Справка - Поиск - Участники - Войти - Регистрация
Полная версия: Кажется, в моей машине вирус...
Частный клуб Алекса Экслера > Вокруг компьютера
Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, 26, 27, 28, 29, 30, 31, 32, 33, 34
Zont
13 апреля 2009, 19:58
Коллега пользовался Интернетом несколько лет без антивируса. Как то все сходило, он не активно пользовался. И тут случилась неприятность. При любом запуске браузера вылезают несколько окон с порнографией и пожеланием отправить СМС на некий номер для получения кода. Установил ему "EsetNod32", просканировал диск. Было убито много всякой дряни. Но порноокошки не пропали. Сейчас он обновляет базы и будет сканировать еще раз. Что то мне подсказывает, без толку. Что предпринять? Система Windows XP Professional, судя по всему - пиратка.
ArTUK
13 апреля 2009, 20:08
Сервис-управление надстройками.
Отключать по одной, каждый раз после отключения перезапускать браузер. Как только пропадёт, смотреть что за надстройка, искать этот файл и удалять.
Topicalist
14 апреля 2009, 11:32

Zont написал: Что предпринять?

Ликбез, например, тут: Trojan.Blackmailer: цифровой рэкетир. По личному опыту, успешно лечится свежим DrWeb CureIt! после загрузки в безопасном режиме. Но можно и ручками придавить (ссылка из статьи в КТ).
Zont
14 апреля 2009, 16:23

Topicalist написал:

Спасибо, это именно он. Будем лечить.
Sergei Zhu
17 апреля 2009, 23:02
Принесли мне флешку. На флешке кроме всего прочего вижу 3 скрытых файла:
autorun.inf (запускает sbygqd.exe)
sbygqd.exe с иконкой Сапера
sidfbp.exe с иконкой Блокнота.
Причем в свойствах так и пишет: описание - Игра "Сапер", производитель - Корпорация Майкрософт. И, соответственно, у второго описание - Блокнот, производитель тот же.
Полагаю, что это вирус, но Касперский (лицензионный 7-й со свежайшими базами) молчит, как партизан. Онлайн проверка на их же сайте ничего не выявила. Отправил эти файлы им - ответа нет со вчерашнего дня.

virustotal.com по поводу этих файлов говорит:
http://www.virustotal.com/ru/analisis/edbb...b5b46ed9d270424
и
http://www.virustotal.com/ru/analisis/150b...79adcae1620240c

Так всё-таки бяка это или нет? Простое любопытство smile.gif
Serg Inc.
17 апреля 2009, 23:08

Sergei Zhu написал: Так всё-таки бяка это или нет? Простое любопытство smile.gif

Цифровая подпись Microsoft у этих файлов есть?
Sergei Zhu
17 апреля 2009, 23:31

Serg Inc. написал:
Цифровая подпись Microsoft у этих файлов есть?

Неа, не подписаны.

Т.е. уже значит не то, за что они себя выдают.
Serg Inc.
17 апреля 2009, 23:45

Sergei Zhu написал: Неа, не подписаны.

Т.е. уже значит не то, за что они себя выдают.

Клясться на крови не возьмусь, но насколько помню, уж с XP начиная точно все производства Microsoft, входящее в состав системы, имеет цифровую подпись Microsoft.
Sergei Zhu
17 апреля 2009, 23:55

Serg Inc. написал:
Клясться на крови не возьмусь, но насколько помню, уж с XP начиная точно все производства Microsoft, входящее в состав системы, имеет цифровую подпись Microsoft.

Родной Сапер, который в папке system32 живет, подпись имеет - проверил.
Конечно, если файлик запустить, тогда точно можно будет сказать, вирус это или нет, biggrin.gif но что-то мне такой опыт никак не нравится.
Serg Inc.
18 апреля 2009, 11:21

Sergei Zhu написал: Конечно, если файлик запустить, тогда точно можно будет сказать, вирус это или нет,  biggrin.gif  но что-то мне такой опыт никак не нравится.

