» Вирус(ы) в Windows XP,Vista,7,8,8.1. Проблемы. Решения.

это процессы в автозапуске,они каждый раз запускаются с включением компьютера. путь их нахождения найти не могу переходит в локальный диск Cи на этом все.
найти не могу никакой информации об этих процессах, чтто они из себя представляют за что отвечают какую функцию выполняют и можно ли их просто выключить. прогуглил и нигде не нашел описания этих процессов.

BloodPandoroom
А банально хотя бы вот этим пройтись не пробовал?

пробывал 0 эмоций!

BloodPandoroom
Сделайте лог uVS

помогите с проблемой в xp! В файерфоксе помнялась домашяя страница с google на home.webalta.ru. Всегда открывается эта страница независимо от настроек браузера, хотя я ихний тулбар удалил. Проверил доктором -чисто, файл Host также чист.Сбросил настройки сети с помощью antisms - без результата.Можно как то все вернуть как было?
Все, разобрался-жаль удаление своего поста не предусмотрено форумом.

Gadavre
1. Проверьте, не установился ли тулбар как расширение.
2. Поставьте RegScanner и запустите поиск по слову webalta. Выделите все найденные ключи и удалите. У меня на XP иногда выскакивает ошибка удаления, но повторный поиск показывает, что все удалено.
3. Проверьте, не прописана ли страница в свойствах ярлыков запуска браузеров.
4. Для Mozila Firefox необходимо еще найди файл user.js в профиле и удалить из него все упоминания «webalta».
5. Для очистки совести можете запустить поиск файлов и папок webalta.

inile
Он же Gadavre написал, что разобрался с проблемой сам, даже хотел удалить свой пост, но такое не предусмотрено форумом. Именно поэтому не стала ему вчера отвечать. Ничего не могу сказать о действенности RegScanner , потому как у меня нет этой программы. А все остальные ваши советы в данном случае не помогут. Это нужно смотреть папку С:\WINDOWS\System32 \ "название браузера" fixet
В ней появился маленький файлик, который если открыть Блокнотом, то можно прочитать, что домашняя страница-webalta.ru
Вообще, этот сайт заразный во всех смыслах.

Утилита Вебера Dr. Web CureIt пишет, что в папке QBackup инфицированный контейнер/Adware - \Documents and Settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_19.1.1.3\QBackup\{1295E0B7-D0FC-430E-AA1C-61952046C015} /и файл - 8D496DA9-3A26-4C61-8B26-49C7E73F6111.gbd
Причём, в компьютере эти файлы и папка QBackup написаны синим цветом.
AVZ Касперского ничего не пишет/не находит.
Хотел удалить этот файл 8D496DA9-3A26-4C61-8B26-49C7E73F6111.gbd - 69 кб; да система пишет, что - нет прав, и т.д.
Так может этот файл не вреден для компьютера??, раз он родной от антивируса Нортона.

Kaile
Не помню, что означает синий цвет, но только не опасность. То-ли архивирован, то ли сжат ... По поводу подозрительного файла, так отправьте его на проверку в Нортон, или на вирустотал. Сам файл останется на месте. Если не получится, сделайте копию и отправьте копию на проверку. Если установлен AnVir то на вирустотал можно отправить в 2 щелчка мыши. А по поводу прав на файл, можно глянуть, что не даёт его удалить, с помощью Unlocker. Он покажет что(кто) пользуется папкой или файлом.

Kaile 09:22 02-03-2013
Цитата:

AVZ Касперского ничего не пишет/не находит.

1) AVZ - Это утилита Олега Зайцева.
2) Это не антивирус и он не обязан находить вирусы, в новой версии вообще хотят сигнутурный детект. Проверка на вирусы с помощью создание логов и последующим анализа человеком умеющих читать.

thelamb

Цитата:

Не помню, что означает синий цвет, но только не опасность. То-ли архивирован, то ли сжат ... По поводу подозрительного файла, так отправьте его на проверку в Нортон, или на вирустотал. Сам файл останется на месте. Если не получится, сделайте копию и отправьте копию на проверку. Если установлен AnVir то на вирустотал можно отправить в 2 щелчка мыши. А по поводу прав на файл, можно глянуть, что не даёт его удалить, с помощью Unlocker. Он покажет что(кто) пользуется папкой или файлом.

На Нортон не отправлял - там на англицком поддержка.
На Вирустотале - пишут что для Вебера он Adware Downware 774 - тк утилита Вэбера и так это показала.
Adware Downware 774 - что-то рекламное ПО, непонятно как оно оказалось в папке Нортона?? - Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_19.1.1.3\QBackup\{1295E0B7-D0FC-430E-AA1C-61952046C015} /и файл - 8D496DA9-3A26-4C61-8B26-49C7E73F6111.gbd

И почему Нортон его (этот инфицированный файл, свой) не видит. 1 марта, когда обновлялся Адоб ридер.
Unlocker установил но там не открывается его окно, а просто работает ассистент? - нажимаешь на ярык Unlocker-а открываешь/находишь файл и пытаешься (в простой строке анлокера) его удалить. А он его не удаляет, так же как и Ашампо, виндовс, да ещё скачал утилита какая-то, вроде XDill, тоже не удаляет.

