Справка - Поиск - Участники - Войти - Регистрация
Полная версия: Кажется, в моей машине вирус...
Частный клуб Алекса Экслера > Вокруг компьютера
Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, 26, 27, 28, 29, 30, 31, 32, 33, 34
ilya_ya
14 октября 2009, 23:44

Игорь Дмитриев написал: Мне кажется, у меня вирус завелся. При запуске Dr Web вылазит "Cannot load engine", и он закрывается. При попытке зайти на сайт drweb.com кроме "Невозможно найти удалённый сервер" ничего не выходит, хотя с телефона спокойно захожу. Подскажите, что этот такое и как с ним бороться?

А microsoft.com ооткрывается?
В поддержку Dr.Web звонил/писал?
Игорь Дмитриев
15 октября 2009, 13:07

sippel написал: Переустановить антивирус, если будет капризничать, то установить другой. Если есть второй комп, то прогнать диск на нем.

Установщика антивируса-то нет!

bilbo написал: Hosts чистый?

Чистый.

Okeanolog написал: или хотя бы в безопасном режиме и лечить свежим Dr.Web CureIt!

Сейчас попробую.
Игорь Дмитриев
15 октября 2009, 13:18
Kido это был, убил его Kido Killer. На сайт заходит, сейчас перекачаю анитивирус.
Игорь Дмитриев
19 октября 2009, 10:36
Хм... Меня по несколько раз каждый день стало доставать вот это:

D:\Documents and Settings\NetworkService.NT AUTHORITY.000\Local Settings\Temporary Internet Files\Content.IE5\14F0WFP2\pxxqjjbo[1].bmp - инфицирован Win32.HLLW.Shadow.based
D:\WINDOWS\system32\x - инфицирован Win32.HLLW.Shadow.based

Антивирус - DrWeb 5.0. Что при нажатии на Удалить, что на Лечить - результат один: через какое-то время он появляется снова.
И еще: через 5-10 минут после подключения к Интернету соединение как-бы зависает, ни на один сайт не заходит, хотя подключение вроде как работает. Происходит это так: панель управления на секунду переходит в "Классический" режим, потом возвращается на место. Что интересно: после такой штуки при попытке запустить какую-нибудь игру или тот же WinAmp выдает ошибку, мол какие-то проблемы с аудио-устройством. Приходится перезагружать компьютер.
ilya_ya
19 октября 2009, 22:25

Игорь Дмитриев написал: Хм... Меня по несколько раз каждый день стало доставать вот это:

D:\Documents and Settings\NetworkService.NT AUTHORITY.000\Local Settings\Temporary Internet Files\Content.IE5\14F0WFP2\pxxqjjbo[1].bmp - инфицирован Win32.HLLW.Shadow.based

D:\WINDOWS\system32\x - инфицирован Win32.HLLW.Shadow.based


Первый случай, когда пакость отлавливается в Documents and Settings\NetworkService...\Temporary Internet Files - это атака через незакрытые дыры системы, то есть зверюга с какой-то заражённой машины в локалке пытается себя записать на диск, атакуя незакрытую дыру системы. Антивирус эту пакость отлавливает и прибивает, но она снова лезет.
Лечится установкой на систему следующих заплаток:

MS08-067 (http://www.microsoft.com/technet/security/bulletin/ms08-067.mspx);
MS08-068 (http://www.microsoft.com/technet/security/bulletin/ms08-068.mspx);
MS09-001 (http://www.microsoft.com/technet/security/bulletin/ms09-001.mspx).

Второй случай, когда та же пакость отлавливается в System32 означает, что как минимум одна учётная запись с админскими правами имеет либо простой пароль типа 12345 или admin1234, либо вообще пустой (и при этом учётке с пучтым паролем разрешён доступ к системе через сеть). Зверюга с заражённой машины подбирает пароль и стандартными средствами системы, предназначенными для удалённого управления компом, записывает себя на диск. Антивирус опять же отлавливает и прибивает, но пакость лезет снова. Надёжно лечится установкой сложных паролей на все админские учётные записи. Собственно, с такой дырой и вирусов в систему никаких можно не сажать - любой желающий может, подобрав пароль, делать с машиной всё, что угодно, используя встроенные в систему функции.