Можешь прислать эти файлы мне? В запароленном архиве, конечно.
Светлый
18 апреля 2009, 11:23

Sergei Zhu написал: Принесли мне флешку. На флешке кроме всего прочего вижу 3 скрытых файла:
autorun.inf (запускает sbygqd.exe)
sbygqd.exe с иконкой Сапера
sidfbp.exe с иконкой Блокнота.
Так всё-таки бяка это или нет? Простое любопытство smile.gif

Если на флешке есть скрытый файл autorun.inf, то это на 100% вирус. У меня Касперский всегда реагирует на подобную гадость. Поставь новую 8 версию.
ilya_ya
18 апреля 2009, 15:20

Sergei Zhu написал: Принесли мне флешку. На флешке кроме всего прочего вижу 3 скрытых файла:
autorun.inf (запускает sbygqd.exe)
sbygqd.exe с иконкой Сапера
sidfbp.exe с иконкой Блокнота.
Причем в свойствах так и пишет: описание - Игра "Сапер", производитель - Корпорация Майкрософт. И, соответственно, у второго описание - Блокнот.
...
Так всё-таки бяка это или нет? Простое любопытство smile.gif

Это один из способов распространения вирусов семейства Win32.Sality aka Win32.Sector. Эта флэшка явно побывала на заражённом этим вирусом компе (может, не на одном) и вирус записал на неё заражённые копии стандартного сапёра и блокнота, чтобы они посредством автозапуска заражали другие машины, в которые будет втыкаться флэшка. Если после этого флэшку подключали к компьютеру с антивирусом, знающим эту модификацию вируса, файлы были вылечены, почему, собственно, virustotal и молчит.
Сейчас попадается очень много зверья, распространяющегося через авторан на всяких USB-дисках, причём не всегда антивирусы их знают, так что запускать такие файлы не стоит, пока аналитики любимого антивируса не подтвердят его безвредность. А чтобы новая авторановая пакость не запустилась сама, нужно поставить на систему соответствующий патч и отключить полностью автозапуск - подробности в статье Microsoft.

Если файлы уже вылечены, то опасности от них никакой, но и толку от них на флэшке тоже никакого, так что их можно вместе с autorun.inf спокойно стереть.
Sergei Zhu
18 апреля 2009, 16:58

Serg Inc. написал:
Можешь прислать эти файлы мне? В запароленном архиве, конечно.

Отправил (на Хотмейл)
Sergei Zhu
18 апреля 2009, 17:03

Светлый написал:
Если на флешке есть скрытый файл autorun.inf, то это на 100% вирус. У меня Касперский всегда реагирует на подобную гадость. Поставь новую 8 версию.

Дык, первый раз Касперский не среагировал на подобное, почему я и распереживалсяsmile.gif Мне просто хочется понять причину "несрабатывания".

А разве будет разница между 7-м и 8-м Касперским? ИМХО базы-то одни и те же.
Sergei Zhu
18 апреля 2009, 17:07

ilya_ya написал:
Если после этого флэшку подключали к компьютеру с антивирусом, знающим эту модификацию вируса,  файлы были вылечены, почему, собственно, virustotal и молчит.

Вот о таком варианте я и не подумал. Привык, что такие вирусы обычно удалюятся, а не лечатся.

ilya_ya написал:
Сейчас попадается очень много зверья, распространяющегося через авторан на всяких USB-дисках, причём не всегда антивирусы их знают, так что запускать такие файлы не стоит, пока аналитики любимого антивируса не подтвердят его безвредность. А чтобы новая авторановая пакость не запустилась сама, нужно поставить на систему соответствующий патч и отключить полностью автозапуск - подробности в статье Microsoft.

Авторан отключен, патчи все стоят, отображение скрытых файлов включено. До сих пор, ттт, проблем не возникало.
Serg Inc.
18 апреля 2009, 20:52

Sergei Zhu написал: Отправил (на Хотмейл)

Спасибо, получил. Файлы там - действительно Блокнот и Сапер, которые запускаются и работают, а вирусов там не обнаруживается. Видимо, ilya_ya прав - файлы были заражены и вылечены.
Sergei Zhu
18 апреля 2009, 22:35

Serg Inc. написал:
Спасибо, получил. Файлы там - действительно Блокнот и Сапер, которые запускаются и работают, а вирусов там не обнаруживается. Видимо, ilya_ya прав - файлы были заражены и вылечены.

А флешку в комп вставляешь, сапер с блокнотом на ней не появляется теперь, случаем?.. 3d.gif
Кстати, размер оригинального Сапера отличается от этого. И подписи нет. Видимо, результат лечения?

Спасибо всем! Всё прояснили, и Касперский реабилитирован, а то я уж сомневаться в нём начал smile.gif
ilya_ya
19 апреля 2009, 10:10

Sergei Zhu написал:
Вот о таком варианте я и не подумал. Привык, что такие вирусы обычно удалюятся, а не лечатся.

Редкий в нынешние времена случай именно вируса, заражающего другие файлы, а не червя или трояна, гуляющего в виде самостоятельных файлов.
Okeanolog
19 апреля 2009, 12:12

ilya_ya написал: Редкий в нынешние времена случай именно вируса, заражающего другие файлы, а не червя или трояна, гуляющего в виде самостоятельных файлов.