Т.К. окно Unlocker-а не открывается, то и определить, что держит этот файл, не могу.
Наверно либо сам Нортон, либо Виндовс, либо Адоб.





Наверно можно временно деинсталлировать Нортон - может сама папка QBackup тоже исчезнет??

Living things

Цитата:

Это нужно смотреть папку С:\WINDOWS\System32 \ "название браузера" fixet

Такой папки, нет!
И таких папок, в С:\WINDOWS\System32 \ "название браузера",тоже нет.

regist123

Цитата:

1) AVZ - Это утилита Олега Зайцева.
2) Это не антивирус и он не обязан находить вирусы, в новой версии вообще хотят сигнутурный детект. Проверка на вирусы с помощью создание логов и последующим анализа человеком умеющих читать.

Это понятно.
AVPTool не обозначил этот файл, зато нашёл троян и удалил.

vty

Цитата:

Такой папки, нет!
И таких папок, в С:\WINDOWS\System32 \ "название браузера",тоже нет.

Нет значит нет. Ярлыки же поправили? Проблема осталась? "название браузера", имелось в виду ваш браузер ИЕ8 к примеру.
Kaile
Вообще-то такая папка Backup вроде считается *откатной*. Если не срабатывает асистент, зайдите в саму папку Unlocker и запустите его самого. Возможно тогда покажет что блокирует файл. Но лучше с этим не связываться. Т. к. удалив его в корзину могут возникнуть проблемы с удалением из корзины. Это ещё хуже и надоедливее. Если так уж приспичило удалите антивирус. Тогда и проверите.

Есть такая вирусня: Поздравлялка.exe, Пароли.exe, Кредитный калькулятор.exe которая запускает сервак радминовский на 2012 порт и клонирует себя в расшаренные папки по сети, так вот, может есть на этом форуме автор этой заразки, который поделится паролем на конект по радмину Очень надо!

md5 хеш - 0C3707E42F40505DF3CD3C6155A3C720

Kaile 09:22 02-03-2013
Цитата:

Утилита Вебера Dr. Web CureIt пишет, что в папке QBackup инфицированный контейнер

Цитата:

И почему Нортон его (этот инфицированный файл, свой) не видит

Похоже это карантин Нортона.

Лучший способ удалить вирусы - это загрузочный диск
AntiWinBlock Win7Live ищите в просторах интернет!!!!

Возможно, сообщение немного не в тему, но, как говорится, полезной информации много не бывает. Вот здесь находится набор справок на русском для программ: Autoruns, Process Monitor, Process Explorer, Total Uninstal, Registry Workshop, SpyDLLRemover и ServiWin. Программы, за исключением SpyDLLRemover, непосредственно не предназначены для борьбы с вирусами, но, как вы понимаете, вирусы - это всего лишь программы, соответственно, используя все вышеперечисленные утилиты, вы можете бороться с активностью вирусов в своей системе более эффективно. К тому же, в состав набора входит небольшой справочник (процессы, потоки, библиотеки, автозапуск, реестр и тому подобное), содержащий полезные сведения о том, что собой представляют данные программы и как с их помощью решать различные проблемы в работе системы и других программ + небольшое количество ссылок на полезные сайты + несколько советов по борьбе с вирусами.

thelamb

Цитата:

Если так уж приспичило удалите антивирус. Тогда и проверите.

Удалил, и папка QBackup исчезла вместе с тем инфицированным контейнером.
Всего 10 минут - с новой загрузкой Нортона и его баз.

Разве что вот такая новость объявилась (мышкой как-то панель быстрого пуска сама переместилась с левого боку, а не снизу) - никогда такого не было.



inile


Цитата:

Похоже это карантин Нортона

Да нет, я уже писал, карантин - это другая папка, и она так и называется - Карантин.
А Бэкап - это наверно как у Касперского - папка отката (у Нортона). Сам Нортон как-то делает откат. И, откуда там объявился инфицированный контейнер?

Kaile

Цитата:

Разве что вот такая новость объявилась (мышкой как-то панель быстрого пуска сама переместилась с левого боку, а не снизу) - никогда такого не было.

Ничего страшного. В ХР тоже можно эту панель располагать слева, справа, сверху и стандартно снизу. Щёлкните Пуск, справа щёлкните по строке *Справка и поддержка*. В открывшемся окне слева вверху впечатайте *Панель задач* и слева выберите перемещение панели задач. Или сразу впечатайте *перемещение панели задач*. Выйдет пояснение, как это сделать. Надо на свободном месте панели щёлкнуть правой кн. и снимите галку (она там должна быть, но у вас наверное снялась) со строки *закрепить панель задач* Если галки нет, то хватайте панель левой кн. мыши и тащите куда хотите (вверх, вниз, вправо ...) Потом верните галку на закрепить. Откройте свойства панели и проверьте стоит ли галка на *панель поверх всех окон* если галки нет поставьте её. Если в Пуск нет строки *Справка и поддержка*, то установите её. Для этого прав. кн. по панели задач\свойства\Меню пуск\Настроить\Дополнительно а там элементы меню *Пуск* прокручивайте его и ставьте галки и точки туда куда вам надо. Последним в списке и будет *Справка и поддержка*. Щёлкаете везде вначале по *Применить*, потом по *Ок*

thelamb

Cпасибо. А я уж подумал, что снова вирус какой-то. И сразу проверил комп-р AVPTool-ом.

