Справка - Поиск - Участники - Войти - Регистрация
Полная версия: Кажется, в моей машине вирус...
Частный клуб Алекса Экслера > Вокруг компьютера
Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, 26, 27, 28, 29, 30, 31, 32, 33
Georgi
24 сентября 2008, 08:53

Москвичка написала: Может, кто поможет - Каспер обнаружил трояна Trojan.Win32.BHO.gvs

Может, он как служба запущен? Тогда выключить повторные запуски, отключить, удалить и просканить повторно.
Alex E Leonov
6 октября 2008, 14:11
Ребята, а что это? Сижу в ФЭРе, никого не трогаю, вдруг вылетает алерт. Специально делаю большой скрин, чтоб были видны все запущенные в данный момент программы:
user posted image
Ничего не качал, ничего не делал....
Anton
6 октября 2008, 14:27

Alex E Leonov написал: Ничего не качал, ничего не делал....

Ты в локальной сети какой-нибудь? Расшареные ресурсы используешь?
Тут пишут, что распространяется через шары и флешки.
Alex E Leonov
6 октября 2008, 14:37

Anton написал: Ты в локальной сети какой-нибудь? Расшареные ресурсы используешь?

Да, есть локалка, но я в ней ничего не делаю, видишь же, всё закрыто.
Anton
6 октября 2008, 14:39

Alex E Leonov написал: Да, есть локалка, но я в ней ничего не делаю, видишь же, всё закрыто.

Не вижу.
У тебя может быть подключен чужой расшареный ресурс, на который кто-то другой выложил эту хрень. Или у тебя собственный расшареный ресурс, открытый на запись.
Alex E Leonov
6 октября 2008, 14:43

Anton написал: У тебя может быть подключен чужой расшареный ресурс, на который кто-то другой выложил эту хрень. Или у тебя собственный расшареный ресурс, открытый на запись.

А, понял. Да, у меня расшарен 3,5 дисковод и ДВД-РВ... И там, и там, носителей нет.
Попытка записи?
Anton
6 октября 2008, 14:48

Alex E Leonov написал: А, понял. Да, у меня расшарен 3,5 дисковод и ДВД-РВ... И там, и там, носителей нет.
Попытка записи?

Возможно.
Alex E Leonov
6 октября 2008, 14:50

Anton написал: Возможно.

Спасибо. smile.gif
Konstantin K
9 октября 2008, 16:47
Мучаюсь уже несколько дней с вирусом. На всех логических дисках висит скрытая папка "RECYCLER" и кое-где еще одна скрытая папка "System Volume Information". "RECYCLER" можно удалить, но он снова появляется. "System Volume Information" не удаляется вообще. Принес скорее всего на флешке. Был некий вирус Авторан. Как я понимаю он с этими папками связан. Уже перепробовал все почти антивирусы - никакого эффекта.
Подскажите, что делать?
Anton
9 октября 2008, 17:14

Konstantin K написал: На всех логических дисках висит скрытая папка "RECYCLER" и кое-где еще одна скрытая папка "System Volume Information".

Скорее всего, ты в проводнике выбрал опцию "показывать скрытые папки и файлы". Recycled - это виндовая корзина (Recycled Bin), System Volume Information - системная папка для восстановления системы.
Konstantin K
9 октября 2008, 17:21

Anton написал: Скорее всего, ты в проводнике выбрал опцию "показывать скрытые папки и файлы". Recycled - это виндовая корзина (Recycled Bin), System Volume Information - системная папка для восстановления системы.

Это все понятно, но началось все с того, что на флешку писался какой-то авторан, который убивался антивирусами. Потом, разве в Recycled должно быть много файлов корзины с одинаковыми именами?
Anton
9 октября 2008, 17:35

Konstantin K написал: Потом, разве в Recycled должно быть много файлов корзины с одинаковыми именами?

