никогда не держу свои файлы в корневой директории, только на D, мало ли что... Официальная папка "Мои документы" у меня традиционно пустует. Когда делаю восстановление, переношу с основного диска на D для резерва только три папки "Апдейт дистрибюшьен" КИС, "Главное меню" и "Рабочий стол." Все. Остальное - в бэкапе. Нормально. Только надо время от времени обновлять архив инкрементно (частично, в смысле. т.е. только изменившиеся со временем файлы).
И никакой вирус не страшен.
А на диске D гад не опасен, этот диск неактивный по природе своей, потому что там нет постоянно работающей операционной системы.
Vitek2011
15 июня 2011, 18:52

Мышук написала: Crypted.Gen

Вроде пользовалась каким-то кряком для проги?
Eraser
17 июня 2011, 09:25

Мышук написала: Спасибо. 

Я бы вообще отказался от авиры, что-то она стала в последнее время паникерить очень часто.
Мышук
17 июня 2011, 09:44

Eraser написал:
Я бы вообще отказался от авиры, что-то она стала в последнее время паникерить очень часто.

НОД у меня как-то не прижился. Можно Касперского купить, впрочем.
Eraser
17 июня 2011, 10:48

Мышук написала: Можно Касперского купить, впрочем. 

Труъ wink.gif
sense offender
20 июня 2011, 08:37
Ребят, спасите.
Вирус заблокировал Винду не смотря на скучающего на её воротах Каспера. Собака пропустил такую шнягу. Пишет перечислите на такой-то номер 500 рэ, тогда разблокируем, мол, код будет на квитке. 3 часа безуспешной борьбы меня и пары человек с разблокировкой привели к тому, что вынуждена была оплатить эти 500 рублей (в этот момент печёнки тех, кто написал вирус я думаю уже почернели и съёжились), но на квитанции никакого кода (разумеется) не было, и винда так и осталась заблоченной.
Что делать? Отдать спецу или своими силами можно победить?
aik
20 июня 2011, 09:01

sense offender написала:
Вирус заблокировал Винду не смотря на скучающего на её воротах Каспера

Обычно они лезут через незаткнутые дырки в ОС и бразуерах, антивирусы такое не отлавливают, помогает только установка обновлений по мере выхода.

sense offender написала: вынуждена была оплатить эти 500 рублей

Никогда не связывайтесь.
Деньги можно попробовать вернуть - придти к оператору с чеком, объяснить ситуацию, попросить отменить платеж и зачислить деньги на ваш номер.

sense offender написала: Что делать? Отдать спецу или своими силами можно победить?

Ну вообще можно и своими силами, но некоторые знания нужны.
Для начала попробуйте http://support.kaspersky.ru/viruses/deblocker или http://www.drweb.com/unlocker/index/, вдруг повезет.

Если не прокатит, то лечения подразумевают либо снятие жесткого диска и чистку его на другом компьютере, либо загрузку на вашей машине с загрузочного диска и чистку на месте. Если квалификации недостаточно, то лучше отдать специалистам.

Eraser
20 июня 2011, 09:38

sense offender написала: вынуждена была оплатить эти 500 рублей

Ни в коем случае нельзя было этого делать.
Если есть другой компьютер, все решается с помощью ссылок aik'а.
sense offender
20 июня 2011, 10:54

Eraser написал:
Ни в коем случае нельзя было этого делать.
Если есть другой компьютер, все решается с помощью ссылок aik'а.

Да я собственно особо и не надеялась, что эти 500 рублей помогут, попробую связаться в оператором запросить отмену. Да, сейчас звонила, сказали можно отменить в главном офисе.
Сейчас пытаемся с помощью проги найти трояна и уничтожить его.
Самое обидное, что ни порно-сайты, ни какие-либо ещё странные сообщества мной не посещались. Как нормальный человек качала себе музыку. Поставлю потом Аваст и снесу Каспера нфиг.
Сайты Веба смотрела - их бесплатные коды не подходят. Винлок Троян записался на жёсткий диск и снять его невозможно разблокировкой.