В принципе, можно обойтись и без установки заплаток и паролей, зекрыв фаерволлом (хотя бы встроенным в XP брандмауэром) порты службы доступа к файлам и принтерам, через которые в обоих случаях атакует эта пакость.

Сбои, кстати, тоже, вероятней всего, именно из-за атак на незакрытые дыры в системе (и не обязательно те, через которые лезет этот зверь). Достаточно надёжно избавиться от таких "сурпризов" можно путём установки всех критических обновлений на Windows и настройкой фаерволла по принципу "разрешаем только нужное, а всё остальное блокируем".

Ну и напоследок описание зверька:
http://news.drweb.com/show/?i=204&c=9&p=1
Этот зверь известен также под именами Kido и Conficker.
Игорь Дмитриев
21 октября 2009, 17:45
ilya_ya, спасибо за развернутый ответ. Заплатки я установил, а пароль у меня действительно был пустой. Больше не мешает smile4.gif.
До кучи спрошу еще об одной вещи. Захожу в Панель управления - Свойства папки - Вид. Ставлю отметку на "Показывать скрытые файлы и папки". Жму "Ок". Ничего не меняется, захожу туда опять, а там метка на "Не показывать". Несколько раз пытался, ничего не получается...
Slonjra
21 октября 2009, 18:23

Игорь Дмитриев:  Несколько раз пытался, ничего не получается...

Это все последствия вируса. Скорее всего он тебе и вызов Task Managera запретил. В гугле полно ссылок как вернуть это дело через правку реестра.
ilya_ya
21 октября 2009, 22:25

Игорь Дмитриев написал:
Захожу в Панель управления - Свойства папки - Вид. Ставлю отметку на "Показывать скрытые файлы и папки". Жму "Ок". Ничего не меняется

Скачай вот этот файлик ftp://ftp.drweb.com/pub/drweb/windows/plstfix.exe и запусти его, а потом перезагрузи комп - проблема должна пропасть.
Игорь Дмитриев
23 октября 2009, 12:27

ilya_ya написал: Скачай вот этот файлик ftp://ftp.drweb.com/pub/drweb/windows/plstfix.exe и запусти его, а потом перезагрузи комп - проблема должна пропасть.

Скачал. ПРоблема не пропала...

Slonjra написал: Это все последствия вируса. Скорее всего он тебе и вызов Task Managera запретил. В гугле полно ссылок как вернуть это дело через правку реестра.

Поставил CCleaner. Не помогло.
Okeanolog
23 октября 2009, 12:58

Slonjra написал: Это все последствия вируса.

Это не последствия, а именно сам существующий вирусняк делает.
Что косвенно и подтверждается:

Игорь Дмитриев написал: Скачал. ПРоблема не пропала...


Игорь Дмитриев написал: Поставил CCleaner. Не помогло.

Чистить надо машину от вредителей.
Matias
23 октября 2009, 13:00

Игорь Дмитриев [URL=https://club443.ru/t/118320/ Захожу в Панель управления - Свойства папки - Вид. Ставлю отметку на "Показывать скрытые файлы и папки". Жму "Ок". Ничего не меняется, захожу туда опять, а там метка на "Не показывать". Несколько раз пытался, ничего не получается...

Скачай MBAM и сделай полное сканирование. Полученный лог выложи сюда. Если инсталлятор MBAM или сама программа не запускаются, переименуй эезешник в explorer.exe
Matias
23 октября 2009, 15:38
Указанный мною в предыдущем посте сайт пока недоступен из-за технических проблем. MBAM можно скачать с официального сайта по этой ссылке.
Slonjra
23 октября 2009, 17:05

Игорь Дмитриев: Поставил CCleaner. Не помогло.