Вообще-то может слева и поудобнее панель задач будет. Только привыкнуть.

Kaile
Видите, у вас на Панели задач вертикальные пунктирные линии? Это означает, что её местоположение не закреплено. А вообще удобнее всё же, когда она находится внизу экрана. Если хотите, то её можно скрыть (выставите в настройках). Только я не помню, что нужно сделать, чтобы она появилась: на Рабочем столе курсор навести или нажать на значок Windows.

День добрый.
На компе стоит Windows7 64 и Нод 32, а так же браузеры Опера, Файрфокс, Гугл.
И в каждом из браузеров всё время слева выскакивает вертикальный порнобанер.
Нод и AVZ ни чего не нашли, тулбары все удалил , а проблема осталась.
Люди выручайте в с помощью чего можно избавится от этой гадости.
Заранее благодарен.

Suta
проверьте какие DNS прописаны в свойствах сетевого подключения
если все на автомате и интернет через роутер идет, то смотрите настройки DNS в роутере
после этого очистите кэш в браузере

Suta
Нодом и AVZ в среде Windows сканировали? А до загрузки ОС пробовали ? (Kaspersky Rescue Disk , DrWeb LiveCD -см. вверху стр.)
Если ничего не получится, можно удалить содержимое папки Temp в Windows .

Добавлено:
P.S.
Вообще-то если у вас Windows 7х 64 , то ESET SMART Security, а не ESET NOD32 Но это не важно.

Suta

Цитата:

На компе стоит Windows7 64 и Нод 32, а так же браузеры Опера, Файрфокс, Гугл. И в каждом из браузеров всё время слева выскакивает вертикальный порнобанер.

Во-первых, отключите сеть (ncpa.cpl - находите нужное подключение и в контекстном меню команда Отключить; для надёжности отключите соответствующий кабель). Теперь запустите браузер и посмотрите на результат: если при отключённой сети всё то же самое, то у вас в системе "гость" (активный процесс, поток внутри процесса браузера, левая библиотека).
Во-вторых, попробуйте отследить цепочку событий, происходящих при запуске браузера, с помощью Process Monitor (полезные сведения): вас должны заинтересовать подозрительные процессы, создаваемые одновременно с запуском браузера, + левые библиотеки, загружаемые браузером + обращения к неизвестным файлам или к известным, но с изменённым содержимым

Цитата:

Нод и AVZ ни чего не нашли

А вы внимательно прочитали справку к AVZ или просто запустили программу с настройками по умолчанию?
Также не забывайте использовать Dr.Web CureIt!

AVZ запустил просто с настройками по умолчанию.
На винте занято 100Гб, а Dr.Web CureIt! будет его проверять целый день, а он не дома и не на работе.
Вообщем буду изучать данную проблему.
За советы и труды огромное спасибо.

Цитата:

На винте занято 100Гб, а Dr.Web CureIt! будет его проверять целый день, а он не дома и не на работе.

А зачем проверять весь винт (100Гб): запустите браузер - появится банер - запустите CureIt, но не запускайте проверку системы: изучите содержимое настроек программы (при необходимости измените настройки по умолчанию) + щёлкните по ссылке Выбрать объекты для проверки (руткиты, временные файлы, загрузочные секторы всех дисков, оперативная память и объекты автозапуска) - ваша цель обнаружить активные компоненты вируса.

AVZ надо запускать именно с настройками по умолчанию, изменять их самостоятельно крайне не рекомендуется. + AVZ это не антивирус, так он просто создаёт лог, который потом надо анализировать, для этого можете обратиться сюда http://forum.ru-board.com/topic.cgi?forum=62&topic=20225

А также на 99% уверен, что CureIT и остальное не поможет, если не знаете, то лучше не пишите. Как избавиться от заразы вам уже написали.
arvidosSilver Member 09:58 22-03-2013
Цитата:

Suta проверьте какие DNS прописаны в свойствах сетевого подключения если все на автомате и интернет через роутер идет, то смотрите настройки DNS в роутере после этого очистите кэш в браузере

Добавлено:
в настойках DNS скорее всего будут прописанны немецкие сервера из надо оттуда убрать и прописать настройки провайдера или поставить на автомат.

Living things

Цитата:

если у вас Windows 7х 64 , то ESET SMART Security, а не ESET NOD32 Но это не важно.

как связаны разные продукты ESET с Win 7 x64? сами поняли что написали?