» Вирус(ы) в Windows XP,Vista,7,8,8.1. Проблемы. Решения.

Поиск ничего не дал, похоже мне всё же сюда. Ходил спасать комп с ХР и инетом. Антивирусника не нашёл в нём вообще никакого, пользователь один, он же ессно с всеми правами, Админ запаролен когда-то кем-то - беда ваще. Привычный уже для этой темы вопль про СМС на весь экран. С этим я не первый раз воевал - победил довольно быстро. Потом выгнал ещё 8 разных тараканов, половина явно "Контактного" происхождения. Когда всё стихло - установил КИС 2010 (месячную лицензию б/п), прошарил после обновления им. Каспер нарыл ещё 12 зверьков, целый зоопарк.
В Авторане просмотрел, ещё парой прилад - всё тихо.
И, к чему я так долго - самое интересное для меня началось при попытке навести порядок на дисках (дефрагментацию даже не сделать - завалено всё по форточку).
Несмотря на то, что все программы из меню Пуск запускались, на диски всё копировалось и в Тоталкоммандере всё как на ладони - система не хотела показывать мне содержимое дисков в проводнике!!! Мой комп-С-Свойства пожалуйста. А попробуй диск открыть - чем этот файл открывать будем, интересуется подлая. Может, моя проблема и выеденного яйца не стоит - но я ни разу такое не встречал. Глаазел на диски в Партитоне 8-м. Всё на месте. И системный раздел, и огрызок с логическим D на нём (там один винт 80 гигов, 2 раздела). В диспетчере устройств всё в поряде, желтеется только какое-то интернет-устройство. Службы просмотрел, всё ладно. Настораживает в Тотале папки хозяина объёмом 0 и отказ мне в доступе в эти папки, хотя я хозяина лишил временно всяческих прав.
Люди! Куда рыть дальше? Чтобы только без форматирования и переустановки...

Цитата:

Поймал ЭТО - Get Accelerator (для глубокомыслящих - на порно не лазил). На рабочем столе красивая надпись, на которой сообщается, что интернет заблокирован ну и соответственно просят денег.

Поймал Аналогичное - только что-то типа "незарегистрированная копия даунлоад менеджера" (никакой"скачивальщик" на машине вообще не стоит).

Тоже окошко на весь, экран, и все блокируется, любой запуск приложения (исполняемых файлов, в том числе *.msc ) вызывает запуск окошка с требованием денег за СМС (в сейв моде - аналогичная история).

Загрузился в Windows PE - запустил "kaspersky virus removal tool" все почистилось, загрузился в Windows, запустил AVZ ....

Вирус убил... но политика безопасности осталась заблокированной,
разблокировать смог только частично (разблокировал regedit, taskmgr ) ..

Раздел Полиси в реестре прошерстил, нет там лишних записей, раздел вообще пустой, запустил gpedit.msc - никаких отметок не стоит.


Но -
Диспетчер устройств - до сих пор не работает! Часть компонентов из полиси недоступно - где еще можно покопать? Кто-то подскажет?

Разозлился запустил SFC /scannow - блин, эта фигня диск родимый не опознает (возможно потому что ставился XP Professional SP2 a обновился до SP3)

Потому как вирус убил Звук на машине, и что-то сделал с печатью, так как при отправке на печать с экселя печатает русский язык через строку(строка на русском, строка кракозяблами), приходится ставить принудительно опцию загружать шрифт.

Это просто пипец

androic
Цитата:

Поиск ничего не дал

плохо искал.. гугла - "не показывает содержимое дисков в проводнике".. или чё-нить в этом роде.. ;)

Цитата:

система не хотела показывать мне содержимое дисков в проводнике

стоило запомнить названия глистов, которых ты прибил, и посотреть на вируслисте, как чё чинить после лечива..
как пофиксить твою конкретную хрень - тут..

Цитата:

Настораживает в Тотале папки хозяина объёмом 0 и отказ мне в доступе в эти папки, хотя я хозяина лишил временно всяческих прав.

