» Вирус(ы) в Windows XP,Vista,7,8,8.1. Проблемы. Решения.

не пойму в чем дело, не сколько сайтов не грузится, проверил nod32 ничего не нашел, где поискать подскажите, операционка Windows xp sp3? не грузятся все сайты ниже выхожу через оперу):
http://www.eurosport.ru/football/sport.shtml
http://www.djforum.ru/forumdisplay.php?f=43
http://www.men-s-club.ru/

причем попыток загрузок нет, моментально пишет что ошибка.

DJMC

Цитата:

проверил nod32 ничего не нашел

1)Для кого делалась шапка? Я к чему это? К тому, что проверять из под системы, можно долго и безуспешно. Нодом, авастом и прочей лабудой. Есть отлаженный механизм ,его описание в шапке, да это долго и неудобно, но зато и степень обнаружения очень высока. Зачем делать проверку которая ни к чему не приведёт? Для галочки?
2) Смотри файл host. Блокнотом его открой, может там сайты прописаны. Где находится файл, легко спрашивается у Яндекса.
3) Обратись к провайдеру. Как это не смешно у меня как-то несколько месяцев сайт "ВВС" не открывался, у провайдера тоже. Через пару месяцев прошло
4) Прочти шапку темы
Цитата:

Помощь при лечении компьютера от вирусов

и выложи логи в ней.

HDD

Цитата:

Смотри файл host.

посмотрел первым делом, все стандартно


Цитата:

# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

127.0.0.1 localhost

нашел в интернете способ с вводом кода route -f ... теперь вообще нет интернета ни какого, пишет не возможно обновление ip адреса. что теперь делать, винду не хочется переустанавливать.

DJMC
Ровно четыре поста выше о route -f

Цитата:

В итоге могут слететь настройки интернет-соединений - будьте готовы их прописывать заново. Но в итого статистические маршруты будут сброшены, заход на сайт должен восстановиться.

gjf

Цитата:

Ровно четыре поста выше о route -f

только сейчас заметил... а на какой сайт нужно зайти не понятно, я ведь ни какой определеный сайт не прописывал? интернет ни когда не настраивал, все автоматически делается.

DJMC
Представьте, что вам только подвели инет. Как вы его настраивали с самого начала? Сам ведь по себе он не настроился!

Вот и повторите это всё. Обычно у вашего прова это на сайте должно быть подробно описано.

gjf

Цитата:

Как вы его настраивали с самого начала?

300 рублей пришел человек и настроил, один раз настраивается...но я понял куда копать, то есть переутсановка системы не поможет точно(

DJMC
Не поможет точно - всё равно потом настраивать
Если всё равно работать не будет - значит что-то живое ещё в системе - велком в тему из моей подписи.

gjf

Цитата:

Не поможет точно - всё равно потом настраивать

к счастью вы оказались нет правы, настраивать модем нужно было через адрес в сети 192.168.1.1 но даже на этот адрес не пускало, плюнул и переустановил систему, и о чудо все заработало.

Похоже господину DJMC надо было сразу посоветовать переустановить винду. Мы не ищем легких путей.
GJF имел ввиду:
Не. Поможет точно - всё равно потом настраивать ....

DJMC
route -f сбрасывает статмаршруты, поэтому сеть VPN слетит тоже. Если для доступа на 192.168.1.1 нужен был статмаршрут - то неудивительно, что его не было.

Странно, что провайдер не приводит подробных инструкций на эту тему.

Но всё хорошо, что хорошо кончается!

gjf

Цитата:

Если для доступа на 192.168.1.1 нужен был статмаршрут - то неудивительно, что его не было.

на будущее вдруг пригодится, как мне нужно было поступить?

