Справка - Поиск - Участники - Войти - Регистрация
Полная версия: Кажется, в моей машине вирус...
Частный клуб Алекса Экслера > Вокруг компьютера
Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, 26, 27, 28, 29, 30, 31, 32, 33
akok
26 октября 2012, 17:27
Дело скорее всего в железе. Проверяйте температуру процессора и видеокарты, оперативную память. Осмотрите материнку на предмет вздувшихся конденсаторов.
alibek
27 октября 2012, 12:38
Переустановил систему с нуля, с лицензионного диска.Никакой софт поставить не успел (даже обновления), на следующий день завис, после перезагрузки стал ругаться на потерянный NTLDR.

С температурой все нормально.
Прогнал MemTest, с памятью тоже все нормально.
Сегодня разобрал корпус и блок питания — все конденсаторы целые, SMD-элементы на месте, пыльность — умеренная. Разве что напряжение на БП померять нечем.
Ann:-)
8 ноября 2012, 19:37
Касперский опять дурит. После загрузки баз все равно упорно сообщает, что базы устарели. Что это такое? Антивирус заражен?
Okeanolog
9 ноября 2012, 13:10

alibek написал: Прогнал MemTest, с памятью тоже все нормально.

Ну тогда либо все-таки хард(несмотря на отсутствие битых секторов), либо материнка.
akok
9 ноября 2012, 13:27


Что с HDD, проверку на беды проводили?
Ann:-)
9 ноября 2012, 14:13
Решила проблему переустановкой системной даты.
alibek
9 ноября 2012, 14:27

akok написал:
Что с HDD, проверку на беды проводили?

Через MHDD? Нет. chkdsk /r ошибок не нашел.
akok
9 ноября 2012, 21:17
chkdsk /f/r - так вернее
akok
9 ноября 2012, 21:21
Мне например Viktoria для тестов больше нравится.
Chief
9 ноября 2012, 23:22

akok написал: Мне например Viktoria для тестов больше нравится.

Чем MHDD? Ну так она его наследница... kos.gif
akok
12 ноября 2012, 16:44
ИМХО это просто на любителя smile.gif
Matias
14 декабря 2012, 13:22

BearM написал: На сайте тех поддержки антивируса Касперского мне порекомендовали скачать
электронный справочник, как обезопасить свой компьютер.

Раз уж речь зашла о книге "Безопасный Интернет", позволю себе высказать пару замечаний:
1. Автор-составитель данной книги уже давно переложил ее на специально созданный сайт.
2. Как утверждает разработчик AVZ, который является одним из авторов книги, не нужно бездумно следовать изложенным в ней рекомендациям. Он абсолютно прав. Дело в том, что в книге рекомендуется использовать ограниченную учетную запись пользователя при работе в Windows XP, однако там не упоминается, что это неминуемо приведет к проблемам с так называемым "важным обновлением безопасности" WGA Notifications (KB905474). Дело в том, что при проверке подлинности системы входящий в состав этого обновления валидатор записывает данные в следующий файл
CODE
%ALLUSERSPROFILE%/Application Data/Windows Genuine Advantage/Data/data.dat

