» Вирус(ы) в Windows XP,Vista,7,8,8.1. Проблемы. Решения.

полезности для безопасности (скорее превентивные)
SurfPatrol онлайн сервис для устранения уязвимостей в браузерах и плагинах
Zulu сервис для оценки безопасности конкретного URL-адреса.
WepaWet сервис для анализа javascript-сценариев на предмет подозрительной активности.
Anubis сервис для изучения подозрительных исполняемых файлов.

у меня такая фигня - на стационарном компе ставил сын игрушку и инета, запросил установщик отправить смс на номер - он и прервал ее.
после этого у Хрома перестали совсем грузиться страницы (любые. в том числе и его Настройки) - появляется стандартное сообщение "Опаньки...."
снес Хром, снес все что касается Хрома в папках.
закачал установщик чтоб поставить снова - не дает ставить что-то.
закачал оффлайн-установщик, поставил - та же фигня, правда теперь видать версия другая - "Опаньки..." нет, но пишет что не может открыть страницу.
самый прикол - и ИЕ, и Сафари, и Комет бёд и Лиса работают нормально.
вторая фишка после этой прерванной установки - теперь при старте ХР автоматом открывается ИЕ с стартовой страницей Гугла и предложением закачать Хром
у кого есть мысли что это за фигня и как с ней бороться?
причем, на нетбуке Хром живет и здравствует.
сразу предупрежу - AVZ проверял, Пандвоским и МакАфеевским онлайн-сканером также. Проверял на руткиты - ничего не находится.

наверное как часто бывает в последнее время - маячок
такой лог сделайте - http://forum.esetnod32.ru/forum9/topic2687/

смогу только попозже - счас пока на работе.

Народ, какие обновления Windowsа XP SP3 (пролечен от жадности) можно безопасно скачивать с оф. сайта Microsoftа?

Добавлено:
Проблема такова: после первого же выхода в и-нет система подвисает, очевидно вирусы или вредоносы потрудились. Вероятно, сама система старовата, хочу обновить, но не знаю, какие обновления можно использовать.

Добавлено:
Забыл добавить: я систему-то откатил, но сейчас снова в и-нет надо выходить, вот и ломаю голову, как всё-таки это сделать безопасно.

Lapochka ili Chai
да все можно в принципе. система не залочится до невозможности ее активировать
лучше подробнее опиши проблему - после чего началось и в какой именно момент виснет система
также можно сделать лог что по ссылке выше

arvidos


Цитата:

подробнее опиши проблему - после чего началось и в какой именно момент виснет система

Собственно после введения свойств IP4 жду, когда соединится с интернетом, пытаюсь пинговать в cmd и пытаюсь выходить через IE на mail.ru и yandex.ru, выжожу, ура! но через короткое время ничто кроме Task Manager уже не кликается (хотя мышь по экрану движется), хотя CPU около нуля, но нажатие на папку Windows Explorer приводит к долгому зависанию, потом папка активируется (прорисовывается поверх других папок, но не более того). Иконки некликабельны, пункты меню в Task Manager кликабельны, но очень медленно. Перемещение окна Task Manager приводит к очень красивым следам-разводам. Длится всё это долго, пока не надоедает -- тогда делаю откат, после чего всё работает нормально.

1. сделайте лог uVS
2. после чего все это началось?

Lapochka ili Chai 17:23 06-04-2012
Цитата:

Народ, какие обновления Windowsа XP SP3 (пролечен от жадности) можно безопасно скачивать с оф. сайта Microsoftа?

если хорошо пролечена, то можно скачивать все (правда желательно проверку wga не скачивать, номер обновления наизусть не помню, но там в описание сказано, что оно используется для проверки лицензионности вашего виндоус).

Lapochka ili Chai
ОБНОВЛЕНИЯ ХР
И судя по симптомам, загляни-ка и в эту ветку: Комп виснет (зависает, висит)

Ноут на котором была установлена виста (легально, ключик имеется) был отформатирован. Теперь нужен диск с виндовс, можно ли где-то скачать Легально образ диска с официального источника, если к нему на ноуте имеется ключик?

artiyom

Цитата:

Ноут на котором была установлена виста (легально, ключик имеется) был отформатирован. Теперь нужен диск с виндовс, можно ли где-то скачать Легально образ диска с официального источника, если к нему на ноуте имеется ключик?

http://technet.microsoft.com/ru-ru/evalcenter/cc442495
только причем данная тема?

opt_step
Спасибо за ссылку, но она к сожалению на 7, а мне нужна Виста и ХП. Сюда спросил потому что единственная более не менее "официально" выглядящая тема по висте.

История такая, во всех браузерах вместо ifolder.ru грузится file-uploadings.com, появляется реклама на тех сайтах, где такой быть не может, да и вообще появляется, когда включены AdBlock (Chrome) и AdMuncher. uVC ничего не показал зловредного, антивирусы и все остальное тоже молчат. Что это вообще может быть?

MikeKenjiShinoda, файл hosts проверяли? Также посмотрите при помощи HijackThis

vzar
в hosts пусто. http://rghost.ru/37629096 вот hijack-log, но там вроде как тоже ничего такого

MikeKenjiShinoda, попробуйте чистую загрузку. В логе действительно не видно, если на учитывать "file missing"

MikeKenjiShinoda

ВЫ никаких новых программ не ставили? Дело в том, что я уже видел похожее поведение на некоторых из них - при установке они меняют стартовую страницу браузеров и включают рекламу. Например Orbit Downloader без ведома пользователя меняет в IE стартовую страницу на свою - _http://search.orbitdownloader.com/ . Тут могут происходить похожие явления. Точно поймать виновника можно только отследив его инсталляцию или декомпилировав скрипт установки. Для Inno Setup это легко - Inno Setup Unpacker, для MSI, NSIS - 7-Zip или лучше Far Manager + Observer. Эта же пара возьмёт и Wise Installer. А в скриптах такие операции спрятать не возможно - видны.

