В общем у меня такая проблема. Около 3 месяцев назад у меня начал виснуть комп. Когда начинаю его отключать, в сд роме раздается странный звук и он виснет, а сд ром как будто пытается что-то читать. Я сперва думал что у меня шлейф полетел. Но дело другое, у меня стоял NOD32 , когда я его удалил, проблемы исчезли, я подумал что вирус и ставлю KIS 7.0 , якобы думал что нод не нашел вируса.Поставил KIS теперь комп включается и работает 3 минуты, издается тот же звук и он виснет. Удалил KIS все исчезло. Что это может быть ??? Вирус или железо и что можно сделать ???

раздел открыт

Не берусь утверждать но видимо вирусяка засела хорошая, по описанным явлениям. Дело в том что у антивируса возникает конфликт с вирусом который в свою очередь поселился там хорошо в автозагрузке и по причине того что вирус грузится раньше антивиря то от него нет никакой пользы. Ну и следовательно удалил и все нормально но мысль же не покидает что он там сидит.
Решение попробовать антивирусом с диска проверить так называемым безустановочным, либо :cry: ... сносить Винду форматнуть диск хотя я могу конечно ошибатся. Но опыт показывает что именно этот вариант иногда более быстрый чем пытатся победить вирусяку. А если там уже их более сотни то шансов почти нет. Чисто мое мнение.

Ну это все фигня, беру я ща антивирусник, который не устанавливается, запускаю, проверяю, ничего, нет вирусов и все...

Совсем не факт, что именно вирь - может быть и аппаратная проблема, и глюки ОС. Или все вместе...

Например: драйвер антивируса перехватывает обращение к диску (и это правильно), а нестабильный контроллер IDE берет и подвешивает всю систему.:eek:

Или: нестабильный контроллер IDE дает аппаратные ошибки, драйвер пытается их исправить (у меня такое было), забирает 100% системных ресурсов, на пару с антивирьным монитором перегружает систему и...:shock:

Или: конфликт драйвера антивируса\чипсета\дискового контроллера с драйверами StarForce. Или с DaemonTools\Alcohol 120%.

В общем, конфиг бы. Да поподробнее.

На случай, если все же вирь: загрузиться с CD-версии ОС. Тогда вирус точно не сможет пролезть в память до антивируса и устроить ему темную.

Ну и: руткиты. Они могут сотворить с системой практически что угодно, и хороший руткит антивирус не обнаружит. Для этого нужны специальные программы класса Sysinternals RootkitRevealer и Rootkit Unhooker (бесплатны, к счастью).

Самый радикальный метод - переустановка ОС, конечно же (с удалением и повторным созданием логического диска). Затем установка заведомо чистого софта и проверка на работоспособность.

Попробуй при загрузке войти в безопасний режим. После загрузки Windows запусти антивиря. Или поиграйся с Avastом. Он после установки, при первой перезагрузке лезет под Винду, и проверяет все, что питается вылезть с винта.:mad:

Описанная ситуация больше напоминает проблемы с железом, чем с вирями )
Первое - попробовать переставить ось, либо поставить вторую временно рядом и посидеть под ней, посмотреть.
Если глюк остаётся - начать тестить железо.

О !!! меня явно сюдой
- вчера 08.08.07 одна машина в сети начала отсылать че-то
на разные SMTP сервера на порт 25

Подробно:
1. анализирую трафик на проксе замечаю что с определенной машины вовсю чтото уходит в инет
2. смотрю в COMODO показывает что с этой машины идет что - то
на 25 порт разных там айпи (много разных всяких)
3. Отсоединяю комп от сети
к слову на компе стоит NOD 32 2_70_39 и базы обновляються регулярно и нод "молчит"
4. Убираю НОД 32 ставлю Касперский персонал 7 KAV (не KIS)
сразу после перезагрузки он мне сообщает что
services.exe - мылит куда зря -- типа отключить процес -?
--- да отключаю ---- выскакивает окно и начинается отсчет 60 секунд и комп отключается
5. Обновляю KAV 7 ----- сканю комп , тоже ниче не видит

6. Ставлю OutPost, включаю сеть - фаер сообщает что тотже
services.exe ломиться куда нипопадя.
С помощью OutPost удалось "запереть" процесс (но этож не дело)

ПОПЫТКИ ЛЕЧЕНИЯ:
стартовал с InfraCD (Live-CD) --- сканил антивирусом NOD32 ---ничего не нашел

ремезю: мне уже даже интересно как отловить то что с помощью services почту то отправляет.

Добавлено: 13.08.07 --- все нижекуказанные методы результатов не принесли
проверка (аналогами Ad-Aware) тоже ничего не принесла

по видимому что то новое (

Как вариант проверить Ad-Aware или альтернативной AVZ , Spybot – Search & Destroy если нечего не найдут, смотреть список ниже, то что может выдавать или цепляться на services.exe. Изучаем описание каждого, ищем похожие симптомы (записи в реестре, левые файлы и т.д) в системе.
Отключить Службу сообщений (Messenger) хотя по умолчанию она должна быть выключена.
Установить обновления.

Virus:
I-Worm.Mydoom.y (http://www.viruslist.com/ru/viruses/encyclopedia?virusid=57423)
W32.Mydoom.AL@mm (http://securityresponse.symantec.com/avcenter/venc/data/[email protected])
W32.Mydoom.BA@mm (http://securityresponse.symantec.com/avcenter/venc/data/[email protected])
W32.Mydoom.AZ@mm (http://securityresponse.symantec.com/avcenter/venc/data/[email protected])
W32.Mydoom.BB@mm (http://securityresponse.symantec.com/avcenter/venc/data/[email protected])
W32.Mydoom.AX@mm (http://securityresponse.symantec.com/avcenter/venc/data/[email protected])
W32.Neveg.B@mm (http://securityresponse.symantec.com/avcenter/venc/data/[email protected])
W32.Neveg.C@mm (http://securityresponse.symantec.com/avcenter/venc/data/[email protected])
W32.Sober.O@mm (http://securityresponse.symantec.com/avcenter/venc/data/[email protected])
W32.Sober.N@mm (http://securityresponse.symantec.com/avcenter/venc/data/[email protected])
W32.Sober.N@mm!dr (http://securityresponse.symantec.com/avcenter/venc/data/w32.sober.n@mm!dr.html)
W32.Sober.S@mm (http://securityresponse.symantec.com/avcenter/venc/data/[email protected])
W32.Sober.Q@mm (http://securityresponse.symantec.com/avcenter/venc/data/[email protected])
Email-Worm.Win32.Sober.s (http://www.viruslist.com/ru/viruses/encyclopedia?virusid=95836)
TrojanDownloader.Win32.Krepper.i (http://www.viruslist.com/ru/viruses/encyclopedia?virusid=61094)
W32.Antiman.E@mm (http://securityresponse.symantec.com/avcenter/venc/data/[email protected])
W32.Conycspa.G@mm (http://securityresponse.symantec.com/avcenter/venc/data/[email protected])
W32.Autex.C (http://securityresponse.symantec.com/avcenter/venc/data/w32.autex.c.html)
Backdoor.Foobot (http://securityresponse.symantec.com/avcenter/venc/data/backdoor.foobot.html)
W32.Secefa.A (http://securityresponse.symantec.com/avcenter/venc/data/w32.secefa.a.html)
W32.Secefa.C (http://securityresponse.symantec.com/avcenter/venc/data/w32.secefa.c.html)
Email-Worm.Win32.Anker.a (http://www.viruslist.com/ru/viruses/encyclopedia?virusid=70530)

Spyware:
Spyware.NSKeyLogger (http://securityresponse.symantec.com/avcenter/venc/data/spyware.nskeylogger.html)
CWS (http://www3.ca.com/securityadvisor/pest/pest.aspx?id=453075759)
W32.Bobax.AA (http://securityresponse.symantec.com/avcenter/venc/data/w32.bobax.aa.html)
Spyware.WALogger (http://securityresponse.symantec.com/avcenter/venc/data/spyware.walogger.html)
TrojanDownloader.Win32.Krepper.i (http://www.hackzona.ru/hz.php?name=News&file=article&sid=3762)
W32.Ahker.B@mm (http://www.hackzona.ru/hz.php?name=News&file=article&sid=4028)
Trojan.Ascetic.C (http://securityresponse.symantec.com/avcenter/venc/data/trojan.ascetic.c.html)

pioner, отписал в личку, но для информации пользователям отпишу тут

Удаление червя, вируса

Для лечения можно воспользоваться следующим набором:
а) Dr.Web CureIt (http://download.drweb.com/drweb+cureit/)
б) утилита Process Explorer (http://www.microsoft.com/technet/sysinternals/ProcessesAndThreads/ProcessExplorer.mspx )
в) драйвер трезвой головы и контроллер прямых рук.
Если с пунктом в) есть сомнения, то лучше пригласите опытного товарища.

Дальнейшие действия (предполагается, что а) и б) уже скачены):
1) отключаемся от сети/internet. Закрываем все ненужные приложения.

2) распаковываем и инсталируем утилиту Process Explorer. Если в процессе инсталляции будет предупреждение о недостающем компаненте DebuggingTools - не пугайтесь, ето нормально.

3) Запускаем утилиту Process Explorer. По-умочанию, в верхней части окна Process Explorer расположено дерево процессов. Итак, опускаемся в самый низ сего дерева и находим 2 процесса по имени services.exe и один svchost .exe. Все эти процессы идут в дереве процессов один за одним в самом конце дерева. Внимание! в зависимости от модификации данного червя возможно появление одного процесса services.exe и двух svchost .exe.Но опять же - они расположены один за одним в самом конце дерева процессов.

4) После того как мы определили процессы червя в п. 3), необходимо их просто убить. Здесь нужно "бить больно, но аккуратно". Для етого в дереве процессов Process Explorerа выбираем нужный процесс из п 3) , далее правой кнопкой мыши по нему, выбираем "Kill". Эту простую операцию нужно проделать для всех трёх процессов из п. 3). Внимание!ВСЕГО ПРОЦЕССОВ ИМЕННО 3, НЕ 2 , НЕ 4...

5) Запускаем утилиту Dr.Web CureIt, либо, если имеется, антивирусный дисковый сканер. Цель проверки - директория С:\WINDOWS. Действие для объектов зараженных - удалить.

6) Запусаем редактор реестра Windows: Пуск-Выполнить-набираем regedit-ok. Ищем и аккуратно (!!!) удаляем ветку реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
Закрываем редактор реестра.

7) Далее рекомендую провести антивирусную проверку всей системы, т.к. мало ли что ещё подхватили.

Саша_:
Такая же ситуация: комп все время отправляет почту... по Вашему рецепту ничего не нашел.... Нету у меня в дереве процессов один за одним в самом конце дерева 2 процесса по имени services.exe и один svchost .exe... перепроверил секции автозагрузки в реестре - тоже ничего... Похоже что вирус внедряет себя как DLLину, потому как никаких подозрительных запускных файлов я не нашел....

DrWeb, а Dr.Web CureIt в безопасном режиме пробовали сканировать?
Фаервол какой нибудь стоит?

Dr.Web CureIt в безопасном режиме пробовали сканировать?
Фаервол какой нибудь стоит?
В качестве фаервола поставил Касперского for Windows Workstations (ставил уже после обнаружения факта рассылки писем)
Ганял в защищенном режиме и каспером и Dr.Web CureIt - ничего не находят.
соединения идут от имени процесса services.exe
убивание этого сервиса приводит до перезагрузки компа через 60 секунд.

Смотри форум http://www.nowa.cc/forumdisplay.php?f=532

Только я собрался попробовать рекомендации из предъидущего поста
как неожиданно помог symantec antivirus (я использовал его из набора Norton Internet Security) .
Нашел что-то похожее на предидущий пост ...lzx32.sys
и сам его удалил

ВСЕМ УЧАСТВОВАМШИМ В ОБСУЖДЕНИИ ПАСИБКИ

вирус zip.exe.doc simantecom не распознаётся как отслать его для добавления в базу антивируса?

уточнил для этого нужно иметь карантин центр (на серваке)
есть у когонибудь такой?

Всем привет! есть небольшая проблема - поймал такую штуку Win32/Fujacks.AD, прочитал вышесказанные способы - не помогает (пробовал). NOD его ловит через каждые 5 мин и отправляет в карантин, и так целый день. Может кто че подскажет? Заранее спасибо!

Всем привет! есть небольшая проблема - поймал такую штуку Win32/Fujacks.AD, прочитал вышесказанные способы - не помогает (пробовал). NOD его ловит через каждые 5 мин и отправляет в карантин, и так целый день. Может кто че подскажет? Заранее спасибо!
http://nowa.cc/forumdisplay.php?f=532

Доброго времени суток всем
Думаю мне в эту ветку
Столкнулся с такой проблемой на компьютер поставил AVG 7.5 только free версию, базы от 17.10.2007.
Нашел несколько троянов, ssvichost.exe ну и еще чего то. просканировано было все. Так вот проблема в следующем. При загрузке сразу же вылетает процесс exрlorer, в описании ошибки, которую предлагает отправить в MS есть ссылка на модуль mstmdm.dll, в диспечер задач войти не дает, пишет действие запрещено администратором системы, и regedit с той же формулировкой отправляет в сад. Также скрывается пукт "свойства папки" в меню "Сервис" . Если воткнуть флешку так же exрlorer вылетает, ну и в ряде других случаях. При этом на флешке появляются срытые файлы autorun.inf, desktop.dll и toumbs.dd (это уже на другом компе с определено, на котором через total comander была открыта флешка, поэтому авторан не запустился). Погуглил, нашел ссылку на RemoveIT Pro v4 Enterprise. Это шняжка и выдала что mstmdm.dll - не есть гуд, только одно но эта шняжка триал и лечить не хочет:cry:. Кто-нибудь лечил это "творение"? конечно же переустановка рассматривается как ну ооочччень крайний случай.:sos:


прошу прощения у модераторов за невнимательность (время однако)
перенесите, пожалуйста, это сообщение в соответствующую ветку обсуждений софта

Для начала просканируйте бесплатной утилитой от Dr.Web CureIt!
ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe (желательно в безопасном режиме)
Если что-то найдет попробуйте поличить..
Затем можете скачать другой антивирус, (между нами говоря АВГ не самый лучший ;) )
К примеру..
http://dl1.antivir-pe.de/down/windows/antivir_workstation_win7u_ru_hp.exe

+

Обновление
http://dl.antivir.de/down/vdf/ivdf_fusebundle_nt_en.zip

С ключом помогу..
Avira уж точно что-то найдет..

Тебе точно поможет AVZ http://z-oleg.com/secur/avz/index.php она исправляет все изменения системы после вирусной атаки, а то что у тебя червяк, это 100%, ну и естественно глубокое сканирование антивирусом, как сказано выше. А вообще, ты здесь не по теме.

спасибо за ответы, будем лечится

2Rampant
я просил модераторов перенести, пока не перенесли:quest:

Добавлено через 2 минуты

Avira уж точно что-то найдет..

а как на счет системных требований под нее, не будет тормозить?

У меня она даже не чувтвуйется..(AMD Sempron 2300+ (надо уже давно выкинуть :D) 1.58 ГГЦ, 768 ОПЕРАТИВКИ) хотя все стоит по максимуму...

Вот её оф. тебования взятые с сайта:

Computer: Pentium or higher, at least 133 MHz
Operating system: Windows 2000 / Windows XP / Windows XP x64 edition / Windows Vista 32 Bit and 64 Bit
RAM: 196 MB / 512 MB RAM for Windows Vista
50 MB free memory on the hard disk (more if quarantine is used)
100 MB temporary memory on the hard disk
Administrator rights are required for the installation

Для тяжелых случаев использую AVZ...

Как удалить этот вирус Generic Trojan :wow:

Для тяжелых случаев использую AVZ...

не помогает AVZ даже с обновленными базами

Добавлено через 1 минуту
Если очен серёзныи viruz trojan ви не трате времия его снимат, намного легче и надёжнеы все переставит заново. Поетому всегда реkомендую имет два HDD . Почти все antivirus они наxодиат но хорошыи virus trojan они снят не могут.

придется так и сделать, форматнуть его нах...

Вот тут (http://rapidshare.com/files/65767474/virus.rar) лежит новый троян, лежит в RAR-aрхиве далше SFX-архив уже сам вирус. При двойном клике исчезает. Что делат дальше незнаю но до вчерашнего дня его не какой антивирус не определял. Отправил Касперскому теперь называеться он Trojan-Spy.Win32.Agent.aix. может быть каконить другой антивирус его уже тоже определяет. Проверьте кому не лень!!! Может где нить и лечение уже есть. Заранее всем спасибо!!!

Командная строка: c:\windows\temp\startdrv.exe

c:\windows\temp\startdrv.exe
c:\windows\temp\startdrv.exe - Win32/TrojanDownloader.Agent.DEU троян - Ошибка при удаление - файл заблокирован
Количество проверенных файлов: 1
Количество найденных вирусов: 1
Количество активных вирусов: 1
Время завершения: 10:36:37 Общее время сканирования: 5 сек (00:00:05)

Примечания:
[5] Файл в настоящее время используется (открыт или запущен) и не может быть очищен сейчас. Он не может быть заменен чистой копией даже после перезапуска компьютера, поскольку он расположен не на локальном диске.



Как мне все єто убрать - только обїясните, как чайнику!!!! Пожалуйста!
Спасибо.

Я в компьютере порядочный чайник, поэтому заранее прошу прощения если скажу что-нибудь не то.
Антивирус (якобы) вычистил win32:SdBot-5102, но по-моему, не до конца. Подозрительные признаки следующие:
Диспечер задач пишет:
svchost.exe Local Service
svchost.exe Local Service
ALG.exe Network Service
svchost.exe Network Service
Причём, ALG.exe на компьютере копий больше, чем одна. Так должно быть?
Когда я жму на "завершить процесс" два из четырёх указанных приложений закрываються нормально, а два других показывают окно:

This system is shuting down. Please save all work in progress and log off. Any unsaved changes will be lost. This Shutdown was initiatad by NT AUTHORITY\SYSTEM.

Time before shutdown 00:00:31...

Massange:
Windows must now restart because the Remote Procedure Call (RPC) service terminated unexepledly...

Это действительно остатки трояна (есди да, то как можно его удалить) или нормальные виндоузовские приложения? Сообщение не само по себе появляется, а только после того, как я насильно пытаюсь завершить процесс!
Эксперты, помогите разобраться!

natasha_I,
Какой антивирь?
Когда обновлялся?
Мой совет, обнови антивирь, перегрузись в безопастный режим и начинай проверку, причем желательно не одним антивирем.

поставь avast дополнительно и проскань: ни в одной базе антивирусников не нашел этот вирус, только в авасте!

alg.exe - это служба шлюза уровня приложения (Application Layer Gateway Service), можно отрубить в Службах, навряд ли она тебе нужна.
Svchost.exe — название главного процесса для служб, запускаемых из динамически загружаемых библиотек (DLL).
Достаточно часто вирусы заражают Svchost.exe, хотя процессы Svchost.exe и alg.exe будут присутствовать у тебя даже если компьютер и не заражен (если, конечно, ALGS не отключено).
Скачай Trojan Remover и какой-нибудь антивирус, главное, чтобы базы были свежие.

поставь avast дополнительно и проскань: ни в одной базе антивирусников не нашел этот вирус, только в авасте!

Да у меня avast и стоит (обновлялся сразу перед сканированием), просканировала трижды, в том числе и в безопастном режиме и перед загрузкой, пишет, что вирусов нет. Сканировала и другими, пишут то же самое. Третьи сутки сканирую.
Но меня всё равно волнует сообщение в диспетчере задач, которое я привела в первом посте (по-английски). Может, это нормальное поведение Винды, а я принимаю его за вирус. Svshost.exe или agl.exe могут потребовать перезагрузку, если их насильно завершить?

natasha_I, Svshost.exe или agl.exe могут потребовать перезагрузку, если их насильно завершить? я думаю что легко.
Попробуй поставить NOD32 или AVZ, если не хочешь касперыча и пройдись ими, для пущего спокойствия.
Касперыч это определяет как: Backdoor, троянская программа удаленного администрирования
Технические детали


Семейство вредоносных программ удалённого администрирования типа backdoor. Позволяют управлять компьютером-жертвой удалённо, посылая команды через каналы IRC.
Установка

В зависимости от версии программа копирует себя в системную директорию или во вложенные директории. Также она настраивает свою копию для автоматического выполнения при старте Windows, записывая значение в один из следующих ключей реестра:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunServices]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run]

Название значения зависит от версии программы.
Проявления

Программа соединяется с различными серверами IRC, подключается к указанному в её теле каналу, и получает команды удалённого управления от её «хозяина». Команды удалённого управления позволяют загружать и запускать на компьютере удалённые файлы, выполнять функции IRC прокси-сервера, подключаться к каналам IRC и посылать в них сообщения, а также отсылать удалённым компьютерам UDP и ICMP пакеты. Удачи!!!

Проверила тут всем, чем мне посоветовали, никто ничего нигде не нашёл. По-видимому, ложная тревога. В любом случае всем спасибо.

Всем привет!

Поставил AVZ, комп начал глючить!

выдал во время проверки:
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=0808E0)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 80400000
SDT = 804808E0
KiST = 804721E8 (248)
Функция NtClose (18) перехвачена (8044EAF4->BFFBF818), перехватчик C:\WINNT\system32\Drivers\ST77bus.sys
Функция NtCreateKey (23) перехвачена (80511E50->BFFBF7D0), перехватчик C:\WINNT\system32\Drivers\ST77bus.sys
Функция NtCreatePagingFile (27) перехвачена (804CC89C->BFFB3A20), перехватчик C:\WINNT\system32\Drivers\ST77bus.sys
Функция NtEnumerateKey (3C) перехвачена (8051263E->BFFB42A8), перехватчик C:\WINNT\system32\Drivers\ST77bus.sys
Функция NtEnumerateValueKey (3D) перехвачена (80512894->BFFBF910), перехватчик C:\WINNT\system32\Drivers\ST77bus.sys
Функция NtOpenFile (64) перехвачена (804A8416->BFFD9B40), перехватчик C:\WINNT\system32\Drivers\a347bus.sys
Функция NtOpenKey (67) перехвачена (805133F2->BFFBF794), перехватчик C:\WINNT\system32\Drivers\ST77bus.sys
Функция NtQueryKey (8B) перехвачена (80513672->BFFB42C8), перехватчик C:\WINNT\system32\Drivers\ST77bus.sys
Функция NtQueryValueKey (9B) перехвачена (80513908->BFFBF866), перехватчик C:\WINNT\system32\Drivers\ST77bus.sys
Функция NtSetSystemPowerState (D1) перехвачена (8048B7B6->BFFBF0B0), перехватчик C:\WINNT\system32\Drivers\ST77bus.sys
Функция NtBuildNumber (8046CD9C) - модификация машинного кода. Метод не определен., внедрение с байта 12
Проверено функций: 248, перехвачено: 10, восстановлено: 0

Это что такое???

