Справка - Поиск - Участники - Войти - Регистрация
Полная версия: Кажется, в моей машине вирус...
Частный клуб Алекса Экслера > Вокруг компьютера
Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, 26, 27, 28, 29, 30, 31, 32, 33
ilya_ya
7 сентября 2009, 21:11

Slonjra написал:
Даже Hijackit  и то не успевает сделать свой репорт.

Хайджек в этом плане штука весьма дохлая. Попробуй GMER или уже рекомендованный RootkitRevealer.
Если GMER удастся запустить, дождись окончания сканирования, затем перейди на вкладку Rootkit/Malware, нажми правую кнопку на поле и активируй опции IRP hooks, NTAPI registry scan и IRP files scan. После этого проведи полное сканирование на наличие руткитов. Если сканирование пройдёт нормально, то сохрани и покажи здесь лог скана.
В RootkitRevealer зайти в меню File и дать сначала команду Scan, затем команду Save и сохранить лог. Лог тоже покажи здесь.
Slonjra
10 сентября 2009, 06:41
Ну вообщем краткие итоги.. Если вдруг кто налетит на похожее, явно это что-то свежее.

Как я уже выше писал, основной признак этой заразы. то что любой сканер - Malware, cureIt, AVZ, Хайджек, Gmer, и еще штуки 3-4 других - нормально встают на комп, качают апдейты...но при начале скане ДИСКА - окно закрывается без какого либо сообщения, и на исполняемом модуле этого антивира меняются права доступа, второй раз не дает запустить.

Если нe давать сканить диск, то в памяти находят 2 процесса

win32k.sys:1
win32k.sys:2
и еще 1 процесс, который обычный taskmgr видит как svshost , но сканеры говорят что в параметрах у него типа вот этого "ххххххх.Х86.dll"

Где вместо первых "ххххххх" куча цифирек, разные при каждой перезаргузке.

Скан с LiveCD теми же прогами не находит ничего.

Вылечили совершенно неожиданным способом, которое в 90% случаев не работает.

Удалили из автозагрузки все подозрительное, в том числе в системном Sceheduler task ( там оказались 2 задачи стартуюшие каждые 5 мин и пытаюшиеся запустить что-то из temp indernet каталога.
Есстественно отключили от интернета.
И потом из safe mode запустили переустановку windows поверх сушествующей в варианте - upgrade.
Сразу после этого запустили malwarebytes - он нашел 4 проблемы.. 3 похоже по делу, 1 - что-то старое в архиве.

И вот после этого заработали опять все остальные антируты..
Все бегает, все сканируется, единственно CureIt - вылетает в BSOD по конфликту с драйвером hdd - но это уже послали им в техсуппорт, Все остальные подобные проги работают.


DkmS
12 сентября 2009, 15:47
Умные, собаки...
dock
15 сентября 2009, 13:20
Вот у меня проблема. Раза 4-5 на день компьютер (стоит XP SP3) на секунду подвисает, а потом следует перезагрузка. В журнале событий никаких ошибок прямо перед перезагрузкой не нашёл, никаких сверхмощных приложений не запущено, да и Эверест показывает температуры в районе 50. KIS 2009 ничего не нашёл.
DkmS
15 сентября 2009, 16:26
В свойствах компьютера отключите перезагрузку при сбоях и почитайте BSOD.
dock
15 сентября 2009, 17:23

DkmS написал: В свойствах компьютера отключите перезагрузку при сбоях и почитайте BSOD.

Имеется ввиду в записи отладочной информации выставить полный дамп памяти?
Slonjra
15 сентября 2009, 17:37
Нет

в control panel -> system> advanced-> startup recovery убрать галку с Auto restart..

И при очередном BSOD - внимательно прочитать на что она ругнулась
dock
15 сентября 2009, 18:20

Slonjra написал: Нет

в control panel -> system> advanced-> startup recovery  убрать галку с  Auto restart..

