Справка - Поиск - Участники - Войти - Регистрация
Полная версия: Кажется, в моей машине вирус...
Частный клуб Алекса Экслера > Вокруг компьютера
Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, 26, 27, 28, 29, 30, 31, 32, 33, 34
Sciolist
7 июня 2008, 20:00
А как его отключить? Впервые об этом слышу.
Matias
7 июня 2008, 20:44
Мой компьютер - Свойства - Восстановление системы. Поставить галочку "Отключить восстановление системы на всех дисках" и нажать Применить. Появится сообщение, предупреждающее об удаление всех точек восстановления, нажать ОК. Перезагрузиться. После перезагрузки папки System Volume Information очистятся.
ПФУК
22 июня 2008, 11:53
Народ, у меня завелась гадость Trijan.click.5043.
Запускаю в Safe mode Dr.web 21 раза, на воторой раз пишет, что ничего нети, после перзагрузки, в нормал, опять появляется.
Ввостановление естественно отключено.
Непоняткин
22 июня 2008, 12:21

ПФУК написал: Народ, у меня завелась гадость Trijan.click.5043.

Советы гугла:
http://new-forum.drweb.com/mod/forum/thread/?id=40858&fid=2
http://virusinfo.info/showthread.php?t=21542
ПФУК
28 июня 2008, 20:38


Спасибо!

Но одно замечание, файл Braviax.exe навходится в С:\Windows, а не в C:\Windows\system32, по крайней мере у меня.
Matias
28 июня 2008, 22:21

ПФУК написал:


Но одно замечание

Не надо следовать рекомендациям, приведенным в теме на Вирусинфо! Каждый случай уникален. Лучше завести свою тему, предварительно выполнив правила оформления запроса.
Limaga
29 июня 2008, 00:48

ПФУК написал: Народ, у меня завелась гадость Trijan.click.5043.

При каких обстоятельствах это произошло? Каким антивиром и файрволом пользуешься? Как часто проверяешь систему другими программами?
ilya_ya
29 июня 2008, 09:29

Limaga написал:
При каких обстоятельствах это произошло?

Главный вопрос: в техподдержку Dr.Web обращался?
ПФУК
29 июня 2008, 10:39

Matias написал:
Не надо следовать рекомендациям, приведенным в теме на Вирусинфо! Каждый случай уникален. Лучше завести свою тему, предварительно выполнив правила оформления запроса.

Ничего, что я здесь запостился в произвольной форме, а не на virusinfo? wink.gif
ПФУК
29 июня 2008, 10:54
Пользуюсь F-Secure, Dr. Web, пользуюсь регулярно.

Заражение произошло, когда я входил на сайт какого-то магазина по тряпкам.
Точно сказать не могу, было открыто 3-4 сайта, а локализировать лень.

Собственно F-S среагировал, это я немногго затупил, писал доклад и на предложение удалить таращился с минуту, потом началась перезвгрузка и было поздно.

Теперь поставил автоматическое удаление.
СИНЬ
9 июля 2008, 19:14
При проверке антивирус отнес три файла к программам-шпионам.

Вопрос: можно ли их удалить или это не стоит делать?
ilya_ya
9 июля 2008, 22:25

СИНЬ написала: При проверке антивирус отнес три файла к программам-шпионам.

Вопрос: можно ли их удалить или это не стоит делать?

Если мне не изменяет склероз, в чистой XP файлов с такими именами нет, так что на работе системы их удаления врядли скажется. А какой антивирус и как именно он их назвал?
СИНЬ
10 июля 2008, 10:34

ilya_ya написал: Если мне не изменяет склероз, в чистой XP файлов с такими именами нет, так что на работе системы их удаления врядли скажется. А какой антивирус и как именно он их назвал?

Антивирус назвал их Spyware.BCWinSpy.
Я по инету порылась - по этим файлам не было упоминания как о файлах винды, но все-равно страшновато и переустанавливать не хочется.
ilya_ya
10 июля 2008, 23:33

СИНЬ написала:
Я по инету порылась - по этим файлам не было упоминания как о файлах винды, но все-равно страшновато и переустанавливать не хочется.