Из недавнего интервью Е. Касперского: В этом году наблюдается активизация файловых вирусов.
Так что все возвращается...
Кстати, из того же интервью простой и элегантный рецепт защиты флэшек от вирусов-авторанов: Создайте в корне флэшки кталог с названием AUTORUN.INF и сделайте его скрытым и системным. Его будет не видно и не слышно. Все, вуаля!
Matias
24 апреля 2009, 17:44

Okeanolog написал:
простой и элегантный рецепт защиты флэшек от вирусов-авторанов: Создайте в корне флэшки кталог с названием AUTORUN.INF и сделайте его скрытым и системным.

Можно воспользоваться утилитой FlashDriveDisinfector, которая сделает это автоматически.
Okeanolog
27 апреля 2009, 00:04

Matias написал: Можно воспользоваться утилитой FlashDriveDisinfector, которая сделает это автоматически.

Да уж... Чтобы создать папку, оказывается нужна программа. 3d.gif
шнурок
18 мая 2009, 23:51
Помогите, пожалуйста! Я в отчаянии! Что может быть с компьютером. Он постоянно зависает, когда в я в сети, но прекрасно работает, если не в Сети. На вирусы поискала тремя антивирусниками, чисто! Восстановила систему! Не помогает! Что делать, систему переустанавливать? Только мне как блодинке очень подробно объясните, пожалуйста, я компьютерно-безграмотна! mad.gif
Alvajaro
19 мая 2009, 00:27
Тут у некоторых людей стало появляться при попытке зайти в Контакт и Яндекс с Гуглом такое сообщение:

ВНИМАНИЕ!
Ваш браузер заблокирован!
Закройте баннер и подождите три минуты!

Аська тоже не работает. Причём антивирус не находит ничего. Пока помогло удалить из файла C:\Windows\system32\drivers\etc\hosts все упоминания сайта Vkontakte, но не появятся ли там они снова? И что с этим делать? smile.gif
Vitalka
19 мая 2009, 00:41
Ребята, нет такой программы - "антивирус". И нет программы "три антивируса". Если хотите помощи, то хотя бы сообщайте названия и версии антивирусов, а также когда в последний раз эти антивирусы обновлялись.
шнурок
19 мая 2009, 00:45
доктор Веб 44, Он-лайн сканер Касперский и Avira, все обновлялись вчера-позавчера... Я прошу пардону за свою безграмотность... frown.gif
Vitalka
19 мая 2009, 01:43

шнурок написала: доктор Веб 44, Он-лайн сканер Касперский и Avira, все обновлялись вчера-позавчера... Я прошу пардону за свою безграмотность...

Как ты думаешь, если вирус в компьютере уже работает и делает свое черное дело, позволит ли он какой бы то ни было сторонней программе (в данном случае - антивирусу) обнаружить что-то нехорошее? Правильно, кто первый встал, того и тапки (в данном случае - компьютер). Если вирус успел запуститься, то он уже принял все меры для защиты себя.

Только загружаться с какого-нибудь загрузочного CD (чтобы вирус, уже встроившийся в систему, не запустился) и проверяться любым пристойным свежим (т.е. сегодняшним) антивирусом. Лично я рекомендую CureIt! от DrWeb.
ilya_ya
19 мая 2009, 07:49

шнурок написала: Помогите, пожалуйста! Я в отчаянии! Что может быть с компьютером. Он постоянно зависает, когда в я в сети, но прекрасно работает, если не в Сети.

Такая проблема может быть не из-за того, что машина заражена, а из-за того, что вирус с другого компьютера пытается атаковать через сеть какую-то уязвимость твоей машины и эта атака приводит к сбою.
Если в системе не стоит отдельной программы-фаерволла, проверь, включён ли виндовый брандмауэр. Он должен быть включён и надо поставить в нём галочку "Не разрешать исключения". Если фаерволл стоит, то отключи в нём все разрешения на входящие соединения. Если после этого висы прекратятся, надо по очереди включать разрешения и смотреть, после какого разрешения снова начнутся висы - так можно вычислить, какой сервис атакуется и поставить на него соответствующую заплатку (вообще, желательно через Windows Update поставить все критические обновления на систему). Если стоит приличный программный фаерволл, позволяющий определять, с какого адреса идёт атака, то можно пожаловаться провайдеру на атаки с этого адреса.
Лучше всего, конечно, отгородиться от сети роутером с NAT, чтобы такие атаки вообще не доходили до компа.