И при очередном BSOD - внимательно прочитать на что она ругнулась

Так там галочка и не стоит. Где читать то следует?
Slonjra
15 сентября 2009, 18:32

dock: Так там галочка и не стоит. Где читать то следует?

Ты перед перезагрузкой BSOD видишь?? Или просто посреди работы перегружается без BSOD?
dock
15 сентября 2009, 18:36

Slonjra написал:
Ты перед перезагрузкой BSOD  видишь?? Или просто посреди работы перегружается без BSOD?

Просто перезагружается.
Limaga
16 сентября 2009, 23:03

dock написал: Просто перезагружается.

Протестируй оперативку.

Второе. Сохрани образ системы. Переустанови систему заново. Если ничего не глючит, с ней и продолжай работать. А если ничего не изменилось, ищи проблему в железе.
Sciolist
24 сентября 2009, 21:43
Вчера Malwarebytes начал периодически выдавать сообщение: "Обнаружено заражение: (какой-то IP номер - не мой)"
Полная проверка с помощью Malwarebytes и Nod 32 ничего не обнаружили.

Причем айпишники иногда показывает разные. Что за напасть?..
ilya_ya
24 сентября 2009, 21:57

Sciolist написал: Вчера Malwarebytes начал периодически выдавать сообщение: "Обнаружено заражение: (какой-то IP номер - не мой)"

А точный текст сообщения или скриншот?

Sciolist
25 сентября 2009, 21:03

ilya_ya написал:
А точный текст сообщения или скриншот?

Весь вечер ждал сообщения, чтоб скриншот сделать - а оно до сих пор не появлялось. Может быть, само прошло. biggrin.gif

Кстати, забыл сказать. Его появление всегда совпадало с попыткой зайти на интернет-страницу (причем его вызывали разные страницы - в т.ч. и ФЭР).
ilya_ya
25 сентября 2009, 21:56

Sciolist написал:
Его появление всегда совпадало с попыткой зайти на интернет-страницу (причем его вызывали разные страницы - в т.ч. и ФЭР).

В разных браузерах или только в одном?
Может, в какой-нибудь рекламной системе ролик с эксплойтом циркулирует.
Но всё равно без точной информации сказать ничего нельзя...
Sciolist
26 сентября 2009, 00:41
А я только одним браузером и пользуюсь - Оперой (недавно обновленной).
Slonjra
26 сентября 2009, 03:00
На всякий случай..кусочек опыта..

Вот уже вторую неделю приносят компы на лечение с "Antivirus 2010" основной геморр с этой заразой, что она не дает всяким антитроянам/антирутам сканировать диск. Они ставятся, начинают сканирование и Винда тут же закрывает эту прогу.

Перебрал кучу всего...основных метода 2
1. Если System Restore было до заразы активно - то самое простое найти в инете инфу как его снова сделать доступным ( ибо зараза его выключает и запрещает его запуск в реестре).. и после этого откатить на 1-2 или какой у вас там есть ближайший.
2. Если Restore нет или он очень древний.. Единственная прога из тех что пока попалась - вот эта
http://www.simplysup.com/tremover/download.html
она платная, но имеет 30 дней Trial version - ставим ее - сканируем, она находит активность в ROOT - предлагает это заблокировать, соглашаемся,, перегружаемся.. и вот после этого работают все сканеры хоть Malb хоть CureIT - прогоняем их скан. Обычно находит как мин до 20 проблемок. Лечим.
Ставим все апдейты с MS и антивируса ( до этого зараза обычно блокирует и апдейты)..
После этого еще 1 контрольный скан какой-нибудь другой лечилкой..И если все ОК - Tremover можно удалить.
ilya_ya
26 сентября 2009, 08:44

Sciolist написал: А я только одним браузером и пользуюсь - Оперой (недавно обновленной).