И не поможет. Я же говорю, гуглим, и делаем ручками. A CCleaner просто чистит рееестр от мусора, а не от вирусов
Slonjra
23 октября 2009, 17:08

Okeanolog: Это не последствия, а именно сам существующий вирусняк делает.

Не уверен..Похоже сам то вирус он почистил. А вот то что вирус поменял в правах доступа антивир обычно не лечит. Приходится ручками править через рееестр или политики.
Игорь Дмитриев
23 октября 2009, 18:11

Slonjra написал: И не поможет. Я же говорю, гуглим, и делаем ручками. A CCleaner просто чистит рееестр от мусора, а не от вирусов

Поконкретней, пожалста. Что гуглим? "Чистка реестра после Kido"?
Sergei Zhu
23 октября 2009, 19:23

Slonjra написал:
И не поможет. Я же говорю, гуглим, и делаем ручками.

Так точно. Надо поменять значение CheckedValue на 1 в
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
Игорь Дмитриев
24 октября 2009, 03:14

Matias написал: Скачай MBAM и сделай полное сканирование. Полученный лог выложи сюда. Если инсталлятор MBAM или сама программа не запускаются, переименуй эезешник в explorer.exe

Угу. Вот:

Malwarebytes' Anti-Malware 1.41
Версия базы данных: 2775
Windows 5.1.2600 Service Pack 2

24.10.2009 7:23:23
mbam-log-2009-10-24 (07-23-19).txt

Тип проверки: Полная (C:\|D:\|E:\|)
Проверено объектов: 471190
Прошло времени: 1 hour(s), 30 minute(s), 34 second(s)

Заражено процессов в памяти: 0
Заражено модулей в памяти: 0
Заражено ключей реестра: 0
Заражено значений реестра: 0
Заражено параметров реестра: 1
Заражено папок: 0
Заражено файлов: 0

Заражено процессов в памяти:
(Вредоносные программы не обнаружены)

Заражено модулей в памяти:
(Вредоносные программы не обнаружены)

Заражено ключей реестра:
(Вредоносные программы не обнаружены)

Заражено значений реестра:
(Вредоносные программы не обнаружены)

Заражено параметров реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken.

Заражено папок:
(Вредоносные программы не обнаружены)

Заражено файлов:
(Вредоносные программы не обнаружены)


Sergei Zhu написал: Так точно. Надо поменять значение CheckedValue на 1 в
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

Во всем логе он и был один -

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken.

Поменял на 1, все работает, спасибо. smile4.gif
Робеспьер
27 октября 2009, 23:18
Имел неосторожность кликнуть на "веселый" баннер. Посмотрел мельком. Потом вышел.
Теперь у меня на 3/4 рабочего стола висит объявление, что я должен оплатить по смс просмотр их "веселого"сайта. Это объявление прибито намертво поверх всех окон и рабочего стола.
Как удалить эту хрень? Что посоветуете?
Okeanolog
28 октября 2009, 00:34

Робеспьер написал: Как удалить эту хрень? Что посоветуете?

Как обычно. Dr.Web CureIt!. В твоем случае достаточно просканировать комп ею в безопасном режиме.
ilya_ya
28 октября 2009, 00:42

Робеспьер написал: Имел  неосторожность кликнуть на "веселый" баннер
...
Как удалить эту хрень? Что посоветуете?

Какой-нибудь антивирус стоит? Если да и он эту пакость не ловит, то обратиться в техподдержку антивируса.
Если нет, то для начала скачать Dr.Web CureIt и проверить систему им из безопасного режима.
Робеспьер
28 октября 2009, 03:06
У меня как раз стоит Dr.Web.
Эта утилита в него не входит ?
bilbo
28 октября 2009, 09:22

ilya_ya написал: Какой-нибудь антивирус стоит? Если да и он эту пакость не ловит

А это и не пакость. Какой-нибудь скринсейвер на который антивиру глубоко чихать.

