Ru-Board.club
← Вернуться в раздел «Microsoft Windows»

» Вирус(ы) в Windows XP,Vista,7,8,8.1. Проблемы. Решения.

Автор: vzar
Дата сообщения: 19.10.2011 12:39
smiker2007, похоже, стоит пароль на жёсткий диск. Попробуйте сбросить Викторией
Автор: smiker2007
Дата сообщения: 19.10.2011 12:45
vzar
это комп знакомого - обычного юзера, до обеда говорит все работало нормально. а тут звонит и говорит пароль.
система стояла Win 7 Pro, права админа, UAC отключен, Avira.
я думаю это врядли пароль на жесткий диск, т.к. к нему был подключен диск USB и он теперь тоже не читается ни на одном компе - просит отформатировать его...
может кто сталкивался? может разновидность mbr вирусов?
Автор: vzar
Дата сообщения: 19.10.2011 12:53
smiker2007, mbr в данном случае не причём. Как вариант - вирус-шифровальщик.
Автор: petroosha
Дата сообщения: 19.10.2011 13:03
Кто знает?
При старте нод32 выдает: "оперативная память - модифицированный WIN32/Trojan.Downloader.Cfrberp.AD - очищение невозможно".
DRWEB CureIT не нашла ваще ничего. Spyware Terminator нашел 9 разных бяк, удалил их.
Однако при перезагрузке опять полезло тоже сообщение от NOD32.
Чем убить бяку?
Автор: opt_step
Дата сообщения: 19.10.2011 14:14
petroosha
avz или uvs и HijackThis
Автор: verissimo
Дата сообщения: 19.10.2011 15:55

Цитата:
verissimo
у вас стоит на компе борланд с++?



Нет, не стоит. А если поставлю то что делать?
Автор: folta
Дата сообщения: 19.10.2011 17:03
verissimo
opt_step подозревал, что это борланд шалит. я так думаю))

вам надо найти домик вашего процесса и посмотреть, дату, есть ли подпись, в каком месте он находится. это самое малое, вручную так сказать. если он в автозагрузке, реестр можно посмотреть, он там плавает или нет, с кем и где.
Автор: opt_step
Дата сообщения: 19.10.2011 17:13
verissimo

Цитата:
А если поставлю то что делать?

ставить не надо

Цитата:
подозревал, что это борланд шалит

да

Цитата:
вам надо найти домик вашего процесса и посмотреть, дату, есть ли подпись, в каком месте он находится. это самое малое, вручную так сказать. если он в автозагрузке, реестр можно посмотреть, он там плавает или нет, с кем и где.

в точку
Автор: petroosha
Дата сообщения: 19.10.2011 17:49
opt_step
А про uvs узнал только что. Рулит, однако. Все окейно.
Пасиба большущее.
Автор: opt_step
Дата сообщения: 19.10.2011 18:01

Цитата:
А про uvs узнал только что. Рулит, однако

да конкурент у avz появился и не хилый
Автор: hohkn
Дата сообщения: 19.10.2011 19:24
vzar

Цитата:
при загрузке компа (!) после определения дисков, но ДО загрузки лого винды, появляется надпись на черном фоне: "Enter password".

А это не на ноуте Acer?
Автор: MickeyMouse2
Дата сообщения: 19.10.2011 20:03

Цитата:

при загрузке компа (!) после определения дисков, но ДО загрузки лого винды, появляется надпись на черном фоне: "Enter password".


это вообщето пароль в биосе заданный
Автор: folta
Дата сообщения: 19.10.2011 20:45

Цитата:
это вообщето пароль в биосе заданный

пароль на доступ к биосу, эт понятно.
а как можно запаролить диск через биос? можно поподробнее, кто из производителей такое замастачил.

