» Вирус(ы) в Windows XP,Vista,7,8,8.1. Проблемы. Решения.

логи с uVS

залил__http://narod.ru/disk/44214421001.b7158e2174be5d4d953029d9830d74c2/WIN-V6LJ0C4G06V_2012-03-23_13-00-11.7z.html

newbies
запускаем программу еще раз, закрываем браузеры, выполняем скрипт из файла. на все запросы при работе жмем Да и Далее.

скрипт в архиве тут - http://арвид.рф/trash/script.zip

и что оно делает ?
так в чем у меня проблема ?

в вирусе. Mayachok у тебя.
выполняй скрипт. избавишься от вируса

Недавно услышал от знакомого про то что нод реагирует на какойто вирус в оперативной памяти и не может с ним справится.Сам я первый раз узнал про такое.Если кто вкурсе подскажите как правильно с этим боротся? поможет ли Dr.Web cureit?

cmexx2012

Цитата:

"Наиболее действенным подходом к защите от drive-by загрузок является своевременная и полная установка выпускаемых производителями ПО обновлений."

установите последнюю версию того, что ходит в инет:

Непопулярную вещь скажу, не согласившись. На главном грузинском форуме каждый день люди жалуются, что Хром или ФФ больше не отображают видео, стрим или их часть. Потом стандартно оказывается, что вина лежит на новую версию флеш-плейера. В итоге их перенаправляют на стабильную версию 11.1.102.55 и все счастливы.

Basszlat
полно таких случаев - и с Carberp и с Spy.Shiz, Spy.Eye и мн.др.
делайте необходимые логи и можно будет пролечиться

newbies

Цитата:

Проблема на ноутбуке, пытаюсь на яндекс зайти захожу но там левая реклама всякая выскакивает мол вы выиграли и т.д
в поиске пишу что ни будь , а он не не сайт открывает, а код страницы.

Антивирусная не видит ничего.
Создал нового пользователя в винде, то же самое.
Удалял фаерфокс и ставил по новой, то же самое.

Ага и пишет "Вы выиграли бонус ! Получите 50 бесплатных смс и 15 минут общения во всех сетях."

arvidos правильно Вам сказал - троян Mayachok

посмотрите в реестре ветку

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
параметр AppInit_DLLs"
там у Вас прописано
"AppInit_DLLs"="C:\\WINDOWS\\system32\\najgyxm.dll" или что то похожее.
Удалите значение najgyxm.dll , перезагрузите комп, удалите файл C:\WINDOWS\system32\najgyxm.dll и все файлы с расширением .tmp из директории C:\WINDOWS\system32\ (совпадающие по дате с временем заражения).
Я подобную гадость словил в субботу 24.03.2012. DrWeb его не опознал, написал в поддержку DrWeb - теперь уже ловит.

для лечения маячка можно воспользоваться этим - http://rghost.ru/35615121

упс...только сейчас заметил тему...посему продублирую вопрос
через раз подвисает на экране "Добро пожаловать"...такая же проблема(но гораздо реже) есть на рабочем ПК и у одной сотрудницы(но у нее это было всего пару раз)...винду ставил дет за пол года до СП1...а дет 2-4 месяца назад началось...пробовал отключать все не виндовые службы...проверять целостность файлов...и нифига...раньше помогало просто зайти в безопасный режим...а вчера дома и это не помогло...дет час промучался пока не запустил восстановление из установочного диска...проблем проверка не нашла но винда запустилась...куда копать?
ПС
максимальная х64

mdid
Ну так ты расскажи для начала какой SP, какой антивирь стоит?

обновления стоят все....антивир майкрософтовский

mdid

Цитата:

антивир майкрософтовский

Попробуй просканить вот этим.