Всем привет!

Поставил AVZ, комп начал глючить!

выдал во время проверки:
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=0808E0)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 80400000
SDT = 804808E0
KiST = 804721E8 (248)
Функция NtClose (18) перехвачена (8044EAF4->BFFBF818), перехватчик C:\WINNT\system32\Drivers\ST77bus.sys
Функция NtCreateKey (23) перехвачена (80511E50->BFFBF7D0), перехватчик C:\WINNT\system32\Drivers\ST77bus.sys
Функция NtCreatePagingFile (27) перехвачена (804CC89C->BFFB3A20), перехватчик C:\WINNT\system32\Drivers\ST77bus.sys
Функция NtEnumerateKey (3C) перехвачена (8051263E->BFFB42A8), перехватчик C:\WINNT\system32\Drivers\ST77bus.sys
Функция NtEnumerateValueKey (3D) перехвачена (80512894->BFFBF910), перехватчик C:\WINNT\system32\Drivers\ST77bus.sys
Функция NtOpenFile (64) перехвачена (804A8416->BFFD9B40), перехватчик C:\WINNT\system32\Drivers\a347bus.sys
Функция NtOpenKey (67) перехвачена (805133F2->BFFBF794), перехватчик C:\WINNT\system32\Drivers\ST77bus.sys
Функция NtQueryKey (8B) перехвачена (80513672->BFFB42C8), перехватчик C:\WINNT\system32\Drivers\ST77bus.sys
Функция NtQueryValueKey (9B) перехвачена (80513908->BFFBF866), перехватчик C:\WINNT\system32\Drivers\ST77bus.sys
Функция NtSetSystemPowerState (D1) перехвачена (8048B7B6->BFFBF0B0), перехватчик C:\WINNT\system32\Drivers\ST77bus.sys
Функция NtBuildNumber (8046CD9C) - модификация машинного кода. Метод не определен., внедрение с байта 12
Проверено функций: 248, перехвачено: 10, восстановлено: 0

Это что такое???

Это вирусок резедентный помоему. Пробуй Нодом32 просканить и Каспером!

Добавлено через 1 минуту
И ещё, отошли файл
C:\WINNT\system32\Drivers\ST77bus.sys

На проверку к Касперскому и Ноду32.

Добавлено через 2 минуты
И ещё, отошли файл
C:\WINNT\system32\Drivers\ST77bus.sys

На проверку к Касперскому и Ноду32.

Добавлено через 4 минуты
И ещё, отошли файл
C:\WINNT\system32\Drivers\ST77bus.sys

На проверку к Касперскому и Ноду32.

SteveMcLain, перехватчик - это Daemon Tools или Alcohol 120%. Ему надо, по другому не получится.
w32stator, не надо его проверять, это драйвер виртуального диска. Тем более не надо проверять три раза.:)

Завелось вот это чудо: Win32/Tenga.gen virus. Стоит NOD32 AntiVirus 3.0.566.0, он все сливает в карантин. Особенно любит файлы *exe. Подскажите чем лечить или как себе защитить. :(

Слушай чувак ты наверное знаешь такую прогу как Cureit dr web попробуй её :cool:

.. народ ..
Не секрет что последнее время троянчики с так называемым "рассыпающимся эффектом" уже за маяли всех ...
чтоб этот рассыпчатый червячек собрался заново .. хватит небольшого безобидного скрипта.. .. полученного через веб страничку или асю..
При чем мелкие кусочки "выдрать" из системы - головняк не хилый..
.. а их все больше и больше .. а тупых-любопытных Юзверей хватает ..
.. сам использую НОД 32.. в паре с сервер-Симантек антивирусом.. они справляются на 70% :(
..
кого бить?.. :wow:
идея про бензопилу... уже не канает .. посадят ..

у меня сетка больше 100 компов. Нет вирусов знаешь почему? потому, что руки есть (не в обиду) умно настроеный корпоративный фаервол - это 90% залога безопасности от вирусов в том числе. А остальные 10% - но тут уже нужно БДИТЬ.

Вообще Нод и без симантека нормально справлятеся, но фаервол должен присутствовать 100%!

О !!! меня явно сюдой
- вчера 08.08.07 одна машина в сети начала отсылать че-то
на разные SMTP сервера на порт 25

Подробно:
1. анализирую трафик на проксе замечаю что с определенной машины вовсю чтото уходит в инет
2. смотрю в COMODO показывает что с этой машины идет что - то
на 25 порт разных там айпи (много разных всяких)
3. Отсоединяю комп от сети
к слову на компе стоит NOD 32 2_70_39 и базы обновляються регулярно и нод "молчит"
4. Убираю НОД 32 ставлю Касперский персонал 7 KAV (не KIS)
сразу после перезагрузки он мне сообщает что
services.exe - мылит куда зря -- типа отключить процес -?
--- да отключаю ---- выскакивает окно и начинается отсчет 60 секунд и комп отключается
5. Обновляю KAV 7 ----- сканю комп , тоже ниче не видит

6. Ставлю OutPost, включаю сеть - фаер сообщает что тотже
services.exe ломиться куда нипопадя.
С помощью OutPost удалось "запереть" процесс (но этож не дело)

ПОПЫТКИ ЛЕЧЕНИЯ:
стартовал с InfraCD (Live-CD) --- сканил антивирусом NOD32 ---ничего не нашел

ремезю: мне уже даже интересно как отловить то что с помощью services почту то отправляет.

Добавлено: 13.08.07 --- все нижекуказанные методы результатов не принесли
проверка (аналогами Ad-Aware) тоже ничего не принесла

по видимому что то новое (

Было такое !...
дейсвовал так же ....
птом
взял .. поставил все доступные критические обновления на винду ..
перегрузил ...
и антивирусники заработали!!!!!! :)) и начали находить и мачить червей ..... и вырезать из реестра..
был простой старый 2СП ХРюши !
потом "на всякий" .. сменил порты на почтовом серваке .. поп и смтп .. и перестроил у всех почтовые проги .... на Фаере наглухо закрыл 25 и 110 порты .. червячки некоторые не могут сообразить... что тропки другие..

Добавлено через 5 минут
у меня сетка больше 100 компов. Нет вирусов знаешь почему? потому, что руки есть (не в обиду) умно настроеный корпоративный фаервол - это 90% залога безопасности от вирусов в том числе. А остальные 10% - но тут уже нужно БДИТЬ.

Вообще Нод и без симантека нормально справлятеся, но фаервол должен присутствовать 100%!

да есть файер ....
из нета лезет мелко-мелко ...
основная угроза с флэшек и сидюков Юзверей...
...
сам .. с активными антивирями .. пробовал инфицировать . с флэшки или сидюка. не получилось ...
нажрался.. в свой ДР .. приполз на работу .. по "шутил" над компом .. таки зарозил .. вывод .. все Юзвери пяные ! на работе ! :) или полоскают рот для запаха..

..
к стати .. просматривал тут предыдущие сообщения ...
....
с перегрузкой системы .. и счетчик назад тикает ...
давно ввел себе привычку делать файлик на рабочем столе...
скажем neebet.cmd в котором одна строка shutdown /a
и все :)

Несколько дней назад Windows Defender выдал сообщение, что зарегестрирован загрузчик троянов по адресу C:\Windows\AutoUpdateWin31.dll
Я соответсвенно его удалил, но потом заметил что не запускается taskmng. Пишет что отключон админом. Незнаю связаны ли эти события, но прошу помочь разобраться. Заранее спасибо.
P. S. У меня Vista Home Premium если кого интересует

Да, нагадил троян. Что за антивирус установлен в системе, что допустил такое безобразие?
Удачи:-))

Дело было так. У меня брат принес флэшку с работы, с прогами на мобилу.Потом на следующий день у меня в папке появился "Клон", т.е. В папке была точна такая же папка, с таким же названием, но при открытии ее комп начал тормозить. Я на это не обратил внимания, но оказалось что это был вирус который все папки копирует, и при открывании которых, внутри оказывается инфа с других папок! И все эти копии весили 52 кв. Кто подскажет что это за вирус? И как с ним бороться?

На компьютере появились документы, явно подправленные каким то вирусом или трояном, антивирусы не видят ничего подозрительно, однако, очень много вордовских документов переписаны, вместо содержимого пользователя там три строки:
Скупой платит дважды, а вы трижды!
Скупой платит дважды, а вы трижды!
Скупой платит дважды, а вы трижды!
и все, документы испорчены, кто встречался и что делать ?

Привет Всем!
Словил с флешки такую заразу
http://i026.radikal.ru/0712/04/7cb737c9c2a4.jpg
теперь диски C:\ и D:\ не открываются....
при выборе открыть, появляется вопрос с помощью чего открывать....

Ну вирус у вас был, теперь он удален, но запись в автозагрузке осталась.
Самый простой вариант: Пуск - Выполнить - msconfig - Автозагрузка - снять с него отметку, если он там есть.
Если же его нет, то запустите поиск по реестру: Пуск - Выполнить - regedit - Ctrl+F - и напишите в каких разделах и параметрах содержится запись об этом самом exploracy.exe

Можно предположить сразу, что если в мсконфиге его не будет, то прописался он в разделе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
в параметр shell - значение этого параметра должно быть explorer.exe
Или может explorasi.exe ?
Подправте в реестре ветку [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe %Windir%\eksplorasi.pif"
То что выделено - удалите.


Не открываются локальные диски в проводнике

При попытке открыть локальные диски в проводнике может наблюдаться одна из следующих проблем.
Появляется диалоговое окно выбора программы для открытия файлов (Открыть с помощью)
В контекстном меню дисков первым пунктом установлен Автозапуск
В контекстном меню дисков вместо пункта Открыть другое название проблема вызвана последствиями действия вирусов, которые помещают на все локальные диски файлы autorun.inf или autorun.bin.
Для решения проблемы проверьте систему на наличие вирусов антивирусной программой.
Проверьте в реестре, в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon значение параметра Userinit оно должно быть следующим:
C:\WINDOWS\system32\userinit.exe,
(при условии, что системным диском является диск С)
Настройте проводник Windows на отображение скрытых и системных файлов и удалите со всех дисков файлы autorun.*
Для настройки отображения скрытых и системных файлов проделайте следующее:
В проводнике нажмите Сервис и выберите пункт меню Свойства папки
Перейдите на вкладку Вид
Снимите отметку с параметра Скрывать системные защищенные файлы
Отметьте параметр Показывать скрытые файлы и папки
Снимите отметку с параметра Скрывать защищенные системные файлы
Нажмите ОК
Если выполнение этих действий не решит проблему, сохраните код
Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\Drive]
@="Устройство"
"EditFlags"=hex:d2,01,00,00

[HKEY_CLASSES_ROOT\Drive\DefaultIcon]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00 ,52,00,6f,00,6f,00,74,00,25,00,5c,00,53,00,79,00,7 3,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,68, 00,65,00,6c,00,6c,00,33,00,32,00,2e,00,64,00,6c,00 ,6c,00,2c,00,38,00,00,00,00,00

[HKEY_CLASSES_ROOT\Drive\shell]
@="none"

[HKEY_CLASSES_ROOT\Drive\shell\find]
"SuppressionPolicy"=dword:00000080

[HKEY_CLASSES_ROOT\Drive\shell\find\command]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00 ,52,00,6f,00,6f,00,74,00,25,00,5c,00,45,00,78,00,7 0,00,6c,00,6f,00,72,00,65,00,72,00,2e,00,65,00,78, 00,65,00,00,00,00,00

[HKEY_CLASSES_ROOT\Drive\shell\find\ddeexec]
@="[FindFolder(\"%l\", %I)]"
"NoActivateHandler"=""

[HKEY_CLASSES_ROOT\Drive\shell\find\ddeexec\applica tion]
@="Folders"

[HKEY_CLASSES_ROOT\Drive\shell\find\ddeexec\topic]
@="AppProperties"

[HKEY_CLASSES_ROOT\Drive\shellex]

[HKEY_CLASSES_ROOT\Drive\shellex\ContextMenuHandler s]

[HKEY_CLASSES_ROOT\Drive\shellex\ContextMenuHandler s\Kaspersky Anti-Virus]
@="{dd230880-495a-11d1-b064-008048ec2fc5}"

[HKEY_CLASSES_ROOT\Drive\shellex\ContextMenuHandler s\Offline Files]
@="{750fdf0e-2a26-11d1-a3ea-080036587f03}"

[HKEY_CLASSES_ROOT\Drive\shellex\ContextMenuHandler s\Sharing]
@="{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}"

[HKEY_CLASSES_ROOT\Drive\shellex\ContextMenuHandler s\{D6791A63-E7E2-4fee-BF52-5DED8E86E9B8}]
@="Portable Devices Menu"

[HKEY_CLASSES_ROOT\Drive\shellex\DragDropHandlers]

[HKEY_CLASSES_ROOT\Drive\shellex\DragDropHandlers\W inRAR]
@="{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

[HKEY_CLASSES_ROOT\Drive\shellex\FolderExtensions]

[HKEY_CLASSES_ROOT\Drive\shellex\FolderExtensions\{ fbeb8a05-beee-4442-804e-409d6c4515e9}]
@=""
"DriveMask"=dword:00000020

[HKEY_CLASSES_ROOT\Drive\shellex\PropertySheetHandl ers]

[HKEY_CLASSES_ROOT\Drive\shellex\PropertySheetHandl ers\Sharing]
@="{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}"

[HKEY_CLASSES_ROOT\Drive\shellex\PropertySheetHandl ers\{1F2E5C40-9550-11CE-99D2-00AA006E086C}]

[HKEY_CLASSES_ROOT\Drive\shellex\PropertySheetHandl ers\{596AB062-B4D2-4215-9F74-E9109B0A8153}]
@=""

[HKEY_CLASSES_ROOT\Drive\shellex\PropertySheetHandl ers\{7988B573-EC89-11cf-9C00-00AA00A14F56}]
@=""

[HKEY_CLASSES_ROOT\Drive\shellex\PropertySheetHandl ers\{ECCDF543-45CC-11CE-B9BF-0080C87CDBA6}]

[HKEY_CLASSES_ROOT\Drive\shellex\PropertySheetHandl ers\{fbeb8a05-beee-4442-804e-409d6c4515e9}]
@=""

в текстовый файл, присвойте ему расширение *.reg, запустите и согласитесь с внесением изменений в реестр.
Предварительно обязательно сделайте резервную копию реестра.

теперь диски C:\ и D:\ не открываются....
при выборе открыть, появляется вопрос с помощью чего открывать....
Щелкни правой кнопкой по диску: увидишь Открыть - не поумолчанию, по умолчанию скорее всего стоит что нибуть типа Drive(0) или что то иное, если стоит Авторан, то просто выбири опцию открыть отобрази скрытые файлы и удали файлик autoran.inf.

Если Drive(0) или что-то подобное, то открывай реестр, заноси в строку поиска Drive(0) и удаляй все строки где эта ботва присутствует.

Мне лично много раз помогало. Кстати 6 каспер для воркстейшен релиз 678 (это не реклама каспера :), есть свои недоработки но...) - сейчас делает эту вещь автоматически, но уже поздно.
Удачи...

Когда не можеш удалить или вылечить файл (используется системой), можно загрузиться с диска LIV-CD т.е. с чистой виндой и запустить скажем утилиту от DRWEB. Чистая виндовс не использует этот файл и по этому с легкостью позволит его удалить. Но запускается он скорее всего из реестра, поэтому возможно придется в Regedit запустить поиск данного файла, и удалить записи о нем. Если файл системный то находясь в чистой винде можно просто его переписать, мне так кажется.

RootkitRevealer нашел ;InprocServer32; HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32*______определил как угрозу. Удалить НЕ может!? ________Подскажите;что за зверь&:-(.

RootkitRevealer нашел ;InprocServer32; HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32*______определил как угрозу. Удалить НЕ может!? ________Подскажите;что за зверь&:-(.

Вообще-то INproc serv - это то,что некоторые проги как "Неро" добавляют в Autorun - вот вставил, например, DVD в дисковод,выскочило меню - чем открыть - так вот это все Inprocserver-ы....

Здесь на 2baksa.net лежит Тотал коммандер
с вирусом шибко хитрым

Файл Mswtif.dll получен 2007.11.05 22:24:39 (CET)

Текущий статус: закончено
Результат: 3/31 (9.68%)
Форматированные Форматированные
Печать результатов Печать результатов
Антивирус Версия Обновление Результат
AhnLab-V3 - - -
AntiVir - - -
Authentium - - Possibly a new variant of W32/CodeCru-based!Maximus
Avast - - -
AVG - - -
BitDefender - - -
CAT-QuickHeal - - -
ClamAV - - -
DrWeb - - -
eSafe - - -
eTrust-Vet - - -
Ewido - - -
FileAdvisor - - -
Fortinet - - -
F-Prot - - W32/CodeCru-based!Maximus
F-Secure - - -
Ikarus - - Trojan-Spy.Win32.Agent.rb
Kaspersky - - -
McAfee - - -
Microsoft - - -
NOD32v2 - - -
Norman - - -
Panda - - -
Rising - - -
Sophos - - -
Sunbelt - - -
Symantec - - -
TheHacker - - -
VBA32 - - -
VirusBuster - - -
Webwasher-Gateway - - -
Дополнительная информация
MD5: 472f3ca7b2d92bd5b3c351e101fd5451

Не поставил бы Ikarus - не нашел бы.

А вы уверены что это не ложная тревога? :) Всетаки 3 и 31 мягко говоря ни о чем не говорит

А вы уверены что это не ложная тревога? :) Всетаки 3 и 31 мягко говоря ни о чем не говорит

Вот вот...напоминает false positive....

Надо запустить и увидеть чаво будет....мож format c: :razz:

А вот тут вот http://www.nowa.cc/showpost.php?p=1340555&postcount=263 - терзают меня смутные сомнения...

я отправил файл пока на [email protected]
подождем

Почему я считаю, что это не false positive ?
смотрим анализ обнаружения свежих вирусов разными антивирусами за декабрь
удалил ссылку

На диаграмме видно, что антивирь Ikarus мало вирусов находит за счет эвристических анализов и совсем не находит подозрительных на вирус.

из более чем 210 свежих вирусов он один точно определил более 100

Это не вирь, это дилка программулины fitW (fine tuning of Windows)
Утилита для тонкой настройки Windows в версии 4.4.5.5100
добавлена поддержка Vista и Windows Server 2003

Прошу у всех помощи..
столкнулся с ТАКИМ вирусом что ужас какой-то..
Суть вируса в том что не могу зайди на диск D через обычную менюшку(могу просматривать только через ACDsee, даже проводник не берет...), но это не самое страшное.компьютер перестал воспринимать USB от моего телефона, от плеера друга и т.д...я так понял он еще поражает драйвера этих устройств..потому что флэшка(с которой я походу и принес вирус) работает на моем компьютере..
Борюсь я с этим вирусом уже пол года(если не больше..), ничего его не берет..сканировал комп при помощи нод32, касперского7, доктор вэба, авиры..ничего его не берет..и не обнаруживает..я в ужасе :cry::cry::cry:

Пожалуйста помогите..буду очень признателен):sos::sos:

mantikora, может загрузиться с загрузочного аварийного диска с антивирем, им проверить? может быть, винда просто не даёт просканить некоторые папки/файлы.
или зайти в линукс, там кажется есть антивири для проверки виндозных файлов.

проблема в том что пока возможности установить линукс нету..(так кстати мой друг вылечил этот вирус(который к нему попал тоже с моей флэшки..) )
а с виндой вообще дрова так как не могу ее переустановить потому что пишет ядро повреждено..

Попробуйте так:
Пуск-Выполнить:
cmd.exe

В окошке коммандной строки пишем:
dir d:
dir d: /a:H
dir d: /a:S
dir d: /a:H /a:S
И результаты выполнения каждой комманды в студию.

(99% что у Вас обыкновенный AutoRun-вирус, который распространяется через Flash-носители... такие вирусы развиваются довольно быстро - 10-15 минут на создание принципиально нового носителя - поэтому антивирусами обнаруживаются редко, но, несмотря на сложность в обнаружении, удаление элементарно - удаляем файлы с именем autorun.* из корневой директории диска вместе с файлами, на которые ссылается autorun.inf.)

а может, дело не в вирусе, а в кривой винде? или, возможно, аппартная проблема?

Попробуйте так:
Пуск-Выполнить:
cmd.exe

В окошке коммандной строки пишем:
dir d:
dir d: /a:H
dir d: /a:S
dir d: /a:H /a:S
И результаты выполнения каждой комманды в студию.

(99% что у Вас обыкновенный AutoRun-вирус, который распространяется через Flash-носители... такие вирусы развиваются довольно быстро - 10-15 минут на создание принципиально нового носителя - поэтому антивирусами обнаруживаются редко, но, несмотря на сложность в обнаружении, удаление элементарно - удаляем файлы с именем autorun.* из корневой директории диска вместе с файлами, на которые ссылается autorun.inf.)
распространилось только на диск D а С в норме..насчет авторана я уже пробывал удалять его..удалил с диска D но все таже история..ну даже то что диск D не открывается я как-то пережить могу..через АСДси уже привык заходить..самое главное чтобы восстановить драйвера(или в чем там дело) к телефону,мп3 плееру..потому как комп их просто не видит..

Добавлено через 4 минуты
Microsoft Windows XP [Версия 5.1.2600]
(С) Корпорация Майкрософт, 1985-2001.

