» Вирус(ы) в Windows XP,Vista,7,8,8.1. Проблемы. Решения.

Вопрос такой - есть одна нужная программа, но Кошмарский её Индюком обзывает.
Безопасно ли её использовать на своём компьютере, если я никаких разработок на дельфи не веду? Из этого семейства нет никаких деструктивных программ для системы?
Вот сейчас подумал как можно скрыть присутствие зловреда - это добавить в вредоносную программу широко известную версию другого зловреда, но по сути безобидного?! Никто анализировать, наверно, её толком не будет, и другой могут и не заметить.

Парсер логов GMER
http://safezone.cc/forum/downloads.php?do=file&id=32

Здравствуйте!
Помогите пожалуйста.
5июня в ОС XP нарвался на вирус вымогатель.Благополучно его нашел и удалил,но с его удалением проблем не уменьшилось.От окна вымогающего деньги избавился,но появилась следующая проблемма.
При загрузки ОС выходит на режим выбора пользователя,предлагается один-основной(хотя такого у меня не было). Сделав выбор комп начинает подгружать параметры учетки и сразу же после этого не выводя рабочего стола происходит завершение сеанса и опять остается экран с выбором учетки.
Все возможные рекомендуемые методы испробовал. И загружал с LivCD-DVD, и на вирусы сканировал, и ветви реестра проверял.Ничего не получается.Помогите...Плиз...

P.S.В безопасном режиме тоже самое...

Цитата:

p3west

было такое...вирус поменял системный файл c:\WINDOWS\system32\userinit.exe на свое тело. а этот файл переименовал в типа a23123dda.exe ну ты понял. Загружаешься с лайвсд и возвращаешь файл на место... либо обратным переименованием, если найдешь. либо с рабочей машинки вытащи либо с устан. диска. смотри чтоб версия совпадала СП там и все такое ну и в реестре проверь

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

так как то должно быть

Блин круто.Получается я переименованный файл тоже удалил.Потому что он как вирус определился...

Извините пожалуйста, не уверен сюда ли?

Wind ХР 3.
Время от времени, фаербол обращается за разрешением пустить то исходящий, то входящий поток подобно этому. Стоит NOD. Не пойму, вирус, шпион или еще что?:

Microsoft Windows Component Publiher - источник
Generic Host Process for Win32 Services - приложение
Удаленный компьютер 38.229.1.13
Локальный порт 123 (ntp)

Источник и приложение всегда один и тот же.
А адреса и порты меняются.

Я закрываю, через несколько дней в каком нибудь направлении снова повторяется.

Раньше вроде не наблюдал, а может случайно дал доступ. Как с этим бороться или плюнуть?
Спасибо.

Aktaf

Цитата:

NTP исследований Team Cymru

Если вы приехали сюда, чтобы узнать о том, почему этот хост был зондирование вашей сети, пожалуйста, читайте дальше. Мы Team Cymru, безопасность исследования мозгового усилия, чтобы сделать Интернет более безопасным. Следующие узлы являются частью нашего исследования, которое помогает нам проводить интернет NTP оценок безопасности, диагностики и измерений тестов. Все пакеты, происходящих из этих серверов должны быть доброкачественными и относительно редко:

ntpresearch.cymru.com / 38.229.1.76 и 38.229.1.13

Если вы не являетесь администратором NTP или других подобных контактов для автономной системы (AS), набор адресацию или NTP-серверов в Интернете и заинтересованы в обеспечении инфраструктуры вашей NTP, мы предоставляем ряд бесплатных услуг, которые вы можете быть заинтересованы. Не стесняйтесь обращаться к нам по адресу team-cymru@cymru.com если у вас есть вопросы или Вы хотите получить данные корма. Некоторые из NTP связанных документов, инструменты и отчеты мы работаем над включают в себя:

Безопасные Шаблон NTP

вам это о чем-нибудь говорит?

Добавлено:
и вот http://www.team-cymru.org/ReadingRoom/Templates/secure-ntp-template.html

opt_step
Спасибо.
Если правильно понимаю, надо закрываться и все забыть, пока снова не выскочить и т.д.

Помогите в этом топике http://forum.ru-board.com/topic.cgi?forum=62&topic=23049#lt пожалуйста потому что изначально к вам должен был писать но я новичек просто, обещаю исправиться

Где можно скачать Оригинальный Widows 7 home basic Есть ключ оригинальный а прогу не могу найти

ARAM77
данная тема только причем?
вам сюда http://forum.ru-board.com/topic.cgi?forum=35&topic=48772&start=680#lt

Ребят, вирус затер userinit.exe, кто-нибудь может скинуть userinit.exe версии 6.0.6001.18000 на rghost. Дистра у меня нет. Заранее спасибо.

Agent00, в параллельной теме: Чистые системные файлы Windows, которые заражают блокеры: скачать

Skif_off
Все ок. нашел на рековери на винте в скрытом разделе. А по ссылке твоей только на семерку и ХР, и я уже там был

Skif_off
Спасибо полезная инфа!

