» Вирус(ы) в Windows XP,Vista,7,8,8.1. Проблемы. Решения.

HukakHET
НЕ переустанавливать а "обновить".

Добавлено:
Haos79

Цитата:

Что это: намеренная атака или автоматизированное действие вирей, что нужно предпринять?

Всё уже предпринято до Вас КИСой.

Haos79
http://yandex.ru/yandsearch?clid=9582&text=%D0%BE%D0%B1%D0%BD%D0%B0%D1%80%D1%83%D0%B6%D0%B5%D0%BD%D0%B0+%D1%81%D0%B5%D1%82%D0%B5%D0%B2%D0%B0%D1%8F+%D0%B0%D1%82%D0%B0%D0%BA%D0%B0+%D0%BD%D0%B0+%D0%BB%D0%BE%D0%BA%D0%B0%D0%BB%D1%8C%D0%BD%D1%8B%D0%B9+%D0%BF%D0%BE%D1%80%D1%82+1701&lr=225

phantomua
Обновления от MS установлены? А ты как сканировал, из под ОС?
HukakHET
Попробуй просканировать ещё чем-то. Варианты в шапке

Цитата:

Обновления от MS установлены?

Цитата:

у всех стоят пачи KB957097, KB958644, KB958687.

Цитата:

А ты как сканировал, из под ОС?

Да. Пробовал в безопасном тоже. Снимал винт и ставил на свой комп (Грантии что мой здоровый нет).

phantomua, ещё раз: а так проверял?
Цитата:

с заведомо здорового компа свежим каспером через сеть, весь системный раздел..
если глист активен, при локальной проверке он может и не вычислиться..

Тест антивирусов (сентябрь 2009)

Тестирование антивирусов проводится с использованием бесплатного онлайн-мультисканера VirusTotal. Участники проекта, являющиеся практикующими специалистами в области лечения компьютеров от вредоносного программного обеспечения, загружают на мультисканер вредоносное ПО, полученное с зараженных машин, и публикуют в специально выделенной теме результаты сканирования. Загружаемое вредоносное программное обеспечение должно соответствовать следующим требованиям: 1) Образец не должен детектироваться установленным на зараженном компьютере антивирусным программным обеспечением. 2) Образец должен быть обнаружен лично консультантом в ситуации реального лечения. 3) Образец не должен быть взят со стороннего сайта или из сторонней коллекции вредоносного ПО. Публикуемые результаты сканирования регулярно обобщаются в график уровня детектирования.

График выстраивается в соответствии со следующими принципами построения: 1) По оси X расставляются антивирусные продукты, представленные на VirusTotal на данный момент времени; на оси Y представляется количество загруженных образцов. 2) Для каждого продукта отмечается количество образцов, успешно детектированных им с помощью той или иной методики обнаружения. На диаграмме отражается общее количество детектированных образцов, а также доля каждой методики детектирования в общем количестве обнаружений. 3) Разделяются следующие методики обнаружения: a) сигнатурное детектирование (обнаружение уже известного продукту вредоносного ПО сигнатурным методом) б) эвристическое детектирование (обнаружение неизвестного вредоносного ПО методом эмуляции / анализа кода и т.д.

Пример детектирования, понимаемого как эвристическое: "Heur.Trojan.Generic"; "a variant of: XXXXX") в) сообщение о подозрительном файле (обнаружение возможно неизвестного вредоносного ПО методом сообщения о подозрительных характеристиках исследуемого образца. Пример детектирования, понимаемого как сообщение о подозрительном файле: "Suspicious file"; "VIPRE: Suspicious") г) сообщение о подозрительном упаковщике / крипторе (обнаружение возможно неизвестного вредоносного ПО методом сообщения о неизвестном / редком / подозрительном упаковщике / крипторе или факте многократного упаковывания / шифрования. Пример детектирования, понимаемого как сообщение о подозрительном упаковщике / крипторе: "HEUR/Crypted").

Результаты тестирования
Хронологически последним является график данных, представленный ниже.



