Справка - Поиск - Участники - Войти - Регистрация
Полная версия: Кажется, в моей машине вирус...
Частный клуб Алекса Экслера > Вокруг компьютера
Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, 26, 27, 28, 29, 30, 31, 32, 33, 34
ilya_ya
30 декабря 2008, 21:47

Matias написал: В системе точно сидит какая-то гадость. Легитимный svchost.exe не может находится в папке drivers и в автозагрузке.

Присоединяюсь!

монах написал:
Вот лог

Судя по тому же логу, в системе у тебя работает KIS, поэтому этот левый svchost с описанием ситуации лучше отправить прямо туда.
Не исключено, что в системе сидит ещё и какой-нибудь руткит, а hijackthis руткиты не видит. Есть такая утилитка - GMER. Берётся на http://www2.gmer.net/gmer.zip. Распакуй её куда-нибудь и запусти. Когда она всё просканирует, открой вкладку Rootkit/Malware, нажми правую кнопку на поле и включи опции IRP hooks, NTAPI registry scan и IRP files scan. После этого проведи полное сканирование на наличие руткитов, по окончании сканирования сохрани отчёт и покажи его здесь. Если отправить лог гмера антивирусникам, то они тоже могут что-то подсказать.
монах
31 декабря 2008, 00:46
Обнаружил интересный эффект: сайты известных антивирусных компаний блокируются.
монах
31 декабря 2008, 00:50

Matias написал: Скачай Malwarebytes Anti-Malware,

ilya_ya написал: Берётся на http://www2.gmer.net/gmer.zip.

Тоже не скачиваются
Serg Inc.
31 декабря 2008, 00:55

монах написал: Тоже не скачиваются

Переложил на свой хостинг, попробуй отсюда.
ilya_ya
31 декабря 2008, 01:43

монах написал: Обнаружил интересный эффект: сайты известных антивирусных компаний блокируются.

К сожалению, это для вирусов нормально - антивирусные сайты блокируются, чтобы антивирус не мог получить обновления. Вполне вероятно, эта пакость уже ловится антивирусами, но соответствующее обновление не удаётся скачать. Попробуй скачать Dr.Web CureIt по этой ссылке:
ftp://81.176.67.171/pub/drweb/cureit/launch.exe
В этом файле всегда самые свежие на момент скачивания вирусные базы Dr.Web'а.
Если получится, перезагрузи компьютер в безопасный режим, запусти эту программку и проведи полную проверку системы.
Если CureIt или удастся обновить Касперского и они что-то найдут, скажи, что именно, чтобы можно было разоабраться, каким путём оно попало на комп и перекрыть эти пути, чтобы по ним не пролезли другие зловреды. Хотя в Windows XP SP2 таких дыр пруд пруди. Я бы посоветовал псле избавления от вируса поставить SP3 и все критические обновления, что вышли после него.
монах
31 декабря 2008, 02:11
Не запускаются, затревают на старте. Удалось запустить NOD32. Пока шуршит. Касперский оказывается не работал -- его онлайновая регистрация не проходила. Вот тебе и профессиональный антивирус. Стоило вирусу заблокировать доступ к сайту касперского, как он встал.
монах
31 декабря 2008, 02:13

ilya_ya написал:
В этом файле всегда самые свежие на момент скачивания вирусные базы Dr.Web'а.
Если получится, перезагрузи компьютер в безопасный режим, запусти эту программку и проведи полную проверку системы.

Спасибо! Что найду, скажу.
монах
31 декабря 2008, 05:32
BackDoor.Tdss.29
монах
31 декабря 2008, 14:18
По всей видимости эта дрянь и сидела. Dr.Web ее сделал. Удалось теперь запустить Касперского. Сейчас шуршит.

Не, это огромный минус Касперскому. Покупаешь лицензионную копию, ставишь на комп, а он отказывается работать, так как вирус заблокировал доступ к сайту производителя. Оксюморон. Я выкинул бы его нафиг, но деньги плочены.