Робеспьер написал: У меня как раз стоит Dr.Web.
Эта утилита в него не входит

Емнип, нет. Но можешь попробовать просканировать в безопасном режиме.
bilbo
28 октября 2009, 09:24
.
Робеспьер
28 октября 2009, 19:26
Ситуация разрешилась сама по себе.
Окно само исчезло через 6 часов.
Я уже собирался сканировать.smile.gif
За утилиту спасибо, пригодится.
ilya_ya
28 октября 2009, 20:37

Робеспьер написал: У меня как раз стоит Dr.Web.

В этом случае качать данную утилиту имеет смысл только если установленный Dr.Web обновиться не может - базы там одинаковые.
И если Dr.Web стоит, то и нужно сразу звонить/писать в поддержку.

РобеспьерСитуация разрешилась сама по себе.
Окно само исчезло через 6 часов.

Вполне вероятно, что кто-то другой таки выслал эту пакость в Dr.Web и после очередного обновления вирусных баз антивирус её пришиб. Но могла и самоликвидироваться- некоторые трояны этого типа так делают.

Чтобы было меньше риска подцепить снова что-нибудь аналогичное или ещё хуже, есть несколько простых рекомендаций:
1. Ставить все обновления на Windows и Internet Explorer.
2. Ставить все обновления для Adobe Flash Player и Adobe Reader, потому что многие гады сейчас лезут именно через их дыры.
3. Не ходить Internet Explorer'ом по таким ссылкам (и вообще, поменьше использовать этот браузер, потому что такой "подарочек" можно получить и с вполне благопристойного сайта) - Opera и Firefox в этом плане пока безопаснее (на Firefox рекомендую ещё навесить плагин NoScript - полезная штука, позволяющая ещё и дурацкую всплывающую рекламу зарезать).
ilya_ya
28 октября 2009, 20:39

bilbo написал:
Какой-нибудь скринсейвер на который антивиру глубоко чихать.

Скринсейвер, который самостоятельно "образовался" в системе и требует денег - это именно пакость типа трояна.
bilbo
28 октября 2009, 20:49

ilya_ya написал: Скринсейвер, который самостоятельно "образовался" в системе и требует денег - это именно пакость типа трояна.

Он образовался с помощью трояна.
По крайней мере в тех случаях с которыми сталкивался я.
bilbo
28 октября 2009, 20:52

Робеспьер написал: Ситуация разрешилась сама по себе.

"Меня терзают смутные сомнения..." ибо "Они с Тамарой ходят парой". Я бы всё таки просканировал.
ps и удали всё из temp-вых папок.
Чеширка
29 октября 2009, 18:16
Вопрос по авасту - после переустановки ХР установила аваст, закачала обновления, после чего он работать отказался. frown.gif Пишет - "Подсистема AAVM обнаружила ошибку RPS". В интернете по этой ошибке ничего путнего не нашла. Переустановка аваста ничего не дала. frown.gif
Anton
29 октября 2009, 18:31

Чеширка написала: Пишет - "Подсистема AAVM обнаружила ошибку RPS". В интернете по этой ошибке ничего путнего не нашла.

"Ошибка RPC", наверно, потому что про ошибки Rps'а действительно известно немного.
на "avast aavm rpc error" гугль выдает много чего, например:

This happens (AAVM / RPC error) when you have a 'second' antivirus application in your system. Or you did not uninstall it correctly prior avast installation.
Это происходит, если у вас есть другой антивирус в системе. Или вы некорректно удалили Аваст ранее.

Чеширка
29 октября 2009, 19:09

Anton написал: "Ошибка RPC", наверно

Точно. blush.gif

Anton написал: Это происходит, если у вас есть другой антивирус в системе. Или вы некорректно удалили Аваст ранее.