Не файлов, а папок. По одной на каждый раздел.
Georgi
9 октября 2008, 17:56

Konstantin K: висит скрытая папка "RECYCLER"

У тебя в корне всех дисков есть файл авторан.инф. При каждом клике на диске идёт запуск файла из этой папки (какой-то там *.ком, емнип). Удаляешь autorun.inf и эти папки на всех дисках. Обрати внимание: папка RECYCLER
Anton
9 октября 2008, 18:04

Georgi написал: Обрати внимание: папка RECYCLER

Упс. Да, RECYCLER. Ашыбся.
Martin
10 октября 2008, 18:22
C:\Windows\system32\ctfmon.exe - вирус или заражен вирусом?
У меня стала тормозить машина. Возникло подозрение на вирус. В списке процессов в памяти обнаружил ctfmon.exe, назвавший себя Microsoft CTF Loader'ом. Подозрительным оказалось то, что этот файл прописался во всех ключах автозапуска реестра. На всякий случай удалил эти ключи и процесс из памяти. При попытке удалить потом сам файл, он почему-то снова возникал на старом месте. Нормальные программы вроде так себя не ведут?
Кстати, у меня при воспроизведении *.wmv изображение глючит: иногда застревает на одном кадре и потом перескакивает сразу на несколько кадров вперед, пропуская предыдущие (обычно, если тормозит железо - CD или винт, то после паузы следующие кадры воспроизводятся ускоренном режиме, а здесь не так - они пропускаются). Смена программы-плеера не помогла. При том, что на другой машине эти же файлы воспроизводятся нормально. Файлы *.avi воспроизводятся нормально.
Снес и заново установил кодек K-Lite Codec Pack - не сильно помогло. Может, виноват вирус?
Slonjra
10 октября 2008, 19:07

Martin: C:\Windows\system32\ctfmon.exe - вирус или заражен вирусом?

А погуглить?? Было бы быстрее, чем ты писал этот пост

http://www.pchell.com/support/ctfmon.shtml
Martin
10 октября 2008, 20:35

Slonjra написал: А погуглить?? Было бы быстрее, чем ты писал этот пост
http://www.pchell.com/support/ctfmon.shtml

Точно, то-то у меня пропал индикатор клавиатуры. Спасибо. Про гугль в голову не пришло. blush.gif
Limaga
10 октября 2008, 20:52

Konstantin K написал: Потом, разве в Recycled должно быть много файлов корзины с одинаковыми именами?

Recycler - это и есть корзина. И эта специфическая папка автоматически создается на каждом вновь подключенном HD.
Если вы уничтожите десяток одноименных файлов из различных папок, в корзине они будут находиться все вместе без папок. Но свойства удаленных файлов указывают на конкретную папку.
Limaga
10 октября 2008, 20:58

Konstantin K написал: и кое-где еще одна скрытая папка "System Volume Information"

Эта папка также создается системой автоматически. В ней хранятся (периодически, в зависимости от настройки системы, создаются) резервные копии системы на случай сбоев. Иногда с ее помощью удается восстановить систему. Но для меня нет проблем снести все подчистую и установить по новому, или за 15 минут восстановить из образа систему вместе с наиболее важными программами.

В Windows Vista корзина называется $recycle.bin.
Понятно, что режим "скрытых папок" необходим для "Чайников", чтобы они не навредили себе, копаясь там, где не имеют представления, что к чему.
Georgi
11 октября 2008, 10:21

Limaga написал: Recycler - это и есть корзина.

Одноимённую создаёт вирус (или как там его ещё назвать) из разряда авторанеров (его "прописку" можно посмотреть в autorun.inf ). Правда, при его возникновении, обычный доступ к дискам сопровождается ошибкой типа "С:/ - не является приложением Win32", но доступ из проводника имеет место быть.
UPD: при этом при правом клике на диске добавляется пункт "Автозапуск".
Limaga
11 октября 2008, 18:06
Если не пользуешься специальной программой, где можно увидеть самозагружающиеся файлы, иди - Пуск - Выполнить - пишешь msconfig и нажимаешь энтер. Появится окошко с вкладками. Посмотри, что находится во вкладке "Автозагрузка". Если сможешь сориентироваться, что там лишнее, убери галочки. А также покопайся в других вкладках.
Часто или сама система, или антивирусная программа указывает место нахождения зловредного файла. Бывает, что конкретный антивирус при этом не может удалить этот файл. Если обнаружил, загрузись в безопасном режиме и удали этот файл.
Иногда хлопоты доставляет зараженный системный файл (или, скорее всего его двойник) svchost.exe. Он размножается, переполняет оперативную память и периодически выскакивают окна с определенными предупреждениями.

