Справка - Поиск - Участники - Войти - Регистрация
Полная версия: Кажется, в моей машине вирус...
Частный клуб Алекса Экслера > Вокруг компьютера
Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, 26, 27, 28, 29, 30, 31, 32, 33, 34
-LF-
4 мая 2007, 17:09
Принесли мне тут запущенную машинку.
Подключил винчестер к своей, прогнал SAV, нашел энное количество всякой заразы. То, что не нашел SAV, вычистил с помощью Hijackthis и ERD Commander'a. Пофиксил LSE-Fix. Оживил встроенный брандмауэр.

Но что-то, похоже, осталось. Подозрительная активность при подключении интернет. TCPview показывает пару открытых портов типа 20542, каждый раз при перезагрузке они меняются. Процесс - services.exe:584. Как определить, какой это сервис? Hijackthis ничего подозрительного не находит...
direqtor
4 мая 2007, 18:17

BearM написал: Вопрос такой а можно вообще отключить опцию Восстановление системы

Отключи. Даже тормозов меньше будет. Её можно включать при установке какого-нибудь нового софта или драйверов на случай необходимости отката системы назад. А так нет в ней особой необходимости.
DkmS
5 мая 2007, 00:09

-LF- написал: Процесс - services.exe:584. Как определить, какой это сервис?

Это, вроде, хост для сервисов. Что внутри, можно помотреть procexp'ом.
Serg Inc.
5 мая 2007, 00:43

DkmS написал: Это, вроде, хост для сервисов.

Да.

Что внутри, можно помотреть procexp'ом.

Process Explorer штука полезная, но в данном случае можно обойтись штатными средствами: в командном окне tasklist /svc.
-LF-
7 мая 2007, 09:33
Спасибо, буду знать. Что-то до ProcessExplorer'а не додумался.
AVZ помог, руткит сидел.
BearM
9 мая 2007, 20:50
На сайте тех поддержки антивируса Касперского мне порекомендовали скачать
электронный справочник, как обезопасить свой компьютер. Очень рекомендую, всё настолько доходчиво разжёвано думаю будет полезно почитать начинающим пользователям.

эксперты по компьютерной безопасности подготовили для пользователей электронную книгу, в которой собрали ценные советы по защите вашего компьютера. Все необходимые настройки вы можете сделать самостоятельно, пользуясь инструкциями экспертов. Абсолютное большинство настроек выполняются средствами самой операционной системы, не требуя от вас ни установки специализированных программ, ни обращения к специалистам.
Ассоль
10 мая 2007, 16:14
Знакомые притащили диск с игрой.
При вставке др-веб запищал, типа вирусы.
Диск убрали, запустили сканер др-веба - на одном из жеских дисков он нашел уже пару этих вирусов.
Ок, на второй день запускаю др-веб - он находит уже 10 этих вирусов на жестком и удаляет.
Ок, на третий день с утра запускаю др-веба - он находит уже 20 вирусов и удаляет !

Я думаю, что др-веб находит копии вируса, а исходная бяка где-то сидит не обнаруженная...
Имя вируса, который каждый день находится и удаляется - Win32.Sector.20480.
Др-веб был притащен одним знакомым сисадмином с работы в марте, ес-но после марта обновлений нет (эта машина не имеет связи с интернетом).
Только ли в этом дело ?
Есть ли другой способ (у меня сейчас нет с ним связи, чтобы попросить самый новый др-веб)
Alex E Leonov
10 мая 2007, 16:49

Ассоль написала: Есть ли другой способ (у меня сейчас нет с ним связи, чтобы попросить самый новый др-веб)

Скачайте триал Касперского или NOD 32, скопируйте на СД/флешку и установите на свой комп. smile.gif
Ассоль
10 мая 2007, 16:54

Alex E Leonov написал:
Скачайте триал Касперского или NOD 32, скопируйте на СД/флешку и установите на свой комп. smile.gif

тут велено всем на ты tongue.gif
Они же конфликтовать будут !!
Знакомый специально предупреждал - антивирус может быть только один, не вздумай говорит второй ставить - они друг с другом воевать будут...
Или сносить др-веба ? confused.gif
Ассоль
10 мая 2007, 16:55
А вообще такое возможно ?
Почему копии находятся а главный вирус - нет ??
Alex E Leonov
10 мая 2007, 17:12

Ассоль написала: Они же конфликтовать будут !!