Источник

TheBarmaley
Уже и так проверял. Правда только Вебером.

Доброго времени суток!
Прошу помощи, есть комп с Windows XP SP3, с актуальными обновлениями, стоит (стоял уже видимо) NOD Eset 32 (последний билд четверки). При допросе с пристрастием было выяснено что лазили по религиозным сайтам и при попытке скачать какую-то книгу, ей было предложено установить программу для скачки, она повелась и комп заразил странный СМС блокиратор. При загрузке ничего не вылезает, но при запуске любой программы (.exe) вылетает окно, поиск на сайте веба и гуглы по номеру и тексту ничего не дал. При загрузке из ЛайвСД было просканено CureItом - тоже ничего подозрительного не нашел. Был изучен соответсвующий топик "Windows заблокирован!" и переделаны все советы из него - тоже борода. Был излазен реестр на предмет запуска вместо exe или com файлов сторонней программы. Был приглашен ещё один могз тоже неплохо разбирающийся в компах - тоже ничего. Ещё один прикол при заходе из винды в любую папку с известными антивирусами перезагружается есплорер и закрывается окно проводника, при переименовании папки нормально заходит, при начеле установки антивиря просто закрывается окно. Интернет не подключить, автозапуск программ не осуществляется.

dmitriy23,
я бы скачал Autoruns вот отсюда, и внимательно просмотрел всю автозагрузку, наверняка там что-то сидит.
http://technet.microsoft.com/ru-ru/sysinternals/bb842062(en-us).aspx

Ну и перепроверил бы локальные политики.

Добавлено:
А у меня такой вот вопрос.

После вирусной атаки перестал работать интернет. Проблема была решена с использованием WinSockFix. Осталась только вот одна незадача. Не грузятся картинки у антивирусных сайтов, а именно дрвеб, нод32, Касперский. Может и другие, но я не проверял. В добавок не обновляется сам дрвеб. Сам антивирус переставлял - эффекта 0. Запускал саму дрвебовскую обновлялку (DrWebUpW.exe) вручную. Никакого результата, сама прграмма стартует и тут же мгновенно завершается. Это наглядно видно в ProcessExp'e. Запись в лог обновлялки не делается никакой.
Сам файл hosts в порядке.

Теперь про сам вирус, проинсталлировался из порносайта, запросив предварительно разрешения на установку FlashPlayer10. После перезагрузки Винды, вирус потребовал платной смски на короткий номер попутно заблокировав Винду. Вместо смски он получил удаление из активных процессов, чистку реестра и т.п. Теперь его нет, а проблема осталось.

Как исправить эту ошибку и где копать?
Из фаерволов стоит только "железный", который встроен в DSL-модем.

Цитата:

просмотрел всю автозагрузку

И как я её запущу, если из под нормального и безопасного режима он её не запустит, а из под лайвСД не поймет от куда смотреть

dmitri23
Понятно. А другие проги из автозагрузки грузятся?

Я бы загрузился с LiveCD и посмотрел бы редактором реестра реестр той винды, из под которой ничего не запускается. ЧТо-то должно грузится. Либо екзешник, либо служба левая.

ИЗлазил все Run и RunOnce, там ничего, служба это реально, но CureIt не должен был найти левый файл, если учесть что грузился из LiveCD. Странно что даже гугл не знает ни номера ни текста виря, может что-то новое выпустили по части вирей

dmitri23
1. А вы точно весь диск просканили или выборочно ?
2. Для поиска неизвестной заразы иcпользуйте поиск по файлам .Фильтром будет выступать время их изменения , лучше задавать диапазоном . Этот метод описан в справке avz .

topotuno
1. Диск на котором установлена система просканил полностью, но у меня таилась идея, что вирь может лежать в другом разделе, к сожалению терпения проверить все разделы не хватило
2. Немного не понял, обычный виндовый поиск, или как?