По умолчанию ограниченная учетная запись не имеет доступа к вышеуказанной папке. Из-за этого проверка подлинности, естественно, завершается неудачей. Я лично убедился в этом, когда года четыре назад попытался использовать ограниченную учетку по рекомендации с какого-то западного форума. Я отлично помню, что мне пришлось долго докапываться до причины провала проверки. Естественно, что я сразу же отказался от использования ограниченной учетки. В качестве альтернативы можно использовать DropMyRights, о которой также упоминается в книге.
3. Особенно меня поразил тот факт, что Saule (которая зарегистрирована на нашем форуме) также рекомендует использовать ограниченную учетную запись (см. эту статью), вообще не упоминая о проблемах с WGAN. Это выглядит еще более странным, если учесть, что она использует английскую версию Windows XP Professional. Следовательно, она не может не знать о скандале, который поднялся сразу после того, как Microsoft решила использовать службу автоматического обновления в качестве испытательного полигона для сырой бета-версии WGAN. Вдобавок инсталлятор этой паразитной программы (я не преувеличиваю, а просто называю вещи своими именами) был преднамеренно настроен таким образом, что если настройки службы автоматического обновления были выставлены по умолчанию, установка WGA Notifications выполнялась в тихом режиме, т.е. без демонстрации лицензионного соглашения. При этом удалить эту приблуду штатными средствами WinXP было невозможно. Это привело к массовому бойкоту служб обновления Microsoft со стороны законопослушных пользователей лицензионных версий Windows XP. Они решили, что раз MS без их согласия превращает их в подопытных кроликов, то им следует полностью отказаться от использования службы обновлений. Разумеется, это привело к резкому росту числа зараженных ПК.
Примечание: позднее Microsoft все же опубликовала на своем сайте инструкцию по удалению WGAN вручную.
Renato
12 января 2013, 16:38
Выручайте, а то жена нервничает, жалко человека! При входе на некоторые сайты выдаётся окошко - одинаковое для многих: "STOP! Содержимое сайта заблокировано. Для разблокирования необходимо пройти процедуру активации. Ваш телефон:..." - ну и так далее. Ради интереса запустил не IE, а Mozilla. На эти сайты вошёл легко. Но .... самое смешное: с Модзиллы вошел на сайт DrWebb - и та же бодяга!
Martin
12 января 2013, 17:10

Renato написал: Но .... самое смешное: с Модзиллы вошел на сайт DrWebb - и та же бодяга!

Можно посмотреть файл C:\WINDOWS\system32\drivers\etc\hosts. Там может возникнуть запись типа
CODE
217.73.63.204 cdn.connect.mail.ru

где 217.73.63.204 - IP-адрес вымогателей.
DedMorozz
12 января 2013, 21:43
Renato
Так же проверьте настройки сетевого соединения, в частности - адрес DNS. Некоторые вирусы и прочие зловреды меняют его на "нужный".
И почистите кэш браузеров и куки. Все это легко сделать с помощью программы CCleaner.
ilya_ya
12 января 2013, 22:26
Про DNS уже написали. Если выход в инет через роутер, проверить, не прописан ли левый DNS в настройках самого роутера (были прецеденты). Если модифицирован файл hosts, обязательно проверить в планировщике заданий и в ветках автозагрузки системного реестра наличие заданий на перезапись файла hosts "левой" копией из какого-нибудь укромного местечка в системе. Если таковые задания найдутся - прибить их.
Ещё посмотреть, нет ли в браузерах левых плагинов (плагины могут быть скрытыми, поэтому смотреть непосредственно каталоги, где размещаются файлы плагинов.
Renato
13 января 2013, 12:06

Martin написал: Можно посмотреть файл

Для сравнения беру два компа, подключённые к роутеру - мой и жены. Лишних строк в хосте нет.

DedMorozz написал: И почистите кэш браузеров и куки. Все это легко сделать с помощью программы CCleaner.

Почистил. Убрал все куки и прочее. Результат тот же.

ilya_ya написал: не прописан ли левый DNS

Тогда бы оба компа, думаю, глючили.

ilya_ya написал: нет ли в браузерах левых плагинов

Тогда бы глючил один IE, а тут и Модзилла. Попробую Оперу, что ли... А пока сделал восстановление системы на 29.12.12 - на неделю до появления глюков. Результат - ноль, восстановил до прежнего состояния.
Купил последнего Касперского на два компа, вчера установил у себя, попозже установлю жене. Посмотрю результат. Если нет - переустановлю всю систему, что ли.
ilya_ya
13 января 2013, 20:53

Renato написал:
Лишних строк в хосте нет.


Отображение скрытых и системных файлов включено? Если выключено, то включить и посмотреть, не будет ли в соответствующем каталоге два файла HOSTS. Трюк заключается в том, что правильный файл преименовывается, в HOSTS, в котором буква О или Н - русская, а правильный hosts с полностью латинским именем перезаписывается левыми ссылками и получаетатрибуты "скрытый" и "системный". В результате система использует подменный файл, а пользователь видит "обманку" с нормальным содержимым и пытается искать в других местах.