Будут.. smile.gif

Ассоль написала: Или сносить др-веба ?

А зачем Вам антивирус со старыми базами?

тут велено всем на ты

Привычка... smile.gif
ОК, нафига тебе антивирус, со старыми базами? tongue.gif
Chief
10 мая 2007, 17:12

Alex E Leonov написал: А зачем Вам антивирус со старыми базами?

А новые не скачать?
Alex E Leonov
10 мая 2007, 17:14

Chief написал: А новые не скачать?

Так у неё комп к инету не подключен. smile.gif
Chief
10 мая 2007, 17:17

Alex E Leonov написал: Так у неё комп к инету не подключен.


Alex E Leonov написал: Скачайте

ГЫ...smile.gif
Alex E Leonov
10 мая 2007, 17:20

Chief написал: ГЫ..

Ну какой то комп подключен, раз посты пишет. smile.gif Я слабо понимаю, как скачать и перенести базы флешкой/сд... Точнее, я скорее бы всего придумал, но не понимаю, как это объяснить... smile.gif
Ассоль
10 мая 2007, 17:20

Chief написал:
А новые не скачать?

Ну понятно, надо найти знакомых с инетом (например откуда я сейчас пишу), и накачать новый триал-антивирус...
А все равно моих мозгов не хватает - ну почему обнаруживаются только копии ??
Если др-веб старый, так он бы вообще ничего не обнаружил ! Разве не так ?
Или я чего-то не понимаю smile.gif
Alex E Leonov
10 мая 2007, 17:22

Ассоль написала: А все равно моих мозгов не хватает - ну почему обнаруживаются только копии ??

Дрвэб сканирует не весь диск? (предположение)
Chief
10 мая 2007, 17:26

Ассоль написала: А все равно моих мозгов не хватает - ну почему обнаруживаются только копии ??

Заражен какой то системный файл...

Ассоль написала: Разве не так ?

Не так...

Alex E Leonov написал: но не понимаю, как это объяснить...

Дать адрес, откуда скачивать, то же мне проблема...smile.gif
http://www.drweb.ru/download/update/

Ассоль написала: Ну понятно, надо найти знакомых с инетом (например откуда я сейчас пишу), и накачать новый триал-антивирус...

Не обязательно траял,
http://www.drweb.ru/download/1028/
Alex E Leonov
10 мая 2007, 17:28

Chief написал: Дать адрес, откуда скачивать, то же мне проблема...

И с какого ей начать? smile.gif Последнего, как я понимаю, будет недостаточно.. smile.gif
Chief
10 мая 2007, 17:37

Alex E Leonov написал: И с какого ей начать?

Базы отмечены по датам...
ilya_ya
10 мая 2007, 19:48
Ещё заразу может восстанавливать XP-шная служба восстановления, из архивов которой ни один антивирус заразу выковырять не может без танцев с бубном.

Чтобы не разбираться, каке обновления качать, а какие - нет, можно просто скачать свежий дистрибутив с http://download.drweb.com/win и отдельно подкачать с http://download.drweb.com/bases только drwtoday. К тому же у Dr.Web обновляются не только базы, но и движок, и новые базы со старым движком могут неправильно лечить или не выидеть заразу.

Последовательность действия для искоренения заразы должна быть такая:

1. Установить свежую версию антивируса и обновить его базы (если не хочется качать и ставить полный антивирус, скачать хотя бы Dr.Web CureIt, не требующий инсталляции).
2. Отключить восстановление системы - если файлы заразы есть в System Volume Information, система восстановления может восстановить заразу на прежнем месте.
3. Перезагрузить систему в безопасном режиме и оттуда запустить сканер антивируса или CureIt. Заразу лечить, неизлечимые файлы - сносить или перемещать в карантин.
4. После этого повторно перегрузить опять же в безопасном режиме и просканировать повторно на предмет рецидивов.
5. Если повторное сканирование ничего не найдёт, то можно перегружаться в обычный режим и включать восстановление системы, если оно нужно.

ЗЫ А официальный сайт Dr.Web - http://www.drweb.com, а не .ru.
Аркадий Апломбов
12 мая 2007, 22:35
Точно. Вновь найденные вирусы находятся скорее всего в папках восстановления (System Volume Information).
Устроить очистку диска с удалением точек восстановления, а потом, не перезагружая, полную проверку антивирусом.
Ну, и проверить автозагрузку, конечно.
Okeanolog
13 мая 2007, 02:35

ilya_ya написал: А официальный сайт Dr.Web - http://www.drweb.com, а не .ru.