C:\Documents and Settings\MaNtIkOrA F-1>dir d:
Том в устройстве D не имеет метки.
Серийный номер тома: 08E0-235C

Содержимое папки D:\

13.08.2007 02:12 40*773 1.jpg
27.04.2007 17:37 <DIR> 100.themes.for.Xp.With.installation.pack
18.07.2007 22:26 7*017 59658059.jpg
18.07.2007 22:25 6*901 877217709.jpg
04.08.2007 13:14 <DIR> AusLogics_BoostSpeed_3.7.1.678
21.07.2007 15:27 4*923 avatara_100x100.jpg
27.05.2007 19:41 <DIR> AVI+DVD
22.05.2007 14:12 <DIR> azerus torrent
01.10.2007 16:31 <DIR> Delphi 10 Lite
23.09.2007 19:30 10*472*615 dosty4atsa_do_nebes.avi
27.06.2007 20:48 <DIR> Download Master
02.10.2007 19:39 <DIR> equilibrium_music
18.12.2007 11:53 <DIR> fifa2008
04.12.2006 11:28 <DIR> flash player
24.10.2007 00:06 367*810*560 Heroes.S02E05.[MaxMeister.Jordanna-KvadratMa
levicha.ru].[sponsor-Realtrader.ru].avi
14.11.2007 01:29 407*717*888 Heroes.S02E08.[MaxMeister.Jordanna-KvadratMa
levicha.ru].[sponsor-Realtrader.ru].avi
22.12.2007 02:26 <DIR> IRC client
21.06.2007 20:00 <DIR> JAVA
24.04.2007 16:55 <DIR> kodeks
04.01.2006 12:15 <DIR> Laboratorki
05.05.2007 18:11 <DIR> Linkin Park - Minutes To Midnight (2007) [32
0]+1 new song
27.06.2007 23:09 43*110*400 LPRussia.com-05-What_I_ve_Done.avi
22.05.2007 13:04 18*097*678 LPRussia.com-wid_alt.flv
02.01.2007 22:38 <DIR> Mailagent
23.04.2007 23:47 <DIR> Mtorrent
01.09.2007 15:26 <DIR> multitul
19.11.2007 10:15 <DIR> Music
22.04.2007 21:14 <DIR> Power archiver 2007
23.04.2007 23:41 <DIR> proga
20.06.2007 21:37 <DIR> Saundtrecks
19.10.2006 19:07 <DIR> дискеты
17.11.2006 16:03 <DIR> Заставка входа в windows
11.02.2007 19:59 <DIR> интернет
10.09.2007 16:40 <DIR> инэт
11.02.2007 19:55 <DIR> карандаш
26.04.2007 17:25 <DIR> кодэки
11.02.2007 22:24 <DIR> навод_красоты_на_рабочем столе
01.01.2008 17:56 <DIR> Новая папка
27.12.2006 19:33 <DIR> оптимизация работы компьютера
23.10.2005 13:38 <DIR> Открытки
12.12.2007 21:21 <DIR> поиск по фтп
17.11.2006 16:05 <DIR> прога для работы с телефоном
27.12.2006 20:09 <DIR> Программа для битрейда
23.04.2007 14:05 <DIR> проигрыватель для проигрывания поврежденных
аудио файлов
23.10.2006 23:35 <DIR> работа с фото
13.06.2007 17:45 <DIR> рингтоны на телефон
03.05.2007 11:29 <DIR> Создавать сайты
04.01.2007 23:55 <DIR> Сэйвы со всех игр
19.05.2007 17:57 <DIR> торренты
19.08.2005 19:25 <DIR> Ускорение интернета
06.04.2007 17:47 <DIR> Ускорение интернета(скорость модема...)
07.05.2007 15:48 <DIR> хак
9 файлов 847*268*755 байт
43 папок 4*218*892*288 байт свободно

C:\Documents and Settings\MaNtIkOrA F-1>dir d: /a:h
Том в устройстве D не имеет метки.
Серийный номер тома: 08E0-235C

Содержимое папки D:\

23.06.2005 19:09 285 desktop.ini
17.08.2004 00:23 4*533 ffastun.ffa
17.08.2004 00:23 368*640 ffastun.ffl
17.08.2004 00:23 45*056 ffastun.ffo
17.08.2004 00:23 458*752 ffastun0.ffx
17.08.2004 14:34 335*073*280 hiberfil.sys
27.10.2007 23:17 <DIR> msdownld.tmp
28.11.2005 13:19 <DIR> MSOCache
02.01.2008 14:23 104*857*600 pagefile.sys
01.01.2000 18:24 <DIR> RECYCLED
09.11.2007 10:11 <DIR> RECYCLER
09.11.2007 10:11 <DIR> System Volume Information
29.10.2007 16:24 58*880 Thumbs.db
26.10.2006 14:11 9*820 TPhoto.prp
9 файлов 440*876*846 байт
5 папок 4*218*892*288 байт свободно

C:\Documents and Settings\MaNtIkOrA F-1>dir d: /a:s
Том в устройстве D не имеет метки.
Серийный номер тома: 08E0-235C

Содержимое папки D:\

23.06.2005 19:09 285 desktop.ini
17.08.2004 14:34 335*073*280 hiberfil.sys
02.01.2008 14:23 104*857*600 pagefile.sys
01.01.2000 18:24 <DIR> RECYCLED
09.11.2007 10:11 <DIR> RECYCLER
09.11.2007 10:11 <DIR> System Volume Information
29.10.2007 16:24 58*880 Thumbs.db
4 файлов 439*990*045 байт
3 папок 4*218*892*288 байт свободно


C:\Documents and Settings\MaNtIkOrA F-1>dir d: /a:H/a:S
Том в устройстве D не имеет метки.
Серийный номер тома: 08E0-235C

Содержимое папки D:\

23.06.2005 19:09 285 desktop.ini
17.08.2004 14:34 335*073*280 hiberfil.sys
02.01.2008 14:23 104*857*600 pagefile.sys
01.01.2000 18:24 <DIR> RECYCLED
09.11.2007 10:11 <DIR> RECYCLER
09.11.2007 10:11 <DIR> System Volume Information
29.10.2007 16:24 58*880 Thumbs.db
4 файлов 439*990*045 байт
3 папок 4*218*892*288 байт свободно

C:\Documents and Settings\MaNtIkOrA F-1>

Добавлено через 8 минут
а может, дело не в вирусе, а в кривой винде? или, возможно, аппартная проблема?

нет не думаю..так как у друга началось тоже самое после использования моей флэшки..

Мда... Интересная ситуация... Просмотрите раздел автозапуска реестра, отключите все "сомнительные" службы, опишите подробнее что именно происходит при попытке доступа к диску D.

Еще посмотрите в реестре значения касательно MountPoints (иногда такие бацилы прописывают туда комманды ShellOpen и т.д. в результате получается, что файлов авторана нет, а комманда выполняется).

USB-устройства не видятся вообще? (даже не опознаются, как неизвестные?)

P.S.: а у друга совета спросить?
P.P.S.: тельце бацилы можно увидеть?

Мда... Интересная ситуация... Просмотрите раздел автозапуска реестра, отключите все "сомнительные" службы, опишите подробнее что именно происходит при попытке доступа к диску D.

Еще посмотрите в реестре значения касательно MountPoints (иногда такие бацилы прописывают туда комманды ShellOpen и т.д. в результате получается, что файлов авторана нет, а комманда выполняется).

USB-устройства не видятся вообще? (даже не опознаются, как неизвестные?)

P.S.: а у друга совета спросить?
P.P.S.: тельце бацилы можно увидеть?

как уже писал ранее друг избавился от него при помощи линукса..у меня на данный момент установить линукс нет возможности поэтому надо как-то выкрутиться без него..
тельца нету так как антивирусы не находят ее((
при попытке доступа к D задача "мой компьютер" зависает..и пока не снимешь задачу "мой компьютер" через диспетчер не фурычит..
usb работает только для флэшки..а устройства типа плееров и телефонов со временем исчезают(комп их не видит..)..причем это относится ко всем usb портам..еще принтер работает..
можете объяснить как работать с реестром и что там прописать..а то я в этом не сильно шарю??

ельца нету так как антивирусы не находят ее((
Ну... хотя бы что то, чтобы подцепить такой вирус есть?..

при попытке доступа к D задача "мой компьютер" зависает..
Total Commander`ом пробовали?

usb работает только для флэшки..а устройства типа плееров и телефонов со временем исчезают(комп их не видит..)..причем это относится ко всем usb портам..еще принтер работает.
Ну... Это больше похоже на глюк Винды.

можете объяснить как работать с реестром и что там прописать..а то я в этом не сильно шарю??
Ну... Тут так просто не объяснишь. Вот пример:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2\{66f93046-729c-11dc-819f-00137728efa3}]
"BaseClass"="Drive"
"_AutorunStatus"=hex:01,01,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff, ff,ff,ff,ff,\
ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff ,ff,ff,ff,ff,ff,ff,ff,ff,\
ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff ,ff,ff,ff,ff,ff,ff,ff,ff,\
ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,00,00,10 ,00,00,08,00,00,00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2\{66f93046-729c-11dc-819f-00137728efa3}\Shell]
@="Open"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2\{66f93046-729c-11dc-819f-00137728efa3}\Shell\AutoRun]
"Extended"=""

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2\{66f93046-729c-11dc-819f-00137728efa3}\Shell\AutoRun\command]
@="H:\\"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2\{66f93046-729c-11dc-819f-00137728efa3}\Shell\explore]
@=""

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2\{66f93046-729c-11dc-819f-00137728efa3}\Shell\explore\Command]
@="H:\\system_v.exe .\\system_v.exe .exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2\{66f93046-729c-11dc-819f-00137728efa3}\Shell\open]
@="Открыть"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2\{66f93046-729c-11dc-819f-00137728efa3}\Shell\open\Command]
@="H:\\system_v.exe .\\system_v.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2\{66f93046-729c-11dc-819f-00137728efa3}\Shell\open\Default]
@="1"
Здесь видно, как бацила прописалась в разделы MountPoints. Чтобы выгнать - просто почистите значения реестра.

К сожалению, без самой бацилы дальше что-либо сказать сложно.

P.S.: Попробуйте в адресной строке проводника прописать d:\ и нажать Enter.

Ну... хотя бы что то, чтобы подцепить такой вирус есть?..


Total Commander`ом пробовали?


Ну... Это больше похоже на глюк Винды.


Ну... Тут так просто не объяснишь. Вот пример:

Здесь видно, как бацила прописалась в разделы MountPoints. Чтобы выгнать - просто почистите значения реестра.

К сожалению, без самой бацилы дальше что-либо сказать сложно.

P.S.: Попробуйте в адресной строке проводника прописать d:\ и нажать Enter.
а как зайти чтобы посмотреть в реестр??а то я чайник))


обидно что не глюк винды т.к. у друга после флэшки тоже перестал работать плеер..

а как зайти чтобы посмотреть в реестр??а то я чайник))
Пуск-Выполнить:
regedit.exe

Только работайте аккуратно!.. Ибо нету вируса страшнее того, который сидит перед монитором :))))

Если чайник - лучше ничего там не стирайте и не меняйте.
Убьете Винду..

Смущает наличие двух папок
Recycled и Recycler
Если диск FAT - Папка должна Recycled
Если диск NTFS - Recycler
---------------------------------

Скачайте ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe
запишите ее на CD диск
Отключите восстановление системы
Загрузитесь в безопасном режиме и произведите ПОЛНУЮ проверку системы
Скачайте http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip сделайте скан системы и покажите лог

format c:, потом format d:

тогда уж наоборот?
но это всегда можно сделать...

format c:, потом format d:
хех))такого чайникам лучше не советовать))а то щас как ввел бы)):arr:

Ждём логи HiJackThis. Без них получается гадание на кофейной гуще.

а онлайн-сканирование на вирусы не пробовали? И линукс ставить не обязательно, есть много LiveCD систем которые с диска работают без установки

Проблема Live CD в том, что базы на них устаревшие
Вновь счачанная утилита, записанная на диск покруче будет.

вот лог..сейчас ухожу поэтом чуть позже сделаю проверку доктором вебом с СD
БОЛЬШОЕ СПАСИБО ВСЕМ ЗА ПОМОЩЬ!!
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:10:26, on 03.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\AusLogics Visual Styler\themehelpersvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\LClock\LClock.exe
C:\Program Files\uTorrent\uTorrent.exe
C:\Program Files\AusLogics BoostSpeed\boostspeed.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Opera\Opera.exe
D:\ПРОИГР~1\GOMPLA~1\GOM.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\MANTIK~2\LOCALS~1\Temp\Rar$EX00.860\Hi jackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.windowsxlive.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 61.28.1.91:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
O1 - Hosts: 64.15.158.140 img141.imagevenue.com
O1 - Hosts: 72.55.148.80 www.imagevenue.com
O1 - Hosts: 207.68.173.76 www.msn.com
O1 - Hosts: 212.40.34.149 bizarre.com.ua
O1 - Hosts: 209.85.135.103 www.google.com
O1 - Hosts: 81.176.66.169 zhurnal.lib.ru
O1 - Hosts: 204.9.177.18 community.livejournal.com
O1 - Hosts: 64.21.16.208 www.reklama-net.ru
O1 - Hosts: 87.242.72.149 city-fm.ru
O1 - Hosts: 65.98.103.6 www.aphorism.ru
O1 - Hosts: 195.2.70.38 sadovsky.humor.ru
O1 - Hosts: 63.247.77.10 www.xoxma.od.ua
O1 - Hosts: 205.188.251.118 www.icq.com
O1 - Hosts: 212.42.38.194 www.playground.ru
O1 - Hosts: 62.149.0.180 leo-lex.ho.com.ua
O1 - Hosts: 91.198.174.2 ru.wikipedia.org
O1 - Hosts: 207.46.250.101 go.microsoft.com
O1 - Hosts: 207.123.33.124 runonce.msn.com
O1 - Hosts: 66.132.129.194 room227.com
O1 - Hosts: 217.116.231.72 www.cam4.com
O1 - Hosts: 208.70.8.13 apps.userplane.com
O1 - Hosts: 66.221.57.35 www.voiceandvideochat.com
O1 - Hosts: 193.239.68.70 www.korrespondent.net
O1 - Hosts: 216.27.179.20 lp.com
O1 - Hosts: 195.14.47.213 yellowpress.ru
O1 - Hosts: 88.81.154.56 router.partypoker.com
O1 - Hosts: 88.81.155.144 ru.partypoker.com
O1 - Hosts: 88.81.154.62 secure.partyaccount.com
O1 - Hosts: 91.194.72.14 a.od.ua
O1 - Hosts: 195.214.193.249 video.ukr.net
O1 - Hosts: 194.67.57.126 mail.ru
O1 - Hosts: 193.41.200.145 www.esl.eu
O1 - Hosts: 85.214.64.189 fifabot.com
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Flashget Catch Url Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\Program Files\Styler\TB\StylerTB.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [BootSkin Startup Jobs] "C:\PROGRA~1\Stardock\WINCUS~1\BootSkin\BootSkin.ex e" /StartupJobs
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LClock] C:\Program Files\LClock\LClock.exe
O4 - HKCU\..\Run: [uTorrent] "C:\Program Files\uTorrent\uTorrent.exe"
O4 - HKCU\..\Run: [BoostSpeed] "C:\Program Files\AusLogics BoostSpeed\boostspeed.exe" /Q
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - .DEFAULT User Startup: desktop(2).ini (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Cтатистика Веб-Антивируса - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: Mail.Ru Agent - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\MAgent.exe
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{38EEC763-3CC4-445B-BE4F-83A7C82B71EA}: NameServer = 217.146.241.2 217.146.240.130
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: AusLogics Windows Themes Helper (ALThemeHelper) - Unknown owner - C:\Program Files\AusLogics Visual Styler\themehelpersvc.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: FrontLine Drivers Auto Removal (v2) (sfrem02) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem02.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

--
End of file - 9706 bytes

Смущает наличие двух папок
Recycled и Recycler
Реально не заметил... Сотри обе... на всех дисках и перегрузись.

в логе грязи много зловредрв не вижу.

проверить как я говорил
потом


1. Запустить проводник, включить показ скрытых и системных файлов: "Сервис" - "Свойства папки" - снять галку "Скрывать защищенные системные файлы" и отметить "Показывать скрытые файлы и папки".

2. Просмотреть корневые каталоги всех разделов на жестких дисках и всех имеющихся съемных дисков (вплоть до фотоаппаратов и мп3-плееров), а также папку Windows\System32 и удалить там все файлы с именем autorun и любым расширением. Важно: открывать указанные места исключительно щелчком в левой части окна проводника, в дереве каталогов, а не двойным по иконке диска, ибо в последнем случае, открывая зараженный диск, опять заражаете комп.

3. Запустить редактор реестра (Пуск - Выполнить - regedit.exe) и сделать две вещи:

а) Раскрыть ключ
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/Current Version/Winlogon
и проверить значение параметра Userinit. В нем должно быть C:\WINDOWS\system32\userinit.exe, и ничего более.
(Если система у вас установлена в другой раздел или папку, вместо C:\WINDOWS будет путь вашей системной папки).

б) Удалить целиком ключ
HKEY_CURRENT_USER/Software/Microsoft/Windows/Current Version/Explorer/MountPoints2.

Последний пункт повторить для всех пользователей системы, затем перезагрузиться.

Прозевал в первый раз
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - .DEFAULT User Startup: desktop(2).ini (User 'Default user')
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)

выделите и пофиксите

я в шоке..ну это какой-то мега вирус..
знач по порядку:
1)закинул доктор веб на диск и через безопасный режим просканил..ничего особого не нашел кроме 1-2 обычных троянов которые удалил..(кстати в безопасном режиме диск D открывается..)
но в обычном режиме нет..вирус на месте..
2)Смущает наличие двух папок
Recycled и Recycler
Реально не заметил... Сотри обе... на всех дисках и перегрузись.
удаляется только 1-н файл..2-й пишет занто процессом удаление невозможно..1-н снес перегрузил комп..не помогло..
3) 1. Запустить проводник, включить показ скрытых и системных файлов: "Сервис" - "Свойства папки" - снять галку "Скрывать защищенные системные файлы" и отметить "Показывать скрытые файлы и папки".

2. Просмотреть корневые каталоги всех разделов на жестких дисках и всех имеющихся съемных дисков (вплоть до фотоаппаратов и мп3-плееров), а также папку Windows\System32 и удалить там все файлы с именем autorun и любым расширением. Важно: открывать указанные места исключительно щелчком в левой части окна проводника, в дереве каталогов, а не двойным по иконке диска, ибо в последнем случае, открывая зараженный диск, опять заражаете комп.

3. Запустить редактор реестра (Пуск - Выполнить - regedit.exe) и сделать две вещи:

а) Раскрыть ключ
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/Current Version/Winlogon
и проверить значение параметра Userinit. В нем должно быть C:\WINDOWS\system32\userinit.exe, и ничего более.
(Если система у вас установлена в другой раздел или папку, вместо C:\WINDOWS будет путь вашей системной папки).

б) Удалить целиком ключ
HKEY_CURRENT_USER/Software/Microsoft/Windows/Curre nt Version/Explorer/MountPoints2.

Последний пункт повторить для всех пользователей системы, затем перезагрузиться.
все это сделал..1-й ключ в норме а 2-й как и надо пустой..
итог все еще не работает диск D..
4)O4 - .DEFAULT User Startup: desktop(2).ini (User 'Default user')
нажал профиксить вроде успешно но потом просканил и файл снова был..
итог диск D всеравно не работает..

создатель вируса потрудился на славу..ничего его не берет..

Практически идентичная тема в Скорой помощи была
http://www.nowa.cc/showthread.php?t=105671

Есть решение с использованием программы antiautoran. Читайте тему.

Там тема с autorun.*
здесь тема с desktop(2).ini и реализуется запуск этого desktop(2).ini через реестр

Прошу у всех помощи..
столкнулся с ТАКИМ вирусом что ужас какой-то..
Суть вируса в том что не могу зайди на диск D через обычную менюшку(могу просматривать только через ACDsee, даже проводник не берет...), но это не самое страшное.компьютер перестал воспринимать USB от моего телефона, от плеера друга и т.д...я так понял он еще поражает драйвера этих устройств..потому что флэшка(с которой я походу и принес вирус) работает на моем компьютере..
Борюсь я с этим вирусом уже пол года(если не больше..), ничего его не берет..сканировал комп при помощи нод32, касперского7, доктор вэба, авиры..ничего его не берет..и не обнаруживает..я в ужасе :cry::cry::cry:

Пожалуйста помогите..буду очень признателен):sos::sos:

Увереность что это вирус, а не сбой системы?

это последствия работы вируса
А удален он или нет нужно разбираться

я в шоке..ну это какой-то мега вирус..
знач по порядку:
1)закинул доктор веб на диск и через безопасный режим просканил..ничего особого не нашел кроме 1-2 обычных троянов которые удалил..(кстати в безопасном режиме диск D открывается..)
но в обычном режиме нет..вирус на месте..
2)
удаляется только 1-н файл..2-й пишет занто процессом удаление невозможно..1-н снес перегрузил комп..не помогло..
3)
все это сделал..1-й ключ в норме а 2-й как и надо пустой..
итог все еще не работает диск D..
4)
нажал профиксить вроде успешно но потом просканил и файл снова был..
итог диск D всеравно не работает..

