Справка - Поиск - Участники - Войти - Регистрация
Полная версия: Кажется, в моей машине вирус...
Частный клуб Алекса Экслера > Вокруг компьютера
Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, 26, 27, 28, 29, 30, 31, 32, 33, 34
Sciolist
27 апреля 2008, 23:10
Автообновление - по 10 раз на дню, firewall работает (сегодня даже героически убил какой-то doubleclick).

А файл я все-таки скопирую и пошлю. У меня тоже есть подозрение, что на деле никакой инфекции нет.
ilya_ya
28 апреля 2008, 07:00

Sciolist написал: Автообновление - по 10 раз на дню, firewall работает (сегодня даже героически убил какой-то doubleclick).

А браузер-то какой? Не Microsoft Trojan Downloader Internet Explorer?


А файл я все-таки скопирую и пошлю.

А что на него http://virustotal.com говорит?
Sciolist
28 апреля 2008, 11:38
Браузер - Опера. Обычная Опера.

virustotal говорит: 0\32, что ли... Это значит, что вирусы не найдены?
ilya_ya
28 апреля 2008, 16:54

Sciolist написал: Браузер - Опера.

Это хорошо!


virustotal говорит: 0\32, что ли... Это значит, что вирусы не найдены?

Это значит, что ни один из тридцати двух антивирусов, представленных там, не нашёл в этом файле ничего подозрительного.
Sciolist
28 апреля 2008, 22:37
Другая подозрительная вещь: трояны не могут реплицироваться, но у меня такое чувство, будто они прямо-таки размножаются в system32.

Среди них бывают разные, но явно лидирует некий Trojan.Rootkit.Chksin, или что-то в этом роде. Иногда удаляю до семи файлов, его содержащих. Очевидно, даже несмотря на наличие Оперы, защита машины имеет серьезные бреши.
ilya_ya
28 апреля 2008, 23:06

Sciolist написал: Другая подозрительная вещь: трояны не могут реплицироваться,

Кто сказал? Вполне могут. Есть многокомпонентные трояны. Кроме того, если один троян в системе таки запустился, то он, в свою очередь, может подкачать и установить в систему другие трояны.


Среди них бывают разные, но явно лидирует некий Trojan.Rootkit.Chksin, или что-то в этом роде. Иногда удаляю до семи файлов, его содержащих.

Возможно, в системе сидит дроппер, вбрасывающий трояны, но сам ещё не попавший в вирусные базы. Скачай с http://freedrweb.com/ Dr.Web-овскую лечащую утилитку, перезагрузи компьютер в безопасный режим и проверь систему этой утилиткой - возможно, Dr.Web уже знает эту пакость и сможет её прибить.


Очевидно, даже несмотря на наличие Оперы, защита машины имеет серьезные бреши.

Если опера не последней версии, то могли использовать и её бреши. Кроме того, если из инета скачивались и открывались вордовые или экселевские файлы, а на MS Office не стоят апдеты, то пакость могла проникнуть и через офисные программы.
Sciolist
28 апреля 2008, 23:29
С радостью скачал бы, но придется тогда удалить мой привычный Битдефендер... mad.gif Я очень привык к нему - может быть, он и не самый эффективный антивирус, но, по крайней мере, он старается работать изо всех сил... smile.gif
Chingiz
29 апреля 2008, 05:40
Появилась странная грабля.
На компьютере знакомого неудержимо плодится какая-то тварюшка. Она создаёт во всех корнях логических дисков файлы: autorun.inf и 2.bat
Причём последний является исполняемым exe-шником.
Кроме того, эта зараза записывает себя в system32 в виде ехе-шника что-то типа amr0.exe и amr0.dll (имена не точные). Причём эту парочку запросто можно вычеслить просмотром аттрибутов файлов. Ибо на них навешано всё, что только можно: хидден, систем, архивед и прочая хрень.
Прописывает себя в автозагрузку по реестру. Возможно делает что-то ещё - не нашёл следов, ибо к инету компьютер не подключен.
Одним из основных косяков является то, что после него (даже после ручной чистки) - невозможно отобразить в эксплорере скрытые файлы и папки.
Др.Веб определяет эту заразу как Win32.HLLW.Taterf.3 однако описания в инете я по этому вирусу не нашёл.
Подскажите пожалуйста - в какую сторону копать, чтобы нафиг его вытереть?
Систему переустанавливать нереально.
ilya_ya
29 апреля 2008, 08:02

Sciolist написал: С радостью скачал бы, но придется тогда удалить мой привычный Битдефендер...