Поиск через avz или total commander , папки windows \system и windows \system32. найденное скормить virustotal.com. На дисках без операционки для быстроты обезательно проверьте корень диска , system volume inf .. , recycled ,recycler и другие папки вызывающие очевидные подозрения . На системном тоже самое

phantomua
Цитата:

Уже и так проверял. Правда только Вебером

а с обоих лив-сд из шапки? с последними базами, ессно..
понимаю, что трафик и дорого, но разрул головняка того стоит, имха..

Добавлено:
dmitri23
sfc /scannow пробовал?
если погажены системные файлы, живёццо системе очень даже глюкаво и грустно.. :)

Добавлено:
deem73
Цитата:

Теперь его нет, а проблема осталось.

1. чуть выше - сфц /сканнау..
2. загрузка с установочного диска - восстановление системы - переустановка АВ..

topotuno
Не помогло

topotuno
TheBarmaley
Спасибо за советы парни, но комп нужно срочно, я бы поиздевался над компом бы ещё.
Снес всё к чертям

dmitri23
Цитата:

Снес всё к чертям

не забудь потом сразу образ системы сбацать, пока она чистенькая и розовая.. :)

Доброго времени суток. У меня большая проблема с вирусом mbdm.exe. Вирус с флешки. Внешние признаки - не включается показ скрытых файлов, создает файлы autorun на дисках и при открытии проводником выполняется а затем shell open command. Так же есть herss.exe и возможно где то в \Windows\. В автозагрузке есть какойто cdoosoft. Вирус виден через файловые менеджеры.
Я пробовал LiveCD, но он ничего не нашел.
Я скачал ESET Smart Security 4.0.474. Там базы 22.11.2009. Качалось ОЧЕНЬ долго c телефона (живу далеко от wifi и кабелей).
И он его не обнаруживает! Обновить не могу, при разрыве связи ESS немного размышляет а потом сообщает об ошибке. Но ведь базы не старые! У меня было о ESET’е лучшее мнение. Почему я вижу вирус а он со своей "эвристикой" - нет?!! Может кто-нибудь знает решение проблемы именно для этого вируса? Ведь флешкой мне ещё не раз прийдется пользоваться...

Intempo
если известно имя вируса - смотри на вир.листе методы борьбы..
а ваще - бери любой лив.сд из шапки, хоть др.веба, хоть каспера..
либо отстегнуть винт и проверить на заведомо чистой машине.. или - через сеть..

зы.
и нод твой его найдёт, если глист будет неактивен, т.е. при чистой загрузке..

ОС: Win 7

как "Включить общий доступ к подключению к Интернет" если у меня выключен виндовый фаерволл ?

Intempo
LiveCD, любым файловым менеджером поиском ищи и удаляй
поиском ищи свои mbdm.exe, cdoosoft, herss.exe.
А попутно и все скрытые файлы в папке system 32
и Drivers.

Кстати одна из модификациф SMS вымогателя делала скрытыми все файлы и папки в папке Windows. (Прям вирусописатели следят будьто за нашими рассуждениями и делают вирусы более выносливыми) Но решается это лекго снимая атрибут скрытысти для всех файлов в папке, при этом вирусы остануться скрытыми и их названия будет видно при невозможности смены атрибута.

mouser
Цитата:

ОС: Win 7
как "Включить общий доступ к подключению к Интернет" если у меня выключен виндовый фаерволл

не в струю малость попал.. вирусняк тут явно ни при чём.. ;)
попробуй спросить там..

Здравствуйте,

У меня такая проблема... для меня оччень сильная!

Помогите пожалуйста решить или указать на соответствующую тему.

В данное время заражены 2 компа
Куре-итом прошелся с полной проверкой в безопасном режиме(БР), были заражены все ехешные файлы виндовса и программ файлс.
После этого перезагрузил комп, и запустил обычный режим Виндовса.
После этого ОС стал на половину работать, то есть половина служб виндовса не запущены и не запускается (пишет: ОШИБКА 1075: ДОЧЕРНЯЯ СЛУЖБА НЕ СУЩЕСТВУЕТ или БЫЛА ОТМЕЧЕНА ДЛЯ УДАЛЕНИЯ) и стандартное восстановление виндовса не работает.
Я посмотрел ЛОГ файл дрвеба тама только исцелены файлы виндовса и ни один виндосовский файл не был удален кроме регсрв.ехе и документ сеттингсе один файл.