создатель вируса потрудился на славу..ничего его не берет..
Так начнём по порядку:):
по 1 пункту: Что за обычные трояны (имена файлов, как детектировались, где находились в каком каталоге)? И что за вирус опять на месте? Ты его (файл) видишь или просто считаешь что он там есть имея ввиду то, что D:\ не можешь открыть?
по пункту 2: значит это родная корзина, она нужна и её ты не удалишь.
по пункту 4: Если воскресает, значит кто то это делает, надо разбираться кто, одного лога HiJackThis для этого не достаточно.
Кстати вопрос, в файл hosts ты всё это сам прописывал:
O1 - Hosts: 64.15.158.140 img141.imagevenue.com
O1 - Hosts: 72.55.148.80 www.imagevenue.com
O1 - Hosts: 207.68.173.76 www.msn.com
O1 - Hosts: 212.40.34.149 bizarre.com.ua
O1 - Hosts: 209.85.135.103 www.google.com
O1 - Hosts: 81.176.66.169 zhurnal.lib.ru
O1 - Hosts: 204.9.177.18 community.livejournal.com
O1 - Hosts: 64.21.16.208 www.reklama-net.ru
O1 - Hosts: 87.242.72.149 city-fm.ru
O1 - Hosts: 65.98.103.6 www.aphorism.ru
O1 - Hosts: 195.2.70.38 sadovsky.humor.ru
O1 - Hosts: 63.247.77.10 www.xoxma.od.ua
O1 - Hosts: 205.188.251.118 www.icq.com
O1 - Hosts: 212.42.38.194 www.playground.ru
O1 - Hosts: 62.149.0.180 leo-lex.ho.com.ua
O1 - Hosts: 91.198.174.2 ru.wikipedia.org
O1 - Hosts: 207.46.250.101 go.microsoft.com
O1 - Hosts: 207.123.33.124 runonce.msn.com
O1 - Hosts: 66.132.129.194 room227.com
O1 - Hosts: 217.116.231.72 www.cam4.com
O1 - Hosts: 208.70.8.13 apps.userplane.com
O1 - Hosts: 66.221.57.35 www.voiceandvideochat.com
O1 - Hosts: 193.239.68.70 www.korrespondent.net
O1 - Hosts: 216.27.179.20 lp.com
O1 - Hosts: 195.14.47.213 yellowpress.ru
O1 - Hosts: 88.81.154.56 router.partypoker.com
O1 - Hosts: 88.81.155.144 ru.partypoker.com
O1 - Hosts: 88.81.154.62 secure.partyaccount.com
O1 - Hosts: 91.194.72.14 a.od.ua
O1 - Hosts: 195.214.193.249 video.ukr.net
O1 - Hosts: 194.67.57.126 mail.ru
O1 - Hosts: 193.41.200.145 www.esl.eu
O1 - Hosts: 85.214.64.189 fifabot.com
Если нет, то зайди c:\WINDOWS\system32\drivers\etc\ и почисти файл hosts.
Ещё вопрос: Восстановление системы отключено на всех дисках? Если нет то отключи.
Диск разбит на 2 раздела или в системном блоке два диска?
Можно попробывать присвоить проблемному разделу или диску D:\ другую букву, попробуй, может откроется тогда?
Из тотал командела можно открыть D:\?
Вообще много вопросов и много тёмных мест в проблеме, поподробнее надо бы?

Поищи еще поиском файл desktop(2).ini
Если есть - давай содержимое, а сам файл сноси

удаляется только 1-н файл..2-й пишет занто процессом удаление невозможно..1-н снес перегрузил комп..не помогло..
Ес-но не помогло... это тот авторан-вирус, который прячется в корзине... милая штучка я его даже видел. На носителе, зараженном этой бацилой, появляется папочка Recucled... снеси обе папки из-под ДОСа... потом ДОС антивирем снеси троянов...

Так значит попорядку))
по 1 пункту: Что за обычные трояны (имена файлов, как детектировались, где находились в каком каталоге)? И что за вирус опять на месте? Ты его (файл) видишь или просто считаешь что он там есть имея ввиду то, что D:\ не можешь открыть?
были трояны-шпионы какие-то на дииске С..вроде не сильно опасные..я их снес))были на диске С католог не помню..помню 1-н был в папке виндоус..остальные не помню..всего туки 3 было.. вирус на месте, кстати после того как у меня в безопасном режиме диск D открылся нормально решил попробывать создать нового пользователя и ДИСК D НОРМАЛЬНО ОТКРЫЛСЯ..хотя скорее всего вирус постепенно перекинется и на "нового пользователя"..правда неохота все перекидывать на нового юзера..но как я уже раньше говорил то как открывается диск D меня не так волновало как проблема того что компьютер со всех USB не видит ни плееров, ни флэшек..вот эту проблему главное решить..она не решается при новом пользователе..

Плюс сегодня у друга посмотрел комп..он после того как я побывал у него с флэшкой тоже этот вирус подхватил но только в чуть другой модификации..(значит так: у него не открывается ни один диск(а у него их 3..) простым двойным щелчком,а открывается только при помощи "правая кнопка мыши-открыть"..он от этого так избавиться и не может..
Но он решил проблему работы телефона и мп3плеера снося все файлы которые не опознает линукс..все посносил и юсб заработало))
вот мне главное USB теперь починить чтобы мог скидывать данные на телефон и музыку на мп3 плеер..))

Кстати вопрос, в файл hosts ты всё это сам прописывал:
в основном да..правда многое давно..и некоторые не помню чтоб вводил..хотя куда щас через гугл только не попадешь((но не думаю что в этом дело..
Поищи еще поиском файл desktop(2).ini
Если есть - давай содержимое, а сам файл сноси
нашел
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell 32.dll,-21787

снес с компа..вроде удалился..

главное спасти usb))позарез надо..

USB проверить свежим антивирусом
открыть в проводнике из левой панели
(не двойным кликом, а слева есть панель)

Удалить там разные autorun и прочую *.exe гадость

Думаю всё таки без экспертов компьютерной безопасности не обойтись, зайди вот на этот форум в раздел "Помогите" http://virusinfo.info/forum.php?referrerid=3662
Ответят быстро и качественно, для них понятия супер вирус не существует, вычислят и почистят всё.

Сначала затягиваемся,затем загружаемся под своей основной учетной записью, потом берем codestuff starter смотрим что сидит в загрузке - все файлики проверяем по названиям через гугль, выбираем те, что не относятся к системе далее смотрим в свойства каждого файла (да, ручками идем в ту папку, где он лежит жмем правую кнопку мышки - свойства) что там написано. Особливо отмечаем то, где не написано ничего о корпорации майкрософт, драйвере любимой кошки и т.д. и далее убиваем все подозрительное сначала через диспетчер - в процессах, потом из автозапуска тем-же стартером, потом перегружаемся, смотрим не грузится-ли чего подозрительного и если нет выдыхаем. Если важна полная вендетта, то еще и вытираем всю эту гадость с диска. Одного не понял: в каком месте тут линукс запускать - друга спроси, пусть ответит.
ЗЫ: кстати в диспетчере задач есть колоночка, в которой иногда будет встречаться название твоей учетной записи - твоя гадость похоже стартует именно под ней...

надписи хозяина процесса может и не быть
:)

походу прихожу к выводу что вирус непобедимый..ничто его не берет
даже на virusinfo.info его хлопнуть не могут..

O4 - .DEFAULT User Startup: desktop(2).ini (User 'Default user')


эту строку ты удалял ?
Она снова у тебя в автозагрузке

Добавлено через 3 минуты
Еще вот это

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe


поставь галки на этих двух строках и жми Fix
после этого делай ребут
диски до ребута не открывай

O4 - .DEFAULT User Startup: desktop(2).ini (User 'Default user')


эту строку ты удалял ?
Она снова у тебя в автозагрузке

Добавлено через 3 минуты
Еще вот это

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe


поставь галки на этих двух строках и жми Fix
после этого делай ребут
диски до ребута не открывай
1-я постоянно восстанавливается..после того как я ее пофиксил..

файл desktop(2).ini тоже постоянно появляется?

файл desktop(2).ini тоже постоянно появляется?

не его я снес и вроде больше поиск его не находит..

Даже не знаю
Читал на virus.info они грешат на железо
Но мне кажется, что зараза таки сидит

Убери свой антивирус
Скачай Avira, она бесплатная.
http://www.free-av.com/antivirus/allinonen.html
Обновишь базы и проверишь систему

Даже не знаю
Читал на virus.info они грешат на железо
Но мне кажется, что зараза таки сидит

Убери свой антивирус
Скачай Avira, она бесплатная.
http://www.free-av.com/antivirus/allinonen.html
Обновишь базы и проверишь систему

ей уже тоже проверял..не помогла..

На вирусинфо теме выставлен знак вопроса, может ещё кто из хелперов подключится к решению данного вопроса.
Честно скажу, не совсем понятно описана суть проблемы.
Ещё раз задам вопрос, можно ли открыть D:\ из какого-нибудь файлового менеджера, например Тотал командера или Far.
И как я понял, при создании нового профиля пользователя проблема с открытием диска исчезает, а проблемы с опознанием USB устройств остаются в таком случае? Если нет, тогда может просто профиль пользователя слетел и проблема в самом деле не в заразе.
И ещё отвечая так:
были трояны-шпионы какие-то на дииске С..вроде не сильно опасные..я их снес))были на диске С католог не помню..помню 1-н был в папке виндоус..остальные не помню..всего туки 3 было..
в корне не правильно, троян он же не просто так прописывается в каталог с осью, он же ещё и конфигурацию и настройки изменяет и в реестр прописывается и ещё много чего гадкого делает. Так что последствия таких неоткрываний диска или неопознания USB устройств может и быть следами от заражения, самого трояна уже и нет, а вот следы его работы остались. Как от них избавиться это уже сложный вопрос, знать бы что было, и что оставило следы, было бы легче. Сейчас сканить систему каким-либо антивирусником после всех уже вышеперечисленных считаю бесполезным занятием. Заразы похоже живой уже нет, а вот следы от её присутствия остались.

фточку !
---------------
Может тогда попробовать создать нового админа?
зайти под ним и посмотреть картину с диском и USB

Добавлено через 9 минут
Еще мысль

Пуск - Выполнить - msconfig
Поставить обычный запуск
Посмотреть в секции Автозагрузка, нету ли упоминаний о desktop?

Добавлено через 13 минут
На последок
скачать
Rootkit Unhooker
Удалить все перехваты процессов и драйверов
____________________
[K7] : Ссылка удалена.

ну админа то я и создавал..но починился только диск D
а USB лежит..
насчет тотал командера..у меня его нет на компе..на диск D могу зайти только через ACDsee..
еслиб можно было бы при новом пользователе использовать usb то я бы с удовольствием перешел бы на него..но ради только диска D неохота все перегонять..

Добавлено через 3 минуты
фточку !
---------------
Может тогда попробовать создать нового админа?
зайти под ним и посмотреть картину с диском и USB

Добавлено через 9 минут
Еще мысль

Пуск - Выполнить - msconfig
Поставить обычный запуск
Посмотреть в секции Автозагрузка, нету ли упоминаний о desktop?

Добавлено через 13 минут
На последок
скачать
Rootkit Unhooker
http://rapidshare.com/files/60985996/RkU3.7.300.509.zip
Удалить все перехваты процессов и драйверов
в мсконфиге в эвтозагрузке дектоп2 нету..
насчет Rootkit Unhooker, то я скачал н что делать с ним не знаю..и че там удалять..там стоко всякого..((

То что диск D появился уже радует. Значит троян покривил ключи реестра в ветви HKKU касательно диска и в ветви HKLM - касательно USB

Вирусов сейчас у тебя на машине 100% нет.

По сути, сейчас порты просто неверно установлены
Пробуй удалять их в Устройствах и установить заново контроллер и все прочее. В железе я не силен, наверняка здесь полно ребят которые смогут тебе помочь правильно установить конфигурацию...

Встречался с такой проблемой. Решилась в итоге так:
1) Установили KIS 7.0
2) В настройках KIS 7.0 -> Сетевой экран поставил в Обучающий режим, а в настройках сетевого экрана во вкладе Правила для приложений пойдалял все правила (приложения)
3) В настройках Поиск вирусов - Мой компьютер выставил максимальную защиту + настройках проверки Моего компьютера во вкладке Эвристический анализ уровень проверки был выставлен на детальный и установлена галочка на Включить расширенный поиск руткитов.
4) Дальнейшие действия. Запустили проверку Моего компьютера, как в то время в инет начали вылазить какие то левые файлы, их все блокировать нафиг, не разрешать выходить в инет...
Итог: Были удалены 2 руткита в системе + 4-5 троянов, которые пытались вылезти в инет, появилась информация на диске D и трафик уменьшился.
Эти руткиты и трояны KIS почему то не находил в стандартом режиме, когда их только начали блокировать при выходе в инет, касперский начал из замечать и то не сразу, как они действуют, качают что то с инета и так скрываются, не знаю.
P.S. Здесь главное знать, каким файлам надо быть в инете, каким нет... Если с этим нужна помощь, стучись в Личку

symantec выдал сообщение о trojan.pandex и trojan.horse
и подскажите блондинке как эту гадость убрать - тем более что панду он обнаружил в драйвере djp74.sys

1. Отключить восстановление системы
2. Скачать утилиту (ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe)
и выполнить полную проверку системы.

Если не поможет - приходите еще

я же говорю - блондинка
какую утилиту скачать?
если djp74.sys то где найти -поиск в яндексе выдал фигвам
djp74.sys находится в папке drivers и в папке system32

zonka, попробуйте поиском найти NOD32_v.3.0.566_Full и им проверить

если честно не хотелось бы ставить другой антивирус
семантик же обнаружил эту бяку и блокирует-вопрос в лечении
можно ли средствами семантика решить это или какой нибудь троянхантер скачать

На рабочий комп принесли Win32/Pacex.Gen.Флешками переносится моментально.Nod32 с последними обновлениями вроде бы его вылечил,
но дает предупреждение,что вылеченные файлы являются потенциально
опасными.Что это за зараза и какие могут быть последствия.Заранее извиняюсь,если тема уже поднималась,но конкретных ответов пока не нашел.:mad:

смотри реестр теперь на предмет наличия лишних ключей автозапуска

На рабочий комп принесли Win32/Pacex.Gen.Флешками переносится моментально.Nod32 с последними обновлениями вроде бы его вылечил,
но дает предупреждение,что вылеченные файлы являются потенциально
опасными.Что это за зараза и какие могут быть последствия.Заранее извиняюсь,если тема уже поднималась,но конкретных ответов пока не нашел.:mad:

Пройдись вот сюда http://www.viruslist.com/ru/

смотри реестр теперь на предмет наличия лишних ключей автозапуска


например через msconfig - на вкладке автозагрузка

На viruslist пока нет описания,хотя в сети ссылки от "ничего серьезного"
до полного уничтожения данных на HDD.Если можно,поподробнее где найти хвосты в реестре.Pls...

Что это за зверек? работала в инете, вывалилась на сайт, появилась табличка "Ваш компьютер работет медленнее,ч ем нужно, возможно заражен вирусом. Установите такую вот программку". Так что это за программка?АntiVirusProInstaller_271.exe

Скорее всего это или предложение установить трояна или рекламная акция непонятно чего (по названию о содержимом ещё не судят).

Вот смотрю и думаю, что правильно я сделал, что перешёл с КИСа7,0 на смесь Symantec Antivirus 10.0 Corporate и Agnitum Outpost 6 2008. Всё прекрасно устраняют, атаки отражают. В общем пока на каспера возвращаться не собираюсь.
Хотел бы узнать кто чем пользуется для зашиты компа от вредоносных программ из инета?

Я вот как раз КИС 7.0 и юзаю... Все устраивает, переходить не собираюсь... Единственное неудобство - ключи временами приходится искать ;), но это ладно, за все хорошее надо платить...

Блин, заколебало... последнее время при переходе на любую страницу на данном форуме выскакивает вот что:
http://ipicture.ru/uploads/080116/FIu7mo1u1p.JPG
Что это за вирус (не вирус) кто знает?
Раньше такого не было, находит Avira Premium Security Suite последняя.

На viruslist пока нет описания,хотя в сети ссылки от "ничего серьезного"
до полного уничтожения данных на HDD.Если можно,поподробнее где найти хвосты в реестре.Pls...


Вот этим (http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip) удобно смотреть. Она все секции автозагрузки показывает и запуск процессов тоже

antonavy, это не вирус. Посмотрите тут (http://www.nowa.cc/showthread.php?t=136001)

Вобщем ситуация такая: Запускаю компьютер и выскакивает еррор с svchost и табличка что ваш компьютер выключится через 60 секунд,вирус или винда накрылась? Как лечить? В Safe Mode тоже самое.

это после того как ты вирус вылечил стало?

Нет,это сейчас так происходит. Насколько я понял это червь Sasser. Буду пытаться лечить.

Рекомендую для лечения загрузиться со специально сформированного компакт-диска или флэшки. После чего запустить антивирус с этого же носителя. Флэшку лучше взять с аппаратной защитой от записи(переключателем).

Принёс на флешке домой вирус autorun.inf + amvo0.dll,amvo1.dll,amvo2.dll+ xo8wr9.exe и ещё это s2pg.dll - Win32/Pacex.Gen и в автозагрузке прописался amvo - вирус вчера базы nodа не видели их а сегодня еще раз обновил опознали как вирус и удалили, а вот сам процес который не нравиться! осталься : суть такая не видит explorer скрытые папки и файлы сервис\ свойства папки\ галочку показывать скрытые папки и файлы \приминить \ок (экран мигнул а галочка вернулась обратно не показывать скрытые папки и файлы)скрытые файлы видно только через тотал коммандер 7! Как сделать чтобы (дырявый :eek:)explorer не возврощал сам назад галочку показывать скрытые папки и файлы ?

http://www.nowa.cc/showpost.php?p=1385006&postcount=124

Я не эскперт но

Скачай Комодо Фаирвол 3.0 http://www.personalfirewall.comodo.com/

а процесы стандартные

:evil: Решил всё так !
( пуск - выполнить regedit
см. ключ
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced\Folder\Hidden\SHOWALL
Удалить параметр CheckedValue
Щелкнуть правой кнопкой мыши в этом же окне и выбрать "создать параметр DWORD". Назвать его CheckedValue. Поставить значение 1)
- а Explorer (дырявый) ч ч ч :)

и секцию MountPoints2 стоит проверить...

Привет всем
У меня такая проблема:
После лечения трояна у меня не открывается локальные диски, а открывает окно "Запуск программы"
Как это на мести поставит?
Подскажите кто знает.

удалить в корне дисков файлы с названием
autorun*****

На днях словил в нете с домашнего компа КЛАССНЫЙ вирус впечатлений масса :
Проникнув на комп, вгрызается в систему и перегружает машину!
После перезапуска смотрю список процессов, нахожу его, грохаю, он начинает множиться, млииин....
ладно делаю suspend для всех процессов вируса, потом по-одному грохаю, ок!
Вычищаю автозапуск служб и процессов утилитой от Sysinternals - "Autoruns", прохожусь по системе антивирем Symantec Corporate 9ым, перегружаюсь, снова смотрю список процессов - вроде чисто, но чистота такая аж слепит глаза , список процессов на-половину пуст; в системе нет ни одного сетевого подключения, причем даже тех к-ые соответствуют установленным сетевым картам не говоря уже о PPPoE; запускаю консоль управления службами - практически все службы остановлены и попытки запуска завершаются окном с текстом ошибки о невозможности пуска службы... Просто песня......
Хотел воспользоаться процедурой "Восстановление Системы", но ее запуск также невозможен, т.к. служба "System Restore Service" не запускается!! Запуск XP в безопасном режиме ничего не дает!
Делаю ход конем - беру болванку с ERD Commander, гружусь с компакта, подключаюсь к установленной винде на жестком диске, запускаю Восстановление Системы, откатываюсь на системную точку недельной давности, казалось бы супер, перегружаюсь в свою XP, облом: список процессов полупустой (процессов вируса при этом не видно), службы также не запускаются, сетевых подключений также нету!
Аплодисменты, занавес!!

Вопрос: кто-нибудь знает как можно было последствия побороть не переставляя систему

fruti, если бы написал название вируса было бы интереснее! ;)
А вообще прикольный товарищ, который уносит с собой столько полезных процессов. По себе знаю, что обычно такие последствия изменений в винде не обратимы. =) Побороть получается только полной перестановкой!

Вычищаю автозапуск служб и процессов
вы уверены что "вычистили" правильно? Ничего лишнего?

Можно попробовать так:
1.Перезагрузите контроллер домена.
2.При появлении экрана BIOS нажмите клавишу F8.
3.Выберите Режим восстановления служб каталогов и нажмите клавишу ВВОД.
4.Войдите в систему с помощью пароля режима восстановления служб каталогов.

Вероятно что какие-то из служб не запускаются, потому что (опять же) какие-то не включены. На всякий размещаю скрин своих служб, где обратить внимание на тип запуска (состояние)

http://img168.**************/img168/6228/53781086gi5.th.jpg (http://img168.**************/my.php?image=53781086gi5.jpg)
http://img260.**************/img260/2372/56626671aw5.th.jpg (http://img260.**************/my.php?image=56626671aw5.jpg)
http://img168.**************/img168/381/58393514cx5.th.jpg (http://img168.**************/my.php?image=58393514cx5.jpg)

Добавлено через 21 минуту
вы уверены что "вычистили" правильно? Ничего лишнего?
уверенность такая действительно есть, т.к. набор служб свежеустановленной винды я знаю, службы созданные установленными мной приложениями так же анализировал, тоже знаю, список активных процессов винды и установленных приложений - тоже обычно держу на контроле! А вот машинка у меня не является контроллером домена, на ней стоит XP pro соответственно никакого восстановления службы каталогов там нету и сама машинка не в домене а в рабочей группе!
p.s. Именно так: тип запуска служб естественно не всех :) был auto и при этом их состояние - остановлена, попытки запуска, как я писал, сопровождались ошибкой запуска (просто шедевр)

fruti, в журнале системном проверьте - почему именно службы не стартуют.
Я бы сказал - повреждены файлы ОС. Соответственно, sfc /scannow.
также, возможно, есть нестыковки в профиле пользователя. Восстановление восстановлением, но... В этом случае, боюсь, только полный снос.

Привет всем
У меня такая проблема:
После лечения трояна у меня не открывается локальные диски, а открывает окно "Запуск программы"
Как это на мести поставит?
Подскажите кто знает.

Еще 1 способ щелкни на значок папки и попадешь в диск или правой кнопкой мыши проводник,
на флешке я обычно исправляю ето форматированием флешки....

в журнале системном проверьте - почему именно службы не стартуют.
Кстати журнал, также не получалось посмотреть т.к. служба "Event Log" была остановлена :roll:
Ок, я понял, нужна переустановка

Привет всем
У меня такая проблема:
После лечения трояна у меня не открывается локальные диски, а открывает окно "Запуск программы"
Как это на мести поставит?
Подскажите кто знает.