Renato
Тогда бы оба компа, думаю, глючили.


Оба будут глючить, если Левый DNS прописан в настройках роутера, но чаще он прописывается в сетевых настройках системы, так что надо это проверить.


Renato
Тогда бы глючил один IE,  а тут и Модзилла.


Кто сказал?
Цитата из описания подобной пакости:
Trojan.BrowseBan.480 проверяет, какие браузеры установлены на компьютере пользователя, а затем сохраняет на диск модули, в которых реализован его вредоносный функционал. Для браузера Microsoft Internet Explorer модуль реализован в виде файла динамической библиотеки, для Mozilla Firefox, Opera и Google Chrome — специального плагина, для функционирования которого троянец изменяет пользовательские настройки программы.


Renato
Купил последнего Касперского на два компа, вчера установил у себя, попозже установлю жене. Посмотрю результат. Если нет - переустановлю всю систему, что ли.

Лучше с помощью техподдержки найти и обезвредить пакость, потому что это может быть новая инфекция, которую антивири ещё не знают. Заодно выяснить, как она проникла в систему, чтобы перекрыть дыру. А иначе высок риск снова словить эту пакость.
Sergei Zhu
13 января 2013, 21:10

ilya_ya написал:

Отображение скрытых и системных файлов включено? Если выключено, то включить и посмотреть, не будет ли в соответствующем каталоге два файла HOSTS. Трюк заключается в том, что правильный файл преименовывается, в HOSTS, в котором буква О или Н - русская, а правильный hosts с полностью латинским именем перезаписывается левыми ссылками и получаетатрибуты "скрытый" и "системный". В результате система использует подменный файл, а пользователь видит "обманку" с нормальным содержимым и пытается искать в других местах.

Кстати, видел еще один трюк в HOSTS: строки дописываются в конце после большого количества пустых строк. В результате на первый взгляд файлик выглядит нормально, а то, что появилась полоса прокрутки, можно сразу и не заметить.
Sergei Zhu
14 января 2013, 09:58


Подобная ерунда была на одном компе на работе. Посмотрите в реестре параметр NameServer. Если там будет что-то типа NameServer = 5.199.140.180, то это оно и будет. Я менял значение на 192.168.1.1 (в двух местах), и это решило проблему.

P.S. Касперский и CureIt ничего не находят. Зараза проникла на компьютер с лицензилонным Касперским и свежими базами при поиске автозапчастей. Касперский тогда сработал, но релама начала всплывать.
Renato
14 января 2013, 13:08

Sergei Zhu написал: Кстати, видел еще один трюк в HOSTS: строки дописываются в конце после большого количества пустых строк. В результате на первый взгляд файлик выглядит нормально, а то, что появилась полоса прокрутки, можно сразу и не заметить.

Абсолютно верно. Это я сегодня и обнаружил. При этом после убирания этих записей после перезагрузки они появлялись вновь. Тогда установил новый Касперский на этот комп. Он сразу обнаружил вирус-троян, у которого в названии - host. При перезагрузке антивирус сам заменил файл host на свой из базы. После серии проверок файл... вообще пропал. А дальше интересно. При заходе на сайт с игрой Mahjong при помощи IE - выдаётся предупреждение о каком-то трояне для Иксплорера, доступ этому трояну закрывается и сайт открывается. При входе с Модзиллы - никаких предупреждений нет, то есть троян - иксплорерский. А на моём компе эта же операция проходит без всякого трояна.
Но - в любом разе - спасибо за помощь. А то бы я начал переустнавливать систему.
Умный человек
29 января 2013, 19:59
Может не только у меня?
Когда открыта страница этого формума постоянно выскакивает похабный банер. Выскакивает в левой части экрана, сам по себе вытянут сверху вниз по высоте экрана. В верхней части нажимаю слово "закрыть" - он пропадает. Потом опять появляется.
Антивирусами ничего не находится.
ilya_ya
29 января 2013, 20:49

Умный человек написал:
Когда открыта страница этого формума постоянно выскакивает похабный банер.