HDD
http://forum.ru-board.com/topic.cgi?forum=62&topic=18156&start=1120#9
надо в шапку, а Skif_off респект

Цитата:

Agent00, в параллельной теме: Чистые системные файлы Windows, которые заражают блокеры: скачать

=>
Comodo SecureDNS:

Warning: Unsafe Website Blocked!
h18.ru

This website has been blocked temporarily because of the following reason(s):

* Phishing: Site may be criminally fraudulent attempting to collect your personal information by masquerading as a legitimate site

Подскажите пожалуйста - просматривал сегодня свойства некоторых приложений и в некоторых из них (в том числе и стандартных прогах винды) на вкладке безопасность в графе группы и пользователи стоит запись "неизвестная учетная запись" со знаком вопроса... Что это может быть? Нервничаю.....
З.Ы. на вирусы и разную зловреду проверял (НОД32, AVZ, Outpost) - вроде чисто.

Подскаите.Может встречался кто с такой проблемой - окна теряют активность.В открытых программах происходит тоже самое.Не в блакноте нормально печатать ни в инете.Активность исчезает и тут же появляется. Это писал мин 10
В безопасном режиме работа происходит нормально.Все работает.Печатаю в блакноте нормально.
Окна активные.

Dimchikru
avz прогоните

Цитата:

HDD
http://forum.ru-board.com/topic.cgi?forum=62&topic=18156&start=1120#9
надо в шапку, а Skif_off респект

В шапке

opt_step
Спасибо за подсказку.Помог AVPTool.

доброго времени, подскажите плизз в чем дело, вроде и не так беспокоит, но итерересно..
на компе стоит 7 каспер. настроен строго, проблемные области проверяются честенько. вроде вирусов быть не может. проверять раньше полностью было в лом
а тут захотелось проверить, информации много и проверяться значит будет не быстро, решила поставить на ночь, но вероятно не вышло. так как комп прегрузился а в какое время не знаю
потом решила проверить днем, начал проверяться а через пару часов опять перегружается, но до конца не проверен
в чем может быть дело?

decu2007
дампы синих экранов поищите, системный журнал почитайте

Нужна подсказка.Вобщем дело обыденное ,словил племянник по молодости и глупости своей, банер.Все бы было просто да не тут то было.Скачал первым делом ЛАВ СД с ДР.веба запустил проверил.Наковырял он парочку тоянов,вздохнул с облегчением перегружаюсь.Баннер на месте.Захожу под ALKID правлю
реестр,как много сказано.Скачиваю не зараженные файлы,меняю.Перегружаюсь ,гад на месте.Осерчал,перетаскиваю файлы нужные в другой раздел,под тем же ALKID ом вобщем думаю переустановлю виндвс.В сердцах ищу файлы,созданные тем вечером когда поймал,грохаю их без разбору.Пергружаюсь банера нет-хорошоооооо,винды тоже нет-нехорошо.Порядком от всех этих пертурбаций подустал ,поднял руку повыше и со словами-"оно тебе надо" резко ее опустил.Ставлю диск установочный,запускаю.Пишет через минуту что жесткого диска не обнаружено.Для меня это новость,диск провереный,пробовал и другой диск та же петрушка.Давно уже скачивал здесь диск с набором Акронисов(дай бог здоровья тому кто его сделал и выложил выручал не раз),зашел под ним просмотрел ---диск в норме,разделы исправны.Нужна подсказка как мне теперь установить виндовс.Чем можно поправить ситуёвину эту.

Gyznik
Шлейф посмотрите, возможно в нем проблема...

setwolk Смотрел. Акронис видит разделы,логично что диск подсоедеинен.

decu2007
Причин может быть много и большая часть связана с "железом". Перегрев, как самая очевидная. Посмотрите много ли пыли внутри\на вентиляторах. Посмотреть в журнале событий. Протестировать память.
Gyznik
А при чём тут данный раздел? Радует несказанно телепатов возможность угадать какую именно ОС вы устанавливаете и какой "конфиг" вашего компьютера.
Но телепат 80 lvl сказал бы, что вы пытаетесь установить WinXP на SATA и жёсткий работает в режиме AHCI. И нужно или в биосе установить режим работы IDE или почитать тему Установка WinXP на SATA

HDD
Ты прав. Проблемма решена .Вопрос снят. Спасибо.

Кто не будь может сказать как работают именно современные winlocker_ы ?
че то очень хитро все сделано. сегодня обхватил, но так и не смог избавится с "народными средствами" , пришлось откатить на день назад.
Прикол в том, что он меняет ключ рееста HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
указан путь к вирусу. я пишу путь к этого файла, удаляю этот файл, ищу в компе по такому названию еще файлы, но только это был (это я все делаю из LiveCD), перезагружаюсь и опять блокирован, каждый раз новый номер телефона. загружаюсь обратно с LiveCD и вижу все как есть... реестр изминен и этот файл опять появился.
Вот где находится "файл сценарий"? смотрел все ветки реестра по автозагрузки, но небыло ничего левого. почистил все временные файлы и папки, но ХЗ откуда грузит и как вообше?
как бы проблема решил методом отката, но хочу знать на будущее - как это дело работает так хитро? А то недавно принесли компютер с таким блокиратором - там даже winlogon был цел, и не понял даже откуда грузится winlock. тоже лечил откатом.
ОС - WINDOWS XP SP3

P.S. если что, сохранил "свой" winlock, может кому то интересно смотреть и рассказать анатомию этого дела ))