Если у тебя стояла антивирусная программа (а как без этого), замени ее другой.
Martin
13 октября 2008, 19:16
У нас на работе куча машин заразилась вирусом, который в ходе работы периодически выдает окно с ошибкой выполнения подсистемы MS-DOS-16. Запуск Dr-Web'а (он у нас - единственный лицензионный антивирус) ничего не дал, при скане ОЗУ вирус не обнаруживает. В заголовке окна запуска программы MS-DOS - путь к exe-файлу в каталоге %Профиль пользователя%\Cookies. Все компьютеры - в локальной сети.
ilya_ya
13 октября 2008, 20:41

Martin написал: У нас на работе куча машин заразилась вирусом, который в ходе работы периодически выдает окно с ошибкой выполнения подсистемы MS-DOS-16. Запуск Dr-Web'а (он у нас - единственный лицензионный антивирус) ничего не дал, при скане ОЗУ вирус не обнаруживает. В заголовке окна запуска программы MS-DOS - путь к exe-файлу в каталоге %Профиль пользователя%\Cookies.

Так как Dr.Web лицензионный, лучше описать ситуацию здесь: http://new-support.drweb.com/new/tech/
Если удастся вычислить, что за файл в куках, то сразу его и прикрепить.
Martin
14 октября 2008, 19:05

ilya_ya написал: Так как Dr.Web лицензионный, лучше описать ситуацию здесь: http://new-support.drweb.com/new/tech/
Если удастся вычислить, что за файл в куках, то сразу его и прикрепить.

Все, проблема решена. Просто был трабл с обновлением антивирусных баз, с новыми базами все лечится прекрасно.
Martin
15 октября 2008, 20:58

Martin написал: Все, проблема решена.

Оказалось, проблемы только начинаются. Тот пакет DrWeb, который у нас стоит (сканер+Spider Guard), лечит нормально только файлы на диске и отслеживает попытки записи туда вирусов. Сканер лечит также процессы в ОЗУ при своем запуске. При сетевом же заражении спайдер не отслеживает попытки вируса проникнуть в ОЗУ из локальной сети.
Нет ли какого-нибудь решения, содержащего в себе файрволл с антивирусным анализом сетевого трафика и того, что лезет с сетевых соединений? Помнится, NOD32 неплохо справлялся со всякой заразой, лезущей из интернета. Слышал, вроде бы Касперский предлагает скидку 80% учебным заведениям (наша организация - гос. вуз).
Для справки: у нас проблемы с вирусом Win32.HLLW.Brutus.4666 по терминологии DrWeb.
Serg Inc.
15 октября 2008, 21:04

Martin написал: Нет ли какого-нибудь решения, содержащего в себе файрволл с антивирусным анализом сетевого трафика и того, что лезет с сетевых соединений? <...> Слышал, вроде бы Касперский предлагает скидку 80% учебным заведениям (наша организация - гос. вуз).

У Каспера все в одном - KIS. Про скидки, видимо, тут.
basid
16 октября 2008, 18:37

Martin написал: Нет ли какого-нибудь решения, содержащего в себе файрволл с антивирусным анализом сетевого трафика и того, что лезет с сетевых соединений?

Есть. Называется "политика безопасности" и сочетает организационные меры с техническими.

ps.gif На самом деле, при наличии присутствия админских прав у пользователей, антивирусная защита превращается в "кто кого заборет, если слон нападёт на кита".
Martin
16 октября 2008, 20:43

basid написал: На самом деле, при наличии присутствия админских прав у пользователей, антивирусная защита превращается в "кто кого заборет, если слон нападёт на кита".

У юзеров права пользователей домена. Как быть, если заражение локалки (30 компов) уже произошло? Четвертый день стоим на ушах.
ilya_ya
16 октября 2008, 21:20

Martin написал:
У юзеров права пользователей домена. Как быть, если заражение локалки (30 компов) уже произошло? Четвертый день стоим на ушах.