Посмотрел на ноуте жены - в её XP таких файлов нету. Если очень страшно, можно не удалять, а переместить в карантин...
СИНЬ
10 июля 2008, 23:48

ilya_ya написал: Посмотрел на ноуте жены - в её XP таких файлов нету. Если очень страшно, можно не удалять, а переместить в карантин...

Они в карантине. Но меня это напрягает тоже, так как я не понимаю что они там делают. Люблю, когда все чисто.
Удалю завтра. Если не приду отчитаться - значит они были нужны. biggrin.gif

Спасибо. smile4.gif

СИНЬ
11 июля 2008, 14:43

ilya_ya написал: Если мне не изменяет склероз, в чистой XP файлов с такими именами нет, так что на работе системы их удаления врядли скажется.

Все нормально. Спасибо. smile4.gif
новиков юрий
19 июля 2008, 12:03
У меня NOD32 Antivirus.Что то произошло с брандмауэром в NOD32.
Он не принимает настройки и не работает.Сам антивирус NOD32 обновляется и
нормально продолжает работать.Смогу ли я пользоваться этим антивирусом без персонального файрвола?
aik
23 июля 2008, 15:33
Есть у меня сервер в городской локалке. На нем поднят форум. Брожу по нему - касперский периодически взвизгивает на тему "обнаружено: троянская программа Trojan-Clicker.HTML.IFrame.sy URL: http://js.tongji.cn.yahoo.com/621252/ystat.js".
Сделал полную проверку диска - не нашел ничего. Погрепал файлы форума и БД форума на сервер - тоже ничего не нашел.

Возникло у меня подозрение, что кто-то засел между мной и домашним сервером и на лету редактирует трафик. Такое возможно? И, если да, то как такого поймать можно?
Frau Lameroff
5 августа 2008, 00:19
У меня вопрос:
Файрволл с удручающей периодичностью показывает, что отразил атаку червя Intrusion.Win.MSSQL.worm.Helkern. И так по нескольку раз в день.
Поиск по червю показал, что это давно решенная проблема и вообще, он опасен только тем, кто собирается ставить себе SQL.

Но если это так, то почему же файрволл параноидально шлет мне сообщения об отраженной атаке? И надо ли мне беспокоится, поскольку я собираюсь ставить связку SQL-PHP-Apache?

Файрволл: Steganos Internet Security 2007
ОС: WinXP pro, SP2
Браузер: Firefox
выхожу в интернет принципиально с ограниченного (не админского) аккаунта.
basid
5 августа 2008, 14:41

Frau Lameroff написала: Файрволл с удручающей периодичностью показывает, что отразил атаку червя Intrusion.Win.MSSQL.worm.Helkern.

А вдруг ты его снесёшь, если он, не дай бог, не расскажет от какой страшной участи бережёт тебя каждый день? smile.gif
Mendes
6 августа 2008, 19:15
У меня на компе сама по себе открывается пустая папка, и я её закрыть не могу. Что делать?
Okeanolog
6 августа 2008, 19:50
Предохраняться.
alibek
6 августа 2008, 20:22
Иногда это бывает из-за криво установившейся программы, которая в автозапуск прописала себя и забыла длинный путь в кавычки заключить. У Norton AntiVirus так иногда бывает.
Правда тогда открывается не пустая папка, а Program Files.
Chief
7 августа 2008, 01:26
Когда открывается?
Mendes
7 августа 2008, 10:28

Chief написал: Когда открывается?

Я сижу в интернете и вдруг замечаю на панели задач, что у меня открыта пустая папка. У неё даже нет имени. Нажимаю на неё, и в левом верхнем углу появляется синий прямоугольник. А закрыть или свернуть я её не могу.
Chief
7 августа 2008, 18:34

Mendes написал: Я сижу в интернете и вдруг замечаю на панели задач, что у меня открыта пустая папка.

Гы, тогда однозначно:

Okeanolog написал: Предохраняться.

Очень на вирус похоже... kos.gif
franco
7 августа 2008, 20:44

Chief написал:
Очень на вирус похоже... kos.gif

И причем очень старый. Я помню в году так 2001 поймал что то подобное, тогда еще на Win98 у меня на панели задач за относительно короткий промежуток времени образовались сами собой штук 20-30 открытых папок. Весело было. Лечил радикально - Norton Ghost biggrin.gif
Mendes
8 августа 2008, 11:47
Спасибо всем! Буду лечить комп.
Morbid
9 августа 2008, 15:17
Господа, ситуация совершенно дикая.