Проблема во всех браузерах или в каких-то есть, а в каких-то нет?
Умный человек
29 января 2013, 22:32

ilya_ya написал:
Проблема во всех браузерах или в каких-то есть, а в каких-то нет?

В Опере и Хроме есть.
Serg Inc.
29 января 2013, 22:37

Умный человек написал: Может не только у меня? Когда открыта страница этого формума постоянно выскакивает похабный банер. Выскакивает в левой части экрана, сам по себе вытянут сверху вниз по высоте экрана. В верхней части нажимаю слово "закрыть" - он пропадает. Потом опять появляется.
Антивирусами ничего не находится.

Вот прямо недавно привозили компьютер с подобным. Антивирусом тоже уже ничего не находилось. Оказалось, правленый hosts. Куча пустых строк, чтобы кака не была видна на первой экранной странице - все, как полагается.

Посмотри, может, твой случай.
Умный человек
29 января 2013, 23:25

Serg Inc. написал:
Вот прямо недавно привозили компьютер с подобным. Антивирусом тоже уже ничего не находилось. Оказалось, правленый hosts. Куча пустых строк, чтобы кака не была видна на первой экранной странице - все, как полагается.

Посмотри, может, твой случай.

Я не знаю что такое hosts, я в компьютерах чайник.

В любом случае уже поздно, в видимо нажал на этот банер и попал на сайт, с которого вирус заблокировал мне ноут.
Сейчас сканирую ДокторомВебом лив-сиди, но не уверен что поможет.

Тогда попытаюсь скачать Касперского.
Умный человек
30 января 2013, 09:43
ДокторВеб ничего не нашел mad.gif .
Утром запустил Касперского, приду с работы - посмотрю.
Martin
30 января 2013, 13:40

Умный человек написал: Я не знаю что такое hosts, я в компьютерах чайник.

Приаттачь, пожалуйста, файл C:\WINDOWS\system32\drivers\etc\hosts. Мы посмотрим.
Умный человек
30 января 2013, 19:36

Martin написал:
Приаттачь, пожалуйста, файл C:\WINDOWS\system32\drivers\etc\hosts. Мы посмотрим.

Как я приаттачу если комп заблокирован?

Касперский нашел и удалил 4 вируса, но это не помогло. При запуске с винта все равно ноутбук заблокирован тем же банером.

Запустил еще раз.

У Касперского в правом нижнем углу было сообщение, что заражен был файл из папки с Оперой.
Умный человек
30 января 2013, 20:19
Вот этот хостс.
DedMorozz
30 января 2013, 21:07

Умный человек написал: Вот этот хостс.

Чистый. Ничего ненормативного.
Умный человек
30 января 2013, 21:21

DedMorozz написал:
Чистый. Ничего ненормативного.

Спасибо.
Касперский рескайер10 обнаруживает 4 вируса по отчету, но банер продолжает блокировать.
DedMorozz
30 января 2013, 23:43

Умный человек написал:

Попробуйте ЭТИМ. Лучше пользовать образ диска, а не прогу.
Умный человек
31 января 2013, 00:19

DedMorozz написал:
Попробуйте ЭТИМ. Лучше пользовать образ диска, а не прогу.

Спасибо, но это для меня слишком сложно.
Умный человек
31 января 2013, 07:28

Умный человек написал:
Спасибо, но это для меня слишком сложно.

С утра оказалось и не так сложно. Главное - сработало!
По крайней мере загрузилась обычная Винда7.
Вечером помотрю поподробнее что там.
Умный человек
31 января 2013, 23:48

DedMorozz написал:
Попробуйте ЭТИМ. Лучше пользовать образ диска, а не прогу.

Воспользовался, ноут разблокировался утром.
Вечером пришел с работы. запустил браузер, сначала все было нормально.
Только открыл этот форум - опять выскочил похабный банер. Я его закрываю, он через минуту выскакивает. И именно только если в Опере активна закладка с форумом.

