» Вирус(ы) в Windows XP,Vista,7,8,8.1. Проблемы. Решения.

slay1212

Цитата:

Пробовал сейчас залить на файлообменник, но скорее всего прокси на работе не дает, он почти полметра весит. Скину ссылку из дома. Можно и без авторана запустить, например через пуск -> выполнить.

Как обещал даю ссылку Запись открытых окон в текстовый файл. Посмотрел твой список, подозрительных dll не нашел.

Запустил DrWeb, который нашел вирусы:

Dc509.exe
Dc510.exe
INSTSRV.exe
SRVANY.exe
A00525404.exe (подобного вида только разные цифры несколько штук)
wpa531234083989.cpx (подобного вида только разные цифры несколько штук)
Это точно все вирусы и их можно удалить, так как они не вылечиваются??????

Oleg_SZ

Цитата:

Это точно все вирусы и их можно удалить, так как они не вылечиваются??????

Если есть сомнения, то сходи на http://www.virustotal.com/ru/ и поштучно проверь своё богатство.

Oleg_SZ

Цитата:

A00525404.exe (подобного вида только разные цифры несколько штук)

Это точки восстановления Винды, раз определяет, значит точки создавались уже на зараженной системе. Советую вообще перед проверкой отключить восстановление дисков, а то так и будет такое счастье вылазить.
Цитата:

Dc509.exe
Dc510.exe

Это железно вирусы. На остальных посмотри дату создания файла. Если совсем недавно, значит свежеподцепленные, могут также относиться к кейгенам и т.п. Если сам ничего не устанавливал, смело сноси. Я так и поступаю, а то мои user-ы понахватают где-то тараканов, а я в результате расхлебывай. Сегодня целый день на это потерял. В рабочий день сетку не отрубишь.

Цитата:

Dc509.exe
Dc510.exe

Это далеко не факт, что вирусы, могут быть просто файлы из точек восстановления или ещё какая шняга.

Цитата:

INSTSRV.exe
SRVANY.exe

Компоненты, используемые для установки приложения как сервиса. Не опасны.

Цитата:

A00525404.exe

Файлы точек восстановления.

Всё - на проверку в VirusTotal, несмотря на кажущуюся низкую опасность файлы могут быть заражены файловым инфектором, например, Sality.

Вирус настолько глубоко сидит, что даже переустановка системы с форматированием диска не помогает. Запустил утилиту NSSI с загрузочного диска и она выдала сообщение "An active virus has been probably detected in memory". Загрузочные диски DrWeb LiveCD и Kaspersky Rescue Disk не запускаются, а созданные на основе windows запускаются. Ну и как это теперь вылечить?

gale
форматирование вообще-то удаляет всю информацию, что-то значит делаете не так

gale
А с LiveCD антивирус запускать не пробовал? Оперативку вирус по определению заразить не может, т.к. при выключении компа она обнуляется. Значит вирь запускается во время загрузки. Какой диск форматировал - системный или все?
Чем точнее вопрос, тем полнее получишь ответ. Был один вирус, как точно назывался, не помню, сидет очень глубоко. При форматировании прописывался в MBR. Вылечили только таким способом: ставили диск на форматирование через команду format c: из-под ДОСа, а в момент, когда только собирался начать форматирование, т.е. создавал MBR, просто вырубали комп из розетки. Потом включали и форматировали. Вирус исчезал. Как правило это все. Есть, конечно, риск полумертвый диск совсем убить, но такие случаи мы просто не рассматривали. Только тот вирус прописывался на диски с FAT32. NTFS просто не существовало. Да и программ для убития процессов тоже.
Можно еще попробовать проверить комп на альтернативные потоки.

Цитата:

даже переустановка системы с форматированием диска не помогает

Это как??!!! Ну он (вирус) уже наверное в краску на системном блоке въелся. Теперь только выбрасывать.

C недавнего времени в сети на моем компе с КАВ 6.03 выскакивает сообщение

Intrusion.Win.NETAPI.buffer-overflow.exploit! IP-адрес атакующего: 192.168.2.98. Протокол/сервис: TCP на локальный порт 445. Время: 10.02.2010 9:28:57

и так с нескольких компов в сети. На них тоже стоит касперский, не пойму в чем дело.
Подскажите плз
Извиняюсь, уже не надо, кто-то посносил антивирусную программу.

Hackman1971
Хоть и не надо, но в Яндекс вбиваешь и по первой ссылке на форум Каспера.
http://yandex.ru/yandsearch?clid=9582&text=Intrusion.Win.NETAPI.buffer-overflow.exploit!&lr=95
А вообще в тему по KAV нужно было идти.

Hackman1971
Это KIDO
http://forum.ru-board.com/topic.cgi?forum=8&topic=30669&start=20
почитай не пожалеешь!!!

Цитата:

кто-то посносил антивирусную программу.

найти его и дать перцу ...