Спустя 30-90 секунд с момента подключения к Интеренет начинает серьёзно валить трафик в обе стороны.

Антивирусы вредоносных объектов не видят, Ad-aware троянов не находит.
Kaspersky Anti-Hacker и Outpost никакого исходящего трафика не замечают, не видят используемых портов, и даже больше -- при полной блокировке доступа к Сети обоим файрволами трафик всё равно продолжает шуровать.

Во всех приложениях любые апдейты отключены, да и не в них тут дело -- ни Каспер, ни Аутпост не видять используемых портов. Не видит их и TcpView.

Я понимаю, что звучит как психушка полная, но на самом деле оно так есть.

XP Pro SP2.

ПысПыс: на всякий случай, я знаю о правильных решениях проблемы:
1. Обновить базы\сигнатуры обронительного ПО (перезагрузить компьютер, проверить сетевой кабель и т.п.)
2. Перепробовать весь доступный антивирусный-антихакерный-антитроянский и файрвольный софт.
3. Убедившись, что первые два пункта не помогают, снести Винду.
Serg Inc.
9 августа 2008, 16:17
Ответ на это:


Morbid написал: Даже если никакого обмена (да, я хорошо слежу за всем, что может\лезет в Сеть и хорошо знаю, что у меня установлено и как себя ведёт) не происходит?

Даже если у тебя выставлен заведомо неправильный IP-адрес и успешного обмена данными не может быть в принципе, этот индикатор сетевой активности в XP может зажигать оба своих сегмента.

Ты можешь утверждать, что этот индикатор не показывает активность, если сетевые запросы блокируются файерволом?

Раньше ничего просто так, без уведомления файрвола об открытии порта не передавалось.

Если у файервола есть правило, разрешающее соединение, он обычно никак не уведомляет о попытке соединения, а просто разрешает его.

У Outpost после установки есть куча предопределенных правил, молча разрешающих по крайней мере системный трафик.

После активизации заразы скорость падает, примерно, с 5,3 кб\с до 3,2 кб\с.

Я спрашивал о скорости, на которую договорился твой модем с модемом провайдера. Это число определяется при установлении соединения и не меняется до его разрыва.

Если всегда служивший верой и правдой Касперский не может выявить проблему, вместо него устанавливает Аутпост. Оказывается, что Аутпост проблемы тоже не видит.

Использовать два файрвола одновременно будет затруднительно.

Из твоего сообщения у меня сложилось ощущения, что ты именно одновременно установил два файервола, поэтому спросил.

В общем, по твоим словам не складывается уверенного ощущения наличия заразы. Но если уж нужно проверить, то нужно что-то загрузочное, с чего можно будет запустить заведомо не зараженный антивирус, или проверить твой винт на другой системе.

Версия антивируса какая установлена?
ViolatorDM
9 августа 2008, 16:20

Serg Inc. написал: скорости, на которую договорился твой модем с модемом провайдера. Это число определяется при установлении соединения и не меняется до его разрыва

Это не так. Скорость может меняться в течении одной сессии. Шибко умные модемы это умеют. smile.gif
Serg Inc.
9 августа 2008, 16:33

ViolatorDM написал:
Это не так. Скорость может меняться в течении одной сессии. Шибко умные модемы это умеют. smile.gif

Да? Значит, я расстался с этой технологией очень давно smile.gif.
А когда такое появилось и в каких модемах? Не факт ведь, что у Morbid такой. Кроме того, модем меняет скорость только в зависимости от качества соединения, правильно?
ViolatorDM
9 августа 2008, 16:38

Serg Inc. написал: А когда такое появилось и в каких модемах?

Повторный хэндшейкинг без разрыва сессии умели делать ещё Курьеры от USR.
Serg Inc.
9 августа 2008, 16:59

ViolatorDM написал: Повторный хэндшейкинг без разрыва сессии умели делать ещё Курьеры от USR.

Мой Everything никогда не делал почему-то.
ViolatorDM
9 августа 2008, 17:46

Serg Inc. написал: Мой Everything никогда не делал почему-то.