Пользователи домена имеют ли права локального администратора? В сетке все компы защищены тем или иным антивирусом или есть виндовые компы без антивируса? И какая версия Dr.Web - 4.33 или 4.44? А вообще, такие вопросы лучше задавать в поддержку по ссылке, которую я приводил, и сразу крепить логи с одной из машин, где вылезает червяк.
Eraser
17 октября 2008, 12:12

basid написал: На самом деле, при наличии присутствия админских прав у пользователей

Такое диво еще встречается?
Topicalist
17 октября 2008, 12:22

Serg Inc. написал: У Каспера все в одном - KIS.

Строго говоря, KIS - продукт персональный (ну плюс SOHO), ибо не поддерживает централизованное управление. Для организаций - линейка продуктов Space Security. В корпоративный KAV WS файрволл (компонент Анти-Хакер) входит. Скидки для учебных заведений заявлены до 80%.
basid
17 октября 2008, 15:17

Martin написал:
У юзеров права пользователей домена.

Ладушки

Как быть, если заражение локалки (30 компов) уже произошло?

Суровым быть.
Заготовили флэшку/сидюк с комплектом cureit/avz, физически отключаем всех от локалки и подключаем по мере пролечивания.

Четвертый день стоим на ушах.

"Четвёртые сутки пылают станицы ..." smile.gif
basid
17 октября 2008, 15:19

Eraser написал: Такое диво еще встречается?

Да. Можно даже сказать, что массово. В ограниченных ареалах smile.gif
Serg Inc.
17 октября 2008, 15:20

Topicalist написал: Строго говоря, KIS - продукт персональный (ну плюс SOHO), ибо не поддерживает централизованное управление.

Не строго говоря, а так и есть smile.gif. Я был неправ, давая ссылку на него.
Martin
18 октября 2008, 06:11

ilya_ya написал: Пользователи домена имеют ли права локального администратора?

Ни прав локального, ни прав доменного админа у них нет и не положено быть.
Okeanolog
18 октября 2008, 11:11

Eraser написал: Такое диво еще встречается?

Иногда это бывает просто необходимо.
ilya_ya
18 октября 2008, 19:02

Eraser написал:
Такое диво еще встречается?

К сожалению, сплошь и рядом даже при отсутствии такой необходимости. frown.gif
ilya_ya
18 октября 2008, 19:08

Martin написал:
Ни прав локального, ни прав доменного админа у них нет и не положено быть.

Тогда очень странно, что Win32.HLLW.Brutus.4666 смог пролезть. Я тут навёл про него справки - он распространяется через P2P-сети и посредством авторана. Так что нужно искать либо того, кто притащил эту заразу на флэшке, либо того, кто поставил себе какой-нибудь P2P-клиент, да при этом ещё, возможно, заполучил каким-то образом права админа. В техподдержку доктора-то написали или хотя бы позвонили?
Martin
19 октября 2008, 16:32

basid написал: Заготовили флэшку/сидюк с комплектом cureit/avz, физически отключаем всех от локалки и подключаем по мере пролечивания.

Так и сделали. Правда, топорный метод, и не гарантирует от повторного заражения. По хорошему, надо искать сетевой антивирус, который анализирует сетевой трафик. Например, после прочистки отдельных машин в сети, он снова на них проникал по локалке. DrWeb Guard v.4.44 - полный отстой в этом плане, нифига не видит заражения по сети.
basid
19 октября 2008, 18:25

Martin написал: По хорошему, надо искать сетевой антивирус, который анализирует сетевой трафик.

"Обжегшись на молоке - дуем на воду"?
Если удалить права на создание файлов/каталогов в корне диска у пользователей, отключить автозапуск и остановить службу "Определение оборудования оболочки" доменными политиками - острота проблемы сильно снижается.

Например, после прочистки отдельных машин в сети, он снова на них проникал по локалке.

От сети должны быть отключены все компьютеры и подключать их можно только после пролечивания.

DrWeb Guard v.4.44 - полный отстой в этом плане, нифига не видит заражения по сети.

Тоже самое могу сказать о Nod32 и KAV. И?
Martin
19 октября 2008, 18:54

basid написал: Тоже самое могу сказать о Nod32 и KAV. И?