Не придётся. Эта утилита не требует установки и не конфликтует с другими антивирусами, особенно в безопасном режиме работы Windows. А то, что файл называется setup.exe - это маскировка от всяких вредоносов, которые не дают записать на диск или запустить файлы с определёнными именами, соответствующими антивирусам.
Sciolist
29 апреля 2008, 10:44
Скачал и запустил утилиту. Она выявила в том же самом файле какой-то Trojan.Spambot, и удалила его. (файл, однако, остался на месте)

Кроме того, был разоблачен и уничтожен Win32.autoruner. К моему удивлению, моя жизнь после его смерти облегчилась: раньше я считал его последствия системным глюком.

Полная проверка продолжается и на данный момент... Посмотрим, что будет еще найдено в закромах моих данных...
ilya_ya
29 апреля 2008, 23:53

Sciolist написал: Скачал и запустил утилиту. Она выявила в том же самом файле какой-то Trojan.Spambot, и удалила его. (файл, однако, остался на месте)

Отключи восстановление системы, отключи комп физически от Интернета и локалки, перезагрузи машину в безопасный режим и запусти утилитку снова (лучше непосредственно перед перезагрузкой скачать её свежую сборку). После полной проверки и выноса инфекции ещё раз перезагрузись в безопасный режим и проведи повторную полную проверку, чтобы убедиться, что ничего не осталось. Если повторная проверка ничего не находит, грузимся в обычном режмие, не подключая локалку и инет, и смотрим, не вылезет ли пакость вновь. Если пакость не вылазит, убеждаемся, что включено автообновление и брандмауэр (многие гады их отключают), а в настройках самого брандмауэра нет подозрительных исключений, и только после этого снова подключаем сеть. Если пакость вылезет на отключенном от сети компе, знчит, в системе сидит какой-то дроппер, пока не попавший к антивирусникам. Если зараза снова вылезет только после соединения с инетом, значит, либо в системе сидит, опять же, неизвестный дроппер или даунлоадер, либо пакость лезет через какую-то уязвимость системы.

В любом случае, если зараза снова вылезает, лучше всего обратиться в техподдержку используемого антивируса или попросить "помощь клуба" на virusinfo.info.
Sciolist
30 апреля 2008, 08:28
Вышеописанную процедуру провести пока что не могу - нехватка времени, но, судя по результатам полного сканирования, в системе сидело около 6 неизвестных ранее троянов и подозрительных программ. Все они были уничтожены.

Сегодня утром провел быструю проверку самой заражаемой папки. Сегодня там чисто. Даже главный заразный csrss прочелся как чистый.
Georgi
1 мая 2008, 09:52

Chingiz: Появилась странная грабля.

Скормить на онлайн-проверку касперскому этот файлик, посмотреть, чего он про него скажет. Я подозреваю, что у твоего знакомого какой-нибудь авторанер, который ставит себя как службу (тут для борьбы подойдёт AVZ), пишет себя не только в корни любых дисков(дискет, флэшек), но и в каждую папку норовит засунуть. При этом имеет иконку папки, и повторяет название. Клик на этой якобы папке приводит к его размножению. А для того, чтобы его не распознать с налёту, скрытый (1), запрещает показ расширения файла (название _папки.ехе) (2). Мне часто приносят распечатать чего-нибудь с флэшки, а там такая муть.
Для начала отключить автораны на всех дисках, а затем проверить службы.
UPD. Сори, не заметил, что нет интернета, но AVZ многое о службах и прочем может показать и побороть.
chelfly
1 мая 2008, 14:59
У меня не отображаются скрытые файлы. Почитав тред, решила проверить комп с помощью утилиты от Доктора Веба. Но проверить в безопасном режиме не могу - комп неожиданно вырубается, и все. Один раз дотянул до полной проверки, но обычно вырубается еще на этапе быстрой. Что делать?
В обычном режиме проверила комп, нашлась парочка троянов. Проблема со скрытыми файлами не решилась. frown.gif
Matias
1 мая 2008, 17:50

chelfly написала: Проблема со скрытыми файлами не решилась.