Не со всякой прошивкой. Другая сторона, соответственно, должна была также поддерживать данную фичу.
Morbid
9 августа 2008, 18:10

Serg Inc. написал:Даже если у тебя выставлен заведомо неправильный IP-адрес и успешного обмена данными не может быть в принципе, этот индикатор сетевой активности в XP может зажигать оба своих сегмента.

Счётчик передаваемых данных -- фуфло, а снижение скорости при этом -- совпадение??

Ты можешь утверждать, что этот индикатор не показывает активность, если сетевые запросы блокируются файерволом?

Утверждаю в третий раз, что индикатор показывает активность, даже если все сетевые запросы заблокированы фаерволом (и они таки заблокированы).
При полном запрете на доступ к Сети (как Anti-hacker-ом так и Outpost-ом, по очереди) что-то всё равно имеет возможность обмениваться данными.

Если у файервола есть правило, разрешающее соединение, он обычно никак не уведомляет о попытке соединения, а просто разрешает его.

Пардон, но я немного в курсе, как работает файервол.

Я спрашивал о скорости, на которую договорился твой модем с модемом провайдера.

С какой соединялся, с такой и соединяется. Обычно это 50,6 кб\с.
На мобильнике это 115,2 кб\с (там, кстати, и поток обмена данными пожирнее будет)

Версия антивируса какая установлена?

О, вот с этого и надо было начинать (пункт 2)!
Пока не пошёл в дело пункт 3, вопрос: что достовернее всего покажет открытые (используемые) порты, если TcpView (и оба файрвола, естественно) ничего не видит?
Serg Inc.
9 августа 2008, 18:42

Morbid написал: Пока не пошёл в дело пункт 3, вопрос: что достовернее всего покажет открытые (используемые) порты, если TcpView (и оба файрвола, естественно) ничего не видит?

Если ты подозреваешь, что файервол не контролирует трафик, то при наличии заразы это руткит, скорее всего. В этом случае никто тебе трафик не покажет. Попробуй для начала RootKitRevealer, потом проверку винта на другой системе.

Что касается антивируса на твоей системе, то для начала не базы обнови, а установи свежую версию самого продукта, если она у тебя вдруг довольно старая. Новые методы обнаружения и удаления руткитов далеко не только и не всегда появляются с новыми базами; они могут быть свойством новой версии продукта.
basid
9 августа 2008, 20:12

Serg Inc. написал:
Да? Значит, я расстался с этой технологией очень давно smile.gif.
А когда такое появилось и в каких модемах?

Насколько я помню историю, уже во времена V.32bis (14400 макс.) модемы умели сбрасывать скорость.
Либо с тех же самых времён V.32bis и уж всяко начиная с V.34, умеют и сбрасывать и увеличивать.
basid
9 августа 2008, 20:21

Morbid написал: Утверждаю в третий раз, что индикатор показывает активность, даже если все сетевые запросы заблокированы фаерволом (и они таки заблокированы).

И? Это как-то отменяет возможность пинговать твой узел или служебные пакеты PPP?

Что достовернее всего покажет открытые (используемые) порты, если TcpView (и оба файрвола, естественно) ничего не видит?

Можешь попробовать "netstat -ano|more", но стандартная рекомендация при подозрении на вирус: загрузка в безопасном режиме и проверка свежими AVZ/Cureit.
Morbid
10 августа 2008, 00:30

Serg Inc. написал:
Если ты подозреваешь, что файервол не контролирует трафик, то при наличии заразы это руткит, скорее всего. В этом случае никто тебе трафик не покажет.

О таком чудесном явление как rootkits я почти ничего знал.

Попробуй для начала RootKitRevealer, потом проверку винта на другой системе.

RootKitRevealer выявил Nrls65.sys размером в 128 кб по адресу system32\drivers. Заявился в этот понедельник, в 0:05 -- где-то в это время всё и началось.

Приятно, что MS в описании RootKitRevealer рекомендует сразу же переходить к пункту 3: "если вы не знаете, как удалить эту программу , необходимо переформатировать жесткий диск и переустановить ОС Windows".

UnhackMe всё удалось успешно вылечить.
Большое спасибо за совет!

Кстати, нет ли какой возможности узнать, чем эта зараза занималось? Что перекачивала в таких количествах?