Dmitrik
20 июня 2011, 11:00

sense offender написала: Поставлю потом Аваст и снесу Каспера нфиг.

Как-будто это поможет...
sense offender
20 июня 2011, 11:03

aik написал:



Ну вообще можно и своими силами, но некоторые знания нужны.
Для начала попробуйте http://support.kaspersky.ru/viruses/deblocker или http://www.drweb.com/unlocker/index/, вдруг повезет.

Если не прокатит, то лечения подразумевают либо снятие жесткого диска и чистку его на другом компьютере, либо загрузку на вашей машине с загрузочного диска и чистку на месте. Если квалификации недостаточно, то лучше отдать специалистам.

Да, не покатило, к сожелению. Итак люди- остерегайтесь этого номера (новая база) Веб и Каспер в базах его не имеют.
8 965 191 35 03 новый Винлок Троян.
Картинку портом залью. Я её сохранила.
Сейчас с помощью Вебовского антивируса сканирую ноут. Возможно поможет. Если нет - отдам спецам.
Спасибо за советы. smile.gif
aik
20 июня 2011, 11:04

sense offender написала:
Самое обидное, что ни порно-сайты, ни какие-либо ещё странные сообщества мной не посещались

Может придти на флэшке или с баннером на вполне почтенном сайте.

sense offender написала: Поставлю потом Аваст и снесу Каспера нфиг.

Шило на мыло. wink.gif У аваста свои болячки есть, хотя из бесплатных, на мой взгляд, он второй по адекватности после MSE.

sense offender написала: Винлок Троян записался на жёсткий диск и снять его невозможно разблокировкой.

А блокировка когда вылезает, сразу после включения или после загрузки ОС и входа в систему? Если после включения, то это новомодный локер, пишущийся в бутсектор диска. Правда лечится элементарно, загрузкой с установочного диска ХР и командами fixboot и fixmbr.
sense offender
20 июня 2011, 11:05

Dmitrik написал:
Как-будто это поможет...

Да, возможно не поможет. Но я на Каспере отхватываю самые жуткие вирусы интернета (недавно похерились важные вордовские доки - вместо логического текста- там на 159 страниц было слово "вызузились") И так- на каждый вордовский файл... Хотя обновляюсь раз в 3 дня. Он вообще не помогает. Разочарована крайне.
sense offender
20 июня 2011, 11:10

aik написал:
Может придти на флэшке или с баннером на вполне почтенном сайте.

Была в момент подхвата вируса на Турбофильме и Депозите, не считая различных "рутрекеров". smile.gif

Шило на мыло. wink.gif У аваста свои болячки есть, хотя из бесплатных, на мой взгляд, он второй по адекватности после MSE.

Мне его просто многие советовали. smile.gif


А блокировка когда вылезает, сразу после включения или после загрузки ОС и входа в систему? Если после включения, то это новомодный локер, пишущийся в бутсектор диска. Правда лечится элементарно, загрузкой с установочного диска ХР и командами fixboot и fixmbr.

Винда запускается, появляется нормальный рабстол и через секунд 20 виснет с появлением блокировки "Внимание, Windows заблокирован" красные буквы на чёрном фоне, далее мелкий текст про деньги.
У меня ноут шёл без установочного. Винда там уже стояла. Но если что, приму к сведению. Спасибо. smile4.gif
Eraser
20 июня 2011, 11:10

sense offender написала: Но я на Каспере отхватываю самые жуткие вирусы интернета (недавно похерились важные вордовские доки -  вместо логического текста- там на 159 страниц было слово "вызузились") И так- на каждый вордовский файл... Хотя обновляюсь раз в 3 дня. Он вообще не помогает. Разочарована крайне. 

Дело-то не в Каспере, похоже. wink.gif
Дальше >>
Эта версия форума - с пониженной функциональностью. Для просмотра полной версии со всеми функциями, форматированием, картинками и т. п. нажмите сюда.
Invision Power Board © 2001-2017 Invision Power Services, Inc.
модификация - Яро & Серёга
Хостинг от «Зенон»Сервера компании «ETegro»