Что ты можешь сказать о Kaspersky Work Space Security?
basid
19 октября 2008, 19:12

Martin написал: Что ты можешь сказать о Kaspersky Work Space Security?

Задайся простым вопросом: чем кроме возможности работать на серверах/более других платформах и централизованного управления он отличается от KAV? "Серебрянной пули нет".
Идея "мониторить" сетевые подключения - мягко говоря, странная.
firekot
26 октября 2008, 17:55
На клавиатуре стали меняться местами доп. символы(.!"№;%:? и т.д.), то всё нормально, а то меняются так, что по полчаса ищешь нужный символ. Помогите может у кого-нибудь такое было? Клавиатура:Genius Ergomedia 700
З.Ы. До этого игрался с языками и кодировками.
Анастасия Яковлева
19 ноября 2008, 04:34
Впору кричать SOS! mad.gif Не знаю, что это такое возникло на моем компьютере. Скачивала мультфильм, теперь уже не помню, на каком ресурсе. Теперь при загрузке Интернета выскакивает какой-то рекламный информер FREE PORNO VIDEO, чуть не на полэкрана. Что делать? У них там есть номер, на который нужно послать SMS, если хочешь от этого информера избавиться, но у меня ничего не получается - код, для того, чтобы отключить это безобразие, мне так и не прислали. Может, кто сталкивался с такой проблемой? Подскажите, буду очень благодарна smile.gif
Диматракис
19 ноября 2008, 11:02
День добрый!
Сегодня с утра в очередной раз вручную деинсталлировал эту дрянь.
Одного не пойму - как она пролезает на компьютер?
Антивирус установлен (McAfee, постоянно обновляется), установлен также Ad-Aware SE (уже как способ борьбы с этим гадким агентом) - что-то ничего не помогает. Первый раз он появился у меня где-то месяца два назад после просмотра рекламы какого-то сервиса, разработанного фирмой АГАВА (будь она трижды проклята). Деинсталлировал. Второй раз эта гадость (TMagent) появилась на моём компе примерно две недели назад. С тех пор её приходится ежедневно удалять вручную (запускать программку анинстоллер, которая возникает вместе с остальной TMagent' ской гадостью).
Похоже, после деинсталляции эта вредоносная программка что-то после себя оставляет. Только вот что и где?
Посоветуйте, пожалуйста, как избавиться от этой дряни раз и навсегда?
С уважением, Дмитрий.
ViolatorDM
19 ноября 2008, 16:45

Анастасия Яковлева написала: Может, кто сталкивался с такой проблемой?

Браузер какой? В плагинах есть что постороннее?
Анастасия Яковлева
19 ноября 2008, 17:05
Браузер Internet Explorer, а что такое плагины, я не знаю.
Matias
19 ноября 2008, 18:20
Советую обратиться на форум Вирусинфо, предварительно выполнив правила оформления запроса.
Okeanolog
19 ноября 2008, 20:26

Анастасия Яковлева написала: при загрузке Интернета выскакивает какой-то рекламный информер FREE PORNO VIDEO, чуть не на полэкрана. Что делать?

Лечиться. В смысле, от этой гадости. smile.gif

Анастасия Яковлева написала: У них там есть номер, на который нужно послать SMS, если хочешь от этого информера избавиться

Не вздумай это делать!
Анастасия Яковлева
20 ноября 2008, 01:51

Matias написал: Советую обратиться на форум Вирусинфо, предварительно выполнив правила оформления запроса.

Спасибо большое, буду пробовать. smile.gif

Okeanolog написал: Лечиться. В смысле, от этой гадости

Дык поэтому и обращаюсь к общественности, потому что, не знаю, как лечиться redface.gif

Okeanolog написал: Не вздумай это делать!

Поздно! mad.gif Просто первый раз столкнулась с подобной пакостью, теперь учёная на собственных ошибках smile.gif
Дальше >>
Эта версия форума - с пониженной функциональностью. Для просмотра полной версии со всеми функциями, форматированием, картинками и т. п. нажмите сюда.
Invision Power Board © 2001-2017 Invision Power Services, Inc.
модификация - Яро & Серёга
Хостинг от «Зенон»Сервера компании «ETegro»