и зарезал сам себя.. ещё раз перечитай.. :))
нуня зайти под админской учёткой, чтобы сменить права доступа, а попутно - и владельца объекта..
если зашёл админом - заодно и смени пассворд на дефольтного админа, на будущее..

Цитата:

Куда рыть дальше? Чтобы только без форматирования и переустановки

когда всё будет чики-пики - сделай образ системы и закатай на болванку, в след раз тупо развернёшь за 5 мин..

Добавлено:
Milk
Цитата:

Разозлился запустил SFC /scannow - блин, эта фигня диск родимый не опознает (возможно потому что ставился XP Professional SP2 a обновился до SP2)

до сп3, всё-тки, наверное..
возьми любой образ сп3, вылей папку I386 на винт, в реестре подправь путь к дистрибу и сканнау по-новой..
если не проканает - с дистриба сп3 накатить винду поверх, апдейтом..

TheBarmaley - спасибо подкорректировал, обновился до SP3 конечно-же.

Я честно говоря так бы и сделал, но боюсь что система вывалится в синий экран - тут надо наверно уточнить это IMAC-5, с установленной Windows XP pro SP2, и машина шефская экспериментирование затруднено в связи с ограничениями по времени.
И плюс ко всему не знаю как поведет себя акронис, на такой машинке при попытке создать образ

Да еще и машинка привередливая блин -то диски ей не нравтся, а мой хардик ЮСБ-й вообще не видится ;(.

Я вот думаю о чем, не могло ли где-то что-то прописаться именно в виде исполняемого файла привязанного к профилю пользователя. Так-как я уже говорил ни в реестре ни в полиси - изменений по поводу политик безопасности нет.

Milk
Цитата:

боюсь что система вывалится в синий экран

бойся не бойся, а полуживая тачка всё одно ни к чему.. т.ч - с богом!.. :)

Цитата:

экспериментирование затруднено в связи с ограничениями по времени

ясно.. тогда я бы сделал тупо - слил оттуда всё, что нужно, и формат цэ:, далее - как обычно..
так быстрее будет, + гарантия, что гуано нигде не останется..

Цитата:

не знаю как поведет себя акронис, на такой машинке при попытке создать образ

а зачем акронис - возьми добрый старый нортон гост, ему ваще лилово, какое железо стоит, хоть 386, хоть ай-7.. :)

Цитата:

машинка привередливая блин -то диски ей не нравтся, а мой хардик ЮСБ-й вообще не видится

винт выдрать можно? если да - цепляй на другую тачку, бэкапь, заливай дистр, далее - по тексту..

Цитата:

не могло ли где-то что-то прописаться именно в виде исполняемого файла привязанного к профилю пользователя.

а самому попробовать сменить юзера или снести/создать лениво было?.. ;)
вряд-ли, скорее хорошо погажены системные файлики + реестр, т.ч. лучче лекарства, чем ампутация, нету.. :)
ну, пациенту уже всё-равно, а тебе возьни с гангреной тока не хватает..
в смысле - если уж просрал и словил - "проще сжечь всю деревню, чем вычислять, где партизан остался".. :))

Добавлено:
перенёсся оттуда.. :)

---

Mushroomer
Цитата:

А я вот эту фразу понимаю по-другому.

и чё же тут "по-другому"? как написано, так и работает.. :)

Цитата:

Записывается диск со старым образом (т.е. в нем старые базы). Загрузившись с диска, каким-то образом обновляем базы из локального каталога.

что значит "каким-то образом"? ты сам-то пробовал сей рисковый диск делать?
там же всё грамотно сделано - закладка "обновление", настройка, указал либо локальную папку, либо скормил свою сетевую.. ну, или согласился залить базы с тырнета, указав в настройках апдейта прокси, если надо..
исходные настройки локальной сети тулза берёт родные, с "болящей" системы, т.ч. тут тоже всё норм..

Цитата:

Был признателен если бы ты (если это возможно) подробно расписал как сразу добавить базы в Iso образ.