Другие прилады так и не запускаются. Не знаю в чем тут дело. Кликаешь, ничего не происходит. В списке задачь они висят, и все.
Serg Inc.
31 декабря 2008, 14:25

монах написал: Не, это огромный минус Касперскому. Покупаешь лицензионную копию, ставишь на комп, а он отказывается работать, так как вирус заблокировал доступ к сайту производителя. Оксюморон.

Ну так если бы все пользователи были честными, не было бы необходимости защищать продукт smile.gif. Если бы антивирус работал без активации, сразу нашлось бы много желающих заблокировать этот доступ сознательно и не платить.
монах
31 декабря 2008, 15:17

Serg Inc. написал:
Ну так если бы все пользователи были честными, не было бы необходимости защищать продукт smile.gif. Если бы антивирус работал без активации, сразу нашлось бы много желающих заблокировать этот доступ сознательно и не платить.

Не, ну можно же предусмотреть ревим, когда сканируется только системные файлы, без всяких вкусностей
Serg Inc.
31 декабря 2008, 15:26

монах написал: Не, ну можно же предусмотреть ревим, когда сканируется только системные файлы, без всяких вкусностей

Это уже оффтоп, в которой здесь мы не будем углубляться, но поверь мне, это бессмысленно: после проведения подобной границы в функциональности продукта всегда найдется что-то рядом с ней, что не будет работать без активации, а пользователи будут на это обижаться. С другой стороны, возможно, компания не хочет раздавать даром даже фукнциональность сканирования файлов. Захотела бы - просто выпускался бы подобный продукт.

В конце концов, проблема-то только в установке антивируса компьютер, зараженный определенным вирусом, явным образом блокирующим работу этого антивируса. Тогда как всего-то надо - ставить антивирус сразу на чистую систему.
alexXXL
31 декабря 2008, 18:11
Кто скажет, что это такое?

31.12.2008 15:24:23  Обновление завершено успешно
31.12.2008 15:33:05 Intrusion.Win.NETAPI.buffer-overflow.exploit! IP-адрес атакующего: 192.168.22.71. Протокол/сервис: TCP на локальный порт 445. Время: 31.12.2008 15:33:05
31.12.2008 15:40:09 Intrusion.Win.NETAPI.buffer-overflow.exploit! IP-адрес атакующего: 192.168.22.132. Протокол/сервис: TCP на локальный порт 445. Время: 31.12.2008 15:40:09
31.12.2008 15:54:53 Intrusion.Win.NETAPI.buffer-overflow.exploit! IP-адрес атакующего: 192.168.22.160. Протокол/сервис: TCP на локальный порт 445. Время: 31.12.2008 15:54:53
31.12.2008 16:04:13 Intrusion.Win.NETAPI.buffer-overflow.exploit! IP-адрес атакующего: 192.168.22.123. Протокол/сервис: TCP на локальный порт 445. Время: 31.12.2008 16:04:13

Стоит KIS7, постоянно обновляется. Компьютер подключен к интернету через VPN.
Serg Inc.
31 декабря 2008, 18:27

alexXXL написал: Кто скажет, что это такое?

Стоит KIS7, постоянно обновляется. Компьютер подключен к интернету через VPN.

Это логи KIS, надо полагать? Видимо, имеет место попытка атака твоего компьютера в попытке использовать определенную уязвимость системы (в логе она называется Win.NETAPI.buffer-overflow.exploit). Судя по тому, что KIS пишет такое в логе, ему удается отмахаться - то есть все хорошо smile.gif.

Тем не менее все критические обновления системы необходимо установить - раз уязвимость известна и классифицирована, для нее наверняка уже давно выпущена заплатка.