А что тогда на .ru? Я всю жисть оттуда качал.
Alex E Leonov
13 мая 2007, 02:55

Okeanolog написал: А что тогда на .ru?

Дистрибьютор ДрВэба:

ООО “Санкт-Петербургская антивирусная лаборатория Данилова” (ООО “СалД”)

        Санкт-Петербургская антивирусная лаборатория Данилова основана в 1993 году. Основным направлениями деятельности компании является продвижение антивирусных продуктов семейства Dr.Web®.

Источник
Okeanolog
13 мая 2007, 10:35
Это я и сам читал. Но там нигде не сказано, что они дистрибьютеры.
А ведь еще есть Диалогнаука. Вот ведь накрутили!
Klopp
13 мая 2007, 17:14

Okeanolog написал: Но там нигде не сказано, что они дистрибьютеры.

Таки сказано:

Основным направлениями деятельности компании является продвижение антивирусных продуктов семейства Dr.Web

Собственно, до 2003 года СалД был и производителем тоже. В 2003 году производители и продавцы расходятся и появляется ООО "Доктор Веб".

Вот ведь накрутили!

Это ж разве накрутили? Есть ещё drweb.fr, drweb.ir, drweb.com.pl, doctorweb.at, drweb.ee, drweb-av.de, drweb.gr, doctorweb.hu, drweb.kz, drweb.lt, drweb.com.my, drweb.pt, drweb.com.es, drweb.sy и вообще smile.gif
Project
13 мая 2007, 18:26

Klopp написал:
drweb.kz

О! bigeyes2.gif
Limaga
24 мая 2007, 21:54
Скажите, пожалуйста, что за вирус преследует мою систему несколько месяцев, и как с ним бороться?
Не только переустанавливал систему несколько раз. Заменил Комп.
Название вируса знаю: mrak1: swchost.exe.
Периодически появляется в папке Windows\systen 32\drivers\001\
Один из антивирусов его обнаруживает, но удалить не может.
Удалял, загрузившись с другого диска (системы). Затем проводил "санобработку".

Его действие заключается в периодическом выскакивании таблички на экране в том смысле, что память не может "read".
Serg Inc.
24 мая 2007, 23:38

Limaga написал: Скажите, пожалуйста, что за вирус преследует мою систему несколько месяцев, и как с ним бороться?

Вот описание этого вируса.

Не только переустанавливал систему несколько раз. Заменил Комп.

Если вирус (и именно этот) обязательно появляется на свежеустановленной системе и даже на другом компьютере, с большой долей вероятности он у тебя хранится где-то либо на одном из компактов, либо среди данных, которые ты не уничтожаешь при переустановке системы.

Установи какой-нибудь антивирус, обнови его антивирусные базы, вылечи систему, потом проверь все свои данные на винчестерах, а потом - все компакт-диски, которыми регулярно пользуешься. Ставлю на то, что где-то на компактах найдешь.
ilya_ya
25 мая 2007, 06:02

Serg Inc. написал:
Вот описание этого вируса.

Если вирус (и именно этот) обязательно появляется на свежеустановленной системе и даже на другом компьютере, с большой долей вероятности он у тебя хранится где-то либо на одном из компактов, либо среди данных, которые ты не уничтожаешь при переустановке системы.

Либо на Windows отсутствует или отключён firewall и не установлены заплатки и вирус вбрасывается в систему через незакрытые дыры при первом же подключении компьютера к Интернету или к локальной сети. Практика показывает, что без firewall'а и заплаток компьютер под управлением Windows, подключённый к Интернету c реальным IP или к большой домовой локальной сети заражается максимум через 20-30 минут после подключения.
direqtor
25 мая 2007, 07:28

Serg Inc. написал:
Вот описание этого вируса.
Бэкдор изменяет файл %System%\drivers\etc\hosts, дописывая в него нижеприведенный текст и, тем самым, перенаправляя обращения к данным сайтам на 127.0.0.1:
...
127.0.0.1 www.viruslist.com
...


А ты ему ссылку туда даешь... Не прочитает ведь. smile.gif
Serg Inc.
25 мая 2007, 09:05

direqtor написал: Бэкдор изменяет файл %System%\drivers\etc\hosts, дописывая в него нижеприведенный текст и, тем самым, перенаправляя обращения к данным сайтам на 127.0.0.1:
...
127.0.0.1  www.viruslist.com
...