Всё, что выдаёт UnhackMe, это вот это:

CODE
Key:Nrls65
Source:SYSTEM\CurrentControlSet\Services
Info about key:Nrls65 Key:SYSTEM\CurrentControlSet\Services
Service/Driver Additional Information
Name:Type
Value:1
Type:REG_DWORD
Name:Tag
Value:1
Type:REG_DWORD
Name:Group
Value:System Reserved
Type:REG_SZ
Name:ErrorControl
Value:1
Type:REG_DWORD
Name:Start
Value:0
Type:REG_DWORD
Info about key:Nrls65 Key:SYSTEM\CurrentControlSet\Services
Info about key:Nrls65 Key:\SYSTEM\CurrentControlSet\Services


Важные пароли я, разумеется, сменю, но знать всё равно очень интересно (а Гугль молчит).
Morbid
10 августа 2008, 00:33

basid написал:
И? Это как-то отменяет возможность пинговать твой узел или служебные пакеты PPP?

Подходящий вопрос для OP.

"В описанной тобой ситуации ничего удивительного нет; в том, что файрволы полностью не блокируют исходящий\входящий трафик, ничего странного нет".
Я правильно перевожу?


Можешь попробовать "netstat -ano|more", но стандартная рекомендация при подозрении на вирус: загрузка в безопасном режиме и проверка свежими AVZ/Cureit.

Cureit ничего не увидел.
"netstat -ano|more" -- взял на заметку.
basid
10 августа 2008, 07:25

Morbid написал: Я правильно перевожу?

Нет.
Даже если у файервола включен режим "запретить всё" это не может запретить "доставку" до твоего узла входящих пакетов и может не запретить исходящий трафик типа icmp-echo и т.п.
Serg Inc.
10 августа 2008, 11:23

Morbid написал: Важные пароли я, разумеется, сменю, но знать всё равно очень интересно (а Гугль молчит).

Может быть, тебе повезло поймать неизвестный вирус? Отправь в какую-нибудь антивирусную компанию с описанием ситуации.
Помимо смены паролей думай, где у тебя дыра, в которую это счастье пришло.
Morbid
10 августа 2008, 14:15

basid написал:
Нет.
Даже если у файервола включен режим "запретить всё" это не может запретить "доставку" до твоего узла входящих пакетов и может не запретить исходящий трафик типа icmp-echo и т.п.

А что может запретить?

Serg Inc. написал:
Может быть, тебе повезло поймать неизвестный вирус? Отправь в какую-нибудь антивирусную компанию с описанием ситуации.

Уже отослал Касперскому и Вэбу (без надежды, что им это поможет) smile.gif
basid
10 августа 2008, 18:52

Morbid написал: А что может запретить?

Входящие - ничто. Приехало на твой адрес - получи. Обрабатывать - как пожелаешь.
Исходящие ... Некоторые виды трафика, особенно ICMP, лучше не запрещать smile.gif
Только в нормальной ситуации ни "паразитный" входящий трафик, ни служебный исходящий не дают заметного вклада.
Sanolju
19 августа 2008, 00:26
Помогите разобраться и что делать.
Вывесилось объявление что вирусы, написано так
Win32/adware.Virtumonde
Win32/PrivacyRemoverM64
Dr.web закончил своё действие, надо новое что-то ставить.
Помогите, ничего не понимаю.
Sanolju
19 августа 2008, 08:47

Sanolju написала: Помогите, ничего не понимаю.

Уже не надо.
Sanolju
19 августа 2008, 17:58
Да уж. И антивирус Nоod32 не помогает. Написал столько, что я вообще уже не понимаю. Сам перезагружается, что-то пишет. Ужас.
Sanolju
20 августа 2008, 13:50

Sanolju написала: что-то пишет

Вот что пишет, кто-нибудь помогите понять что делать.
Okeanolog
20 августа 2008, 14:17

Sanolju написала: Вот что пишет, кто-нибудь помогите понять что делать.

penclass.sys - это драйвер какого-то планшета Wacom. Есть такой в наличии?
NOD32 здесь никаким боком.
Дальше >>
Эта версия форума - с пониженной функциональностью. Для просмотра полной версии со всеми функциями, форматированием, картинками и т. п. нажмите сюда.
Invision Power Board © 2001-2017 Invision Power Services, Inc.
модификация - Яро & Серёга
Хостинг от «Зенон»Сервера компании «ETegro»