Отображение скрытых файлов и папок можно включить, отредактировав реестр. Перед тем, как это делать советую прочитать статью базы знаний Microsoft, посвященную реестру. Если нет проблем с английским, можно также прочитать руководство Demystifying the Windows Registry. Для прочтения последнего желательно зарегистрироваться на форуме сайта, поскольку в этом случае в руководстве не будет присутствовать реклама.
После ознакомления с этими статьями надо выполнить следующие действия:
1. Нажать Пуск, щелкнуть Выполнить, ввести regedit и нажать ОК. Запустится редактор реестра.
2. Найти ключ HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced\Folder\Hidden\SHOWALL
3. Удалить параметр CheckedValue в правом окне. (тип REG_SZ; значение, скорее всего, 2.)
4. Щелкнуть правой кнопкой мыши в этом же окне и выбрать"создать параметр DWORD". Назвать его CheckedValue. Выставить значение 1 (0x00000001) и нажать"ОК" или "Enter".
chelfly
1 мая 2008, 23:18

Matias написал: 

А потом можно будет переключать режим отображения скрытых файлов? Они мне, собсно, не особо и нужны, я просто так проверяю - есть вирус или нет. Раз скрытые файлы не отображаются, значит, вирусняк не побежден.
MIsakov
2 мая 2008, 11:39
В некоторых сборках Тотал Комантера есть специальная кнопка (SUS например или "звезда"), для показа/скрытия системных файлов.
А в Винде : Проводник ->Сервис->Свойства папки ...->Посмотреть стоят галки или нет (нужные поставить/убрать).
chelfly
2 мая 2008, 14:20
Так в том-то и проблема, что я в свойствах папки ставлю галочку, но она не ставится. То есть вроде как поставилась, жмем Ок или применить, но эффекта ноль. И галочка сама переставляется на Не отображать скрытые файлы.
В тотал командере скрытые файлы отображаются.
ilya_ya
2 мая 2008, 15:07

chelfly написала: Так в том-то и проблема, что я в свойствах папки ставлю галочку, но она не ставится. То есть вроде как поставилась, жмем Ок или применить, но эффекта ноль. И галочка сама переставляется на Не отображать скрытые файлы.

Это не является признаком того, что инфекция ещё сидит в системе - трояны для блокирования настроек используют стандартные возмножности самой системы и антивирусы эти запреты не снимают, потому что невозможно определить, кто именно поставил конкретный запрет - троян или администратор сети. Если у тебя стоит Windows XP Professional (не Home), нажми "Пуск" - "Выполнить" - в появившемся окне набери gpedit.msc и жми "ОК"- откроется окно оснастки управления политиками. Дальше "Конфигурация пользователя" - "Административные шаблоны". Права запуска редактора реестра, диспетчера задач и т.д. задаются в подразделе "Система". Пункты меню проводника ("Свойства папки" относятся именно к проводнику) задаются в разделе "Проводник" подраздела "Компоненты Windows". Если стоит XP Home, то там этой оснастки, увы, нет и соответствующие разрешения/запреты можно изменить только прямой правкой реестра. Какие именно ключи надо менять, я не помню, а искать лень, так что гугль в помощь...
Если после отключения запрета на изменение настроек он через некоторое время снова появляется, то это уже явный признак чего-то левого в системе.
chelfly
2 мая 2008, 17:51
Отредактировала реестр по инструкции Matiasа, все работает! Правда, у меня параметр CheckedValue уже имел тип REG_SZ, но значение было 0, а не единичка.
Всем спасибо за помощь!
alexXXL
24 мая 2008, 16:36
Прочитал весь трейд с большим интересом и, наверное, не смогу спокойно спать. Такие страсти рассказываете. Сам пользуюсь KIS7, раз в неделю проверяю весь компьютер. Пока никаких вирусов не было, каспер говорит, что все нормально. Но после прочтения темы скачал утилитку от Д-р Веба и запустил полную проверку. Пока ничего не нашел.
Я могу быть спокоен, что комп чистый?
Evgeniy
27 мая 2008, 19:43
Вчера, можно сказать на пустом месте, вирус поймал. Искал изготовление печати для врача. Из Рамблера открыл страничку. Там вирус. Спайдер предупредил, что вирус. "Удалить" было заблокировано. Нажал "Лечить".
Сразу выскочило предупреждение. "Брандмауэр отключен".
Отключил сеть. Восстановил брандмауэр. Прогнал Др. Вебера по Documents and Settings, Sistem Yolume и Windows.
Вебер ничего не нашел. Выключил комп и спать пошел. Днем включил и хотел еще раз Вебера прогнать.