все чисто..по крайней мере на работе...попробую дома

Кто знает как пользоваться Super Boot DVD by bucefal82 v.1.0 (2012/RUS)?

roman72319
1) Хоть бы ссылку привели.
2) Это один из LiveCD с кучей программ. Отрываете Яндекс\Гугл и пишите "Как пользоваться .....", вместо многоточия подставляете название программы. Или Вы думаете, что есть многостраничные мануалы к таким сборникам?
А так вообще Как использовать LiveCD

Добрый день.
Обращаюсь вот с такой проблемой на диске С, постоянно появляется папка с названием "C:\LYs95E4SzxBQUr7". Avira, agnitum молчат, сколько не удаляю ее она все равно появляется. Другие антивирусы тоже молчат, вот не знаю что делать. Заранее спасибо

Dee Press
Carberp в системе
Сделайте лог uVS

Dee Press
в логе вируса не видно. антивирус еще ругается на него или снес самостоятельно? произведи проверку оперативной памяти и скажи результат. если вирус еще обнаруживается, то сделай повторный лог, но в Безопасном режиме

Я авиру на полную проверку запустил 5 вирусов найдено, буду надеется что найдет все.
(avira почему-то до этого молчала, посоветуйте хороший антивирус)

Я скачал BitDefender Removal Tool, вот им думаю проверить после авиры еще раз, как вы считаете эта программа для проверки моего антивируса пойдет.

И еще раз большое спасибо за помощь!

P.S. Кстати как прочитать логи этой программы у меня там набор бессмысленных символов.

Цитата:

avira почему-то до этого молчала, посоветуйте хороший антивирус

Virus Daily Stats
AV-Test (январь-февраль 2012)
P.S.
а вообще авира достаточно хороший выбор.

Цитата:

Кстати как прочитать логи этой программы у меня там набор бессмысленных символов

файл>открыть образ автозапуска.
start.exe /i
Dee Press
а вобще зачем два антивируса и битдефендер на подхвате, которые нашли скорее всего 5 архивных, возможно вирусов? это риторическое, ответа не требует.
вы хоть напишите, папки после репрессий продолжают плодиться? и название стойко одно или генерирует абракадабру каждый раз?
а в безопасном режиме, рождается папочка?

а, мое прощение, это agnitum outpost.
вам надо слетать в тему
http://forum.ru-board.com/topic.cgi?forum=5&bm=1&topic=35850&start=5600#lt
там точно помогут, на раз

Как проверка закончится, после перезагрузки надеюсь больше не увидеть эту папку. Если вновь появится буду дальше бороться за работоспособность системы. Так что завтра отпишусь о результатах.

Dee Press

Цитата:

Я авиру на полную проверку запустил 5 вирусов найдено, буду надеется что найдет все.
(avira почему-то до этого молчала, посоветуйте хороший антивирус)

Настройки Настройки и ещё раз Настройки.
Типично: дефолтно не мониторит большие архивы, к которым относится и System Volume Information. Обновляются базы. Появляются новые сигнатуры. Дрянь (не только зловреды) из SVI выявляется только при сканировании системы, на которое то же ограничение мониторинга больших архивов ессно не распространяется. Оттого " на полную проверку запустил 5 вирусов найдено" и "почему-то до этого молчала".
Можно настроить так, что по любому пустяку "оборётся".

Настроил авира на самый жесткий режим, проверил систему нашел 12 вирусов удалил, перезагрузил снова эта папка и еще такая же в application Data, че делать не знаю, эта папка меня реально настораживает. Папка называется "LYs95E4SzxBQUr7" в ней "vKdek9epqkg" в ней "Dat6C.tmp.xsi" и т.д.
Пока я все удалил в этой папке и агнитумом запретил к ней доступ, как временная мера.

P.S. У меня в безопасный режим не заходит система, sfc /scannow не помог.

Dee Press
"Dat6C.tmp.xsi" - какая-то разновидность заразы, проявившейся, если не ошибаюсь, ещё летом прошлого года. Дабы не перепощивать - загугли *.tmp.xsi и пройдись по линкам на вируслабы. Далеко не моя тема, и точных рекомедаций давать не возьмусь, но "краем уха", судя по этому в мартовских базах у Касперского уже должно хоть что то появиться по твоей проблеме. Скачай Kaspersky Rescue Disk (Ссылка поновее, чем в "шапке".) Предварительно, я б ещё прошёлся AVZ - утилита не совсем "адекватная", но моментами очень полезная. Авира же, в данном случае (ИМХО) не слишком эффективна
З.Ы. И посмотри кэшированный лог, а именно "Список файлов и папок, измененных за последние 1 месяц" - если есть параллели, возможно поймёшь, откуда пошло заражение.