Adobe Flash Player и Adobe Reader стоят свежие? Через их уязвимости сейчас частенько пытаются атаковать, причём флэшовый ролик с эксплойтами вполне может болтаться в какой-нибудь рекламной сети и вылезать на разных сайтах, работающих с этой сетью.
ilya_ya
26 сентября 2009, 08:46

Slonjra написал:

Вот уже вторую неделю приносят компы на лечение с "Antivirus 2010"   основной геморр с этой заразой, что она не дает всяким антитроянам/антирутам  сканировать диск.

Свежий cureIt не запускается даже со случайным названием и в Safe Mode?
Или эта пакость и Safe Mode блокирует?
mrFatCat
26 сентября 2009, 14:10
Э... Давно не проверял... А фокус с загрузкой системы с зажатой клавишей "шифт" больше не работает?
Или, беспроигрышный вариант, стартоваться с загрузочного сидишника, и с него уже пройтись антивирусом...
Slonjra
26 сентября 2009, 15:21

ilya_ya написал: Свежий cureIt не запускается даже со случайным названием и в Safe Mode?

Запускается..сканирует память, как только начинает сканировать диск - тут же закрывается, как и все остальные..

Да и при этом зараза меняет после этого права доступа на этой проге. Если пытаешься запустить сканер второй раз, говорит - нет прав у тебя
Slonjra
26 сентября 2009, 15:23

mrFatCat написал: Или, беспроигрышный вариант, стартоваться с загрузочного сидишника, и с него уже пройтись антивирусом..

Проигрышный..)) LiveCD не находит ничего..

Потому и написал..я все-таки 20 лет с компами..и давно не попадал на такую настойчивую пакость.
Первый раз я ее вообще 2 дня выковыривал..
mrFatCat
26 сентября 2009, 16:08

Slonjra написал: LiveCD не находит ничего..

Дык если на нем старые базы антивируса - конечно не найдет.
Загрузиться с сидишника, просканироваться онлайн-каспером.
Slonjra
26 сентября 2009, 16:11

mrFatCat написал: Дык если на нем старые базы антивируса - конечно не найдет.

"Абыжаешь..даааа??"
Sciolist
26 сентября 2009, 20:57

ilya_ya написал:
Adobe Flash Player и Adobe Reader стоят свежие?

Старые, но сообщение зачастую вылезало как раз там, где никакой рекламы не было.
ilya_ya
27 сентября 2009, 00:47

Sciolist написал:
Старые, но сообщение зачастую вылезало как раз там, где никакой рекламы не было.

PDF-эксплойты с рекламой не связаны и внешне не видно, что грузится адобовский плагин.
ilya_ya
27 сентября 2009, 00:53

Slonjra написал:
Запускается..сканирует память, как только начинает сканировать диск - тут же закрывается, как и все остальные..

Свежий Dr.Web'овский LiveCD тоже ничего не находит?
А в саппорт к антивирусникам обращался?
Slonjra
27 сентября 2009, 01:40

ilya_ya написал: Свежий Dr.Web'овский LiveCD тоже ничего не находит?
А в саппорт к антивирусникам обращался?

Угу..не находит...и в саппорт именно к DrWeb писал.....тишина...

А уж их админы на форуме - это "праздник!!1" ...я им пишу что CureIT слетает при скане, а они мне выдают что надо показать логи и банят.....)))) Отличный сервис.
ilya_ya
27 сентября 2009, 12:54

Slonjra написал:
Угу..не находит...и в саппорт именно к DrWeb писал.....тишина...

Писал мылом или через сайт?


они мне выдают что надо показать логи и банят.

Ссылочку можешь дать?
Дн
30 сентября 2009, 22:38
Дурацкий вопрос.

Вот у меня на машине вирус, словил в сети по вине автопилота, который нажал на кнопочку "Игнорировать" вместо "Запретить доступ". И выковырять я этот вирусняк пока не могу, а он меня, сволочь, в Интернет не пускает.
Есть маза поставить вторую машину, и пустить обе машины в Интернет через роутер. Чем это может грозить роутеру и системе на втором компе?
Slonjra
30 сентября 2009, 22:57

Дн: Есть маза поставить вторую машину, и пустить обе машины в Интернет через роутер. Чем это может грозить роутеру и системе на втором компе?