чес гря, про этот конкретный образ я не скажу, не пробовал - не было надобности..
в аварийных ситуациях юзаю подобный самопальный диск, но там стоит порэпанная 5-ка и ей можно тупо скормить сваленные в кучу базы, что и делается, благо базы я беру зипами, которые работают от 3.5 до 7 включительно.. там - да, приходится перезаписывать образ каждый раз, когда прибегают с дикими глазами и кричат "шеф, всё пропало".. :)
единственный "минус" - объём баз меньше, чем в свежих версиях, но мне пока и этого хватало..

в текущем релизе исошника, я так понимаю, стоит урезанная 8-ка.. т.ч. я х.з. как тут быть..
в принципе, в образе есть папка bases, может, туда и надо слить свежак, но это, в общем-то, и нах не нужно, поскоку, повторюсь, всё норм обновляется и с локальных/сетевых дисков.. имха, хоть с флэшки свежие базы подсоввывай - апдейт работать будет корректно..

вопчем-то, Hrist всё уже нарисовал, тока в данном случае (с этим образом) я считаю заливку свежих баз прямо в образ излишним - лично мне не шибко часто приходится делать "зачистку", т.к. стараюсь обходится "профилактикой заболеваний и здоровым образом жизни" вместо головняков с лечением.. хотя, ессно, блин с лечиловом всегда про запас держится.. ;)

ради прикола (и для сопссного успокоения тож :) тока шта спецом провёл натурный "экскримент" - всё пашет, даже мой сетевой фтп-шник подхватила.. апдейта, правда, не произошло, т.к. у меня там базы для корпоративной 6-ки лежат, а качать исключительно для проверки лишние 85 мэ меня как-то жаба задушила.. ессно, в экстренном случае можно будет и нужные базы качнуть/скормить..

карочь.. подтверждаю полную работоспособность образа "лечебной" тулзы от каспера, в том числе - и возможность корректных обновлений баз на момент проверки.. т.е. это - теперь "аппрувед бай бармалей" и "маст хэв"..

Вчера попалась следующая разновидность. Последняя мозилла вываливается при заходе на любой сайт (при этом попутно падают сервисы 7 kis, причем временно), ie8 не выходит на популярные поисковики (включая mail.ru). Касперский не может получить обновления, а вот mail agent и другие сетевые сервисы работают. Опера сборка AC замечательно выходит на все сайты. Касперский ничего не находит даже с самыми жесткими настройками поиска. Хост впорядке. AVZ подозрение на подмену DNS.
Drweb CureIt свежий нашел (назвния в аббревиатуре касперского после занесения в базы):
aekgoprn.dll (странно никаких банеров (видно точно на время заточены)) Trojan.Win32.Agent.ddrp
auxswqtm.sys Rootkit.Win32.Agent.zzi
flv_driver-v9070_setup.exe Trojan-Ransom.Win32.Digitala.e

Отослал в лабораторию касперского первые два сразу отблагодарили и детектировали в них вирусы. Онлайн сканер на их сайте не находил в этих файлах ничего. Обещали добавить в следующем обновлении.
Вывод: явно отечественные поделки, направлены против каспера, имеют временные бомбы.

Цитата:

и зарезал сам себя.. ещё раз перечитай.. )

Нафига кишки на клаве! Просто как хозяин создал ещё учётку (для себя) с адскими правами, вышел и зашёл уже как домой и обездолил хозяина.
Цитата:

как пофиксить твою конкретную хрень - тут..

Спасибо, классное место, я там попасусь вволю. Анти-авторан, похоже то, что мне нужно. Вообще файлы авторан.инф - это первое, что у меня нарылось CureIt' ом. И удалилось. А эффект остался.

Цитата:

стоило запомнить названия глистов, которых ты прибил, и посотреть на вируслисте, как чё чинить после лечива.

Сознаюсь, ступил. Часть "глистов" пофамильно я найду в логах вошебоек - такчто пошел разминать пальцы и то, чем ем, курю и сморкаюсь....