Восстановление ассоциирования .exe, .reg и .lnk файлов:

Код:
Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\.exe]
@="exefile"
"Content Type"="application/x-msdownload"

[HKEY_CLASSES_ROOT\.exe\PersistentHandler]
@="{098f2470-bae0-11cd-b579-08002b30bfeb}"

[HKEY_CLASSES_ROOT\exefile]
@="Application"
"EditFlags"=hex:38,07,00,00
"TileInfo"="prop:FileDescription;Company;FileVersion"
"InfoTip"="prop:FileDescription;Company;FileVersion;Create;Si ze"

[HKEY_CLASSES_ROOT\exefile\DefaultIcon]
@="%1"

[HKEY_CLASSES_ROOT\exefile\shell]

[HKEY_CLASSES_ROOT\exefile\shell\open]
"EditFlags"=hex:00,00,00,00

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\exefile\shell\runas]

[HKEY_CLASSES_ROOT\exefile\shell\runas\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\exefile\shellex]

[HKEY_CLASSES_ROOT\exefile\shellex\DropHandler]
@="{86C86720-42A0-1069-A2E8-08002B30309D}"

[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHan dlers]

[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHan dlers\PEAnalyser]
@="{09A63660-16F9-11d0-B1DF-004F56001CA7}"

[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHan dlers\PifProps]
@="{86F19A00-42A0-1069-A2E9-08002B30309D}"

[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHan dlers\ShimLayer Property Page]
@="{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"

[HKEY_CLASSES_ROOT\regfile]
@="Registration Entries"
"EditFlags"=dword:00100000
"BrowserFlags"=dword:00000008

[HKEY_CLASSES_ROOT\regfile\DefaultIcon]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00 ,52,00,6f,00,6f,00,74,00,25,\
00,5c,00,72,00,65,00,67,00,65,00,64,00,69,00,74,00 ,2e,00,65,00,78,00,65,00,\
2c,00,31,00,00,00

[HKEY_CLASSES_ROOT\regfile\shell]
@="open"

[HKEY_CLASSES_ROOT\regfile\shell\edit]

[HKEY_CLASSES_ROOT\regfile\shell\edit\command]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00 ,52,00,6f,00,6f,00,74,00,25,\
00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00 ,32,00,5c,00,4e,00,4f,00,\
54,00,45,00,50,00,41,00,44,00,2e,00,45,00,58,00,45 ,00,20,00,25,00,31,00,00,\
00

[HKEY_CLASSES_ROOT\regfile\shell\open]
@="Mer&ge"

[HKEY_CLASSES_ROOT\regfile\shell\open\command]
@="regedit.exe \"%1\""

[HKEY_CLASSES_ROOT\regfile\shell\print]

[HKEY_CLASSES_ROOT\regfile\shell\print\command]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00 ,52,00,6f,00,6f,00,74,00,25,\
00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00 ,32,00,5c,00,4e,00,4f,00,\
54,00,45,00,50,00,41,00,44,00,2e,00,45,00,58,00,45 ,00,20,00,2f,00,70,00,20,\
00,25,00,31,00,00,00

[HKEY_CLASSES_ROOT\.lnk]
@="lnkfile"

[HKEY_CLASSES_ROOT\.lnk\ShellEx]

[HKEY_CLASSES_ROOT\.lnk\ShellEx\{000214EE-0000-0000-C000-000000000046}]
@="{00021401-0000-0000-C000-000000000046}"

[HKEY_CLASSES_ROOT\.lnk\ShellEx\{000214F9-0000-0000-C000-000000000046}]
@="{00021401-0000-0000-C000-000000000046}"

[HKEY_CLASSES_ROOT\.lnk\ShellEx\{00021500-0000-0000-C000-000000000046}]
@="{00021401-0000-0000-C000-000000000046}"

[HKEY_CLASSES_ROOT\.lnk\ShellEx\{BB2E617C-0920-11d1-9A0B-00C04FC2D6C1}]
@="{00021401-0000-0000-C000-000000000046}"

[HKEY_CLASSES_ROOT\.lnk\ShellNew]
"Command"="rundll32.exe appwiz.cpl,NewLinkHere %1"

[HKEY_CLASSES_ROOT\lnkfile]
@="Shortcut"
"EditFlags"=dword:00000001
"IsShortcut"=""
"NeverShowExt"=""

[HKEY_CLASSES_ROOT\lnkfile\CLSID]
@="{00021401-0000-0000-C000-000000000046}"

[HKEY_CLASSES_ROOT\lnkfile\shellex]

[HKEY_CLASSES_ROOT\lnkfile\shellex\ContextMenuHandl ers]

[HKEY_CLASSES_ROOT\lnkfile\shellex\ContextMenuHandl ers\Offline Files]
@="{750fdf0e-2a26-11d1-a3ea-080036587f03}"

[HKEY_CLASSES_ROOT\lnkfile\shellex\ContextMenuHandl ers\{00021401-0000-0000-C000-000000000046}]

[HKEY_CLASSES_ROOT\lnkfile\shellex\DropHandler]
@="{00021401-0000-0000-C000-000000000046}"

[HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler]
@="{00021401-0000-0000-C000-000000000046}"

[HKEY_CLASSES_ROOT\lnkfile\shellex\PropertySheetHan dlers]

[HKEY_CLASSES_ROOT\lnkfile\shellex\PropertySheetHan dlers\ShimLayer Property Page]
@="{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"

[HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}]
@="Shortcut"

[HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}\InProcServer32]
@="shell32.dll"
"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}\PersistentAddinsRegistered]

[HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}\PersistentAddinsRegistered\{89BCB740-6119-101A-BCB7-00DD010655AF}]
@="{00021401-0000-0000-C000-000000000046}"

[HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}\PersistentHandler]
@="{00021401-0000-0000-C000-000000000046}"

[HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}\ProgID]
@="lnkfile"

[HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}\shellex]

[HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}\shellex\MayChangeDefaultMenu]




Сохраниете этот код как reg файл и запустите, Удачи!

Поставьте KIS - никаких проблем с вирусами и глюками

Стоял 7.0.0.125, и autorun.inf спокойно поселился в системе. Nod 32 (2.70.39), в паре с OutpostPro 4.0.1024.700 помочь смогли.:mad:

Стоял 7.0.0.125, и autorun.inf спокойно поселился в системе. Nod 32 (2.70.39), в паре с OutpostPro 4.0.1024.700 помочь смогли.:mad:


Видимо у вас гранаты не той системы!!!
Стояла точно такая версия KIS и именно autorun.inf он спокойно поймал и заблокировал.

не стоит обощать. "Авторан" это не 1 вирус
http://info.drweb.com/search/?q=autorun&submit=+%D0%9F%D0%BE%D0%B8%D1%81%D0%BA+&searchin=virlib
Они модифицируются каждый день по несколько раз. Весьма возможно, что человеку попал свежачок и в базах его на тот момент не было

Недавно друг поймал вирус, пришлось с ним повозиться пока вычишал нашел вот это

VirusHunter предупреждает всех пользователей ПК о распространении очень опасного вируса-червя Win32.Worm.Depredator (aka Trojan.PWS.Qqpass), блокирующего работу защитных антивирусных и системных сервисов, загружающего др. вредоносные программы из сети Интернет, а также похищающего с зараженных компьютеров конфиденциальную информацию...

Некоторые определения, встречающиеся в описании.

Проводник - так далее по тексту я буду называть Проводник "Explorer" Windows, который используется большинством пользователей для работы с файлами и папками;

Корень диска - все файлы в основании диска, исключая все находящиеся на нем папки со всем их содержимым;

СНИ - так далее по тексту я буду сокращенно называть "съемные носители информации";

%drivename% - условное обозначение имени диска в тех случаях, когда конкретизация его имени не имеет существенного значения;

%windir% - каталог, в который установлена ОС Windows.

1. Источники попадания в компьютер.
Источником распространения червя Win32.Worm.Depredator могут являться как СНИ, подключаемые к USB-портам (Flash-диски, Card Memory - съемная память, используемая в цифровых фотоаппаратах и видеокамерах, и т.п.), так и файло-обменные сети, где вирус может быть подсунут пользователям как "полезная" программа среди прочего софта. При этом вредоносный файл червя может иметь различные названия.

2. Инсталляция в систему.
Червь является Windows-программой (PE EXE-файлом), написанным на Delphi. Включает в себя несколько компонентов, работоспособность которых поддерживается под всеми существующими на сегодняшний день Win32-системами. Все компоненты вируса содержатся в одном общем файле (Основном компоненте), размер которого составляет 38132 байта. Файл сжат при помощи утилиты компрессии "FSG" версии 2.0; размер декомпрессированного файла, в приближении к оригинальному коду, составил 167936 байт.
Если вирус был занесен в компьютер через файло-обменную сеть, то его имя может быть любым, а расширение файла будет, очевиднее всего, "EXE", т.е. %name%.exe. Если же вирус был занесен с СНИ (обычным путем), то в корне такого носителя присутствуют следующие файлы:

%drivename%\OSO.exe - 1-й файл-копия вируса (размер 38132 байт);
%drivename%\ЦШТЄЧКБП.exe - 2-й файл-копия вируса (размер 38132 байт);
%drivename%\ГАЕRУОП•.pif - 3-й файл-копия вируса (размер 38132 байт);
%drivename%\autorun.inf - вредоносный файл-дроппер (размер 75 байт), используемый для автозапуска вредоносного файла OSO.exe при обращении к инфицированному СНИ, а впоследствии и к логическим/сетевым дискам зараженного компьютера через Проводник. Данный компонент генерируется непосредственно вирусом.

Файлы ЦШТЄЧКБП.exe и ГАЕRУОП•.pif имеют только атрибут "архивный" (archive) и видны в Проводнике. При этом иконка вируса очень сходна с иконкой-идентификатором текстовых файлов, а при расширении файла "PIF" у 3-й копии вируса система автоматически подвязывает к ней иконку инициализации приложений MS-DOS. С учетом того, что "по умолчанию" Windows не показывает в Проводнике зарегистрированные расширения файлов, копии вируса видны под ним как текстовые файлы:
http://www.daxa.com.ua/virh/49a.gif


Файлы OSO.exe и autorun.inf не видны в Проводнике при системных настройках вида папок и файлов "по умолчанию", поскольку оба они имеют также и атрибуты "скрытый" и "системный" ("hidden" и "system" соответственно). Все копии Основного компонента вируса имеют одну и ту же дату и время модификации, которые впоследствии не изменяются при создании др. вирусных копий: дата - 26.01.2007, время - 18.36.
Вне зависимости от способа запуска вредоносного файла на выполнение, инсталляция вируса в систему проходит одинаково. При запуске вирус открывает окно Проводника, в котором показывает содержимое корневого каталога диска, с которого был произведен запуск червя. Далее, в зависимости от версии ОС Windows, червь создает в системных подкаталогах несколько своих копий, а также извлекает из своего тела др. файлы-компоненты, представляющие собой вспомогательный технический компонент и троянскую программу-шпиона:

под Windows 9X/ME:

%windir%\SYSTEM\OSO.exe (может и не быть создан)
%windir%\SYSTEM\severe.exe
%windir%\SYSTEM\gfosdg.exe
%windir%\SYSTEM\hx1.bat
%windir%\SYSTEM\gfosdg.dll

под Windows 2K/XP:

%windir%\System32\OSO.exe (может и не быть создан)
%windir%\System32\severe.exe
%windir%\System32\gfosdg.exe
%windir%\System32\hx1.bat
%windir%\System32\gfosdg.dll
%windir%\System32\Drivers\conime.exe
%windir%\System32\Drivers\mpnxyl.exe

Файлы OSO.exe, severe.exe, gfosdg.exe, conime.exe и mpnxyl.exe являются копиями вируса со всеми вышеописанными характеристиками, hx1.bat - вспомогательный компонент, назначение которого будет описано далее по тексту, gfosdg.dll - программа-шпион, похищающая конфиденциальную информацию с зараженного компьютера; детальнее о ней будет рассказано далее по тексту.
Для того, чтобы получать управление при каждом последующем старте системы, вирус создает/модифицирует нижеприведенные ветки реестра, добавляя в них следующие значения с ссылками на свои компоненты:

под Windows 9X/ME:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run]
"mpnxyl"="%windir%\\SYSTEM\\gfosdg.exe"
"gfosdg"="%windir%\\SYSTEM\\severe.exe"

под Windows 2K/XP:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"mpnxyl"="%windir%\\system32\\gfosdg.exe"
"gfosdg"="%windir%\\system32\\severe.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe %windir%\\system32\\drivers\\conime.exe"

Таким образом, под каждой из ОС Windows во время ее загрузки получают управление сразу несколько копий вируса, которые сохраняют свою активность вплоть до завершения работы системы. Во время своей работы вирус использует 16-ти разрядную оболочку (MS-DOS Shell), для чего использует в качестве интерпретатора передаваемых системе команд ее приложения winoa386.mod (под Windows 9X/ME) и cmd.exe (под Windows 2K/XP). Поэтому в листинге процессов можно наблюдать значительное кол-во процессов с названиями winoldap (под Windows 9X/ME) и cmd.exe (под Windows 2K/XP). Кроме того, вирус использует специальные перехватчики системных вызовов в Windows 9X/ME, в результате чего вредоносные процессы невозможно обнаружить посредством системного средства "Менеджер процессов".
Каждый из 2-х (или, соответственно, 3-х) активных процессов вируса имеет равные права, поэтому привилегия осуществления того или иного действия зависит лишь от реакции каждой из активных копий, т.е. "первым среагировал - первым сделал". При этом, чтобы избежать путаницы и несогласованности действий, каждая из активных копий вируса создает в памяти собственную метку-идентификатор, а также расшифровывает и записывает в память дополнительные метки-идентификаторы длиной в 4-5 байт, отображая таким образом состояние выполнения той или иной процедуры. Используемые метки следующие (возможно, что это только часть из них; также многие из них зашифрованы в коде вируса):

A}cNqqc{[TWQkgdfv7(3
@ijNqqc{[TWQkgdfv7(3
AntiTrojan3721
ASSISTSHELLMUTEX
SKYNET_PERSONAL_FIREWALL
KingsoftAntivirusScanProgram7Mutex
1159
2359
65000
65001

Вирус постоянно следит за тем, чтобы все его копии, записанные в системных подкаталогах, были загружены в память. При этом записи с ссылками в ключах проверяются только 1 раз - при запуске на выполнение текущей вирусной копии. Т.е. в том случае, если, например, вирусные записи в реестре были удалены во время работы системы при наличии активных копий вируса в памяти, то обновленные записи а ключах реестра появятся только в том случае, если до завершения работы системы пользователь случайно запустит какую-либо копию вируса (например, с инфицированного СНИ или локального диска машины). В этом случае новая запущенная копия проверит наличие всех установленных в систему компонентов, записи в ключах реестра, а также присутствие в памяти компьютера процессов с названиями severe.exe и gfosdg.exe (под Windows 9X/ME) или severe.exe, gfosdg.exe и conime.exe (под Windows 2K/XP). После этого, если все указанные процессы присутствуют в памяти, текущая копия вируса завершит свою работу.

3. Размножение вируса.
С интервалом в 2 секунды червь обходит локальные и сетевые диски компьютера, а также подключенные к нему СНИ, записывая на них свои копии. Для того, чтобы червь заразил текущий диск, должны выполняться следующие 3 условия:
- имя заражаемого диска должно соответствовать D, E, F, G, H или I (др. диски не заражаются);
- диск должен быть открыт для записи данных - если, например, запись на флэшку невозможна из-за защитного джампера на ее корпусе, установленного в положение "блокировка записи на диск", то вирус сразу переходит к проверке др. диска. При этом данная процедура корректно работает только с локальными и сетевыми дисками, а также с СНИ, подключенными к портам USB с поддержкой 2.0. Если же USB-порт не поддерживает скорость 2.0, а только как 1.1 (например, на старых моделях материнских плат или же когда скоростной порт был неправильно настроен и определяется системой как 1.1), то в этом случае вирус не может корректно определить заблокирован носитель или нет, в результате чего тупо пытается заразить его, а система при этом выдает на экран сообщение об ошибке следующего вида:
http://www.daxa.com.ua/virh/49a.gifhttp://www.daxa.com.ua/virh/49a.gif




- в корне проверяемого диска отсутствует хотя бы один из следующих файлов:

для съемного диска:

%drivename%\OSO.exe
%drivename%\ЦШТЄЧКБП.exe
%drivename%\ГАЕRУОП•.pif
%drivename%\autorun.inf

для логического диска:

%drivename%\OSO.exe
%drivename%\autorun.inf

Если какого-либо из указанных файлов на диске нет, то вирус заражает его.
Проверка зараженности диска производится лишь по названиям файлов, а не по их содержимому. Поэтому в том случае, когда копии вируса в корне диска были, например, заражены др. вирусом, или, скажем, их содержимое было удалено вручную (т.е.оставлены файлы нулевого размера - "пустышки"), то при очередном обходе данного диска вирус все равно будет считать, что носитель уже инфицирован и перейдет к следующему по списку диску. Итак, вирус записывает в корни логических и сетевых дисков машины только по одной своей копии и по файлу autorun.inf для бесконтрольного запуска этой копии (OSO.exe) в случае обращения к носителю через меню "Мой компьютер" в Проводнике (детальнее о механизме работы вредоносных autorun.inf читайте в описании троянской программы Trojan.LittleWorm (http://www.daxa.com.ua/vir.php?hnum=38) (aka Win32.Worm.Small), а в корни СНИ - по 3 копии и по файлу autorun.inf. Иногда вирус может ошибаться при инфицировании какого-либо из логических дисков компьютера: копия OSO.exe создается не в корне этого диска, а в выбранной случайным образом папке. Кроме того, вторая копия OSO.exe записывается либо в системный подкаталог %windir%\SYSTEM\ (под Windows 9X/ME), либо в %windir%\System32\ (под Windows 2K/XP). Характеристики всех создаваемых вирусом копий уже были указаны в разделе об инсталляции червя в систему. Если пользователь пытается отключить СНИ в тот момент, когда зловред осуществляет заражение последнего, то система выдает на экран следующее сообщение:
http://www.daxa.com.ua/virh/49a.gif

4. Деструктивные действия червя.
Сразу же после инсталляции вирус осуществляет целый ряд деструктивных действий, направленных на блокировку антивирусных программ, встроенных в систему защитных сервисов, системных служб, связанных с анализом и корректировкой системного реестра, а также ряда др. отдельных настроек системы:

Деструктивная процедура 1 (работает только под Windows 2K/XP или выше)
Вирус передает системе 7 последовательных команд специального формата, каждая из которых принуждает ее (систему) полностью отключить нижеследующие сервисы, связанные с безопасностью компьютера:

srservice (служба восстановления системы)
sharedaccess (служба Брэндмауэр Windows/Общий доступ к Интернету, отвечающая за безопасность системы и вэб-броузера во время работы в сети)
KVWSC
KVSrvXP
kavsvc (серверные компоненты нескольких защитных продуктов Лаборатории Касперского)
RsRavMon RsCCenter (серверные компоненты какого-то антивируса)

Плачевный результат этой процедуры даст о себе знать сразу же после первой перезагрузки компьютера.
В этой же процедуре вирус пытается обнаружить окно с каким-то заголовком. В этом окне он пытается сымитировать нажатие на кнопку "ОК" или "Yes" для отмены какого-то действия.


Деструктивная процедура 2 (не работает)
Данная процедура не работает ни под одной из версий Windows: под Windows 9X/ME нижеприведенный функционал не поддерживается, а под Windows 2K/XP также не поддерживается, но в результате содержащейся в нем ошибки. Вообще же вирус должен был бы частично/полностью блокировать работу процессов, названия которых соответствуют следующему списку:

sc.exe
cmd.exe
net.exe
sc1.exe
net1.exe
PFW.exe
Kav.exe
KVOL.exe
KVFW.exe
adam.exe
qqav.exe
qqkav.exe
TBMon.exe
kav32.exe
kvwsc.exe
CCAPP.exe
EGHOST.exe
KRegEx.exe
kavsvc.exe
VPTray.exe
RAVMON.exe
KavPFW.exe
SHSTAT.exe
RavTask.exe
TrojDie.kxp
Iparmor.exe
MAILMON.exe
MCAGENT.exe
KAVPLUS.exe
RavMonD.exe
Rtvscan.exe
Nvsvc32.exe
KVMonXP.exe
Kvsrvxp.exe
CCenter.exe
KpopMon.exe
RfwMain.exe
KWATCHUI.exe
MCVSESCN.exe
MSKAGENT.exe
kvolself.exe
KVCenter.kxp
kavstart.exe
RAVTIMER.exe
RRfwMain.exe
FireTray.exe
UpdaterUI.exe
KVSrvXp_1.exe
RavService.exe


Деструктивная процедура 3 (работает только под Windows 2K/XP или выше)
Вирус перезаписывает оригинальное содержимое системного файла

%windir%\System32\Drivers\etc\hosts

заменяя его на следующее:

127.0.0.1 localhost
127.0.0.1 mmsk.cn
127.0.0.1 ikaka.com
127.0.0.1 safe.qq.com
127.0.0.1 360safe.com
127.0.0.1 www.mmsk.cn
127.0.0.1 www.ikaka.com
127.0.0.1 tool.ikaka.com
127.0.0.1 www.360safe.com
127.0.0.1 zs.kingsoft.com
127.0.0.1 forum.ikaka.com
127.0.0.1 up.rising.com.cn
127.0.0.1 scan.kingsoft.com
127.0.0.1 kvup.jiangmin.com
127.0.0.1 reg.rising.com.cn
127.0.0.1 update.rising.com.cn
127.0.0.1 update7.jiangmin.com
127.0.0.1 download.rising.com.cn
127.0.0.1 dnl-us1.kaspersky-labs.com
127.0.0.1 dnl-us2.kaspersky-labs.com
127.0.0.1 dnl-us3.kaspersky-labs.com
127.0.0.1 dnl-us4.kaspersky-labs.com
127.0.0.1 dnl-us5.kaspersky-labs.com
127.0.0.1 dnl-us6.kaspersky-labs.com
127.0.0.1 dnl-us7.kaspersky-labs.com
127.0.0.1 dnl-us8.kaspersky-labs.com
127.0.0.1 dnl-us9.kaspersky-labs.com
127.0.0.1 dnl-us10.kaspersky-labs.com
127.0.0.1 dnl-eu1.kaspersky-labs.com
127.0.0.1 dnl-eu2.kaspersky-labs.com
127.0.0.1 dnl-eu3.kaspersky-labs.com
127.0.0.1 dnl-eu4.kaspersky-labs.com
127.0.0.1 dnl-eu5.kaspersky-labs.com
127.0.0.1 dnl-eu6.kaspersky-labs.com
127.0.0.1 dnl-eu7.kaspersky-labs.com
127.0.0.1 dnl-eu8.kaspersky-labs.com
127.0.0.1 dnl-eu9.kaspersky-labs.com
127.0.0.1 dnl-eu10.kaspersky-labs.com

После этого данному файлу присваиваются атрибуты "архивный", "системный" и "скрытый". В результате вышеприведенной записи во время работы в сети Интернет каждая попытка пользователя соединиться через программы или вэб-броузер с любым из присутствующих в списке адресом будут приводить к обращениям компьютер к самому себе и, таким образом, доступ к указанным страницам будет невозможен.