Ни одна программа не запускается! Именно ни одна. В свойства компьютера попасть невозможно. Загружается нормально, но ничего не работает. Спасло только восстановление системы из архива с помощью загрузочного диска Акронис.
Всем рекомендую, как надежный резерв.
В моей ситуации было невозможно использовать штатное восстановление системы из под Windows XP.
Okeanolog
28 мая 2008, 00:13

Evgeniy написал: В моей ситуации было невозможно использовать штатное восстановление системы из под Windows XP.

Надо было загрузиться в безопасном режиме и прогнать диск С: тем же свежим ДрВебом.
Evgeniy
28 мая 2008, 11:00

Okeanolog написал:
Надо было загрузиться в безопасном режиме и прогнать диск С: тем же свежим ДрВебом.

В чем и дело, что у меня такой хитрый БИОС (материнка?), что не дают возможности в момент загрузки войти в безопасный режим. По F8 выпадает только меню очередности загрузки BOOT сектора. Можно выбрать CD, флоппи или С. И все. Даже в regedit зайти не смог.
И не факт, что в безопасном запустился бы ДрВеб.
Пробовал даже через "выполнить". Ни одна не запускалась!
В безопасный режим могу войти только таким способом:

1. Войдите в систему. В меню Start (Пуск) выберите команду Run (Выполнить).
2. В поле Open (Открыть) введите msconfig и щелкните ОК. Откроется окно утилиты System Configuration (Настройка системы).
3. На вкладке General (Общие) установите переключатель в положение Safe mode и щелкните ОК. 4. Щелкнув кнопку Yes (Да), подтвердите перезагрузку компьютера.

Так вот. msconfig - тоже не запускалась!
Okeanolog
28 мая 2008, 12:44

Evgeniy написал: В чем и дело, что у меня такой хитрый БИОС (материнка?), что не дают возможности в момент загрузки войти в безопасный режим. По F8 выпадает только меню очередности загрузки BOOT сектора.

3d.gif
Слишком рано нажимаешь F8, на это нажатие еще реагирует БИОС, надо жать чуть позднее и тогда попадешь в меню загрузки Windows.

Evgeniy написал: И не факт, что в безопасном запустился бы ДрВеб.

Ну так попробуй хотя бы, чтоб убедиться. Если не запустится, тогда только LiveCD.
DkmS
28 мая 2008, 13:39

Evgeniy написал:
По F8 выпадает только меню очередности загрузки BOOT сектора. Можно выбрать CD, флоппи или С. И все.

Есть у меня такая материнка - после выбора загрузочного устройства надо опять нажимать F8.
Evgeniy
28 мая 2008, 13:57

DkmS написал:
Есть у меня такая материнка - после выбора загрузочного устройства надо опять нажимать F8.

Вот спасибо!!!
Я раз 100 пытался поймать момент когда же "правильно" нажать F8.
Так и не смог.
Теперь понятно почему. mad.gif
Evgeniy
28 мая 2008, 13:59

Okeanolog написал:
Ну так попробуй хотя бы, чтоб убедиться.