Привет всем охотникам на вирусов!!! Меня давно уже интересует с помощью чего можно вручную отловить вирусок? К примеру,сам недавно столкнулся с такой проблемой:

Антивирь вычистил вирусок не до конца ,т.е. его часть,которая отвечает за размножение на флешках осталась в системе. Когда втыкаешь флеху в комп,запускается процесс rundll32.exe-т.е. грузит модуль вируска,тот быстро выполняет свои действия и rundll32.exe пропадает(копирует на флеху autorun.inf+recycled).Т.е. в системе сидит библа виря,зарегестрированная в системе как расширение проводника.
Для интереса пробовал втыкать флеху и отловить что же именно вызывает процесс rundll32.exe,но так и не смог это выяснить.
Юзал след софт:
Procmon.exe,Regmon.exe,Filemon.exe,AutoRuns.exe,procexp.exe.
Но так и не смог вычислить вирусок-может что-то неправильно делаю.

С помощью чего можно вычислить какая именно библа вызывает rundll32.exe,svchost и процие системые штуки при всатвке флехи? Или хотя бы просмотреть список того,что еще к этим системным процессам цепляется Т.е. как можно прищучить гада без помощи антивиря?

vov4ka
сохрани в AutoRuns.exe и выложи файл.arn

Vigorous, т.к. никто долго не отвечал на вопрос,пришлось Каспером его жахнуть,но суть не в этом. Я хочу,чтобы в дальнейшем мог отлавливать подобные штуки.К примеру,я хочу узнать, какие библы запускаются с svchost,rundll32 или с чем-то еще, даже если это что-то не загружено в систему в настоящий момент.В программе выбираю ехе или dll, которая меня интересует и смотрю,что к ней цепляется. Есть ли такая программа,которая хотя бы просто позволяет получить список модулей, прикрученных к системным процессам?

попробуй grep

Блин,я щас с ума сойду.....
скажите пожалуйста кто-нибудь!как мне вылечить комп на 100%,после вируса баннера,который требует отправить смс ????
p.s. у меня он требовал отправить 6625027 на номер 5121.

Kjyljy
http://support.kaspersky.ru/viruses/common?qid=208636874

Vigorous Спасибо,все помогло как сказано по ссылке,которую вы дали,но теперь когда я пытаюсь открыть жесткие диски он мне пишет, что нет файла md.exe!Что делать,как мне открыть диски?

Kjyljy
Попробуйте правой кнопкой по диску, выбрать открыть, а не автозапуск. Удалите файл autorun.inf из корневой папки.
если и так не получится, то можно попробовать через пуск, выполнить и там написать букву диска с двоеточием, например: d:

Цитата:

Попробуйте правой кнопкой по диску, выбрать открыть, а не автозапуск. Удалите файл autorun.inf из корневой папки.

Или в любом поисковике набери antiautorun и скачай меленькую "приблудку" для этих целей.

Опишу сначало проблему: комп работает час нормально, потом начинает виснуть.
Запустил Dr.Web CureIT на проверку. Начинает сканить процессы и зависает при процессе mspuhost.exe. Комп просто виснет и ничего невозможно сделать. Symantec также его не отлавливает. В google про этот вирус ничего не написано (если это конечно вирус). Что это такое и как его лечить???

ruslrusl

Ну, во-первых, почему сразу - это вирус? Я бы в первую очередь подумал, что это - перегрев (проц, видео, БП). В кузов не заглядывали (на предмет пыли)? А как насчёт кулеров? Крутятся нормально? А как про оверклок? А вообще, сис какой?
А Касперским не пробовали?

userpuser
проц, видео, БП все ок...
При описании немножко промахнулся: не комп, а ноут...
ОС Винда XP


Цитата:

Ну, во-первых, почему сразу - это вирус?

Потому что нигде про них ничего не сказано... Не убиваются... И зависает именно на нем...

Цитата:

Потому что нигде про них ничего не сказано... Не убиваются... И зависает именно на нем...

"Про них" - это про кого? (mspuhost.exe?) Насколько я помню в ХР такого процесса нет.
msconfig - Автозагруз???
ЗЫ: (м.б. - этот пункт - моё ИМХО) Каспер (триальный, с оф. сайта), если не найдёт (на работающей сис!!!, а не на ЛАЙФ СИди), то - поиск глючных дров.

Щас токо вник - "это не комп, а ноут". А ноуты, чо, не засираются пылью? У меня по первости (при 1 ноуте), чуть было до греха (клинического перегрева) не дошло. Вентилятор и радиатор так забились пылью - темп до 90 градусов, за 10-20 мин поднималась (естест и отрубоны были), заметил токо, когда чуть руки не обжёг. Разобрал, почистил, пропылесосил, и почти как новый (от таких перегревов (60 град) винт, по СМАРТУ, 3 раза сектора переназначал). Вот и (как в песне) "думайте сами - решайте сами".

userpuser
А может сектор на жестком диске сбойный?
У меня такое было, на определенном файле при копировании система зависала.
Запусти проверку диска, (причем всех разделов).

Bubek
и это тоже правильно.
А может это...???
Поиск в ГГГОООГЛЕ
Пилите, Шура, пилите.....

userpuser

Цитата:

А может это...???
Поиск в ГГГОООГЛЕ

там проблема совершенно в другом.... там уже я был...
В msconfig ничего лишнего....

Добавлено:
Вопрос решен. Если кому интересно, то помог bitdefender....

ruslrusl


Цитата:

Если кому интересно

Конечно интересно. Обмен опытом - это всегда интересно!

Я не знаю даже от куда он взялся.
Выскакивает на рабочем столе поверх всех окон.
ВОТ СКРИН:

http://piccy.info/view/81c125909413d9c9edf7665e65fbb3ce/

как избавиться?