DJMC
Ну опять же - если есть опыт и желание, то можно о чём-то говорить. Если нет - то лучше кого-то позвать

Мне трудно дать совет, потому что я не знаю специфики вашего провайдера. В классике, помогало удаление существующего сетевого подключения, route -f, перезагрузка и создание сетевого подключения заново. Если нужно добавить статмаршруты вручную - на сайте прова обычно это есть. Если же они делают из этого сверхтайну - можно после того, как их специалист выполнит эту сверхсекретную процедуру набрать

Код: route PRINT > c:/netsettings.txt

как пролечить вирус который все равно пролазит через обновленный каспер
вирус заставляет компьютер постоянно обращаться к 3.5 диску
я вроде всю сеть пролечит утилитой доктор веба (показывает какой то бекдур вирус) но после лечения - кто нить приносить зараженную флешку и опять все компы начинают тарахтеть приводами 3.5)))

Прошу помощи. Произошла следующая ситуация:
Открывая страничку http://keep4u.ru/full/cbfe49ba81a8416800a3f7fb5999e53c.html , сбрасывается какая-то вредоносная программа, но антивирусом она не обнаруживается. Программа, как я понимаю, устанавливается куда-то под Windows или прописывается в реестре, т.к. в списке установленных программ, она не значится, а значит её не видно, и просто так не удалишь.
Открыв страницу и ожидая загрузку картинки, появилось сообщение от Agnitum Outpost, что какая-то программа, в формате EXE, пытается изменить записи в реестре. И, поскольку, Outpost у меня находится в режиме обучения, он дал мне команду "Разрешить это действие", чему я и последовала.
Сначала, я не предала этому особого значения, т.к. подумалось, что это какая-то моя программа отреагировала так на открытую страницу, и только потом, когда Internet Explorer заблокировал загрузку информации на компьютер, я поняла, что я разрешила проникнуть в мой компьютер чему-то вредоносному.

Пожалуйста, протестируйте кто-нибудь эту страничку, и скажите, в чём там причина, и как удалить эту сброшенную на мой компьютер EXE - программку, название которой начинается на Cureit?

SandraRich

Цитата:

которой начинается на Cureit?

? CureIt это лечебная утилита от DrWeb.

Цитата:

Открывая страничку

Зачем?
ali1977
Обновления Windows установлены?

Цитата:

как пролечить вирус который все равно пролазит через обновленный каспер

Настройте Каспера чтобы он лечил потенциально опасное ПО (Riskware)

SandraRich
У меня ничего не установилось и не пролезло.
Какие ещё симптомы заражения? На кого ругался Outpost - какое имя программы? Вы можете этот файл, на который ругался, залить куда-нибудь, а здесь опубликовать ссылку на него?

SandraRich
страничка чистая http://www.virustotal.com/url-scan/report.html?id=e7b1a83c57def231dfad58f68499ae99-1285225895

описываю этап заражения:
зашел на сайт imageban.ru с IE6 (к сайту ранее притензей не было, видимо рекламный модуль заражен), запустилась Java 6 update 16, по всей видимости она скачала *.exe с желто-зеленой иконкой (а возможно и не только его). Касперский 2009 начал эвристический анализ этой проги (сразу двух ее экземпляров), но даже максимальные настройки безопасности не предотвратили то что случилось далее. по очередно начали вылетать все проги, что были запущены в данный момент (возможно от переполнения буфера), в том числе и все службы от чего комп вскоре сообщил о неминуемом перезапуске.