Роутеру ничего не будет. Второму компу может быть тоже самое.. Да и зачем подключать больного к здоровому.

Зараженный отключить от инета. Здоровый подключить, качнуть свежий CureIt - через флешку перенести на зараженный и пытаться лечить.

Только Autorun запретить на обоих компах, чтоб через флешку не пролезла зараза.
Дн
30 сентября 2009, 23:06
Не, Авторан вирусом не задействуется. Проверено уже.
CureIT ничего не нашёл (кроме одного трояна в древнем архиве). Запускался с июльского DrWeb LiveCD - он показал мне 54 инфицированных объекта, но не вылечил нифига. Со свежего запуститься не могу, встроенный в LiveCD линукс почему-то бунтует - выдаёт ошибки при запуске диска (от тех. поддержки на этот счёт вести пока не пришли).
Дн
30 сентября 2009, 23:31
Требуется уточнение. Если оба компа к роутеру подключить, но одновременно их не включать, могут ли быть в таком случае проблемы?
Slonjra
30 сентября 2009, 23:51

Дн: Требуется уточнение. Если оба компа к роутеру подключить

Зачем их оба подключать? Подключи здоровый. Установи на него CureIt, с больного сними винт и подключи его временно к здоровому вторым диском и запускай на него скан
Дн
1 октября 2009, 08:50
Не могу винт перенести. На здоровом компе нет SATA.
И на здоровом стоит лицензионный обновляемый DrWeb.
Так можно или нет подключать по очереди? smile.gif
Дн
1 октября 2009, 09:34
Убил таки гада. Лог не сохранился, не могу сказать, кого именно.

Кстати, эта сволочь покалечила драйвер сетевой карты. Первый раз с таким вирусом сталкиваюсь. confused.gif
ilya_ya
1 октября 2009, 18:58

Slonjra написал:
Запускается..сканирует память, как только начинает сканировать диск - тут же закрывается, как и все остальные..

Позавчера принесли ноут с диагностикой "Не грузится". При загрузке мелкает BSOD. Загрузился в безопасном режиме, запустил свежий CureIt - полная проверка вынесла с десяток бэккдопров и троянов, после чего комп загрузился в нормальном режиме и на нём выплыл тот самый Antivirus Pro 2010, который CureIt не увидел. Отправил образец в вирлаб и улёгся спать, вчера утром получил ответ, что добавлено и вечеом провёл полную проверку. Гадость отдетектилась, как очередной Trojan.FakeAlert и без проблем была вынесена в обычном режиме работы. Думаю, в твоих случаях сидело ещё что-нибудь ещё, блокирующее антивирусы. Мне этот зверь и hijackthis позволил запустить, и regedit, и taskmanager.
Slonjra
1 октября 2009, 21:32

ilya_ya написал: Думаю, в твоих случаях сидело ещё что-нибудь
ещё, блокирующее антивирусы.

Угу.. Это был какой-то грузильщик всякой подобной дряни с интернета.
Если отключить от инета, то Antivirus 2010 - очень легко убивается.
Но сканировать диск все равно не дает ни одному сканеру..
Если подключаем обратно интернет, то следующая перезагрузка будет на 1-2 мин дольше чем обычно... и снова появляется этот "2010" )))

Tiger
5 октября 2009, 20:03
Появлялось при запуске некоторых программ (не обязательно одних и тех же и не всегда).
Сначала думал, это из-за включения поддержки иероглифов, но смущало 2 вещи:
  • Пыталось загрузить драйвер.
  • Появилось даже после убирания из автозагрузки трех пунктов, 100% относящихся к этой самой поддержке иероглифов.
Дрвеб и аутпост ничего не нашли на диске.

Вирус ли это?
Okeanolog
5 октября 2009, 20:29

Tiger написал: Вирус ли это?