Milk
Цитата:

Поймал ЭТО - Get Accelerator (для глубокомыслящих - на порно не лазил).

Как раз в выходные удаленно лечил такое же. В яндаксе нашел способ, им и воспользовался.
Способ:
ставится jv16 PowerTools 2009 (триальной версии полне хватит) . Дальше меню Tools -> Software Uninstaller. Ищем Get Accelerator или что-то подобное. Uninstall. Все.
Ясное дело, что в стандартном Удалении программ этой шняги нет.

androic
AVZ прекрасно восстанавливает функции проводника. Есть там такая функция, поставите галку, выполните , ребут и всё заработает как надо.Доступ к разделам восстановится.
Цитата:

Вообще файлы авторан.инф - это первое, что у меня нарылось CureIt' ом. И удалилось. А эффект остался.

Для флешек-usbvaccine в помощь. Единственно - фат32 должен быть. Созданный им авторан.инф не удаляется не переименовывается, соответственно вредный авторан курит в стороне.

Цитата:

TheBarmaley

Всё срослось, Проводник заработал. AVZ чё-то не восстановил, хотя им я тоже тараканов гонял - классная тапка! Исправлял именно Ант-автораном. Просто мне ещё "матчасть" изучать нужно как следует. Больше времени ушло на настройку доступа в папки чужого профиля - никогда не сталкивался, на ходу пришлось тыкаться. Хотелось себя оставить в этом компе на случай дальнейших вил, с правами круче хозяина, но с разрешениями чё-то невнятно вышло - займусь теорией, исправлю после.
А "глисты" и тараканы были разные, от WinLock32 до Trojan Win32 Generic плюсом авторановцы и какое-то вредоносное ПО, на которое Каспер обвизжался. Около 20 объектов...

androic
Цитата:

Больше времени ушло на настройку доступа в папки чужого профиля - никогда не сталкивался, на ходу пришлось тыкаться. Хотелось себя оставить в этом компе на случай дальнейших вил, с правами круче хозяина, но с разрешениями чё-то невнятно вышло

альт+ентер на папке - заклада безопасность - кнопа дополнительно - заклады владелец и разрешения.. раз..
хозяина "опустить" до уровня продвинутого зверя и не говорить пасс на админские учётки.. два..
сделать ему отдельную учётку с гостевыми правами, под которой он будет лазать в тырнет.. три..
не пудрить себе моск, а заходить дефольтным админом, круче которого мо быть тока рут в линухе.. четыре..
ну и, наконец, поставить челу нормальный антиглистин + настроить правильно.. пять..

зы.
на всякий случай - дефольтный виндовый админ, кстати, единственный, кто имеет доступ к консоли восстановления..
так шта его учётку надо беречь, холить и лелеять денно и нощно.. ;)

Цитата:

не пудрить себе моск, а заходить дефольтным админом

Этточно, только как писал выше, прежний "приходящий папа" запаролил Админа, а пароль на пузе клавкином прилепить забыл. Как пароль этот сменить без переустановки, явно не в этом углу форума искать надо (может кинет кто наколку, хотя искать буду всё равно). Где-то я встречал насчёт использования ливсиди, но тут же в комментах был полный разгром этой идеи. А реанимировать машинку придётся не раз - для проведения дефрагментации на С я убрал 17 гигов с рабочего стола хозяина... 512 оперативы,ХР... Придётся повышать свой уровень самотычки...

androic
Цитата:

Как пароль этот сменить без переустановки

дык.. ёпть.. ты ж и так под админом заходишь.. какая меж ними разница-то?.. права у всех "самых главных" одинаковые.. :)

забей на ливсд и всякие хаки, делов-то - куча:
вход любым админом - панель упр. - администрирование - управление компом - локал.пользователи и группы - пользователи - нужная учётка - ПКМ - задать пароль - прописать нужные буквы и, наплевав на всякие страшные варнинги, нажать ок..
и всё, заходи спокойно под "реальным пацаном".. ;)