а логотипов на фоне ввода пароля никаких? горячие клавиши ничего интересного не светят? live-usb/cd(лучше линуксячее, но не erd) нормально стартуют?
Автор: Evgeny972
Дата сообщения: 19.10.2011 21:10
folta
Цитата:
кто из производителей такое замастачил
У всех есть. Например, Gigabyte:
Цитата:
The BIOS Setup program allows you to specify two separate passwords:
Supervisor Password
When a system password is set and the Password Check item in Advanced BIOS Features is
set to Setup, you must enter the supervisor password for entering BIOS Setup and making BIOS changes.
When the Password Check item is set to System, you must enter the supervisor password (or
user password) at system startup and when entering BIOS Setup.
User Password
When the Password Check item is set to System, you must enter the supervisor password (or
user password) at system startup to continue system boot. In BIOS Setup, you must enter the supervisor password if you wish to make changes to BIOS settings. The user password only allows you to view the BIOS settings but not to make changes
Учите матчасть
Автор: folta
Дата сообщения: 19.10.2011 21:13
в безопасный режим вообще можно попасть, или запрос пароля проскакивает раньше?
что происходит при введении неверного пароля? надпись, сообщение.

Добавлено:
Evgeny972
у меня нет ни на новом, ни на старом.
если бы не эти сообщения, так бы и помер веруя что земля плоскаябиос он только сам себя паролить может.
надо заглянуть в этот ящик пандоры, может там чего не заценил, весьма жму за просвещение.

Добавлено:
короче почитал. если это биос. и если у вас тошиба.
вам не повезло. это печальный баг, самоустанавливающийся пароль на загрузку.
http://kerneltrap.org/node/15419

хорошо что у меня такого педального инструмента в биосе нет. надо еще раз тошибу покрутить, вдруг оне висит. не, отказываюсь от таких новаций.
Автор: smiker2007
Дата сообщения: 20.10.2011 11:33
да нет конечно это не биос.
оказалось все банальнее - вымогатель, через трояна подсунул консольный diskcryptor и пошифровал все диски и подключенный usb. вот щас просит денег, думаем что делать с этим чудиком.
Автор: verissimo
Дата сообщения: 20.10.2011 12:51

Цитата:
вам надо найти домик вашего процесса и посмотреть, дату, есть ли подпись, в каком месте он находится. это самое малое, вручную так сказать. если он в автозагрузке, реестр можно посмотреть, он там плавает или нет, с кем и где.


Если можно, то поподробнее, буквально "на пальцах" объясните как мне это сделать.
Автор: folta
Дата сообщения: 20.10.2011 13:21
откройте диспетчер задач>процессы.
найдите процесс>выделяем>нажимаем правую кнопку>открыть место хранения файла.
смотрим где он покладен, дата его и его папки, что там еще есть.
а лучше посмотреть на него через process explorer, более информативнее.
остальное пока не надо, может он находится в приличном месте и приличной компании, зачем усложнять.
Автор: verissimo
Дата сообщения: 20.10.2011 15:32
У меня постоянно повляется вирус по адресу C:\WINDOWS\SYSTEM\VMWARESERVICE.EXE .
Касперский его успевает убить, но через некоторое время вирус появляетс вновь. Вместе с этим вирусом появляется С:\WINDOWS\SYSTEM32\X.EXE , который также благополучно убивается Касперским. Переустановка системы не помогает.

Использовав программу WinPrefetchView я выяснил, что с C:\WINDOWS\SYSTEM\VMWARESERVICE.EXE связаны следующие файлы:

$MFT C:\WINDOWS\system32\sortkey.nls \DEVICE\HARDDISKVOLUME1\$MFT 32
ADVAPI32.DLL C:\WINDOWS\system32\advapi32.dll \DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\ADVAPI32.DLL 10
C_1251.NLS C:\WINDOWS\system32\c_1251.nls \DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\C_1251.NLS 30
COMCTL32.DLL C:\WINDOWS\WinSxS\X86_MICROSOFT.WINDOWS.COMMON-CONTROLS_6595B64144CCF1DF_6.0.2600.2982_X-WW_AC3F9C03\comctl32.dll \DEVICE\HARDDISKVOLUME1\WINDOWS\WINSXS\X86_MICROSOFT.WINDOWS.COMMON-CONTROLS_6595B64144CCF1DF_6.0.2600.2982_X-WW_AC3F9C03\COMCTL32.DLL 20
COMCTL32.DLL C:\WINDOWS\system32\comctl32.dll \DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\COMCTL32.DLL 22
COMDLG32.DLL C:\WINDOWS\system32\comdlg32.dll \DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\COMDLG32.DLL 42
CTYPE.NLS C:\WINDOWS\system32\ctype.nls \DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\CTYPE.NLS 12
DNSAPI.DLL C:\WINDOWS\system32\dnsapi.dll \DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\DNSAPI.DLL 39
GDI32.DLL C:\WINDOWS\system32\gdi32.dll \DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\GDI32.DLL 14
ICMP.DLL C:\WINDOWS\system32\icmp.dll \DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\ICMP.DLL 36
IERTUTIL.DLL C:\WINDOWS\system32\iertutil.dll \DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\IERTUTIL.DLL 29
IMM32.DLL C:\WINDOWS\system32\imm32.dll \DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\IMM32.DLL 15
INDEX.DAT C:\DOCUMENTS AND SETTINGS\LOCALSERVICE\LOCAL SETTINGS\TEMPORARY INTERNET FILES\Content.IE5\index.dat \DEVICE\HARDDISKVOLUME1\DOCUMENTS AND SETTINGS\LOCALSERVICE\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\INDEX.DAT 33
INDEX.DAT C:\DOCUMENTS AND SETTINGS\LOCALSERVICE\Cookies\index.dat \DEVICE\HARDDISKVOLUME1\DOCUMENTS AND SETTINGS\LOCALSERVICE\COOKIES\INDEX.DAT 34
INDEX.DAT C:\DOCUMENTS AND SETTINGS\LOCALSERVICE\LOCAL SETTINGS\History\History.IE5\index.dat \DEVICE\HARDDISKVOLUME1\DOCUMENTS AND SETTINGS\LOCALSERVICE\LOCAL SETTINGS\HISTORY\HISTORY.IE5\INDEX.DAT 35
IPHLPAPI.DLL C:\WINDOWS\system32\iphlpapi.dll \DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\IPHLPAPI.DLL 37
KERNEL32.DLL C:\WINDOWS\system32\kernel32.dll \DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\KERNEL32.DLL 1
LOCALE.NLS C:\WINDOWS\system32\locale.nls \DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\LOCALE.NLS 3
LPK.DLL C:\WINDOWS\system32\lpk.dll \DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\LPK.DLL 16
MPR.DLL C:\WINDOWS\system32\mpr.dll \DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\MPR.DLL 40
MSVCRT.DLL C:\WINDOWS\system32\msvcrt.dll \DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\MSVCRT.DLL 8
NETAPI32.DLL C:\WINDOWS\system32\netapi32.dll \DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\NETAPI32.DLL 38
NORMALIZ.DLL C:\WINDOWS\system32\normaliz.dll \DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\NORMALIZ.DLL 25
NTDLL.DLL C:\WINDOWS\system32\ntdll.dll \DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\NTDLL.DLL 0
ODBC32.DLL C:\WINDOWS\system32\odbc32.dll \DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\ODBC32.DLL 41
ODBCINT.DLL C:\WINDOWS\system32\odbcint.dll \DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\ODBCINT.DLL 43
OLE32.DLL C:\WINDOWS\system32\ole32.dll \DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\OLE32.DLL 27
OLEAUT32.DLL C:\WINDOWS\system32\oleaut32.dll \DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\OLEAUT32.DLL 28
PSAPI.DLL C:\WINDOWS\system32\psapi.dll \DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\PSAPI.DLL 44
RPCRT4.DLL C:\WINDOWS\system32\rpcrt4.dll \DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\RPCRT4.DLL 11
SECUR32.DLL C:\WINDOWS\system32\secur32.dll \DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\SECUR32.DLL 23
SHELL32.DLL C:\WINDOWS\system32\shell32.dll \DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\SHELL32.DLL 18
SHLWAPI.DLL C:\WINDOWS\system32\shlwapi.dll \DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\SHLWAPI.DLL 19
SORTKEY.NLS C:\WINDOWS\system32\sortkey.nls \DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\SORTKEY.NLS 31
SORTTBLS.NLS C:\WINDOWS\system32\sorttbls.nls \DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\SORTTBLS.NLS 4
UNICODE.NLS C:\WINDOWS\system32\unicode.nls \DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\UNICODE.NLS 2
URLMON.DLL C:\WINDOWS\system32\urlmon.dll \DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\URLMON.DLL 26
USER32.DLL C:\WINDOWS\system32\user32.dll \DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\USER32.DLL 13
USP10.DLL C:\WINDOWS\system32\usp10.dll \DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\USP10.DLL 17
VMWARESERVICE.EXE C:\WINDOWS\SYSTEM\VMWARESERVICE.EXE \DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM\VMWARESERVICE.EXE 5
WINDOWSSHELL.MANIFEST C:\WINDOWS\WINDOWSSHELL.MANIFEST \DEVICE\HARDDISKVOLUME1\WINDOWS\WINDOWSSHELL.MANIFEST 21
WININET.DLL C:\WINDOWS\system32\wininet.dll \DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\WININET.DLL 24
WS2_32.DLL C:\WINDOWS\system32\ws2_32.dll \DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\WS2_32.DLL 7
WS2HELP.DLL C:\WINDOWS\system32\ws2help.dll \DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\WS2HELP.DLL 9
WSOCK32.DLL C:\WINDOWS\system32\wsock32.dll \DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\WSOCK32.DLL 6