Деструктивная процедура 4 (не работает)
Если бы эта процедура работала, то вирус должен был бы создать в системном каталоге файл noruns.reg, при помощи которого в реестр была бы импортирована следующая запись (значение нижеприводимого параметра ключа по соображениям безопасности заменено на %%%):

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=%%%

Результатом такой перезаписи оригинального значения реестра стало бы отключение прокрутки CD/DVD-приводом любых автозагрузочных дисков, которые должны автоматически запускаться под Windows. Однако вирус, опять же, содержит ошибку и управление на данную процедуру никогда не передается.


Деструктивная процедура 5 (работает только под Windows 2K/XP или выше)
Данная процедура блокирует работу 27-ми системных программ анализа/отладки реестра и компонентов антивирусных программ. Заключается она в создании специфических подразделов в ключах системного реестра, которые содержат следующие записи (часть ветки по соображениям безопасности я заменил на %%%):

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\%%%\360Safe.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\%%%\adam.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\%%%\avp.com]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\%%%\avp.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\%%%\IceSword.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\%%%\iparmo.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\%%%\kabaload.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\%%%\KRegEx.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\%%%\KvDetect.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\%%%\KVMonXP.kxp]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\%%%\KvXP.kxp]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\%%%\MagicSet.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\%%%\mmsk.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\%%%\msconfig.com]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\%%%\msconfig.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\%%%\PFW.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\%%%\PFWLiveUpdate.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\%%%\QQDoctor.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\%%%\Ras.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\%%%\Rav.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\%%%\RavMon.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\%%%\regedit.com]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\%%%\regedit.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\%%%\runiep.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\%%%\SREng.EXE]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\%%%\TrojDie.kxp]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\%%%\WoptiClean.exe]

Также в каждой из этих новых веток вирус создает значение с ссылкой на свою копию:

"Debugger"="%windir%\\system32\\drivers\\mpnxyl.exe"

В результате, если пользователь попытается вызвать на выполнение через командную строку или вручную любую из указанных в ключах программу, то вместо нее получит управление файл-копия вируса mpnxyl.exe.


Деструктивная процедура 6 (работает под всеми ОС Windows)
Для того, чтобы сделать невозможным просмотр скрытых и системных файлов на дисках зараженного компьютера через Проводник, вирус изменяет значение одного из параметров в нижеприведенной ветке ключей системного реестра с "1" на "0":

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion
\Explorer\Advanced\Folder\%\%%]
"%%%"=dword:00000000

Изменение значения данного параметра приводит к тому, что при попытках пользователя установить галочку на параметре "Показывать скрытые файлы и папки" в свойствах просмотра каталогов через Проводник, система автоматически возвращает параметру исходное значение "Не показывать скрытые файлы и папки".


Деструктивная процедура 7 (работает под всеми ОС Windows)
Вирус отдает системе команду на удаление всех сохраненных в URL-кэше ссылок, которые посещал в Интернете пользователь. В результате все Интернет-ссылки, сохраненные пользователем в вэб-броузере, включая стартовую и домашнюю страницы, а также подставляемые автоматом ссылки при наборе в адресной строке броузера, будут удалены без суда и следствия. При этом папку "Избранное" (Favorites) данная деструкция не затрагивает.


Деструктивная процедура 8 (работает под всеми ОС Windows)
Вирус ищет несколько файлов на системном диске зараженного компьютера и в том случае, если находит, то удаляет их. Название первого файла - kakatool.dll, а остальные 6 названий в списке "смертников" зашифрованы сложным крипт-кодом.

Все эти деструктивные действия вирус осуществляет с одной-единственной целью: получить возможность беспрепятственно производить различные вредоносные действия в сети Интернет, а также обеспечить свободу действий своему компоненту-шпиону.

5. Вредоносные действия червя во время работы в сети Интернет.
Каждые 10 минут, начиная с момента старта системы, или же в том случае, когда какая-либо из вирусных копий вызывается на выполнение, червь запускает созданный им компонент hx1.bat. Данный компонент представляет собой небольшую программку размером 77 байт, написанную на языке Batch Script. Одной из процедур, записанных в ее коде, является вызов системной утилиты ping.exe, используемой для передачи/принятия запросов с др. компьютеров сети, а также для простого тестирования работоспособности коннекта между двумя локальными компьютерами. Команда вызова данной утилиты записана таким образом, что ей (утилите) автоматически передается сохраненное в системе значение IP-адреса провайдера Интернета, через которого осуществлялось последнее подключение к сети. При этом утилита отсылает пинг-сигнал на адрес сервера Интернет-провайдера, используя стандартный запрос по сетевому протоколу TCP/IP через порт "по умолчанию" (т.е. порт с номером 53). При этом видимое обращение в сеть идет от ping-утилиты, а не непосредственно от вируса - последний лишь перехватывает полученный ответ. Если ответа нет, значит подключение к сети Интернет отсутствует и данная процедура вируса "засыпает" на дежурные 10 минут. Если же сервер ответил на запрос, то червь, используя 53-й порт, пытается загрузить в машину какие-то вредоносные программы. Для этого он перебирает 5 адресных ссылок, которые содержатся в его теле в зашифрованном виде (названия файлов также зашифрованы сложным крипт-кодом). По данным ссылкам вирус загружает в машину вредоносные EXE- и DLL-файлы. Крипт код удалось частично расшифровать: местом для сохранения скачиваемых файлов является создаваемый вирусом каталог

C:\Temp

После закачки файлов червь производит анализ их содержимого - проверяет первые 2 байта кода на соответствие сигнатуре "MZ". Если такая сигнатура найдена, то вирус считает, что файл имеет корректный формат, и запускает его на выполнение. Каких-либо др. проверок (например, на поврежденность кода) не производится. По окончании загрузки файлов вирус создает в памяти метку-идентификатор

glqq

Эта метка является условным сигналом компоненту-шпиону, что тот может приступать к похищению конфиденциальных данных.

6. Троянец-шпион (компонент gfosdg.dll).
Троянец является DLL-файлом (динамической библиотекой Windows), написанным на Delphi. Он имеет оригинальный размер 38400 байт - никакими утилитами криптования или компрессии код данного файла не обработан. Троянец не содержит в себе никакой процедуры инсталляции, равно как и вирус не создает в реестре никаких записей с ссылками на данный компонент, а непосредственно сам запускает его на выполнение. При этом постоянная активность троянца на протяжении всей работы системы поддерживается не только вирусом, но и любыми др. активными процессами, в адресное пространство которых был внедрен вредоносный DLL-файл. Вирус может внедрять DLL-файл в адресное пространство одного, двух или более активных процессов. Для этого червь применяет специальные перехваты обращений системы к потокам данных активных процессов, при помощи чего и встраивает в эти потоки свой компонент gfosdg.dll. В результате при обращениях троянца в сеть Интернет вызовы производятся из адресного пространства тех процессов, в которые он внедрился, и, таким образом, создается видимость того, что даже незаурядные системные и пользовательские программы вдруг начинают рваться в Интернет.
Троянец рекурсивно проверяет наличие в памяти системы вышеуказанной метки-идентификатора glqq. Когда такой идентификатор появляется в памяти, троянец производит следующие действия:

- проверяет наличие каких-то нижеприведенных файлов:

QQ.exe
QQLiveUpdate.exe
BDLiveUpdate.exe
QQUpdateCenter.exe
LoginCtrl.dll

- отслеживает окна с определенными названиями в их заголовках - судя по всему, это окна программ авторизации при подключении к сети, в которых обычно вводятся логин и пароль доступа к Интернету. При обнаружении таких окон троянец с интервалом в 0,2 секунды проверяет положение курсора мыши и, если пользователь кликает мышкой по кнопке ввода набранного в таком окне текста (т.е. пароля), то троянец перехватывает показанный в окне логин и введенный пароль, распознавая нажатия клавиш, и временно загружает его в созданный в памяти внутренний буфер;

- считывает из настроек системы номер автодозвона (если есть) и тип подключения;

- считывает текущий IP-адрес зараженного компьютера в сети.

Всю собранную информацию троянец пытается отсылать по HTTP-протоколу на сайт злоумышленников

http://www.ip.cn

Также он соединяется с нижеприведенной страницей, на которой расположен счетчик статистики количества зараженных вирусом компьютеров:

http://www.ip.cn/ip.php

Попытки связи с сервером злоумышленников производятся троянцем с интервалом в 3 секунды. В качестве параметра авторизации на сервере используется запрос вида

SendEmail Unit By tmhacker
HELO

Если сервер открывает доступ, троянец в качестве кода авторизации передает выуженный логин пользователя зараженного компьютера. Затем генерирует "на лету" послание, используя шаблон-форму "www-form-urlencoded" передачи данных по сети. В тело письма вставляются строки, в каждой из которых последовательно записываются следующие данные: IP-адрес зараженного компьютера в сети, номер телефона автодозвона на сервер провайдера, пароль подключения к сети Интернет. Также различные поля письма заполняются неустановленными данными, а к тексту дописывается некая служебная информация. Для инициализации окончания пересылки похищенной информации троянец посылает серверу сообщение вида

Send OK!

Чтобы не отправлять письмо повторно в ходе текущего сеанса работы Windows, троянец может создавать в памяти различные метки-идентификаторы:

QQQQQQQQ
11111111111
TempForm_20061214
QQ_Temp
7. Прочее.
В коде компонента hx1.bat есть процедура, которая должна была бы при запуске последнего помимо вышеописанных действий также производить замену текущей системной даты на 22 января 2004 года, однако скрипт содержит ошибку и дата не может быть изменена. Также hx1.bat содержит в себе команду, при помощи которой удаляет себя после отработки. При этом вирус заново создает этот файл. Так что непонятно для чего в данный компонент встроены 2 бессмысленные процедуры.
В коде троянского компонента gfosdg.dll содержится какой-то функционал, связанный с использованием/обращением к каким-то двум DLL-файлам: QQ.dll и npkcntc.dll. Что представляют собой данные файлы и какую роль они могут играть в функционале троянца - неизвестно, поскольку последние не были обнаружены в зараженной системе пользователя.

8. Дэтэктирование и удаление вируса из машины и с СНИ.
Восстановление поврежденного реестра и работоспособности защитных программ.
На момент разработки этого описания антивирусы уже дэтэктировали вирус Win32.Worm.Depredator и его компоненты под следующими номенклатурными названиями:

Антивирус Kaspersky AntiVirus:
файл autorun.inf: не обнаруживает
файл OSO.exe (он же ЦШТЄЧКБП.exe, ГАЕRУОП•.pif, gfosdg.exe, severe.exe, conime.exe, mpnxyl.exe): Trojan-PSW.Win32.QQPass.uj
файл hx1.bat: Trojan.BAT.KillAV.ec
вредоносный файл hosts: Trojan.Win32.Qhost.kh
файл gfosdg.dll: Trojan-PSW.Win32.QQPass.uj

Антивирус DrWeb:
файл autorun.inf: не обнаруживает
файл OSO.exe (он же ЦШТЄЧКБП.exe, ГАЕRУОП•.pif, gfosdg.exe, severe.exe, conime.exe, mpnxyl.exe): Trojan.PWS.Qqpass.422
файл hx1.bat: не обнаруживает
вредоносный файл hosts: не обнаруживает
файл gfosdg.dll:

Антивирус BitDefender Professional:
файл autorun.inf: Trojan.Autorun.EU
файл OSO.exe (он же ЦШТЄЧКБП.exe, ГАЕRУОП•.pif, gfosdg.exe, severe.exe, conime.exe, mpnxyl.exe): Trojan.Pws.Qqpass.UJ
файл hx1.bat: Trojan.Bat.Killav.EC
вредоносный файл hosts: Trojan.QHosts.EK
файл gfosdg.dll: Generic.PWStealer.59320AFB

Если принять во внимание все деструктивные действия, произведенные вирусом, то удалить его при помощи антивирусов будет непростой задачей (или даже невозможной). К тому же после удаления червя основные сервисы, защита и настройки системы по-прежнему останутся неработоспособными, при этом на экран будут выданы сообщения об ошибках, например:
http://www.daxa.com.ua/virh/49a.gif

http://www.daxa.com.ua/virh/49a.gif

Учитывая этот факт, а также неспособность антивирусных программ вернуть "к жизни" испорченные настройки системы, для пользователей Windows XP была создана специальная утилита для удаления вируса из компьютера и полного восстановления поврежденного реестра.
Итак, пользователи Windows XP могут пролечить свои компьютеры следующим образом:

1. Скачать с нашего сайта архив с утилитами от VirusHunter'а, который находится здесь (http://daxa.com.ua/rar/VirusHunter_utilities.rar);

2. Отключить компьютер от локальной сети и сети Интернет, распаковать содержимое архива и запустить утилиту №8. В ходе процедуры удаления вируса утилита осуществит следующие действия:
- выгрузит все копии вируса из памяти компьютера;
- удалит все копии вируса и его компоненты, инсталлированные в систему (кроме файла gfosdg.dll, поскольку его принудительное завершение привело бы к аварийному завершению работы системы);
- удалит все ссылки в ключах реестра на вирусные копии;
- восстановит все измененные/поврежденные вирусом записи системного реестра;
- разблокирует все системные настройки и программы;
- вернет к жизни защитные сервисы системы и антивирусные программы, которые отключил вирус;
- заменит вредоносный файл hosts оригинальным системным файлом;
- разблокирует функции автозапуска CD/DVD-дисков под Windows (несмотря на неработоспособность данной вирусной процедуры, антипроцедура все же была включена в мою утилиту).

3. Запустить утилиту №1 для разблокировки показа в Проводнике скрытых/системных объектов из набора VirusHunter'а;

4. Запустить утилиту №6 для блокировки чтения системой данных из вредоносных файлов autorun.inf из набора VirusHunter'а (если в дальнейшем Вы не хотите более использовать данную утилиту, то запустите ее еще раз - установленный в систему компонент для блокировки autorun.inf при каждом старте системы будет удален, при этом для текущего сеанса работы в Windows данная блокировка будет активна);

5. Воспользовавшись Проводником, удалить вручную из корней всех локальных дисков компьютера вредоносные файлы autorun.inf и OSO.exe; из корней СНИ - autorun.inf, OSO.exe, ЦШТЄЧКБП.exe и ГАЕRУОП•.pif;

6. Запустить при помощи комбинации клавиш Microsoft+F (клавиша "Microsoft" имеет значок с флажком данной компании; расположена с левой стороны от клавиши "пробел" в нижнем ряду клавиатуры) системную службу "Поиск", войти в подменю "Файлы и папки", затем в подменю "Дополнительные параметры" и установить галочки на всех пунктах кроме "С учетом регистра"; при помощи прокрутки подняться выше и вписать в строке с заголовком "Часть имени файла или имя файла целиком" текст OSO.exe, а в строке с заголовком "Слово или фраза в файле" - сплошную строку lqrs>*)ru+pjtm(maq)rulv-evvwhrs*qin*finQvcqQvcqDqin*fin575713|}~Cpjk-gjkjj25}`u}`uiuh{}ijjccip`b (это зашифрованная строка, которая присутствует в коде вирусного тела), при этом в строке с заголовком "Поиск в" должно стоять "Локальные диски". Далее нажать опцию "Найти". Все файлы, которые высветятся в окне обнаруженных объектов, необходимо удалить;

7. Перезагрузить компьютер - после этого система и все защитные сервисы снова будут работать как нужно. Если Вы все проделали правильно, то единственным оставшимся в машине вредоносным файлом будет

%windir%\System32\gfosdg.dll

, т.е. троянский компонент вируса. Его также можно удалить вручную, однако если этого и не сделать, то ничего криминального не произойдет, т.к. к данному моменту он уже окажется неактивным, а без вируса запустить троянца никоим образом не удастся, как бы и кому этого не хотелось.
После окончания всех вышеописанных операций советую Вам сменить свой пароль подключения к сети Интернет, связавшись со своим провайдером. Но перед этим обязательно обновите антивирусную базу и тщательно проверьте свой компьютер на наличие "нечисти" - за время пребывания вируса в Вашем компьютере из сети Интернет могли быть загружены др. вирусы и троянские программы.
Пользователям Windows 9X/ME рекомендуется выгрузить вредоносные процессы из памяти при помощи какой-либо сторонней программы (например, Far Manager). Затем при помощи этой же сторонней программы удалить в корнях всех логических дисков компьютера и СНИ вышеупомянутые вредоносные файлы. После этого нужно разблокировать показ скрытых/системных объектов при помощи соответствующей утилиты из спец. набора от VirusHunter'а. Перезагрузите компьютер - Ваша система снова будет работать нормально. Записи в ключах реестра с ссылками на уже несуществующие вредоносные файлы, а также оставшийся в системе неактивный троянский компонент можно не удалять, т.к. никакой опасности они не представляют, а и их наличие в системе никак не скажется на ее работоспособности. Оставшиеся неактивные копии вируса можно обнаружить и удалить тем же способом, что и под Windows XP.

Пользователям Windows 2K и 2003 придется, очевиднее всего, переустанавливать систему.

Исследование вредоносного кода и разработка описания: Бройде Герман (aka VirusHunter)

знакомый подцепил несколько вирусов Win32/Adware.Agent и Win32/Adware.SurfSideKick так их определяет NOD, но не может не удалить, не вылечить, при нажатии удалить, он говорит что вирус будет удален при следующей перезагрузке виндовс, перезагружаю, опять 25....
процессы убить невозможно т.к. это winlogon.exe и еще какие-то системные...
Пробовал из под DOS'a удалить файлы с диска в которые НОД опознает как инфицированные, но их комп не видет...
(кстати название файлов rqroono.dll и ssttr.exe и еще dxclibxxxxxxx.dll может это что нибудь даст...)
Как избавиться от этой заразы...
___________________________________________
Заранее благодарен...

1. Загрузится в safe-mode, и полечить.
2. Поставить жесткий диск слэйвом на чистую машину, и полечить.
3. Загрузится с компакта с XPE и полечить чем-нибудь с флэшки

KIS у меня ничего не находит а комп тоже иногда виснет нажимаю резет оппять все нормпльно

Зависание еще не есть признак вирусной активности..подумай об обновлении как системы так и драйверов...

Добавлено через 1 минуту
знакомый подцепил несколько вирусов Win32/Adware.Agent и Win32/Adware.SurfSideKick так их определяет NOD, но не может не удалить, не вылечить, при нажатии удалить, он говорит что вирус будет удален при следующей перезагрузке виндовс, перезагружаю, опять 25....
процессы убить невозможно т.к. это winlogon.exe и еще какие-то системные...
Пробовал из под DOS'a удалить файлы с диска в которые НОД опознает как инфицированные, но их комп не видет...
(кстати название файлов rqroono.dll и ssttr.exe и еще dxclibxxxxxxx.dll может это что нибудь даст...)
Как избавиться от этой заразы...
___________________________________________
Заранее благодарен...

NOD32 второй версии? Если да - смени на третью,она лечит лучше...

Позавчера скачал патч для программы Mask Surf качал осликом т.к. в инете не нашел ссылок. После запуска патча антивирус(стоял Norton 2007) просто тихо угас даже не пытаясь сопротивлятся.
Операционка стояла VISTA при перезагрузке вылезло сообщение,что комп заражен вирусом WIN32 Bugler,вроде так называется.
Новые антивирусные утилиты не устанавливались Norton не запускался Windows defender тоже в отключке,а при попытке проверить комп утилитой на майкрософтовском сайте все зависало.
Короче пришлось снести систему и поставить по новой.
Вроде антивирус и неплохой стоял но его беспомощность просто поразила-сейчас поставил Панду.

Вроде антивирус и неплохой стоял но его беспомощность просто поразила-сейчас поставил Панду.

Нортон не есть хороший антивирус :no:
Не мудрено что система упала...

Ядро Нортона загружается перед Виндой, а оболочка после входа в систему. Когда находит вирус пытается удалить, если файл может повлиять на работу (сверяет со своей базой данных) то он его блокирует но в основном неудачно. Часто при сканировании с другого компьютера винта антивирусом он его (файл) удаляет. Потом обычно не грузится Винда или летит файловая система.

Вообщем вот вирус попал трафик интернет поедает перепробывал все антивирусы: Avira, KIS 7, NOD 32, F-Secure находят вродебы удаляют но через несколько минут снова начинается по новой все, пробывал форматировать весь HDD непомогло, посоветуйте пожалуйста что мне делать

Доброго всем времени суток.
Я вот тут поймал Virus.Win32.VB.cd как мне сказал Касперский, он размножился и точно копии были по адресу C:\Boot и на остальных локальных дисках в таких же папках. Вобщем Каспер его удалил но осталась такая фигня: когда кликаю на локальный диск в моем копьютере он мне пишет что неудалось найти какойто Boot.exe и не хочет запускаться, правда если писать C:\ в адрессной строке он заходит.
Каспер говорит что на компе вирусов нет, а эта фигня что осталась непрятна.. help

ну так тебе нужен файл boot.ini, попробуй скачать его с другой тачки и поставить на свою

Вообщем вот вирус попал трафик интернет поедает перепробывал все антивирусы: Avira, KIS 7, NOD 32, F-Secure находят вродебы удаляют но через несколько минут снова начинается по новой все, пробывал форматировать весь HDD непомогло, посоветуйте пожалуйста что мне делать

опишите все подробно на понятном языке.
с чего началось, трафик исходящий или входящий, как заметили
может провайдер по просту тупит со статистикой.