как лечил и что находил:
командой shutdown -a мне удалось избежать перезапуска и возможных серьезных последствий. удалось запустить Process Explorer (почти все проги не могли запуститься из-за ошибки "память не может быть read", что косвенно подтверждает идею о переполнении буфера), Проводник (после того как я вырубил все что можно) и к великой радости самого Касперского (который, как вы догадались, тоже вылетел, однако его службы осталась в памяти). Каспер обнаружил абсолютно скрытую папку C:\systemhost.exe\ (зайти в нее можно было только непосредственно введя путь) и пару файлов вируса в этой папке (systemhost.exe Ydy zjDp иконка от MS Access и еще какой-то *.bin, обозвав их Hidden.Object), но не нашел файла копирующего этот вирус (в папке Documents and Settings netprotocol.exe Ydy zjDp иконка от MS Access) и два файла что проверялись эвристическим методом (в папке system32). после их обнаружения он просил перезагрузки. однако я, пользуясь рабочим Проводником стал искать новые файлы (удалил каких-то два скрытых файла в папке drivers, почистил куки и кэш IE6), однако пока не нашел саму папку C:\systemhost.exe\ . далее я наконец перезагрузился, вирус было захотел запуститься, но пострадал от ошибки "память не может быть read". потом с помощью WinRAR я наконец-то нашел скрытую папку и удалил ее. так же поудалял другие подозрительные новые файлы. и после следующей перезагрузки остался лишь один след заражения.

проблема:
теперь каждый раз explorer.exe запускает дочерний процесс svchost.exe (который не является службой). этот процесс каждые 5 минут посылает исходящий TCP пакет на адрес 209.159.153.138 и порт 8888, который блокируется моим фаерволом. при подключении сети svchost.exe начинает посылать еще и dns запросы, пытаясь выйти в сеть. если вырубить этот дочерний процесс, то пакеты более не посылаются.

вопрос:
нет 100% уверенности, но я считаю что explorer.exe и svchost.exe остались оригинальными. оттого мне не понятно как explorer.exe запускает дочерний процесс (скорее всего как расширение оболочки и если воспользоваться прогой Autorun от Марка Руссовича, то вероятно я найду это расширение и смогу отключить его, однако ж настройки на посыл пакетов сохраняться, а мне хотелось бы полностью избавиться от вируса) и как мне это устранить. возможно есть еще какие-то последствия которых я просто не заметил - желаю устранить и их тоже.

slavka850
Скорее всего где-то валяется библиотека, зареганная как служба под svchost - она и лезет в сеть. Такая фигня популярна.

Давайте в тему с моей подписи, делайте логи - посмотрим. Хотя возможно без Gmer'a не обойтись будет....

slavka850 ,он же
Цитата:

tpmOCHKA

,он же ....


Цитата:

запустилась Java 6 update 16

файлик syscron.exe за "подписью" лаборатории кошмарского "попытался" прописаться (у меня) примитивно в папку автозагрузка.
pыs Сайтик правда другой (компьютерного маркета) и не update 16, а 6.

И всё-таки то, о чём я писала выше, оказалось вирусом, подхваченным с той странички.
После его удаления, что-то осталось, и при включении (запуске) компьютера, появляется окно с сообщением:
RUNDLL wqrm.cto Ошибка при запуске. Не найден указательный модуль.
Как найти и удалить этот файл?

SandraRich
Ищите в реестре. Обычно в
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run];
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run];
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell";
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit";
и в аналогичных ветках раздела HKCU.

SandraRich
Воспользуйтесь бесплатной утилитой Autoruns она всё покажет.

после загрузки хр при наведении курсор на папку или ярлык курсор начинает моргать и открывает их много раз, минуты через 2-3 все проходит и полет нормальный до следующего включения компа вопрос это вирус или проблема софта

vzar, я её скачала, устанавливать программу, я так понимаю, не нужно. Далее, она быстро просканировала и показала результат. А дальше-то что мне делать? Ну, допустим, вижу я этот файл, который нужно удалить, и как мне это сделать? А также, что мне делать с другими найденными и отмеченными файлами?

SandraRich
Правая кнопка мыши по найденному Вами файлу - Delete

vallyol, спасибо. А что если с найденным файлом, который отмечен галочкой, далее идёт пояснение, что такой файл не найден. Такие файлы можно смело удалять или же они нужны системе?

SandraRich

Цитата:

Такие файлы можно смело удалять или же они нужны системе?

Удалять можно... Особого вреда удаление записи в реестре о несуществующем модуле системе не нанесёт. Плюс к этому, может попутно удалите записи о недолеченных вирусах, не до конца удаленных приложениях etc... ИМХО