Другого антивируса нет. Аваст удаляли, насколько мне известно, корректно (с чисткой реестра вручную).
Slonjra
29 октября 2009, 19:16

Чеширка: Аваст удаляли, насколько мне известно, корректно (с чисткой реестра вручную).

Ничего себе корректно, если в ручную чистить пришлось.
Я бы удалил еще раз, перегрузился и еще раз проверил не осталось ли что от него в Programs files ну и в реестре.
Ибо похоже предыдущее удаление было не совсем правильное.
Чеширка
29 октября 2009, 21:07

Slonjra написал: Я бы удалил еще раз, перегрузился и еще раз проверил не осталось ли что от него в Programs files ну и в реестре.

Ну, предыдущий раз не я удаляла, боюсь, что самостоятельно я такое не проделаю...
Толяныч
3 ноября 2009, 15:10
Случилась неприятность - украли аккаунт на gmail. Произошло все в firefox, при входе на почтовый аккаунт gmail на странице почты у приятеля стала загораться желтая надпись, типа, сообщите свой телефон или дополнительный адрес, это нужно, если вдруг пароль забудете. Я с таким ни разу не встречался, хотя пользуюсь gmail несколько лет с разных аккаунтов и гораздо интенсивней, чем приятель. Насторожился, но поздно: через несколько дней аккаунт стал отвергать пароль (хороший пароль), восстановление пароля тоже не сработало. Плюнул, заодно переставил приятлю виндовс и завел новый аккаунт. Сейчас такая же табличка с просьбой собщить номер телефона появилась у дочери, при входе с firefox с winXP на gmail. При входе на тот же аккаунт с того же компьютера через ИЕ, или с MacBook такой таблички нет. Что это? Троян файерфокса? Где засел, если Каспер ничего не видит?
Slonjra
3 ноября 2009, 18:13

Толяныч: Что это? Троян файерфокса? Где засел, если Каспер ничего не видит?

A Kasper такое и не увидит. Проверяйтесь на трояны и роот киты. Чем-нибудь типа CureIt или malbware.
ViolatorDM
3 ноября 2009, 19:34

Толяныч написал: Что это?

Вообще-то это (восстановления пароля ч/з СМС) стандартная фича gmail'а. Аккаунт увели другим путём, полагаю.
Толяныч
3 ноября 2009, 21:50

ViolatorDM написал:
Вообще-то это (восстановления пароля ч/з СМС) стандартная фича gmail'а. Аккаунт увели другим путём, полагаю.

Может, и так. Но я ни разу не видел, что бы при работе в gmail по ходу дела задавался вопрос о номере телефона.
Робеспьер
5 ноября 2009, 18:50
Моя история получила продолжение. frown.gif
Помимо окна с требованием отплатить бабки по смс, которое затем само исчезло, появилось окошечко, что SpiderMail некорректоно установлен и с предложением установить корректно. Я это окошечко до поры до веремени игнорировал, но когда оно совсем достатало, нажал ОК.
С этого момента Винда работает 2 минуты потом появляется сообщение:
Завершение работы системы
Остановка вызвана NT Autority/System необхлодимо перезагрузить Windows.
Произошла непредвиденная остановка Службы Удаленный вызов процедур RPC.
В безопасном режиме Винда не грузится - появляется синий экран с требованием проверить машину на вирусы, проверить хардваре и т.п.
После долгой загрузки система отграничено работает ( можно открывать папки, запускать видео и аудио проигрыватели,распечатывать тексты), но нельзя например перемещать данные с диска С на диск Д. И через 2 минуты систенма вырубается и идет на перезагрузку.
Др Веб был включен не полностью.
И чо делать ?
ViolatorDM
5 ноября 2009, 20:27

Робеспьер написал: И чо делать ?

Лечиться с загрузочного диска с антивирусом и обновления ОС ставить.
ilya_ya
5 ноября 2009, 22:39

Робеспьер написал:
Др Веб был включен не полностью.
И чо делать ?

сделать то, что рекомендовал ViolatorDM, затем переустановить Dr.Web из свежего дистрибутива. Если не поможет, то обратиться в техподдержку Dr.Web.