Обрати внимание на IP-адреса атакующих - они локальные (то есть явно из сети твоего Интернет-провайдера, а не из внешнего Интернета). Можешь отослать логи админам провайдера на предмет разбирательства.
alexXXL
31 декабря 2008, 20:04
Но что интересно, айпишки постоянно меняются. Не могут же все компьютеры в локалке атаковать мой компьютер. Это началось 2 дня назад, о этого все было тихо и спокойно.
Всех с наступающим Новым годом vesel.gif
basid
31 декабря 2008, 21:16

alexXXL написал: Но что интересно, айпишки постоянно меняются. Не могут же все компьютеры в локалке атаковать мой компьютер.

Или выбросьте касперского или не беспокойтесь проблемами, которых не понимаете.
Прям как в сказке детской - "Ой, он и тебя посчитал!".
nikvic
4 января 2009, 11:58

Прям как в сказке детской - "Ой, он и тебя посчитал!".

man.gif Нажав на рекламку покупки МАКов, заполучил неустранимую картинку -



И чего делать?
nikvic
4 января 2009, 13:12

nikvic написал:
man.gif Нажав на рекламку покупки МАКов, заполучил неустранимую картинку -
И чего делать?

Погуглить ""отправь смс на номер tongue.gif
Mixa1024
4 января 2009, 13:27

nikvic написал:
man.gif Нажав на рекламку покупки МАКов, заполучил неустранимую картинку -
И чего делать?

Попробуйте удалить все плагины к браузеру.
+ пройтись последней версией AD-Aware.

P.S. До чего обнаглели! Уже MAC адреса продают. Небось, ворованные китайские подделки. Надо обращаться в Гаагский суд.
basid
4 января 2009, 13:31

nikvic написал: И чего делать?

Качать CureIt!, грузиться в "Безопасный режим с поддержкой командной строки" и лечиться.
nikvic
4 января 2009, 13:32

Mixa1024 написал:
Попробуйте удалить все плагины к браузеру.

Оказалось достаточным удалить один - после поиска проблемы в инете.
ilya_ya
4 января 2009, 14:40

nikvic написал:
Оказалось достаточным удалить один - после поиска проблемы в инете.

Файл плагина сохранился? Если да, то стоит отправить разработчикам того антивируса, который стоит на машине.
Кстати, какой браузер - IE или другой? И какой версии?
Sciolist
9 января 2009, 20:49
Нод32 периодически выдает сообщение, что был найден и удален Conficker.AE.worm, и требует перезагрузки. Даже если и перезагрузиться, сообщение вылезает снова. Сканирование - безрезультатно.

Начались глюки с сетью.
Okeanolog
9 января 2009, 21:36

Sciolist написал:  Даже если и перезагрузиться, сообщение вылезает снова.

А в каком файле НОД находит этого червя?
Sciolist
9 января 2009, 21:40
Вроде как разные файлы в папке system32.

Сестра полдня работала над этим вирусом, и пока что он молчит. Возможно, ей удалось с ним справиться.
Okeanolog
9 января 2009, 21:52
Если опять вылезет, скачай Dr.Web CureIt и проверь им в безопасном режиме.
Sciolist
9 января 2009, 21:59
Он ничего не нашел.
ilya_ya
10 января 2009, 02:20

Sciolist написал: Нод32 периодически выдает сообщение, что был найден и удален Conficker.AE.worm

Заплатки на системе все стоят, брандмауэр Windowws или другой какой-нибудь фаерволл работает? По описанию очень похоже, что зловред проникает в систему через какую-то незакрытую дыру, а антивирус его прибивает, зловред снова лезет, а антивирус снова его прибивает.
Если комп физически тключить от локалки и от интернета, зверь перестаёт вылезать?
Если даже в отсутствие связи вылезает, то бегом в техподдержку NODа. Если не вылезает, то ставить заплатки на систему и проверять настройки фаерволла.
Sciolist
10 января 2009, 13:36
Сестра поставила заплатку, и гаденыш пока что не тревожит. smile4.gif

Хорошо иметь терпеливых и усидчивых родственников! biggrin.gif
alexXXL
10 января 2009, 13:45

Sciolist написал:
Хорошо иметь терпеливых и усидчивых родственников!  biggrin.gif