Ты клиентом этого форума пользуешься? smile.gif
Tiger
5 октября 2009, 20:34

Okeanolog написал: Ты клиентом этого форума пользуешься? 

Да. smile.gif
Клиент на скриншоте просто для примера, такое же выскакивало и при запуске некоторых других программ.
Okeanolog
5 октября 2009, 21:05

Tiger написал: Клиент на скриншоте просто для примера, такое же выскакивало и при запуске некоторых других программ.

Ну так программа хочет запустить драйвер. Чего тут удивительного? Никакой это не вирус. В данном примере, конечно. Что у тебя выскакивает в иных случаях, я не знаю.
Tiger
5 октября 2009, 22:21

Okeanolog написал: Чего тут удивительного?

Не знаю, первый раз столкнулся с тем, что обычной программе понадобилось запустить незнакомый драйвер.

Okeanolog написал: Никакой это не вирус.

Ну, вот я на это надеюсь. smile.gif

Okeanolog написал: Что у тебя выскакивает в иных случаях, я не знаю.

Абсолютно такое же предупреждение аутпоста.

Если запретить однократно загрузку драйвера, предупреждение выскакивает снова, только уже "Драйвер: Unknown Driver", потом опять RASMAN.
И чередуются так, пока не заблокирую совсем. smile.gif
ilya_ya
5 октября 2009, 23:15

Slonjra написал:
Если отключить от инета, то Antivirus 2010  - очень легко убивается.
Но сканировать диск все равно не дает ни одному сканеру..

Значит, этот "антивирус" тут просто побочный эффект, а мешает работе антивирусов какая-то другая пакость - вероятней всего руткит.
Slonjra
7 октября 2009, 17:25

ilya_ya написал: Значит, этот "антивирус" тут просто побочный эффект, а мешает работе антивирусов какая-то другая пакость - вероятней всего руткит.

Дак именно об этом я и писал выше..))

Slonjra написал: Единственная прога из тех что пока попалась - вот эта
http://www.simplysup.com/tremover/download.html
она платная, но имеет 30 дней Trial version - ставим ее - сканируем, она находит активность в ROOT - предлагает это заблокировать, соглашаемся,,

ilya_ya
7 октября 2009, 22:32

Slonjra написал:
Дак именно об этом я и писал  выше..))


Заполучить бы образчик зверя. Я пока с такими лично не сталкивался.
Игорь Дмитриев
14 октября 2009, 13:13
Мне кажется, у меня вирус завелся. При запуске Dr Web вылазит "Cannot load engine", и он закрывается. При попытке зайти на сайт drweb.com кроме "Невозможно найти удалённый сервер" ничего не выходит, хотя с телефона спокойно захожу. Подскажите, что этот такое и как с ним бороться?
P.S. Простите, если это уже обсуждалось, ткните носом в линк. smile.gif
sippel
14 октября 2009, 21:26

Игорь Дмитриев написал:

Переустановить антивирус, если будет капризничать, то установить другой. Если есть второй комп, то прогнать диск на нем.
bilbo
14 октября 2009, 22:41
Hosts чистый?
Если не понимаешь о чем я то читай ниже:
Зайди в C:\WINDOWS\system32\drivers\etc
Открой блокнотом файлик hosts
Там будет много строк с решёткой в начале, их не трогай
А вот ниже должно быть только -
127.0.0.1 localhost
Остальное грохни.
Это даст тебе возможность зайти на сайт. wink.gif
Okeanolog
14 октября 2009, 23:34

bilbo написал: Это даст тебе возможность зайти на сайт.

...или не даст. smile.gif
Вирус однозначно. Грузиться с LiveCD или хотя бы в безопасном режиме и лечить свежим Dr.Web CureIt!
Дальше >>
Эта версия форума - с пониженной функциональностью. Для просмотра полной версии со всеми функциями, форматированием, картинками и т. п. нажмите сюда.
Invision Power Board © 2001-2017 Invision Power Services, Inc.
модификация - Яро & Серёга
Хостинг от «Зенон»Сервера компании «ETegro»