А ты ему ссылку туда даешь... Не прочитает ведь. smile.gif

Ну не прочитал я весь список сайтов 3d.gif.
Serg Inc.
25 мая 2007, 09:11

ilya_ya написал:
Либо на Windows отсутствует или отключён firewall и не установлены заплатки и вирус вбрасывается в систему через незакрытые дыры при первом же подключении компьютера к Интернету или к локальной сети.

Староват этот вирус для такой активности. Такая высокая скорость заражения каким-то конкретным вирусом больше характерная для свежих зверей, находящихся на пике активности. Для вируса более чем двухлентней давности - вряд ли, хотя и не исключено.

Firewall и обновления нужны, само собой.
ilya_ya
25 мая 2007, 17:45

Serg Inc. написал:
Староват этот вирус для такой активности. Такая высокая скорость заражения каким-то конкретным вирусом больше характерная для свежих зверей, находящихся на пике активности. Для вируса более чем двухлентней давности - вряд ли, хотя и не исключено.

Я регулярно сталкиваюсь с тем, что через дыру впихивают какой-нибудь даунлоадер, который, в свою очередь уже скачивает и ставит в систему бэкдор.
Serg Inc.
26 мая 2007, 00:41

ilya_ya написал:
Я регулярно сталкиваюсь с тем, что через дыру впихивают какой-нибудь даунлоадер, который, в свою очередь уже скачивает и ставит в систему бэкдор.

Я знаком с механизмами проникновения в систему. Я говорю о том, что регулярное заражение системы строго одним и тем же вирусом двухлетней давности скорее всего свидетельствует о наличии локальных зараженных файлов, с которых самим пользователем и заражается свежеустановленная система.
Vitalka
26 мая 2007, 01:31

Serg Inc. написал: Я говорю о том, что регулярное заражение системы строго одним и тем же вирусом двухлетней давности скорее всего свидетельствует о наличии локальных зараженных файлов, с которых самим пользователем и заражается свежеустановленная система.

ППКС. Если в хлебнице живет плесень, то нечего удивляться тому, что свежий хлеб мгновенно плесневеет. Нужно хлебницу мыть. smile.gif
direqtor
26 мая 2007, 17:58

Vitalka написал: ППКС. Если в хлебнице живет плесень, то нечего удивляться тому, что свежий хлеб мгновенно плесневеет. Нужно хлебницу мыть.

Логично. Причем плесень всегда одного и того же цвета. smile.gif
Limaga
26 мая 2007, 19:38
Спасибо всем. В сентябре прошлого года привез из Украины копии с двух дисков, диски (написано лицензионные) купил родственнику там же. Сделал копии для себя. В принципе, после этого и началось. Я думаю, была поставлена защита от копирования. Потому, что автозапуск на копиях не работает. Антивирус MSAffee сразу обнаружил присутствие вируса. Но удалить не может. Что, обычно в таких случаях делают?
Alex E Leonov
26 мая 2007, 20:02

Limaga написал: Антивирус MSAffee сразу обнаружил присутствие вируса. Но удалить не может. Что, обычно в таких случаях делают?

С компакт диска удалить не может?
Limaga
26 мая 2007, 20:11

Alex E Leonov написал: С компакт диска удалить не может?

Да не шути. Я скопировал на винчестер. Из системы не может удалить. Из той папки 001, где обосновался вирус.
Alex E Leonov
26 мая 2007, 20:24

Limaga написал: Да не шути. Я скопировал на винчестер. Из системы не может удалить.

В "безопасном режиме"? Загрузиться с аварийного диска и из командной строки?
Tiger
26 мая 2007, 20:35

Alex E Leonov написал: В "безопасном режиме"? Загрузиться с аварийного диска и из командной строки?

Unlocker?
Alex E Leonov
26 мая 2007, 20:40

Tiger написал: Unlocker?

Или так, если он справится. smile.gif
Limaga
26 мая 2007, 20:44

Alex E Leonov написал: Или так, если он справится.

Наверное, проще переустановить систему. И сразу установить порядочный антивирус. Какой посоветуете?
Alex E Leonov
26 мая 2007, 20:52

Limaga написал: Наверное, проще переустановить систему.