И которые к тому же разбираются в компьютере)))
Sciolist
10 января 2009, 14:19

alexXXL написал:
И которые к тому же разбираются в компьютере)))

Я тоже разбираюсь примерно на том же уровне, но мне очень быстро все надоедает... mad.gif
Evgeniy
17 января 2009, 11:37
C неделю примерно вылезает предупреждние, что в момент зпуска спайдер неактивен. DrWeb ничего не находит. Что бы это могло значить???
ViolatorDM
17 января 2009, 11:42

Evgeniy написал: Что бы это могло значить???

Срок лицензии не истёк? В "О программе..." погляди.
Evgeniy
17 января 2009, 12:30

ViolatorDM написал:
Срок лицензии не истёк? В "О программе..." погляди.

Нет. Не истек.
Дело в том, что это предупреждение появляется на одну минуту.
Потом все работает нормально.
Просто раньше этой задержки не было. Спайдер становился активным сразу.
А сейчас целую минуту висит в трее с красным крестиком. Потом крестик исчезает.
Windows XP pro. SP3.
Сейчас в безопасном режиме прогоняю Dr.Web CureIt по всему диску С.
Прошел примерно 40%. Пока ничего не найдено.
Evgeniy
17 января 2009, 13:58
Dr.Web CureIt ничего не нашел.
Эффект остался. mad.gif
ilya_ya
17 января 2009, 23:33

Evgeniy написал: Dr.Web CureIt ничего не нашел.
Эффект остался. mad.gif

Описать проблему здесь:
http://new-support.drweb.com/new/tech/
и прикрепить к запросу cureit.log и spidernt.log.
Okeanolog
18 января 2009, 01:27

Evgeniy написал: Просто раньше этой задержки не было. Спайдер становился активным сразу.

Просто какая-то программа мешает ему сразу загрузиться. Чего там у тебя в автозагрузке, небось, целая пачка всякого добра?
Evgeniy
18 января 2009, 14:02

Okeanolog написал:
Просто какая-то программа мешает ему сразу загрузиться. Чего там у тебя в автозагрузке, небось, целая пачка всякого добра?

Да.
В автозагрузке много чего напихано.
В msconfig по идее можно отключить все
Только я не знаю, что оставить необходимо , а что можно спокойно отключить.
Но, если дело только в очередности загрузки, то это мне все равно.

Хуже, если какая-то злобная программа специально не дает загрузить спайдер сразу, а за это время нафигачивает на мой комп вирусов или шпионов. mad.gif
Evgeniy
18 января 2009, 23:10

Okeanolog написал:
Просто какая-то программа мешает ему сразу загрузиться.

Нашел какая программа мешала сразу грузиться.
Отключил сетевые подключения от виртуальной машины и все стало в порядке.
Evgeniy
18 января 2009, 23:12
Стало:
Sciolist
20 января 2009, 22:56
MJ Logger - уж не кейлоггер ли? И где его найти?
Sciolist
25 января 2009, 22:20
Нод 32 с последними базами, докторвебовская утилита и спайбот молчат насчет этого MJ Loggera.

Спрошу также отдельно от темы. Установил какой-то Agava Firewall - стОящая ли вещь?
Vitalka
25 января 2009, 23:44

Sciolist написал: Спрошу также отдельно от темы. Установил какой-то Agava Firewall - стОящая ли вещь?