Запустил сканирование ДокторомВебом - чисто.

Из темы про полезные программы по ссылке скачал и запустил сканер ESET - нашел 4 вируса и трояна.

Позор создателям дерьмового Доктора Веба!!! Позорище!
Умный человек
1 февраля 2013, 00:24
Вот что нашел ESET
модифицированный Win32\Injector.ABZB троянская программа
модифицированный Win32\GameHack.F приложение
модифицированный Win32\Bundled.Toolbar.ASK приложение
модифицированный Win32\Bundled.Toolbar.ASK приложение

еще на странице Хэдхантера этот поганый банер часто выскакивает.
Matias
1 февраля 2013, 12:00
Мои пять копеек:
1. Пожалуйста, не надо употреблять нецензурные выражения. Следует понимать, что ни один антивирус не может обнаружить все известные вирусы. Сканер ESET предназначен именно для проверки эффективности работы основного антивируса.
2. Из четырех объектов, найденных EOS, опасность представляет только первые два. Остальные два - это рекламные тулбары. Чтобы избежать установки этих тулбаров надо внимательно изучать настройки установщиков программ, а не просто жать Далее.
Matias
1 февраля 2013, 14:06

Умный человек написал: Вот что нашел ESET
модифицированный Win32\Injector.ABZB троянская программа
модифицированный Win32\GameHack.F приложение
модифицированный Win32\Bundled.Toolbar.ASK приложение
модифицированный Win32\Bundled.Toolbar.ASK приложение

Вот описание первых двух зловредов на английском языке:
Win32 Infector.
Win32 GameHack.
Умный человек
1 февраля 2013, 23:15

Matias написал:
Вот описание первых двух зловредов на английском языке:
Win32 Infector.
Win32 GameHack.

И что пишут? Лечить можно?
Chief
1 февраля 2013, 23:32

Умный человек написал: Лечить можно?

Пожимая плечами
Нужно... kos.gif
Умный человек
2 февраля 2013, 11:15

Chief написал:
Пожимая плечами
Нужно... kos.gif

Как лечить то? Что конкретно делать?

Просканировал ДрВебом, Касперским. ESET - все показывают, что вирусов и троянов нет.

А банер выскакивает! И что самое интересное выскакивает он не на всех сайтах!
Чаще всего на этом форуме, а еще на Хэдхантере, Работеру и лостфильме.
И никогда на ЖЖ, Яндексе и др.

Как это объясняется???
Chief
2 февраля 2013, 11:23

Умный человек написал: Как лечить то?

Результаты hijackthis в студию.
Умный человек
2 февраля 2013, 11:30

Chief написал:
Результаты hijackthis в студию.

Что это такое?

Умный человек
2 февраля 2013, 11:32
Я уже и Оперу снёс с пользовательскими данными. Не помогло.
Умный человек
2 февраля 2013, 11:39
Сканирование Касперским выдает три вот такие уязвимости:
C:\Program Files (x86)\Java\jre6\bin\java.exe

C:\Program Files (x86)\QuickTime\QuickTimePlayer.exe

C:\Windows\SysWOW64\Adobe\Shockwave 11\SwInit.exe
Умный человек
2 февраля 2013, 11:45
Вот это и есть hijackthis?
Chief
2 февраля 2013, 12:13

Умный человек написал: Вот это и есть hijackthis?

Угу. Для начала снеси нафик guardmailru, gamecentrmailru/
Так же яндекс бар и proetorsan, а то смотреть лог нормально мешают.
Умный человек
2 февраля 2013, 12:35
Так лучше?
Умный человек
2 февраля 2013, 12:51
Вроде бы удалил.
Дальше >>
Эта версия форума - с пониженной функциональностью. Для просмотра полной версии со всеми функциями, форматированием, картинками и т. п. нажмите сюда.
Invision Power Board © 2001-2017 Invision Power Services, Inc.
модификация - Яро & Серёга
Хостинг от «Зенон»Сервера компании «ETegro»