Поздно пробовать. Я уже все восстановил через Акронис. И этого вируса в машине нет.
А то как бы я тут общался?
X-factor
28 мая 2008, 18:09
Поделюсь проблемой. Подцепила где то трояна frown.gif NOD32 его благополучно находит, но удалить предлагает только после перезагрузки, т.к. файл используется виндой. Однако, после перезагрузки вирусный файл вполне жив. (это dll-ка, живет в system32). Вручную ее не удалить - используется системой. Даже в безопасном режиме! В автозагрузке ничего лишнего нет, в реестре этот файлик не упоминается. Могу загрузится с СД под ДОС, но диски под ntfs, поэтому под дос злополучный файл тоже не удалить.
Помогите, кто чем может smile.gif
Evgeniy
28 мая 2008, 19:21

X-factor написала: Поделюсь проблемой.  Подцепила где то трояна frown.gif  NOD32 его благополучно находит, но удалить предлагает только после перезагрузки,  т.к. файл используется виндой.

А "переместить" его NOD32 не позволяет?
Если можно, то сначала перемести, а после загрузки удали. Или "переименуй". Или "вылечи".
Попробуй загрузится в безопасном режиме, и уже оттуда, удалить трояна.
Serg Inc.
28 мая 2008, 21:17

X-factor написала: Подцепила где то трояна

Как он хоть называется? Может быть, это руткит, и dll - только вершина айсберга.
X-factor
30 мая 2008, 12:17
Файл называется awtrQHbY.dll.
Переместить, переименовать и удалить не дает - файл используется системой. Даже в безопасном режиме. frown.gif
Matias
30 мая 2008, 17:50

X-factor написала: Подцепила где то трояна Помогите, кто чем может

Советую обратится на форум Вирусинфо, предварительно выполнив правила оформления запроса.
Evgeniy
30 мая 2008, 18:36

Matias написал:
Советую обратится на форум Вирусинфо, предварительно выполнив правила оформления запроса.

Хороший совет. Мне там помогли.
Только не забывай их благодарть, нажав соответствющую клавишу. smile4.gif
Serg Inc.
30 мая 2008, 23:25

X-factor написала: Файл называется awtrQHbY.dll.

Имя файла - это хорошо smile.gif. А как NOD32 классифицировал сам вирус?
Georgi
1 июня 2008, 21:08

X-factor написала: Файл называется awtrQHbY.dll.

Сегодня на по-детски беззащитную машину незаметно прискочил коник, который зачем-то упорно лез в инет через ИЕ. Состоял из трёх файликов, двух экзешников и длл-ки. Экзешники из system32 удалились безболезненно, а вот длл-ка упёрлась. Онлайн проверка Касперского ничего в ней не нашла. Дальше запускаю AVZ:
1. В списке процессов обнаруживаю её прицепившейся к explorer.exe (фиговый скриншот сделал)
Georgi
1 июня 2008, 21:14
Поиск в реестре по имени файла выдал:
2.
CODE
Модуль для поиска данных в реестре, Зайцев О.В., 2004., http://z-oleg.com/secur
Запущен поиск ключей, содержащих образец "tuvukewu.dll"
-- Поиск в HKEY_LOCAL_MACHINE --
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{487C9905-26A8-42C8-8033-C58AD3D2AEC3}\InprocServer32\ = C:\WINDOWS\System32\tuvUKEwu.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\tuvUKEwu\DllName = tuvUKEwu.dll
-- Поиск в HKEY_CURRENT_USER --
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\Wordpad\Recent File List\File1 = C:\WINDOWS\system32\tuvUKEwu.dll
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*\i = C:\WINDOWS\system32\tuvUKEwu.dll
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\dll\d = C:\WINDOWS\system32\tuvUKEwu.dll
-- Поиск в HKEY_CLASSES_ROOT --
HKEY_CLASSES_ROOT\CLSID\{487C9905-26A8-42C8-8033-C58AD3D2AEC3}\InprocServer32\ = C:\WINDOWS\System32\tuvUKEwu.dll
-- Поиск завершен --
Просмотрено ключей: 128753
Georgi
1 июня 2008, 21:16
Включаю защитника:
3.
Georgi
1 июня 2008, 21:19
4.
Georgi
1 июня 2008, 21:26
Перезагружаюсь,.... и в очередной раз низкий поклон Олегу Зайцеву.
5. между S и T длл-ки нет.
Evgeniy
2 июня 2008, 00:38

DkmS написал:
Есть у меня такая материнка - после выбора загрузочного устройства надо опять нажимать F8.