а с С:\WINDOWS\SYSTEM32\X.EXE следующие файлы:

$MFT C:\WINDOWS\SYSTEM32\X.EXE \DEVICE\HARDDISKVOLUME1\$MFT 6
$MFT G:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP12\Bases\curidsbase.kdz \DEVICE\HARDDISKVOLUME4\$MFT 48
ADVAPI32.DLL C:\WINDOWS\system32\advapi32.dll \DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\ADVAPI32.DLL 11
C_1251.NLS C:\WINDOWS\system32\c_1251.nls \DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\C_1251.NLS 31
COMCTL32.DLL C:\WINDOWS\WinSxS\X86_MICROSOFT.WINDOWS.COMMON-CONTROLS_6595B64144CCF1DF_6.0.2600.2982_X-WW_AC3F9C03\comctl32.dll \DEVICE\HARDDISKVOLUME1\WINDOWS\WINSXS\X86_MICROSOFT.WINDOWS.COMMON-CONTROLS_6595B64144CCF1DF_6.0.2600.2982_X-WW_AC3F9C03\COMCTL32.DLL 21
COMCTL32.DLL C:\WINDOWS\system32\comctl32.dll \DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\COMCTL32.DLL 23
COMDLG32.DLL C:\WINDOWS\system32\comdlg32.dll \DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\COMDLG32.DLL 43
CTYPE.NLS C:\WINDOWS\system32\ctype.nls \DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\CTYPE.NLS 13
CURIDS~1.KDZ C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP12\Bases\curidsbase.kdz \DEVICE\HARDDISKVOLUME1\DOCUME~1\ALLUSE~1\APPLIC~1\KASPER~2\AVP12\BASES\CURIDS~1.KDZ 47
DNSAPI.DLL C:\WINDOWS\system32\dnsapi.dll \DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\DNSAPI.DLL 40
GDI32.DLL C:\WINDOWS\system32\gdi32.dll \DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\GDI32.DLL 15
ICMP.DLL C:\WINDOWS\system32\icmp.dll \DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\ICMP.DLL 37
IERTUTIL.DLL C:\WINDOWS\system32\iertutil.dll \DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\IERTUTIL.DLL 30
IMM32.DLL C:\WINDOWS\system32\imm32.dll \DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\IMM32.DLL 16
INDEX.DAT C:\DOCUMENTS AND SETTINGS\NETWORKSERVICE\LOCAL SETTINGS\TEMPORARY INTERNET FILES\Content.IE5\index.dat \DEVICE\HARDDISKVOLUME1\DOCUMENTS AND SETTINGS\NETWORKSERVICE\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\INDEX.DAT 33
INDEX.DAT C:\DOCUMENTS AND SETTINGS\NETWORKSERVICE\Cookies\index.dat \DEVICE\HARDDISKVOLUME1\DOCUMENTS AND SETTINGS\NETWORKSERVICE\COOKIES\INDEX.DAT 34
INDEX.DAT C:\DOCUMENTS AND SETTINGS\NETWORKSERVICE\LOCAL SETTINGS\History\History.IE5\index.dat \DEVICE\HARDDISKVOLUME1\DOCUMENTS AND SETTINGS\NETWORKSERVICE\LOCAL SETTINGS\HISTORY\HISTORY.IE5\INDEX.DAT 35
IPHLPAPI.DLL C:\WINDOWS\system32\iphlpapi.dll \DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\IPHLPAPI.DLL 38
KERNEL32.DLL C:\WINDOWS\system32\kernel32.dll \DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\KERNEL32.DLL 1
LOCALE.NLS C:\WINDOWS\system32\locale.nls \DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\LOCALE.NLS 3
LPK.DLL C:\WINDOWS\system32\lpk.dll \DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\LPK.DLL 17
MPR.DLL C:\WINDOWS\system32\mpr.dll \DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\MPR.DLL 41
MSVCRT.DLL C:\WINDOWS\system32\msvcrt.dll \DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\MSVCRT.DLL 9
NETAPI32.DLL C:\WINDOWS\system32\netapi32.dll \DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\NETAPI32.DLL 39