МОДЕРАТОРИАЛ:
"Спрашивать отдельно от темы" в тематических тредах называется "оффтоп". За него, собственно, и предупреждение.
Verve
10 февраля 2009, 05:22
Здрасьте. Я отдаю себе отчет в том, как опасно писать здесь в антивирусных тредах, но все же пишу. Начитавшись всего в треде по антивирусам приобрел себе Dr. Web. Нашлось много чего, и svchost, и еще разная фиговая ня в win32, system volume inf на диске с и даже на отформатированом (!?) d... Я это все позволил лечить и/или удалить. При глубоком анализе мой драгоценный диск e на котором 600 гигов того, что мне так нужно оказался весь в троянах. Win32.Fyzy обнаружился в совершенно безобидных exe файлах программ и игр. Trojan.Muldrop6474 и Win32.HLLW.Autoruner.1215 в великом множестве в какой-то E/RECYCLE/NPROTECT и system volume inf.restore... Еще есть Tool.HideWindows, инфицированные архивы. Сейчас он спросит у меня разрешение лечить и удалить заболевания. И я наверное должен сказать "Да", потому как ходил на www.virustotal.com и там тоже то, что проверял, было опознано, хоть и не всеми, под какими-то красными вирусными именами... В общем, что мне сделать? На диске нужные мне вещи для макинтоша, который я даже еще не купил... Программы для звукозаписи я привозил из Лондона. Видимо когда Доктор все вылечит и удалит я больше ими не воспользуюсь ^( У Вас всех, безусловно, случалось нечто подобное и/или Вы знаете как мне поступить, так что скажите, пока я не нажал на кнопку...
ilya_ya
10 февраля 2009, 08:07

Verve написал: У Вас всех, безусловно, случалось нечто подобное и/или Вы знаете как мне поступить, так что скажите, пока я не нажал на кнопку...

Врядли в дистрибутивах маковских программ могут быть виндовые вирусы. Самый надёжный способ - прислать в техподдержку Dr.Web соответствующий лог проверки и попросить помощи там. Да и здесь показать список инфекций с путями к ним не помешает - тут знающих людей много.
Okeanolog
10 февраля 2009, 15:45
В воскресение сразу у трех человек попал вирус посредством аськи.
Типа, приходит сообщение от знакомого, присутствующего в контакт-листе(!): "посмотри мои новые фотки и зацени", и ссылка имеется. Ну эти дурочки и щелкают по линкам. Соответственно получают черный экран с сообщением: "Ни в коем случае не перезагружайте компьютер, иначе потеряете все данные с жесткого диска! пошлите СМС на такой-то номер и получите код, который нужно ввести для ликвидации угрозы...".
Эта гадость садится в автозагрузку и вылезает сразу после появления рабочего стола. Никакие данные, к счастью, не пропадают.
Нужно перезагрузиться в безопасном режиме и удалить из директории C:\TEMP или C:\Documents and Settings\<Имя пользователя>\Local Settings\Temp\ файл LSASSS.EXE
Будте бдительны!
bilbo
10 февраля 2009, 16:01

Okeanolog написал: В воскресение сразу у трех человек попал вирус посредством аськи.

Есть подозрение что в паре с ним сидит троян типа: trojan.pws.LDPinch который ломает пароли на зараженной машине. Находится где то в Temp (точнее не помню).
Okeanolog
10 февраля 2009, 16:05

bilbo написал: Есть подозрение что в паре с ним сидит троян типа: trojan.pws.LDPinch который ломает пароли на зараженной машине. Находится где то в Temp

Я просканировал, вроде больше ничего не было. Хотя, конечно, это не показатель: тот же LSASSS.EXE др.Веб и НОД за вирус не признали. Видимо, новый какой-то.
Verve
10 февраля 2009, 18:31

ilya_ya написал:
и здесь показать список инфекций с путями к ним не помешает - тут знающих людей много.

Сорри, отвлекся. В самом деле, маков это не коснулось, это я по истерике. Зато коснулось бэкапов многих прог, который я сделал перед переустановкой оси. Вот такое.
Verve
10 февраля 2009, 18:34
И еще так. Там много. Видимо удалять надо?
Дальше >>
Эта версия форума - с пониженной функциональностью. Для просмотра полной версии со всеми функциями, форматированием, картинками и т. п. нажмите сюда.
Invision Power Board © 2001-2017 Invision Power Services, Inc.
модификация - Яро & Серёга
Хостинг от «Зенон»Сервера компании «ETegro»