Про свежесть антивируса уже ответил Vitalka. А для проверки в условиях стерильной системы можно использовать Dr.Web LiveCD.
Alvajaro
19 мая 2009, 10:14

Vitalka написал: Ребята, нет такой программы - "антивирус".

Ой, в смысле да. У меня то был NOD32. Обновления свежие.
Катушк@
19 мая 2009, 21:38
Такая проблема. Сразу после включения комп работает нормально. Через некоторое время начинает жутко тормозить. При перезагрузке снова какое-то время работает нормально. Потом опять тормоза.
Комп не мой, антивирусов нет.
Пробовала зайти и на www.avast.ru и на www.kaspersky.ru - не пускает, отмазывается, что "проблема при загрузке страницы".
Slonjra
20 мая 2009, 00:49

Катушк@: Пробовала зайти и на www.avast.ru и на www.kaspersky.ru - не пускает, отмазывается, что "проблема при загрузке страницы".

А чего еще тут спрашивать?? Вирусы - и очень много.
Катушк@
20 мая 2009, 19:02

Slonjra написал: А чего еще тут спрашивать?? Вирусы - и очень много.

Как чего спрашивать? Интересуюсь вот, чем полечить. smile.gif
Катушк@
20 мая 2009, 20:10
Скинули мне по асе загрузочный файл бесплатного Касперского.
Не устанавливается.
Говорит вот чего:
ilya_ya
20 мая 2009, 21:01

Катушк@ написала:
Интересуюсь вот, чем полечить. smile.gif

Попробуй скачать Dr.Web CureIt вот по этой ссылке - это IP-адрес официального FTP-сервера Dr.Web. Мне пока не встречалось ни одной машины, где бы вирус, блокирующий сайты антивирусов, смог помешать скачиванию через IP.
Slonjra
21 мая 2009, 00:17

ilya_ya написал: смог помешать скачиванию через IP.

Не даст враг ничего установить. Уже 200 раз говорили - грузится с LiveCD с последними апдейтами антивируса, и сканировать оттуда.
ilya_ya
21 мая 2009, 14:19

Slonjra написал:
Не даст враг ничего установить.  Уже 200 раз говорили  - грузится с LiveCD с последними  апдейтами антивируса, и сканировать оттуда.

А CureIt устанавливать не надо - это не инсталлер, а самораспаковывающийся архив, причём имена файлов самого антивируса внутри архива рандомные, так что по ним опознать, что это запускается антивирус, невозможно. А сам launch.exe можно переименовать.
Катушк@
23 мая 2009, 12:45

ilya_ya написал: скачать Dr.Web CureIt вот по этой ссылке

Скачала, установила, проверила. Обнаружено 2 трояна.
После этого удалось-таки зайти на сайт drweb и скачать демо-версию.
Кстати, на kaspersky.ru тоже пускает теперь.
Можно считать комп излеченным?
A/\isa
26 мая 2009, 10:28
Я бы Вам посоветовала ещё проверить AVPtolol'ом.
Uriah
30 мая 2009, 04:32

Uriah написал: Периодически (не каждый раз) после загрузки компа всплывает такое окно (см. картинку). Кнопка "Отмена" не спасает - через несколько секунд окно появляется снова. Кнопка "Параметры" - это параметры соединения. Www.pop-under.ru - зловредный сайт, отвечающий за показ всякой рекламы в отдельновисящих окнах, порнухи в том числе.
и т. д.

Эту мной открытую тему превратили в сообщение здесь, и, как оказалось, напрасно. Сегодня я проблему наконец поборол. Сообщаю владельцам Comodo, в чём была причина - вдруг пригодится. Чисто интуитивно, точнее, в результате борьбы с другими вредными сайтами, решил я пробить pop-under.ru через Whois на предмет диапазона используемых IP. После этого заблокировал в Comodo не адрес сайта, а весь диапазон IP. Проблема исчезла!
Была она, кстати, не только с этим сайтом, а ещё с парой подобных, и после отсечения их также по диапазону никаких окон с просьбой подключиться к Интернету после запуска компа больше не появляется. Так что виноват оказался не вирус, а баг в файерволле. Для справки: моя версия Comodo - 3.5.54375.427.
Лунный Волк
4 июня 2009, 05:30
Залез посмотреть, что у меня стартует автораном и наткнулся на странную неактивированную программу GEST . Так и написана курсивом, без указания производителя и программы. Статус - не активирована. Что бы это могло быть? Не троян ли? Может кто подскажет?
Windows XP SP3.
Topicalist
4 июня 2009, 10:40

Лунный Волк написал: Может кто подскажет?