Я проверил kaspersky virus removal tool удалил кое что, вроде папка больше не появляется, вот не знаю вирус уже уничтожен или затаился. Через live cd боюсь проверять он кеугены по удаляет все, а так агнитумом запретил доступ к папке и можно не беспокоится, ставить на проверку.

Dee Press
сходил бы в gif'овскую тему, тут, на руборде.
http://goo.gl/y82T0
там надо логов конечно надоить, но если гложет любопытство и первопричины, то стоит.
мне тоже любопытно, поэтому таки только вторым вариантом, пройтись live-cd/usb от доктора веба или каспера. чуется, что на активной системе этот жирный товарищ прячет свое тело в утесах.
а кейгены защищать надо в погребе

Dee Press

Цитата:

Я проверил kaspersky virus removal tool удалил кое что, вроде папка больше не появляется, вот не знаю вирус уже уничтожен или затаился.

Каспер, конечно, не лидер мировой вирусотерапии, просто данным зловредом,яко уже казал, вроде б, занимались (-ются?) плотнее прочих.
Поюзай ProcessExplorer - посмотри, нет ли подозрительных процессов. Обрати внимание, чтоб системные exe-шники запускались из системных папок, а не чёрт знает откуда. Буде найден подозрительный процесс - помониторь тем же procmon-ом. Обычная процедура. Извини, не особо верится, что во всём сразу разберёшься, но искренне советую попробовать. Приобретёшь очень небесполезный для себя опыт.
P.S.

Цитата:

Через live cd боюсь проверять он кеугены по удаляет все

Умилил. "Пусть первый бросит в неё камень, кто сам без греха." И варезные советы уж точно не в сабж, но кто тебе мешает, запустив кейген в песочнице, сгенерировать себе сразу хоть десяток ключей, и далее хранить их в текстовом формате? Тебе ключи нужны, али на кейгены просто молишься?... Прости за сравнение, но это сродни сувенирению использованных презервативов - пусть даже и не извращённо, но уж точно - негигиенично.
Но - если самое ценное на Оси это кейгены... Опять же, не могу тут советовать, но лично б я особо не заморачивался. Поюзал бы, пока юзается, потестил бы для себя разные вирусоборческие средства, пошарил бы "зловреда" "ручками", особо уж невзирая на последствия - исключительно заради опыта - и реинсталил бы Систему - коли возникнет такая необходимость. И много б не потерял, и опытом разжился, и время себе с`экономил. Причём, вовсе не факт, что потребуется незамедлительно переустанавливать Ось; факт - что от страхов перед LiveCD, от боязни что-то непоправимо испортить меня сие наверняка б избавило.

набор полезностей - описание набора:
программа SpyDLLRemover 4.5 (предназначена для работы со списком билиотек и процессов системы + справка на русском),
программа ServiWin 1.48 (предназначена для работы со списком библиотек и драйверов системы + справка и русификатор),
программа Autoruns 11.22 (предназначена для анализа мест автозапуска как активной, так и неактивной системы + справка на русском),
программа Process Explorer 15.13 (наблюдение за активностью системы и использованием системных ресурсов + справка на русском),
программа PDF-XChange Viewer (для просмотра файлов в формате pdf, из которых состоит справка, с русским интерфейсом)
Все программы не требуют установки и бесплатны. Дополнительно: некоторый объём полезных сведений для понимания того, что такое процессы, билиотеки, места автозапуска и как избавиться от лишних программ (предназначено для относительно опытных пользователей).
Этот набор не решает всех проблем в работе системы и с вирусами, но предоставляет основные сведения для тех, кто хочет решить проблему самостоятельно, но знаний (спасибо Майкрософт) не хватает: очень тяжело перейти от уровня "значки и окна" на уровень "процессы-потоки-библиотеки"