Кому как, для меня это геморрой, за 2 года столько накопилось всего. smile.gif Я никогда всё не восстановлю. smile.gif

Limaga написал: И сразу установить порядочный антивирус.

Для меня это следующий шаг, после установки системы.

Limaga написал: Какой посоветуете?

Я юзаю NOD 32, но это на любителя. Не настаиваю.
vovo4ka
14 июня 2007, 13:51
Что можно было сделать?
Девачка словила вирусы. Он подвешивал систему и не давал открывать проги свернутые. Полечили все это дело нодом32 (стоял у нее каспер левый, снес), Нод нашел 11 троянов и сказал "мол теперь то вы знаете что такое крутой антивир, так что рестартуйте" при перезагрузке пропал рабочий стол (иконки, пуск и тп).
Перегрузился с диска а-ля реаниматор попробовал вылечить с него- фигу
Стали работать через волшебные Ctrl, Alt, Del - выполнить. Запустил тотал и инет с оперой.
Порыл в форумах нашел похожее на avz вроде как со способом лечения, скачал, сделал... тоже самое
Перегрузился в сейфмоде повторил - результат нулевой.
Позвонил друзьям smile.gif насоветовали. Скачал доктор веб, прошерстил им. он че та там вылечил-удалил. перегружаюсь, аналогично.
Напоследок еще пандой инетсекюрити проверял (умный маьчик советовал-фанат панды)- не помогло

Если схлопочу еще раз такой подарок, как его можно вылечить?
Ибо у девушки всех данных набралось на 3 DVD и я ей просто форматнул С с установкой всего заново. У меня жу 600 гиг инфы разной степени полезности и форматировать не охота.
ЗЫ все антивиры нахолили и лечили около 13 копий трояна в Temp и систем 32
ilya_ya
14 июня 2007, 18:22

vovo4ka написал: Что можно было сделать?
Девачка словила вирусы. Он подвешивал систему и не давал открывать проги свернутые. Полечили все это дело нодом32 (стоял у нее каспер левый, снес), Нод нашел 11 троянов и сказал "мол теперь то вы знаете что такое крутой антивир, так что рестартуйте" при перезагрузке пропал рабочий стол (иконки, пуск и тп).
Перегрузился с диска а-ля реаниматор попробовал вылечить с него- фигу
Стали работать через волшебные Ctrl, Alt, Del - выполнить. Запустил тотал и инет с оперой.

Запусти на машинке regedit.exe открой ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon и посмотри, какое значение имеет параметр Shell в этой ветке. Должен быть explorer.exe. Если Стоит другое значение этого параметра или параметр вообще пустой, то прописать туда explorer.exe, закрыть regedit и перезагрузить комп - десктоп должон вернуться...

Если не помогло, нужен список заразы, которую нашли на компе разные антивирусы.
Serg Inc.
14 июня 2007, 18:26

ilya_ya написал: Запусти на машинке regedit.exe открой ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon и посмотри<...>

Добавлю: в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options не должно быть ключа explorer.exe. Если он есть, в этом ключе не должно быть значения Debugger, указывающего на что-то не понятное. Если такое найдется, немедленно удалять ключ explorer.exe.
Svetik
21 июня 2007, 16:41
Несколько часов назад у меня на компе возник Троян. Попыталась почистить NOD32, какието вирусы он нашел и убил, но этот Троян все равно не убирается. Он его даже не увидел. А у меня в правом нижнем углу мигает сообщение что компьютер заражен вирусом. В сообщении он называется trojan Adware.W32.ExpDwnldr. Чтото с ним можно сделать?
ilya_ya
21 июня 2007, 17:28

Svetik написала: Несколько часов назад у меня на компе возник Троян. Попыталась почистить NOD32, какието вирусы он нашел и убил, но этот Троян все равно не убирается. Он его даже не увидел. А у меня в правом нижнем углу мигает сообщение что компьютер заражен вирусом. В сообщении он называется trojan Adware.W32.ExpDwnldr. Чтото с ним можно сделать?

Что за программа мигает сообщением о вирусе?
Дальше >>
Эта версия форума - с пониженной функциональностью. Для просмотра полной версии со всеми функциями, форматированием, картинками и т. п. нажмите сюда.
Invision Power Board © 2001-2017 Invision Power Services, Inc.
модификация - Яро & Серёга
Хостинг от «Зенон»Сервера компании «ETegro»