Помогите разобраться. MBR-вирус повредил таблицу разделов диска с WinXP. С помощью входящей в состав Hiren's.Boot.15.1 утилиты Partition wizard home edition 7.0 разделы восстановились, но ось стала загружаться только при наличии диска Hiren's.Boot в приводе и выборе в его загрузочном меню строки "продолжить загрузку с HDD". Раздел С делал активным с помощью Acronis, команды fixmbr, bootfix ничего не дают. Тоесть, если диск вытащить и грузиться с HDD, то просто моргает курсор и ничего не происходит. ни каких сообщений об ошибках или зависаний... что делать?

messen, пропишите загрузчик с помощью BOOTICE и проверьте наличие файлов:
ntldr
NTDETECT.COM
Bootfont.bin
boot.ini
в корне активного раздела.

Цитата:

Например Orbit Downloader без ведома пользователя меняет в IE стартовую страницу на свою - _http://search.orbitdownloader.com/

Это если БЕЗДУМНО "тапать" кнопу "далее". А если при этом ЧИТАТЬ (хотя бы "посматривать"), то можно будет увидеть "проходное меню" где и нужно снять галку с строки про установку стартовой страницы браузера. Это приличная и серьёзная софтина, чтоб делать (со своей стороны) всё "культурно", а что с "другой стороны" это .....

Цитата:

MikeKenjiShinoda

если это ещё актуально, то смотрите что из DLL у вас в автозагрузке и какая из них "поселилась" недавно (смотрите по дате в Систем32, как "правило" подобная муть от "сюда" грузится).

Цитата:

пропишите загрузчик с помощью BOOTICE и проверьте наличие файлов:

BOOTICE пробовал ещё до вашего совета - может не правильно что-то делал -но не помогло. А проблема решилась с помощью опции rebuild mbr все той же утилиты Partition wizard home edition 7.0.

Доктор веб удалил блокировщик при запуске, ничего не шифрует но при каждой загрузке компьютера вылазит это:

как его удалить?, помогает просто закрытие, но после перезагрузки блокнот открывается вновь.

Добавлено:
Win7 x32 AkeLPad установлен с заменой стандартного блокнота.

Добавлено:
Скорее всего этот вирь:
http://forum.ru-board.com/topic.cgi?forum=5&topic=35850&start=7120#12

5
должен был прописать в реестр(путь к файлу там же)
windows\currentversion\run
у меня там ничего нет и не бывает, так что палится все.
как вариант, но это врядли
\RunOnce
\RunOnce-
\RunOnceEx

текстовый может быть где угодно
$recycle.bin\S-1-5-21...и блабла полетели - особое внимание.

так как напоминалка заввторанилась, экзешник "дешифратора" в
appdata\local\temp
будет иметь рандомное имя LIO91x16..блабла.ехе

стоит AVG,КАК ДУМАЕТЕ ПОЙДЕТ ИЛИ СЛАБЕНЬКИЙ?

folta
Спасибо, но у меня похоже вирус удалил редактор реестра:


и диспетчер задач:

Так восполните.

5
врядли он их удалил), покрошил в реестре скорее.
вам и самим будет трудно удалить, особенно диспетчер задач)
а regedit32.exe?
сторонние редакторы реестра?

AVZ наконец, чтобы не погрязнуть в толковательстве.
Файл>Восстановление системы
пункты
11. Разблокировка диспетчера задач.
17. Разблокировка редактора реестра
нет?
uVS>дополнительно>твики
пункты
1 и 2

Добавлено:
если действительно удалил их антивирус (больше некому), то
можно скачать замену, например тут
http://antivir.h18.ru/metodika/0030.html
или погуглите самостоятельно, их полна коробочка.

но я бы наведался в карантин деревянного антивируса и разабрался, что он грохнул, стоило ли. и по морде ессесно))

folta

Цитата:

AVZ наконец, чтобы не погрязнуть в толковательстве.
Файл>Восстановление системы
пункты
11. Разблокировка диспетчера задач.
17. Разблокировка редактора реестра
нет?

Не помогло.

Цитата:

а regedit32.exe?

Тоже не найдено.
В карантине файлов нет.

ну что я могу сказать?
да вобщем уже все вроде вывалил)

если поиском эти файлы отсутствуют напрочь), то можно просто притянуть им замену и воткнуть где было. но если их "побили", то обычно еще цепочка менее заметных ушла. в итоге, может быть весьма интересное будущее.

вот из gjf'а темы:

Цитата:

Запустите файл RSIT.exe, в открывшейся панели выберите проверку файлов за последние три месяца (3month) и нажмите кнопку Continue. После завершения сканирования должны открыться два отчета log.txt и info.txt. Вы может сохранить их в любом месте.
Если вы их случайно закрыли, то по умолчанию они сохраняются в папке ..\rsit в корне системного диска (напр. C:\rsit\).

и посмотрите сами, когда-кого угнали с вашей тачки за последний период и кто навещал)
либо делитесь логом и вам думаю многие подскажут.
собственно RSIT для 32битных:
http://images.malwareremoval.com/random/RSIT.exe

а лог uVS'a, было бы вообще замечательно.
ну, вроде все)