единссное - если чел там чё-нить шифровал в документах, тогда шифрованная часть навеки станет недоступной..
но я так думаю - это вряд-ли, судя по тому, что "прежний папа был приходящий".. :)

androic
Почти у каждой уважающей себя пиратки есть сбрасыватель паролей...

tshudini
Цитата:

Почти у каждой уважающей себя пиратки есть сбрасыватель паролей

..который, сдаёцца мне, ничем не лучше стандартных системных средств..
нащёт "пираток" - учиццо лучче на штатных средствах, где хаков по определению нету.. имха, каэшна..
и ваще: пуск - справка - поиск по словам "сброс пароля", матчасть достаточно хорошо документирована.. :)

Цитата:

..который, сдаёцца мне, ничем не лучше стандартных системных средств..

Не знаю насчет стандартных средств но в случае когда вход в систему один, а пароль утрачен - то самое то....

tshudini
Цитата:

в случае когда вход в систему один, а пароль утрачен - то самое то

тож верно - бабушка ключи дома забыла, а дверь захлопнула.. остаёцца - 911 звонить..
хотя можно заюзать соседа-алкаша и он за поллитру выбьет дверь.. :)

понятно всё.. если вспомнить, говорили о вполне штатной ситуации, когда есть полный доступ к компу..
и нет смысла ломать, если можно и так открыть..
чё касаемо "сбрасывателей" - штатная дискета для сброса пассворда их мама-прародительница..

TheBarmaley
Это тебе точно понравится...

Цитата:

было обнаружено 4765234 вирусов (worm.win32.sality.aa, kido.ir,)

Kaspersky Administration Kit 8.0.2048, Unprocessed files

androic
Цитата:

Как пароль этот сменить без переустановки,

http://forum.ru-board.com/topic.cgi?forum=55&topic=4720

Stalker61
Цитата:

Это тебе точно понравится

спс, от души.. это ж надо было стока наплодить.. ;))
зато про ступор админкита не очень весело..

Цитата:

Поймал Аналогичное - только что-то типа "незарегистрированная копия даунлоад менеджера" (никакой"скачивальщик" на машине вообще не стоит).

Лечил в выходные такоже случай, причем картинки меняются время от времни. Монитор KIS70 wks в дауне базы свежие. Запуск exe заблокирован, в безопасном не загружается. Перевод часов не помог. Загрузившись в DOS (на том же диске установле, благо FAT32), из папки System32 перенес все скрытые файлы и снова скрытая папка lowsec с файлами вирусов. Система загрузилась уже в нормальном режиме. Запуск файлов был восстановлен. Сканирование DrWeb CureIt нашел еще SDRA64.exe.
C помощью AVZ восстановил все заблокированное и тд. Касперского переустановил - так и не оправился сам . Все подозрительные файлы отправил и касперскому и вэбу. Касперский внес файл ktjmuqvx.dll как Trojan-Downloader.Win32.Piker.tf.

Вообще лечние довольно просто, поскольку в папке System32 и Drivers как правило не должно быть скрытых файлов - то их просто перемещаем в другое место, загрузившись с другого носителя. Скрытость файла выдает их.

В общем такая ситуация. Организация (4 подсети, где то 200 компов), доменная структура сети, у всех стоит НОД32 v3.0 обновления вроде есть(Пишет что обновляется), у всех стоят пачи KB957097, KB958644, KB958687. В свое время гулял Конфикер, админ который отвечал за это дело утверждал что его побороли, однако у мну сомнения есть (Новые компы, если не ставить пачи заражались, знач кто то все таки заразу по сети слал). Где то дня 3 назад компы начали массово вываливатся из домена начали разбиратся. Оказалось что останавливаются службы (Не всегда все, временами только какая нить одна. Никакого порядка в остановке не заметил):

Локатор удаленного вызова процедур RPC
Сетевой вход в систему
Служба обеспечения сети

Поведение очень похоже на конфикер, но не те службы (Раньше тухли Сервер и Рабочая станция). Один из предположительно больных был забран проверены пачи (Оказалось стоят), прогнан 3м НОДом и 10м Каспером (Базы обновлялись сразу перед сканированием) оба сказали что чисто. На всякий случай скачал с каспера последний КК и прогнал им - ЧИСТО.