NORMALIZ.DLL C:\WINDOWS\system32\normaliz.dll \DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\NORMALIZ.DLL 26
NTDLL.DLL C:\WINDOWS\system32\ntdll.dll \DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\NTDLL.DLL 0
ODBC32.DLL C:\WINDOWS\system32\odbc32.dll \DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\ODBC32.DLL 42
ODBCINT.DLL C:\WINDOWS\system32\odbcint.dll \DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\ODBCINT.DLL 44
OLE32.DLL C:\WINDOWS\system32\ole32.dll \DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\OLE32.DLL 28
OLEAUT32.DLL C:\WINDOWS\system32\oleaut32.dll \DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\OLEAUT32.DLL 29
PSAPI.DLL C:\WINDOWS\system32\psapi.dll \DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\PSAPI.DLL 45
RPCRT4.DLL C:\WINDOWS\system32\rpcrt4.dll \DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\RPCRT4.DLL 12
SECUR32.DLL C:\WINDOWS\system32\secur32.dll \DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\SECUR32.DLL 24
SHELL32.DLL C:\WINDOWS\system32\shell32.dll \DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\SHELL32.DLL 19
SHLWAPI.DLL C:\WINDOWS\system32\shlwapi.dll \DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\SHLWAPI.DLL 20
SORTKEY.NLS C:\WINDOWS\system32\sortkey.nls \DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\SORTKEY.NLS 32
SORTTBLS.NLS C:\WINDOWS\system32\sorttbls.nls \DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\SORTTBLS.NLS 4
SYSTEM C:\WINDOWS\system32\config\system \DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\CONFIG\SYSTEM 36
UNICODE.NLS C:\WINDOWS\system32\unicode.nls \DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\UNICODE.NLS 2
URLMON.DLL C:\WINDOWS\system32\urlmon.dll \DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\URLMON.DLL 27
USER32.DLL C:\WINDOWS\system32\user32.dll \DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\USER32.DLL 14
USP10.DLL C:\WINDOWS\system32\usp10.dll \DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\USP10.DLL 18
VMWARESERVICE.EXE C:\WINDOWS\SYSTEM\VMWARESERVICE.EXE \DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM\VMWARESERVICE.EXE 46
WINDOWSSHELL.MANIFEST C:\WINDOWS\WINDOWSSHELL.MANIFEST \DEVICE\HARDDISKVOLUME1\WINDOWS\WINDOWSSHELL.MANIFEST 22
WININET.DLL C:\WINDOWS\system32\wininet.dll \DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\WININET.DLL 25
WS2_32.DLL C:\WINDOWS\system32\ws2_32.dll \DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\WS2_32.DLL 8
WS2HELP.DLL C:\WINDOWS\system32\ws2help.dll \DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\WS2HELP.DLL 10
WSOCK32.DLL C:\WINDOWS\system32\wsock32.dll \DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\WSOCK32.DLL 7
X.EXE C:\WINDOWS\SYSTEM32\X.EXE \DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\X.EXE 5


Меня интересует где гнездится вирус чтобы его окончательно удалить, то есть из какого места копируется x.exe и VMwareService.exe ?
Автор: opt_step
Дата сообщения: 20.10.2011 15:49
verissimo

Цитата:
Меня интересует где гнездится вирус чтобы его окончательно удалить, то есть из какого места копируется x.exe и VMwareService.exe ?