Сегодня попробовал понажимать F8 после выбора устройства.
Ни фига не выходит в безопасный режим загрузки!

Ко всему прочему подхватил вирус ftp34.dll. Trojan Downlog.
Вычистил Вебером.
А, после перезагрузки, он опять сидит в тех же местах.
В Документах и в System32.
X-factor
2 июня 2008, 15:55

Serg Inc. написал:
Имя файла - это хорошо smile.gif. А как NOD32 классифицировал сам вирус?

C:\WINNT\system32\awtrQHbY.dll - Win32/Adware.Virtumonde приложение


Georgi написал

Скачала и сегодня же попробую AVZ, надеюсь, все получится. smile.gif
Georgi
2 июня 2008, 20:28

X-factor написала: Скачала и сегодня же попробую AVZ, надеюсь, все получится.

У него на страничке есть описание как удалять неудаляемое.
Limaga
2 июня 2008, 21:06
Полгода пользуюсь NOD32_2.70.25_RUS со всем вспомогательным материалом.
Программа каждый день обновляет антивирусную базу.
И еще Agnitum Outpost Firewall Pro v4.0.964.6926 (Официальная Русская Версия). Эта парочка надежно обеспечивает защиту компа.

Периодически, отключив NOD, включаю для проверки AVZ.
А еще для проверки системы полезна программа AWCSetup.exe.
Matias
2 июня 2008, 22:26

X-factor написала:
C:\WINNT\system32\awtrQHbY.dll - Win32/Adware.Virtumonde приложение

Прочти этот пост (для этого регистрация не требуется). В нем написано, как бороться с Virtumonde. Для удаления существуют специальные утилиты.


Скачала и сегодня же попробую AVZ, надеюсь, все получится. smile.gif

Если (несмотря на то, что программа снабжена подробной справкой) возникнут трудности с использованием AVZ, обратись в раздел "Помогите" на Вирусинфо.
Sciolist
6 июня 2008, 15:54
Утилита Dr.Web нашла некий неизлечимый Ardamax - подозрительную программу. Пытался найти файл-носитель, указанный утилитой - но поиск не находит его.

Что бы это могло быть?
Matias
6 июня 2008, 22:59

Sciolist написал: Утилита Dr.Web нашла некий неизлечимый Ardamax - подозрительную программу.
Что бы это могло быть?

Может быть, Ardamax Keylogger?
ilya_ya
6 июня 2008, 23:24

Sciolist написал: Утилита Dr.Web нашла некий неизлечимый Ardamax - подозрительную программу. Пытался найти файл-носитель, указанный утилитой - но поиск не находит его.

Что бы это могло быть?

Что написано в полях "Объект", "Путь" и "Статус"?
Sciolist
7 июня 2008, 00:51

Matias написал:
Может быть, Ardamax Keylogger?

Вероятно, он. Клавиатурный шпион, считавшийся "потенциально опасной программой".

Маскировался в скрытой папке System Volume и утилита отказывалась что-либо делать с ним. Впрочем, я уже удалил его самостоятельно.
Matias
7 июня 2008, 19:18

Sciolist написал:


Маскировался в скрытой папке System Volume

Надо было просто отключить восстановление системы и перезагрузиться. Это позволило бы очистить папки SVI.
Дальше >>
Эта версия форума - с пониженной функциональностью. Для просмотра полной версии со всеми функциями, форматированием, картинками и т. п. нажмите сюда.
Invision Power Board © 2001-2017 Invision Power Services, Inc.
модификация - Яро & Серёга
Хостинг от «Зенон»Сервера компании «ETegro»