DRWEB детектировал вирус win32.virut.56 на зараженных файлах и исцелял их.
Касперски детектировал вирус Virus.Win32.Virut.ce (второй комп проверял сняв с него жесткий).

Сейчас оба компа в одинаковых ситуациях.


Теперь у меня проблема: КАК ЗАПУСТИТЬ СЛУЖБЫ стандартные виндовса?

Заранее благодарю за ответ.

P.s. еще командная строка не запускается...

Talay
0. убедиться, что живых глистов в системах нет! для чего прогнать обе тачки с лив-сд со свежими базами..

после чего, как говориццо, возможны варианты:
1. sfc /scannow (в адресной строке проводника, если ком.строки нету)..
2. вставить диск с тем же самым дистром винды и, запустив установку, выбрать обновление..
3. загрузиться с установочного диска и выбрать восстановление системы..

если ничё не поможет, как всегда:
4. формат цэ: и да здравствует новая жизнь.. :)

Цитата:

TheBarmaley

Цитата:

0. убедиться, что живых глистов в системах нет!

Cure-it скачан был с офф сайта и прогонял полностью комп.


Цитата:

вставить диск с тем же самым дистром винды

вин сп1 5 лет назад был установлен до меня. Живого диска не осталось )))


Цитата:

загрузиться с установочного диска и выбрать восстановление системы..

Это я уже сделал и все службы работают вроде кроме касперски, служба не запускается. Выходит ошибка:
ОШИБКА 1053: СЛУЖБА НЕ ОТВЕТИЛ НА ЗАПРОС СВОЕВРЕМЕННО.


Цитата:

если ничё не поможет, как всегда:
4. формат цэ: и да здравствует новая жизнь..

Это не желательно. комп ГлавБуха. Надо спасти любым путём )))))

P.S. виндовс обновил до СП 3 ...

Если сп1 - накатать последовательно сп2 и сп3. Они и обновят повреждённые файлы, и вообще стабилизируют о несколько обезопасят систему. Это надо было сделать давным-давно - сп1 уже где-то в эпохе динозавров!
Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.) Возможно, что после установки потребуется активация - но если Windows лицензионная, то проблем не возникнет.

Цитата:

Это надо было сделать давным-давно

Цитата:

сп1 уже где-то в эпохе динозавров

+1, лень было ...


Цитата:

Перед установкой Сервис Пака необходимо выгрузить все защитные приложения

вот это я не сделал (((
Но после обновления я удалил и обратно установил антивирус.

Теперь не запуск служба касперского.

Talay
Цитата:

Теперь не запуск служба касперского

если лечил не с лив-сд, а из самой системы - вполне возможно, и не добил активного гада..
а нерабочесть свежеустановленного каспера уже как следствие..

если есть возможность прогнать комп через сеть - попробуй, мо быть и найдёшь мерзавчика..


Добавлено:
зы.
под "тем же самым дистром" имелась в виду версия - 2000/хр/2003..
если есть с последним сп, ессно, надо ставить с него..

Цитата:

вполне возможно, и не добил активного гада..

У меня такое чувство было!


Цитата:

TheBarmaley

Спасибо

я почти понял свою проблему. Но Хотелось как-то одним кликом решить проблему как раньше (типа разблокировать таскменежер и регедит)...

НАДЕЮСЬ в будущем будет такое )))

Talay
Цитата:

НАДЕЮСЬ в будущем будет такое

уже есть.. если позаботиться заранее и после установки сразу делать образ чистой настроенной системы..
тогда восстановление займёт не более 5-6 минут, а не часы или дни.. ;)