Уверен на 90% что это вирь, но немогу ни поймать ни как то убедится. Поставил Оутпост Ничего явно критичного невижу Разве что много обращений по 137/138 порту тогда как служба "Обозреватель компютеров" выключена. Оставил "Предположительно больного" у себя включеным стоит Аутпост поглядую.

У "Предположительно больного" была попытка стукнутся на igmp.mcast.net (однократная за часса так 3-5)служба Н/А.

Так же было 2 попытки что то отослать на мой комп (поставил на свем Аутпост тоже слежу за пакетиками на 2х компах) на порты 4195, 4196. Интересно то, что пришли пакеты с интерфейсов неиспользуемой ВМВари на одном из серверов. Ща рою что нить в этом направлении.

Вроде все касающееся проблемы описал.

phantomua
проверь с заведомо здорового компа свежим каспером через сеть, весь системный раздел "болящего", с макс.настройками..
если глист активен, при локальной проверке он может и не вычислиться..

У меня такая проблема.
Перестал работать KIS 2010,пытался установить KIS 2009-не удалось,устанавливается,но потом не запускается,такая же проблема с Norton Internet Security.
Интернет отключается сам по себе,при запуске Windiws вылазят сообщения "Отправлять" или "не отправлять" сведения об ошибках. Корзина переименовалась в internet Explorer при двойном нажатии на неё перехожу на сайт sogou.com с китайскими иероглифами...
Microsoft Office тоже не работает,устанавливается,но не запускается. Компьютер не запускается в безопасном режиме.
Как вылечить компьютер?
В интернете нашёл похожую проблему,там посоветовали скачать "Kaspersky Virus Removal Tool" и выполнить скрипт какой-то там... Поможет?

Jammin777
лучшее на мой взляд в скачать http://www.freedrweb.com/livecd прожечь диск и проверить - проверка идет долго.
перед проверкой сохрани все нужные данные с компа - потом антивирусом обязательно проверь.
(после проверки система может не запустится поставишь в СД установочный диск с ХР и выбери восстановление.

Цитата:

лучшее на мой взляд в скачать http://www.freedrweb.com/livecd прожечь диск и проверить - проверка идет долго.

Это из серии дёшево и сердито Потому как урезанный вариант "Варианта №1" из шапки. Тогда уже два CD качать и проверять.

phantomua
А если avz проверить?

Такое дело: имеется подключение к инету через локалку установлен кис 2010 который понесколько раз в день сообщает: обнаружена сетевая атака на локальный порт 1701 компьютер не был заблокирован возможно его адрес поддельный. Что это: намеренная атака или автоматизированное действие вирей, что нужно предпринять?

Haos79
порт 1701 - впн-соединение.. адреса, с которых к тебе стучацца - разные?
мо быть, это штатная проверка коннекта от твоего прова, нет?

если адрес один и это впн-шлюз провайдера, добавь его в доверенную зону в кисе..

HDD

После скана "Предположительно больного" + Мойего и еще пары компов 0 даже подозрений.

Удалил get accelerator с двух компов клиентов. На обоих компах стоит NOD32 4 версии, но пришлось удалять ручками. Осталась проблема: не работает инет. Т.е. аська работает, антивирь обновляется, но ни один браузер не работает. На 1 компе браузеры запускаются но не открываются страницы. На втором компе браузер открывается и сразу же закрывается. Любые адреса сайтов на обоих компах пингуются нормально. Host подменял на одном, на втором был нормальный - не помогло. Систему не хочется переставлять, т.к. обоим клиентам винду ставил меньше недели назад Посоветуйте что-либо плиз!