курите HijackThis
Автор: folta
Дата сообщения: 20.10.2011 16:11
verissimo
кто-то подставляет VMWARESERVICE.EXE
вам скорее всего будет легче сходить Помощь при лечении компьютера от вирусов, gif вам выпишит скрипт и у вас снова взойдет солнце.
раз уж после переустановки системы оне не уходят.
а mbr проверяли? хотя он думаю не при чем. на чистой системе такой фокус, без обращения к другим дискам, для меня впервой.
может какой эксклюзивс поймали
Автор: opt_step
Дата сообщения: 20.10.2011 18:27
verissimo

Цитата:
на чистой системе такой фокус, без обращения к другим дискам, для меня впервой.

а может у вас есть флеха грязная?
Автор: verissimo
Дата сообщения: 20.10.2011 20:53

Цитата:
Цитата:
на чистой системе такой фокус, без обращения к другим дискам, для меня впервой.

а может у вас есть флеха грязная?



В компьютере три логических диска (два физических) в системном блоке и еще два диска подключены через USB. Система ставится на один из логических. Вирус появляется практически сразу после установки. Вполне возможно, что зараза ползет с какого-то другого диска, но как мне можно проследить из какого точно места?
Автор: SandraRich
Дата сообщения: 20.10.2011 21:08
Нечаянно открылся сайт www.sex-porno-tv.ru , на котором, как я предполагаю, были вирусы. Сначала страница не хотела закрываться, а после того как закрылась, окно браузера несколько раз автоматически открывалось с этим сайтом. Удивительно, что Касперский вообще не принял никаких мер, чтобы заблокировать вредоносный сайт или хотя бы отловить вирус.
Автор: opt_step
Дата сообщения: 20.10.2011 21:55
verissimo

Цитата:
курите HijackThis

пробовали?
Автор: folta
Дата сообщения: 20.10.2011 22:22
verissimo
я бы поступил немножечко иначе, но боюсь все мои размышления как вручную найти нечисть до добра не доведут.
поэтому, только из благих побуждений.
начинайте дознание с uVS
потом натравите avz.
gmer и про уже говорившийся hijack this тоже не забудьте.

если все девственно чистое, то грузитесь с live-cd/usb и проверьте систему каким нибудь сканером из шапки.
вообще-то все это там написано. я всего лишь отзеркаливаю.

а вот диски usb, я такие даже не щупал. поэтому ничего сказать не могу.
искать неполадку можно и методом цепочки, отключаем все физические диски, кроме системного. тестим. на основе результата делаем вывод, виновен или нечисть приходит со стороны. а стало быть, сужаем круг поиска, облегчаем задачу.

что касается того, что подозреваемый кем-то детектится.
если знать в фас и профиль, можно прочитать досье и узнать повадки и предпочтения данного типа невзрачной наружности. то есть, не искать его логово, а найти описание нечисти, где можно подчерпнуть так необходимую информацию.
что опять-же упростит все расшаркивания.

Добавлено:
или если вы усидчивый и внимательный, то пользуйте связку Process Monitor и Autoruns от Sysinternals. не встречал еще ничего, чтобы могло от них спрятаться.
от реестра до контактов в файловой системе отследите.
Автор: Uraanfgh56
Дата сообщения: 23.10.2011 15:14
Нод32 засёк в оперативке Win32/Delf.QBH и удалил/изолировал этот вирь.

Где можно поподробнее узнать об этом вире, на вирус.тотал есть , но как-то куцо очень.
Автор: gjf
Дата сообщения: 23.10.2011 15:58
Uraanfgh56
Какая-то ерунда, написанная на Дельфи
Автор: opt_step
Дата сообщения: 23.10.2011 16:16
Uraanfgh56

Цитата:
Где можно поподробнее узнать об этом вире, на вирус.тотал есть , но как-то куцо очень.

здесь смотрели? http://www.securelist.com
Автор: Uraanfgh56
Дата сообщения: 23.10.2011 23:31
opt_step

Цитата:
здесь смотрели? http://www.securelist.com

Смотрел, тоже не особо много.

Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687

Предыдущая тема: Незапускаются программы


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.