Постоянно выдается сообщение о системной ошибке. Суть такова: "Ваш комп. заражен неизвестным трояном, чтобы вылечить, жми ОК". Жму-скачивается антивируска, которая не реботает без ключа, который стоит денег . Всегда надо жать ОТМЕНА (3-12 раз подряд) Уже ДОСТАЛО!А сносить Wиндоwс неохота. Скачал КАВ 7.0, но он троян не обнаружил. Стоит Виста. Заранее БЛАГОДАРЕН

Это не вирус и не троян, а обыкновенная программа-реклама, которая вытягивает деньги из пользователей без мозгов ;-))
Установки AdAware SE и снеси этого шпиона к праотцам.
Удачи :-))

Всем спасибо! все теперь работает)

ну так тебе нужен файл boot.ini, попробуй скачать его с другой тачки и поставить на свою
SnowBars,
я нашел на C:\ boot.ini там написано:

[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(1)partition(1)\WINDOW S
[operating systems]
multi(0)disk(0)rdisk(1)partition(1)\WINDOWS="Microsoft Windows XP Professional RU" /noexecute=optin /fastdetect

я это скопировал,попробовал поменять значение partition, но все равно boot.exe не найден..

Всем спасибо! все теперь работает)

не нужен файл boot.ini , вирус записывает обычно на диски файлик autorun.inf в котором прописывает какую программу запустить при двойном щелчке мышки по диску (boot.exe в твоем случае), "умная" винда делает это по умолчанию когда такой файл есть на диске, может каспер удалил вирус, но не удалил autorun.inf. потри его и перегрузись.

Либо файл autorun.inf, но скорее всего его уже нет, если комп лечил от вирусов. В твоем случае открываешь реестр и поиск, указываешь файл boot.exe и везде где найдешь в реестре убиваешь, ведь это вирус, система вирус удалила, а вот записи в реестре нет. Помогает в 97%
Удачи

что то эти autorun ы стали очень распространенными... но вот почему то каспер 7 й их не видит

от Nozorrog: откуда такие сведения и убежденность??? Каспер 7 отлично их видит и справляется, причем стал это делать едва ли не первым из антивиров. Не стоит выдавать непроверенные мысли за вселенскую истину!

Ветка борцов с Автораном:
Неоткрывает HDD или как избавиться от виря AUTORUN ... (http://www.nowa.cc/showthread.php?t=105671)
Удачи :-))

У меня на компе два харда стоят и 2 винды, я то и дело переключаю . Один пашет нормально второй висит наглуха. Который висит там антивирь Каспер стаит вирусов нет , клинером чистел чё за батва непойму помогите советом
и деньгами на новый комп. "РОДИНА ВАС НЕ ЗАБУДЕТ" и "ПРИБУДЕТ С ВАМИ СИЛА" !

что то эти autorun ы стали очень распространенными... но вот почему то каспер 7 й их не видит

от Nozorrog: откуда такие сведения и убежденность??? Каспер 7 отлично их видит и справляется, причем стал это делать едва ли не первым из антивиров. Не стоит выдавать непроверенные мысли за вселенскую истину!

не сочтите за рекламу, но после того как поставил нод32 (последнюю версию) вместо каспера 7го - нод нашел огромную кучу троянов и авторанов. каспер при проверке с последними базами говорил что все чисто...
занимаюсь системным администрированием - проверил это на более десятка машин :( кстати пробовал ставить каспера 5го, так он с новыми базами после удаления 7го нашел не меньше чем нод32...

что то эти autorun ы стали очень распространенными... но вот почему то каспер 7 й их не видит
7-ой каспер вообще какой то глючнутый. Из личного опыта вообще не рекомендую, пропускает дофига вирусов и не видит их. Причем судя повсему разработчики об этом знают, ведь для корпаративных клиентов до сих пор используется 6-я версия.
6-я версия для воркстейшен на мой взгляд на данный момент самое лучшее антивирусное решение каспера, что касается 5-и, она к сожалению уже устарела особенно это касается обнаружения руткитов (5-ка их обнаружение не поддерживает). Мигусом 6-ки является то что ее нельзя поставить из безопасного режима, а вот 5-ку можно.
А вообще сейчас сложно определить наиболее качественный антивирус, у каждого есть свои плюсы и минусы.

Спасибо Вам за инву!!! Всё что Вы говорите - Всё правда!!! Каспер - 7 ГЛЮЧЕТ по страшному!!! У меня 3 машины висят из за него, палево конкретное!!! Перешёл на: AVAST всё путём сразу стало машины заработали со страшной скоростью!!!Я просто расказываю и ничего нового и рекламного!!!

Перешёл на: AVAST всё путём сразу стало машины заработали со страшной скоростью!!!Я просто расказываю и ничего нового и рекламного!!!

Конечно заработают со страшной скоростью,потому что этот аваст пропускает ну оооочень много всякой дряни. Спецом подсовывал ему файл с троем,пропускал и молчал. НОД же орал как резаный.

Почему зависает комп после удаления KIS7 и установки NOD32 ?

У меня странный вирь - переводит Word-овские документы из .doc в .exe при наивной попытке воспользоваться Total comander файлы меняют расширение но от содержания остается только бессмысленный набор символов. Помогите, если есть идеи! Заранее спасибо.

Раньше считал NOD хорошим антивирем... На сервер попадает вирус и бежит заражает все *.exe-файлы, а НОД вдогонку их лечит. Так продолжается до тех пор, пока вирус не добегает до папки "Windows", после этого Винда - падает. Каждый раз лечим последствия - "CureIt" от Web'a.
P.S. Стоит "NOD 2.7" c последними базами, а вирус Neshta - 2005 года!!

Я попался на злую шутку ктото прислал на мыло мне архив я его скачал и открыл , окозалась какаято прога. Прога сказала" ТЫ УБИТ" и заблакировала весь инет, аську снисла и скайп! Некоторые файлы перестали открыватся, скажите можно ли как то обезвредить и удалить эту прогу?

обезвредить и удалить эту прогу? Скачай Dr.Web CureIt! (http://www.nowa.cc/showthread.php?t=140159&highlight=cureit), загрузись в "безопасном" режиме (обычно клавиша F8 во время загрузки) и почисть систему. Антивирус какой-нибудь стоит сейчас?

Почему зависает комп после удаления KIS7 и установки NOD32 ?

Пятая версия оставляла за собой в папке Windows/system32/drivers свой файл klif.sys, а иногда и klick.sys - драйвера Антивируса Касперского - возможно то же происходит и после у даления семерки.Отсюда и висяки.Скачай на оффсайте Касперского прогу для полной очистки системы от их продуктов,а опосля ставь НОД.

Симптомы: Переодически появляется окно с текстом в духе "windows has detected spyware infection"
При клике на этом окне открываются 2 досовых окна, пытается лезть в инет, качать кокойто якобы антивирус.
Касперский при этом работать перестаёт, его служба не может стартовать.

Вылечилось путём удаления руками следующих файлов:
01.04.2008 15:53 16*896 braviax.exe
01.04.2008 15:58 82*258 klick.dat
01.04.2008 15:58 82*258 klin.dat
01.04.2008 15:55 3*128 winivstr.exe
01.04.2008 16:22 2*206 wpa.dbl

Будте отсторожны!

не сочтите за рекламу, но после того как поставил нод32 (последнюю версию) вместо каспера 7го - нод нашел огромную кучу троянов и авторанов. каспер при проверке с последними базами говорил что все чисто...
занимаюсь системным администрированием - проверил это на более десятка машин :( кстати пробовал ставить каспера 5го, так он с новыми базами после удаления 7го нашел не меньше чем нод32...
Каспер 6 всё нормамально находит "вирус Worm.Win32.AutoRun.cbi Файл: M:\Autorun.inf ", кстате ради интереса проверял систему троян ремовером он в реестре понаходил ключи в которых прописаны были пути которые торояны посоздавали ) хотя файлов уже небыло (касп вычистил ) пути всётаки пооставались

Каспер не так уж давно стал находить авторуны

Еще и не все авторуны!
За последнюю неделю 5 компов от них лечил. Лучшая связка получилась NOD32+CureIt+AVZ(со скриптами). А вообщето авторуны это уже последствия. Лучше сначала поискать что-нибудь типа avpo.exe, kxvo.exe, adewsxzqg*.sys, или WINLOGON в temp

Ну авторуны не все ловят. Не думаю, что НОД ловит лучше Каспера. А кто часто работает с флешками, лучше отключить автозагрузку

Раньше считал NOD хорошим антивирем... На сервер попадает вирус и бежит заражает все *.exe-файлы, а НОД вдогонку их лечит. Так продолжается до тех пор, пока вирус не добегает до папки "Windows", после этого Винда - падает. Каждый раз лечим последствия - "CureIt" от Web'a.
P.S. Стоит "NOD 2.7" c последними базами, а вирус Neshta - 2005 года!!

кстати было замечено, что NOD 2.7 тож дырявый... 3 версия лучше вроде

А как на счёт Norton Corporate Edition 10.7?

Стоит каспер 7 тормозит систему у все так на 2-х ядерном компе

На Intel или AMD?

Ситуация следующая:
Так получилось, что на моем компе где то 2 недели не было никакого антивируса. В это время приходил племянник скидывал мне с плеера музыку. Когда я поставила антивир: NOD32, то нашла кучу вирусов. Точно не помню, но что то из под Win32 : Brontoq, Spyagent, Revmone. Но точно уже не помню. Все впринципе безболезненно удалилось, только при запуске очень долго думает и выдает что не найден C:/WINDOWS/eksplorasi.exe. Но это все цветочки. В выходные ездила к племяннику, потому что комп просто перестал грузиться. Объяснял это тем, что не может найти HDD. Диск отключила, подсоединила - нашелся. Установила свой NOD32 и часа три убивала вирусы. Чуть больше 2000. И в принципе все тоже не так уж плохо, но тоже выскакивает табличка при запуске.
Не знаете, что это за файл и где его искать: C:/WINDOWS/eksplorasi.exe,
А еще почему то нет проводника и плеер не запускается. Но это пусть, главное чтобы теперь поаккуратней был. Интернета то у него нет. Как он умудрился? А еще этот плеер с вирусами перестал работать. Вообще не включается. Возможно, что это из-за вурусов? И можно это как то исправить если он вообще не включается (хотя при вставлении в комп начинает светиться)?

- точто при запуске eksplorasi.exe вылезает, ето не удаленный ключ в автозагрузке.
- то что вирусы опять появились - ето не все удалено, нужно проверять в безопасном режиме

Привет!У меня такая проблема:Получил 4 письма с данного сайта(NoWa.cc позже узнал,что в это время на сайте была DDOS атака).после открытия начались непонятки:
1.самопроизвольная перезагрузка системы
2.не работает восстановление системы(даже в безопасном режиме)
3.появились проблемы с графикой (игрушки виснут потяжелой,хотя работали только в путь),не возможно настроить параметры сглаживания.
4.самопроизвольно включилось обновление Windows(после закачки и установления которых система встает в ступор)
5.после перезагрузки отключен сетевой адаптер(при его запуске сущетвенно улучшается графика,однако тормоза продолжаются)
6.антивирус показал сообщение: неправильный фаил hosts
7.в браузере "Опера"пропала строка адреса
Вся эта беда происходит на двух компах т.к.почту смотрел на обоих. Проверке компьютера антивирусами (ESS NOD32,NIS2007,AVG)ни каких результатов не дала.
Антивирусная утилита AVZ выдает следующее сообщение:
1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_CREATE] = 86F551E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 86F551E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 86F551E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 86F551E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 86F551E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 86F551E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 86F551E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 86F551E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 86F551E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 86F551E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 86F551E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 86F551E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 86F551E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 86F551E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 86F551E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 86F551E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CREATE] = 86C59980 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CLOSE] = 86C59980 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_WRITE] = 86C59980 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 86C59980 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 86C59980 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_EA] = 86C59980 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_EA] = 86C59980 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 86C59980 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 86C59980 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 86C59980 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 86C59980 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 86C59980 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 86C59980 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_PNP] = 86C59980 -> перехватчик не определен
Проверка завершена
так же обнаруживает следующее:
Функция NtCreateKey (29) перехвачена (8056F063->F74740B0), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtEnumerateKey (47) перехвачена (8056F76A->F7479A92), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtEnumerateValueKey (49) перехвачена (805801FE->F7479E20), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenKey (77) перехвачена (805684D5->F7474090), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtQueryKey (A0) перехвачена (8056F473->F7479EF8), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtQueryValueKey (B1) перехвачена (8056B9A8->F7479D78), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetValueKey (F7) перехвачена (80575527->F7479F8A), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Проверено функций: 284, перехвачено: 7, восстановлено: 7
после перезагрузки ,все повторяется
На одном компе удалось сделать восстановление заводских параметров(ноутбук) ,при этом были утрачены все данные с жесткого диска,кроме заводских программ,
где они лежат не знаю ,возможно это какойто скрытый сектор,но проблемы не исчезли.
Помогите ,кто чем может!Заранее благодарю!

1. Антивирусные базы обновлял?
2. Скачай http://freedrweb.com/
3. Если не помогло 2, скачай это http://avptool.virusinfo.info/
4. Если не помогло 2-3, то добро пожаловать на http://virusinfo.info/forumdisplay.php?f=92

убил все вирусы,однако...графика осталась по прежнему квадратная,помогите!!!

убил все вирусы,однако...графика осталась по прежнему квадратная,помогите!!!
Удали драва на видюху и саму видюху из устройств, перезагрузись и установи драва. Думаю в этом проблема

В общем у меня такая проблема. Около 3 месяцев назад у меня начал виснуть комп. Когда начинаю его отключать, в сд роме раздается странный звук и он виснет, а сд ром как будто пытается что-то читать. Я сперва думал что у меня шлейф полетел. Но дело другое, у меня стоял NOD32 , когда я его удалил, проблемы исчезли, я подумал что вирус и ставлю KIS 7.0 , якобы думал что нод не нашел вируса.Поставил KIS теперь комп включается и работает 3 минуты, издается тот же звук и он виснет. Удалил KIS все исчезло. Что это может быть ??? Вирус или железо и что можно сделать ???

попробуй отключить СД скорее всего железо глючит.

danilov_sa,

Daemon Tools стоит?
это его драйвер

Тебе сча посоветуют сменить системник :)

Спасибо за советы!это был Daemon tools,удалил теперь все ок. но на другом компе daemon не стоял ,после сканирования Dr.web Cureit нарыл 27 вирусов Win32.HLLW.GAVIR.ini,удалил ,однако с графикой проблемы остались,через некоторое время еще раз просканировал вебом и опять 27 штук в тех же папках,решил полностью стереть весь диск,при помощи программы востановления(хорошо,что сделал диски восстановления сразу после покупки компа,на чистой системе),все удалилось,остался только какойто диск Х с драйверами(не знаю можно ли его тоже удалить?) короче,после восстановления сканирую вебом и опять 27 штук! так же AVZ пишет mailbomb-detected,что это может быть ?Может кто знает?

danilov_sa, епред проверкой на вирусы отключи "востановление системы", если дело дошло до переустановки системы форматни нужный диск, а на других дисках удали папку "System Volume Information" устанавливай систему и проверяйся, УДАЧИ!

И не забудь почистить папку временных файлов. Советую программу "CCleaner"

Спасибо за советы!это был Daemon tools,удалил теперь все ок. но на другом компе daemon не стоял ,после сканирования Dr.web Cureit нарыл 27 вирусов Win32.HLLW.GAVIR.ini,удалил ,однако с графикой проблемы остались,через некоторое время еще раз просканировал вебом и опять 27 штук в тех же папках,решил полностью стереть весь диск,при помощи программы востановления(хорошо,что сделал диски восстановления сразу после покупки компа,на чистой системе),все удалилось,остался только какойто диск Х с драйверами(не знаю можно ли его тоже удалить?) короче,после восстановления сканирую вебом и опять 27 штук! так же AVZ пишет mailbomb-detected,что это может быть ?Может кто знает?

Сделай низкоуровневое формотированние допустим прогой KillDisk у меня допустим она на диске Fack ur Bill , а Win32 это червяк ( могу поздравить - у вас глисты )

У меня стоит Каспер. Заблокировало ключ. Скачал новый. ставлю, программа не принимает- пишет что срок действия устанавливаемого ключа меньше имеющегося. Но установленый ранее ключ ведь заблокирован:shock:
Что делать?:sos:

Удалить старый ключ и активировать новый.

Спасибо!!! Удалил старый и новый поставился без проблем

За три дня полностью исчезло свободное пространство на системном диске. Куда девалось - непонятно. Проверял Авастом: ничего не находит. Поставил Панду - ещё круче: антивирус не сканит системный диск, просто пролетает и говорит, что проверил. С компом что-то ужасное творится. Прошу о помощи.

За три дня полностью исчезло свободное пространство на системном диске. Куда девалось - непонятно. Проверял Авастом: ничего не находит. Поставил Панду - ещё круче: антивирус не сканит системный диск, просто пролетает и говорит, что проверил. С компом что-то ужасное творится. Прошу о помощи.

Системный диск NTFS? скорее всего вирус раздал права на системный диск таким образом что теперь антивирус не может туда получить доступ. Заходи с SAFE MODE, раздавай права заново и лечи, или винт на другую машину неси.

dmserver.dll avira нашла троян, удалить не может. Запустил NOD 32 3.0.667 дошел до dmserver.dll повис. Avz таже история, повис.Outpost pro висит. Через безопасный режим зашел, пытался удалить не получилось. На работу не влияет. Помогите или обьясните что делать. Систему сносить не хочу:wow:
Зарание спасибо.

Попробуй отправь Dll на online проверку на сайт Web_у или Касперу - срабатывание одного антивирусника ИМХО не показатель, ибо:

Название: dmserver.dll
Компания изготовитель: Microsoft Corp.
Описание: Logical Disk Manager service dll (Диспетчер логических дисков для Windows NT) 2600.0.503.0
Размер: 23,5 КБ (24*064 байт)

Хотя далеко не факт!

2 МЕСЯЦА НЕ МОГ ПОБОРОТЬ,ОКАЗАЛОСЬ ЗАГРУЗОЧНЫЙ ВИРУС!ПРОПИСАЛСЯ В НУЛЕВОМ СЕКТОРЕ ЖЕСТКОГО ДИСКА.ТАК ЖЕ ЕЩЕ ГДЕ-ТО НА ДИСКЕ КОПИРУЕТ СЕБЯ ,Т.К ПОСЛЕ РУЧНОГО ОБНУЛЕНИЯ СЕКТОРА ПРОБЛЕМА ОСТАЛАСЬ.ПРИШЛОССЬ СНАЧАЛА ОБНУЛЯТЬ ВЕСЬ ДИСК ПРОГОЙ EAST-TEC,а потом вручную нулевой сектор прогой DISK EDIT.Все данные с диска конечно потеряны!а все началось с писем с этого сайта.Всем кто помогал спасибо!

Нехрен по порносайтам лазить, тогда и вирусы не страшны будут...

Не знаю кто подхватил эту заразу но в бухгалтерии появилось несколько документов которые при открытии удаляют сами себя.

Каспер на документ не ругается, но при открытии говорит что макрос пытается выполнить опасное действие и прерывает его.
Если отключить макросы или защитить документ от записи - он нормально открывается (во втором случае с матами по поводу ошибки записи), но список макросов пуст.

Как пролечить документы? Насколько я понимаю там сидит скрытый макрос. Как можно его найти? Может софт какой есть?

Отключать макросы в экселе - не выход, они нужны для работы.

Нехрен по порносайтам лазить, тогда и вирусы не страшны будут...
Если ты думаеш что вирусы, черви, трояны, руткит и.т.д. Берутся только от туда, тогда я завидую твоей уверенности. И советую снести старый антивирусник и поставить другой.Гарантирую ты удивишся!!!

Нехрен по порносайтам лазить, тогда и вирусы не страшны будут...
Последний раз с порносайтов словил вируса года 2 назад. Антивирус же каждый месяц что-то детектит. С других, не порносайтов. Так что всё это ерунда.
А вот крякосайты - да... это в самом деле ужос.

NOD32 и касперский нормально одновременно работают если их правильно устанавливать и запускать.:)

Добавлено через 5 минут
Nod 32 устанавливаем первым, Касперский вторым но в настройках касперского выбрать настройку, чтобы он не запускался при старте винды. А запускаем касп с ярлыка позже. Они вешают машину только при стартовой проверке оперативки одновременно. А потом они друг другу не мешают при любых задачах. И периодически проверяю компьютер Dr.Web Cureit-ом.

NOD32 и касперский нормально одновременно работают если их правильно устанавливать и запускать.:)

Добавлено через 5 минут
Nod 32 устанавливаем первым, Касперский вторым но в настройках касперского выбрать настройку, чтобы он не запускался при старте винды. А запускаем касп с ярлыка позже. Они вешают машину при стартовой проверке оперативки одновременно. А потом они друг другу не мешают при любых задачах.

:quest:а по моему-это глупость.два антивируса только мешает друг другу.даже в том случае,когда сразу невешает систему(а так бывает почти всегда).:)

Конечно, глупость, ещё и в квадрате - устанавливать параллельно два посредственных антивиря...

NOD32 и касперский нормально одновременно работают если их правильно устанавливать и запускать
Nod 32 устанавливаем первым, Касперский вторым но в настройках касперского выбрать настройку, чтобы он не запускался при старте винды. А запускаем касп с ярлыка позже. Они вешают машину при стартовой проверке оперативки одновременно. А потом они друг другу не мешают при любых задачах.
Оно конечно же дело хозяйское (как говориться, ИМХО), но два антивируса в системе - это перебор! Уже само по себе присутствие в ОС двух антивирей чревато возможными конфликтами. Дело ведь не в том, чтобы только вырубить по ярлыку автозагрузку одного, а как быть из его службами, которые работают в фоне? - В таком случае и их нужно вырубать, а это уже маразм - какой смысл тогда ставить, чтобы все блокировать под корень? В таком случае лучше уж иметь версию portable и запускать её час от часу. Система должна быть только с одним антивирусом и это известная аксиома.

а по моему-это глупость.два антивируса только мешает друг другу.даже в том случае,когда сразу невешает систему(а так бывает почти всегда).
Ихние базы оличаются! Касперский ловит одни вирусяки а NOD32 другие!(Базы я обновляю ежедневно) В настройках обоих всё по максимуму!!! Все службы включены!