А по поводу сбоев такой вопрос: заплатки на системе все стоят?
Робеспьер
7 ноября 2009, 18:41

ilya_ya А по поводу сбоев такой вопрос: заплатки на системе все стоят?

папка Сетевые соединения теперь стала девственно чиста.
Т.е. в инет нельзя выйти. склоняюсь к переустановке винды.
Только проблема в том, что нужные данные с диска С не перемещаются на D. (((
ilya_ya
8 ноября 2009, 09:58

Робеспьер написал:
папка Сетевые соединения теперь  стала девственно чиста.

Сначала попробовать вот это:
http://support.microsoft.com/kb/825826/ru
uksusx
12 ноября 2009, 03:13
Я бы вообще от любых вирей посоветовал лечится касперском, но не просто его поставить, а на чистой машине сделать Rescue disc и загрузившись с него, просканить систему. В этом случае все вири и особенно руткиты будут не активны, а посему - всё найдётся что он знает в глаза и удалится без проблем smile.gif
ЗолотоТа
13 ноября 2009, 19:50
Подскажите пожалуйста! (Я - совсем чайник в этом вопросе.)
Вчера запустила сканер a-sguared. Вот он мне такое выдал:
ссылка на радикал-фото

Когда я нажала "удалить" - ответил, что бяку в info-баллансе удалять в ручную нужно. И ещё какие-то кукисы не удалил.
Muzzy
28 ноября 2009, 13:49

Робеспьер написал: Т.е. в инет нельзя выйти. склоняюсь к переустановке винды.

Именно это я и сделал после появления пару дней назад подобной таблички. На третью перегрузку делать что-нибудь с компьютером стало совершенно невозможно - инет отрублен, ни одна программа не запускается, по рабочему столу тикают какие-то счетчики, отсчитывая минуты до армагеддона, а посреди экрана висит картинка, извините, с ЖПО и МПО в разных положениях.
MIsakov
3 декабря 2009, 00:48
Сегодня, весь вечер пытался лечить эту гадость, в гостях.
Симптомы следующие: порнобаннер на 2/3 экрана( и в безопасном режиме), антивирус не работает (НОД-32), менеджер задач, редактор реестра и командная строка не запускается, запущенный CureIT при сканировании с Ливе сиди (Зверь какой то) валит систему в синий экран.
AVZ4 ничего не находит.
Папок CMedia и AdSubscrible не найдено.
Разблокер не работает.
Как лечить, кто с таким сталкивался. Я в шоке, систему переставлять?
Okeanolog
3 декабря 2009, 01:19

MIsakov написал: Я в шоке, систему переставлять?

Ну, если уж с LiveCD система валится, то даже и не знаю, может, действительно быстрее будет переустановить. Если, конечно, там нет многочисленного замысловатого софта.
MIsakov
3 декабря 2009, 01:54
Вроде нет, обычный домашний набор.
Лечением или переустановкой ОСи планирую заняться в субботу, а пока софтик соберу и сам с мыслями.
ilya_ya
3 декабря 2009, 23:46

MIsakov написал:запущенный CureIT при сканировании с Ливе сиди (Зверь какой то) валит систему в синий экран.

Может, проще снять с этой машины винчестер, подключить к другому компу и запустить проверку оттуда? Или попробоватьDr.Web LiveCD.
MIsakov
3 декабря 2009, 23:58
C первым способом проблема, хард SATA а у всех знакомых IDE -шные. А второй вариант уже подготовлен, образ скачан, к субботе нарежу на диск и попробую.
Дальше >>
Эта версия форума - с пониженной функциональностью. Для просмотра полной версии со всеми функциями, форматированием, картинками и т. п. нажмите сюда.
Invision Power Board © 2001-2017 Invision Power Services, Inc.
модификация - Яро & Серёга
Хостинг от «Зенон»Сервера компании «ETegro»