Если материнка Gigabyte, то это скорее всего Gigabyte Energy Saving Tool - софтина для управления энергосбережением. Живет по умолчанию в %programfiles%\gigabyte\gest.
Лунный Волк
4 июня 2009, 11:27

Topicalist написал:
Если материнка Gigabyte, то это скорее всего Gigabyte Energy Saving Tool - софтина для управления энергосбережением. Живет по умолчанию в %programfiles%\gigabyte\gest.

Сапасибо, снял камень с души. Именно такая материнка.
Sciolist
4 июня 2009, 15:32
Возможно - оффтоп. Просто проблема какая-то смутно-тематичная.

На днях обнаружил исчезновение нескольких Мр3 файлов. Провел этакую инвентаризацию - оказалось, что исчезло далеко не несколько... Опустели целые папки музыки. Не могу сказать, одномоментно это произошло, или постепенно. Есть сильное подозрение, что исчезновения продолжаются до сих пор.

Нод32 с новыми базами не нашел ничего. Хочу попробовать провериться с помощью CureIt - но подскажите, как это сделать, чтобы не было внезапных перезагрузок?

Кроме вируса, у меня есть и еще один важный подозреваемый: Windows Media Player. Разочаровавшись в Винампе, неудобном и глючащим со списками воспроизведения, я начал пользоваться обычным виндоуским плеером.

Однажды захотел удалить через него один файл: и из библиотеки, и с компьютера. Файл удалился, но... Вместе с ним в корзину почему-то отправилась и куча другой музыки. Ту, что оказалась в корзине, я восстановил. Но мог ли быть вариант, что файлов удалилось столько, что корзина оказалась переполненной и "лишние" файлы были попросту стерты?

Да и кроме Мр3, никто вроде бы до сих пор не пострадал.
A/\isa
4 июня 2009, 16:06
AVPtool скачайте и с его помощью проверьте компьютер на вирусы.
fuser
25 июня 2009, 21:42
Sciolist, виндус медиа плеер вообще штука непонятная... Я ей даже боюсь пользоватся, т.к. один раз удалил файл, думал что из медиатеки, а оказалось - с ПК. Благо копия на плеере была... Лучше найти альтернативу, а в целом просканься арзными онлайн антивирусами, что бы быть на 100% уверенным. http://yandex.ru/yandsearch?clid=9582&text...%83%D1%81%D1%8B

A/\isa, можно и им. Когда приходил лечить компы, поражённые кидо, на них стоял лицушный доктор веб, а ключа к нему нету Т.е. сносить веба нельзя, т.к. потеряется лицуха, а каспера то же не поставить, т.к. он не хочет ставится параллельно с другим антивирём. Вот и приходилось ставить АВП Тул, и после ещё утилитой от касперчеков кидо киллер "долечиватся".
Project
27 июня 2009, 19:11

Sciolist написал: Хочу попробовать провериться с помощью CureIt - но подскажите, как это сделать, чтобы не было внезапных перезагрузок?

CureIt не требует перезагрузок (т.к. он и не требует установки).

fuser написал:
стоял лицушный доктор веб, а ключа к нему нету

Ключевой файл для Веба хранится в его же папке - файлик с разрешением .key (даже для демоверсии).
Project
29 июня 2009, 07:05

шнурок написала: доктор Веб 44

Правильно я понимаю, что у тебя установлен Др.Веб 4-й версии? Уже давно вышла 5-я, скачай с сайта новую версию.
ViolatorDM
29 июня 2009, 16:22

Project написал: Уже давно вышла 5-я

Тем не менее, 4,44 вполне себе работает и обновления к ней выкладываются.
Project
29 июня 2009, 20:07
Знаю smile.gif Вот только один вопрос - если с обновлением баз все понятно, то как быть с обновлением програмных файлов Веба?
ViolatorDM
29 июня 2009, 20:09

Project написал: как быть с обновлением програмных файлов Веба?

Полагаю, обновление антивирусного ядра не настолько критично, раз поддержка 4,44 не закрывается. Так что подождать можно 5,10. smile.gif
fuser
15 июля 2009, 13:26
Эх, и опять в 5-ке нету фаервола. Зато хотя бы висту начали поддерживать, а то 4.44 на неё просто еле ползала, а иногда и рушила систему. 2-х человек знаю, которые с лицухи доктора перешли на фриварные антивири, т.к. веб под вистой тогда не работал frown.gif
Дальше >>
Эта версия форума - с пониженной функциональностью. Для просмотра полной версии со всеми функциями, форматированием, картинками и т. п. нажмите сюда.
Invision Power Board © 2001-2017 Invision Power Services, Inc.
модификация - Яро & Серёга
Хостинг от «Зенон»Сервера компании «ETegro»