Ихние базы оличаются! Касперский ловит одни вирусяки а NOD32 другие!(Базы я обновляю ежедневно) В настройках обоих всё по максимуму!!! Все службы включены!

У меня складывается странное впечатление - народ бродит по какому-то отдельному,особо злобному Интернету...Вирусы прыгают прям с клавиатуры и нужно два антивируса,три файрвола и ...сами скажете сколько антиспайваре)

Не лучше иметь в дополнение к основному антивирусу просто еще сканер,вроде портативного доктора Веба?

К примеру - у меня долго стояла связка NOD32 + Dr.Web Portable +COMODO Firewall - никаких зверей...Сейчас Авира + Dr.Web Portable +Outpost Firewall - тоже никаких проблем)

Добавлено через 8 минут
Конечно, глупость, ещё и в квадрате - устанавливать параллельно два посредственных антивиря...

Понимаю реплику - все-таки фанат и постоянный участник русскоязычного форума Авиры говорит... Но называть Касперский "посредственным"...несколько "самонадеянно",что ли...

Ихние базы оличаются! Касперский ловит одни вирусяки а NOD32 другие!(Базы я обновляю ежедневно) В настройках обоих всё по максимуму!!! Все службы включены!
Интерсная точка зрения ..
Особенно если учесть что все службы включены. Жаль что у вас все сводится к включению служб - вот поэтому у вас
Касперский ловит одни вирусяки а NOD32 другие

Не хотите вирусов !?
так вообще забудьте про комп ...
Лично не знаю ни одного человека который хоть раз не заразился ...

называть Касперский "посредственным"...несколько "самонадеянно",что ли...
Согласен. Немного погорячился. Хотя последние тесты AV test и antimalware.ru наталкивают на эту мысль - Касперыч там, кажется, во втором десятке...

а по моему-это глупость.два антивируса только мешает друг другу.даже в том случае,когда сразу невешает систему(а так бывает почти всегда).

В любом случае они деруться между собой, даже не мыслемо это представить. МЫ как то на работе эксперимент такой проводили - Каспер против Нод, они как дурные рубили друг друга :) Тачка раз пять перегрузилась и Каспер вылетел. Вот так вот!!!

Согласен. Немного погорячился. Хотя последние тесты AV test и antimalware.ru наталкивают на эту мысль - Касперыч там, кажется, во втором десятке...

Ну это какие тесты глядеть - proactive или on demand - в первом случае да,касперыч оставляет желать лучшего..При сканировании по запросу - пара десятых процента не есть показатель)

И,мое субьективное ощущение - Касперский 8 работает быстрее Авиры 8 ...но глючен,особенно обновление какое-то через задницу..

Arnee, вот on demand от AV test: http://www.security.nl/article/18258/1/Grote_virusscanner_test_kent_meerdere_winnaars.htm l.

Но меня в принципе не устраивает другое. Так сложилось исторически, что у 95% юзеров при слове антивирь возникает дилемма: Касперский-НОД. Больше ничего не существует. Это - пережиток прошлого века. По сравнению с новыми системами защиты, с многодвижковыми монстрами, штурмующими отметку 99,9% - эти двое действительно посредственны. Более того, с каждым годом они всё больше отстают от конкурентов.

Десятые не играют роли? Давайте сравним, намного ли больше пропускает антивирь, детектирующий 99,8% заразы, чем его конкурент с 99,9%. Оказывается, первый пропускает в 2 раза больше!! То есть, первый - просто дырка по сравнению со вторым! Вот и одна десятая...

Поэтому пока в пристрастиях отечественных юзеров не будет плюрализма, пока они будут тупо повторять советы знакомых или вычитанное в журнале "НОД-Каспер, Каспер-НОД", пока они не станут хотя бы знакомиться с новыми разработками и версиями Авиры, Трастпорта, АВК, Вебвошера - их компы будут в опасности.

фанат
Я вас умоляю)))) Юзер, но не фанат. Не кричу: "Авира рулит, астальные - аццтой!". Не считаю, что Авира - самый эффективный антивирь, хотя - входит в тройку лучших. Знаю, в каком компоненте защиты Авира слабее того же Каспера и даже Веба.
Разве это фанатство?!

DrWeb тоже неплох!!!! Сегодня опять выручил!

Arnee, вот on demand от AV test: http://www.security.nl/article/18258/1/Grote_virusscanner_test_kent_meerdere_winnaars.htm l.

Но меня в принципе не устраивает другое. Так сложилось исторически, что у 95% юзеров при слове антивирь возникает дилемма: Касперский-НОД. Больше ничего не существует. Это - пережиток прошлого века. По сравнению с новыми системами защиты, с многодвижковыми монстрами, штурмующими отметку 99,9% - эти двое действительно посредственны. Более того, с каждым годом они всё больше отстают от конкурентов.

Десятые не играют роли? Давайте сравним, намного ли больше пропускает антивирь, детектирующий 99,8% заразы, чем его конкурент с 99,9%. Оказывается, первый пропускает в 2 раза больше!! То есть, первый - просто дырка по сравнению со вторым! Вот и одна десятая...

Поэтому пока в пристрастиях отечественных юзеров не будет плюрализма, пока они будут тупо повторять советы знакомых или вычитанное в журнале "НОД-Каспер, Каспер-НОД", пока они не станут хотя бы знакомиться с новыми разработками и версиями Авиры, Трастпорта, АВК, Вебвошера - их компы будут в опасности.


Я вас умоляю)))) Юзер, но не фанат. Не кричу: "Авира рулит, астальные - аццтой!". Не считаю, что Авира - самый эффективный антивирь, хотя - входит в тройку лучших. Знаю, в каком компоненте защиты Авира слабее того же Каспера и даже Веба.
Разве это фанатство?!

Не,ни боже мой - не фанатство..Я применил этот термин в хорошем смысле слова))...С первых постулатом соглашусь..частично..НОд для меня никогда не был ничем,близким к идеалу)) Равно и продукт Евгения Валентиновича - пропускал нагло и бесцеремонно всяко зверье...
В общем - в спорах рождается истина..Авось и мы родим чаво нить))

Добавлено через 2 минуты
Кстати,полюбопытствовал http://www.security.nl/article/18258..._winnaars.html Ну...какие-то странноватые лидеры..впору самому тест проводить..Тренд Микро в лидерах - ух как интересно))

Кстати,полюбопытствовал http://www.security.nl/article/18258..._winnaars.html Ну...какие-то странноватые лидеры..впору самому тест проводить..Тренд Микро в лидерах - ух как интересно))
Почему странные? Как раз нет - АВК, ТрастПорт, Авира лидируют и в тестах лаборатории Клементи. Вебвошера они, правда, не тестируют. Совпадают лидеры и с тестами вирусинфо - там тоже Вебвошер и Авира впереди.
АнтиВирусКит сам тестировал месяцок года полтора назад. Это двухдвижковый зверюга. Симпотный интерфейс. Настройки - просто пальчики оближешь))) Обновы - каждые 15 мин. Детектит как бог. Касперу, например, рядом с ним делать нечего. Ну, и грузит, конечно. Жаль, ключиков на него нет...))))
Тренд Микро не самый там лидер... но 98 с гаком % - хороший результат. У Клементи он показывал 97, они его не включают в тестовую группу "грандов" (как, кстати, и Икаруса с его стабильными 97%) не из-за низкого результата, а вроде потому, что эти проги где-то не сертифицированы. Так что по этим тестам Тренд Микро можно отнести к крепким середнячкам.

PS кажется, осталось только 2 лаборатории, которым смело можно доверять, - AV Test и AV comparatives. Да и самые уважаемые они в мире, насколько я знаю...

А вообще что из антивирусов посоветуете использовать

А вообще что из антивирусов посоветуете использовать

Хочешь развернуть очередную holy war? Лучший антивирус - пользователь с прямыми руками...У меня стоит связка Kaspersky 2009 + Outpost Firewall 2009 и..на всякий случай - UnhackMe 4.8.
Что самое интересное - весь этот свежак стоит на компе Athlon 1600+ 512 Ram...и летает..Если поверите на слово)

А вообще что из антивирусов посоветуете использовать
Falcon_est, алгоритм выбора антивиря таков:
1. Побродить по разным форумам, почитать, чем юзеры пользуются;
2. Познакомиться с последними тестами ведущих антивирусных лабораторий (имхо, 2 самых уважаемых - AV comparatives и AV test);
3. Определить для себя десятку софтин;
4. Поюзать каждую в течение месяца;
5. Исходя из полученного опыта и имеющихся денежных возможностей или корсарских склонностей - выбрать тройку антивирей;
6. В течение следующего года внимательно проверить всех троих на своём компе и выбрать своего любимого.
7. В течение следующего года пункты 2-6 можно повторить, и т.д.))))

ПС. Из однодвижковых антивирей Авира Антивир на данный момент лучший. Имхо, конечно)))

нашел вот такую статью. сразу проверил 2 своих компа нашел тот ехе который указывается в посте, вопрос можно ли верить даному посту? "За последнее время появился новый троян-вирус, который буквально, так сказать можно отнести к новому поколению. Раньше, как вы знаете, вирусы, которые всилялись в компы очень много весили (около 1-10 мб). О способах всиления я Вам рассказывать не буду, вы и так все люди грамотные, знаете. Что же касается нового вируса, то он действует так: к Вам на компьютер засылается так называемый троян даунлоадер. Это не вирус, а только его 10 часть. Даунлоадер в процессе Вашей работы в сети, потихоньку начинает закачивать остальные составляющие вирусы на Ваш комп. Их несколько и закачиваются они совершенно не заметно для вас с указанных серваков. Сам даунлоадер весит очень мало, около 2 кб и может даже передаваться с сообщением в аське. После закачки всех компонентов, вирус начинает свою активную работу и выполняет заданные цели. Либо он высылает, потихоньку все содержимое вашего компа на почтовый ящик засыльщика, либо просто ломает комп, либо ворует круглые суммы. В любом случае - это страшная штука!!!! Потому, что его не видет не один из популярных антивирусников (nod32, касперский и др.), ведь вирус загружается по частям а не сразу как я уже сказал и даунлоадер антивирусники просто воспринимают, как обычный файл. Против него действует только моя программа, которая не раз выручала меня. Ее принцип действия прост: она просто ищет составляющие файлы нового вируса, а затем выдает Вам список их места расположеня, которые Вы потом просто удаляете. Скачать эту прогу вы можите на моем сайте ****** В любом случае если вы сейчас зайдете в program files и в установочную папку интернет эксплолера и увидете там вайл с именем iedw.exe , то поздравляю Вас, даунлоадер Вас уже посетил :-) ."

установочную папку интернет эксплолера и увидете там вайл с именем iedw.exe , то поздравляю Вас, даунлоадер Вас уже посетил


Кстати поюзав поиск обнаружил следующую инфу:

Что за файл такой iedw.exe???

Судя по описанию ("IE Crash Detection") - это программа, фиксирующая сбои IE. Только файл находится не в \Windows\Internet Explorer, а в \Program Files\Internet Explorer. Если она у вас в \Windows - проверьте файл антивирусом и антишпионом.

Соответственно кто то нас вводит в заблуждение :)

Вообще-то трояны-даунлоудеры известны давным-давно, и за ними идт охота, как и за другими троянами.
Программка эта iedw - майкрософтовская, и её файлы (3 или 4 разновидности) могут находиться и в program Files, и в Windows. На вирустотале - всё чисто. Фаер подозрительного лома в инет изнутри не регистрирует. По-моему, ерунда.

Кто-то сталкивался с Win32/Pacex.GEN и Win32/PSW.OnLineGames.NMY? Как с ними бороться? НОД определяет, но не лечит. Подскажите. Заранее спасибо.

Кто-то сталкивался с Win32/Pacex.GEN и Win32/PSW.OnLineGames.NMY? Как с ними бороться? НОД определяет, но не лечит. Подскажите. Заранее спасибо.

Nod32 - 100% лечит эту не новую малварь. Сталкивался с ней лично (Приносили как то раз на флешке).

Попробуйте обновиться.

Что касается Nod'а:
В народе ходят слухи что крекнутый или доменстративный Nod ограничивает сам себя в своих функциях (Задумка прогеров). Лично сам пользуюсь лицензионным Nod'ом: ибо цена не кусается - 1300р./год. + существуют какие то скидки при продлении + обновляешься с официальных серверов обновления Nod.

Enjoy! :super:

Да ставь Есет он вирей непропустит,проверено.

Win32/Pacex.GEN и Win32/PSW.OnLineGames.NMY? Как с ними бороться? НОД определяет, но не лечит. Попробуйте скачать пройти их CureIt! от Dr.Web. А вообще, у НОДа далеко не лучший результат по лечению заражения. Не уверен, что он лечит этих червей.

Флешка Kingston постоянно заражается чем то в результате чего переименовывается в PRAVAT и не открывается, лечится форматированием, но как только я ее кудато суну и потом приношу домой... опять pravat? причем антивирусы есть на всех компах куда я ее сую!!! Что за фигня такая???

Люди а никто не слышал про вирус который в день ВДВ активируется, 2.08.08 г. у меня и еще у трех знакомых сисема слитела. Синий экран смерти при запуске любого преложения. Если кто что слышал подскажите!!!!

Флешка Kingston постоянно заражается чем то в результате чего переименовывается в PRAVAT и не открывается, лечится форматированием, но как только я ее кудато суну и потом приношу домой... опять pravat? причем антивирусы есть на всех компах куда я ее сую!!! Что за фигня такая???
А вы не пробовали для начала проверить свой комп?

Nod32 - 100% лечит эту не новую малварь. Сталкивался с ней лично (Приносили как то раз на флешке).

Попробуйте обновиться.

Что касается Nod'а:
В народе ходят слухи что крекнутый или доменстративный Nod ограничивает сам себя в своих функциях (Задумка прогеров). Лично сам пользуюсь лицензионным Nod'ом: ибо цена не кусается - 1300р./год. + существуют какие то скидки при продлении + обновляешься с официальных серверов обновления Nod.

Enjoy! :super:
----
Кто-то сталкивался с Win32/Pacex.GEN и Win32/PSW.OnLineGames.NMY? Как с ними бороться? НОД определяет, но не лечит. Подскажите. Заранее спасибо.

Лечит лечит <> НО только не все! (если вы не сможете убрать галачку скрывать скрытые системные файлы галачка сама возвращаеся после выхода из меню) значит у вас вирус! у меня NOD 3.0.669.0 SS > База данных сигнатур вирусов: 3336 (20080807) не так давно ставил товарищу антивирус с флешки :) пришол домой вставил флешку и как-бы все вирусы с неё удалил :)
решил проверить так как раньше сталкивался не раз с этим вирусом он одинаковый просто разные названия DOS файла !
Советую ВСЕМ (независимо 2 антизверя стоит или 1) проверить папку C:\WINDOWS\system32 > на файл amvo,amvo0,amvo1, итп(exe/dll) причём файл скрытый и так просто его не увидеть Желательно установить Total Commander (вкл скрытые элименты и только тогда сделать поиск в Total Commander в папке C:\WINDOWS\system32 > на файл amvo)
теперь как избавится от этой заразы ручками! Нажимаем win+r (выполнить) msconfig/автозагрузка (убираем галочку с amvo) перегружаемся, делаем поиск C:\WINDOWS\system32 > на файл amvo так как именно он восстанавливает вурусы удаляем всё amvo exe и dll которые нашли и только потом в корне папок > > C: и D: удаляем файлы (knupkb.com + 1rfw8hjr.coм + autorun.inf = пример) зы - первые 2 файла бывают и под другими именами! далее исправляем в реестре Нажимаем win+r (выполнить) regedit HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
Удалить параметр CheckedValue
Щелкнуть правой кнопкой мыши в этом же окне и выбрать "создать параметр DWORD". Назвать его CheckedValue. Поставить значение 1) - это даст вам, а вернее explorer увидеть ВСЕ скрытые файлы.
Вирус злой и умеет восстанавливается + делает невозможно explorer отображать скрытые системные файлы причём сами файлы вируса скрытые и это наверно не всё :) если кто знает что добавьте меня ...

есть хорошая программа anti_autorun , которая лечит от одноимённого вируса(NOD32 этот вирус не находит)

есть хорошая программа anti_autorun
Поищите ещё на форуме или на сайте USB Disk Security.
Про НОД. НОД нормально обновляемый эту бяку видит. Видит Касперский и Доктор Вэб. Про Авиру не скажу, с ней не попадалось, но думаю увидит. НОД с фиксами - благополучно пропускает.

Уважаемые форумчане! прошу помощи!
Ситуация следующая: WinXP SP3,Dr.Web (R) Enterprise Suite 4.44, сервер и 41 станция, вчера 1 станция ловит вирус: BackDoor.PHPShell. (удалён), потом-C:\WINDOWS\system32\blphccw6j0eg9t.scr - Trojan.Fakealert.1228.(вылечен), затем - C:\Documents and Settings\Пользователь\Local Settings\Temporary Internet Files\Content.IE5\UBS2KXMV\KB908676[1].exe" - Trojan.Packed.612.(вылечен), все эти сообщения приходят как оповещения сервера на мой комп, а на станции появляется сообщение в виде ОБОЕВ рабочего стола с предупреждением о поимке 2-х шпионов и предложении немедленно скачать программу для их лечения, одновременно с этим в свойствах экрана этой станции пропадают вкладки “Рабочий стол” и “Заставка”, но через мой компутер поменять её можно таки… Делал следующее: искал blphccw6j0eg9t.scr вручную-не нашёл, полностью очистил временные папки, отключил восстановление, полная проверка ничего не дала-всё чисто. Вопрос: как вернуть вкладки в “Свойствах экрана” ? Есть подозрение что ручной правкой реестра… И если кто сталкивался с таким –чего ещё ждать? Базы в актуальном состоянии.

Я такой ловил. Файл *.scr нашёл поиском, им же нашёл картинку обоев, а вкладки свойств экрано восстановил тулзенью для настройки реестра. Этот вирус полностью удаляет в реестре несколько веток и их нужно восстановить.

скинь плиз, ссыльку - В ПРИВАТ - на тулзень:) для настройки реестра, которой сам пользовался, чёто поиск TC ничё не дал...:(

А попробовать AVZ (антивирус Зайцева):
Файл->Восстановление системы->Восстановление настроек рабочего стола.

Всё! Вернул на место вкладки! Помогло ручное удаление веток реестра, созданных этой гадостью, PC_Maniac, твоей прогой воспользоваться не успел, но поробую обязательно!:cool:
а вот файлик *.scr и картинку обоев так и не удалось обнаружить.....

Подскажите, кто знает. Каспер все время выдает - обнаружено: потенциально опасное ПО Hidden object Процесс: C:\WINDOWS\system32\svchost.exe
Что бы это значило и как с этим бороться?

Что бы это значило и как с этим бороться? svchost.exe - это процесс, запускающий сервисы (службы) Windows, являющиеся динамическими библиотеками DLL. Для каждой такой службы запускается отдельная копия Svchost; поэтому обычного запущено несколько копий - посмотри в Диспетчере задач.
ПДМ ака ХИПС Касперского не нравится такая чрезмерная активность от того и ругается. Чтобы этого не происходило необходимо добавить его в доверенные приложения модуля??? не помню точного названия, не люблю Касперского и не пользуюсь им, - который отвечает за проактивный детект, контроль приложений. НО, часто под svchost.exe маскируются вредоносные программы с одноименным названием, они размещают исполняемый файл в каталог, отличный от system32 - Trojan.W32.Mular, 007 Spy Software, Trojan.W32.Renama и др. В общем, будьте внимательнее, иногда проверяйтесь другими антивирусами, ибо Касперский - еще та дыра.

ибо Касперский - еще та дыра.

Напомнило:
- Вот за это я и не люблю кошек!
- Ты просто не умеешь их готовить... :)

Уважаемые форумчане! прошу помощи!
Ситуация следующая: WinXP SP3,Dr.Web (R) Enterprise Suite 4.44, сервер и 41 станция, вчера 1 станция ловит вирус: BackDoor.PHPShell. (удалён), потом-C:\WINDOWS\system32\blphccw6j0eg9t.scr - Trojan.Fakealert.1228.(вылечен), затем - C:\Documents and Settings\Пользователь\Local Settings\Temporary Internet Files\Content.IE5\UBS2KXMV\KB908676[1].exe" - Trojan.Packed.612.(вылечен), все эти сообщения приходят как оповещения сервера на мой комп, а на станции появляется сообщение в виде ОБОЕВ рабочего стола с предупреждением о поимке 2-х шпионов и предложении немедленно скачать программу для их лечения, одновременно с этим в свойствах экрана этой станции пропадают вкладки “Рабочий стол” и “Заставка”, но через мой компутер поменять её можно таки… Делал следующее: искал blphccw6j0eg9t.scr вручную-не нашёл, полностью очистил временные папки, отключил восстановление, полная проверка ничего не дала-всё чисто. Вопрос: как вернуть вкладки в “Свойствах экрана” ? Есть подозрение что ручной правкой реестра… И если кто сталкивался с таким –чего ещё ждать? Базы в актуальном состоянии.

Блин, та же самая проблема! Комп вроде вылечил, а при загрузке Windows на пару секунд перед выбором профиля пользователя всё равно это сообщение появляется (в виде ОБОЕВ рабочего стола с предупреждением о поимке 2-х шпионов и предложении немедленно скачать программу для их лечения).

Подскажите плиз, кто столкнулся с этой дрянью, как его убрать? :wow:

кто столкнулся с этой дрянью, как его убрать Сообщения идут через "службу сообщений"? Если "да", - это обычный спам, чтобы отключить всплывающие сообщения необходимо зайти в консоль управления службами (кнопка "Пуск", "Панель управления", там зайти в группу "Администрирование" и открыть "Службы". Далее в списке служб найти службу сообщений (он так и называется - "Служба сообщений" в русскоязычной XP и "Messanger" в англоязычной) и открыть ее свойства (двойным кликом или через меню "Действие/Свойства". В окне свойств следует нажать кнопку "Стоп" для остановки службы, затем выбрать типа запуска "Отключено" и нажать "ОК". Файрволл у Вас стоит?