» Вирус(ы) в Windows XP,Vista,7,8,8.1. Проблемы. Решения.

Проблема пропала, зачем?

Была неправа, проблема тогда не пропала)
Вылечилась только через VirusInfo

Здравствуйте.
Такая проблема.
Я пользуюсь антивирусом Avira.
Устанавливал недавно Windows7 на 2 компа и в обоих случаях одни и те же симптомы.
Ставлю винду, ставлю авиру и после его обновления он начинает резать файлы *.exe которые загружаю через браузеры. Причем на 99% загрузки.

Я эти же ссылки загружаю на своем компе где таже винда и авира и все ок.

На одном компе снова переустановил винду и диск "С" форматнул. Не помогло!

Потом перестали с некоторых сайтов видео запускаться. Проверял AntiMalware - он нашел чета около 70 "гадов" но проблема после их уничтожении осталась.

Помогите пожалуйста советом!!

Цитата:

Такая проблема.
Я пользуюсь антивирусом Avira.

Вот мой совет сноси Авиру и ставь NIS 2014 и проблем небудет поверь!!

VOTAL 1981
Нет,тут дело не в этом! У Африки,похоже,г-сборка...... А,вот,что,туда напихал сборщик.... ..Надо такие вопросы ему задавать....

Цитата:

обоих случаях одни и те же симптомы

Цитата:

которые загружаю через браузеры.

Цитата:

но проблема после их уничтожении осталась

мне уже неоднократно приходилось сталкиваться с таким - "ломается" роутер ("прописываются" "левые" днсы), если "пользователь" не "позаботился" об смене пароля "по умолчанию" или "ставит" пароль а-ля 1234. Причём всё это и под "серым" айпи, и под "белым" по ДСЛ.
В результате, комп "чистый", а в браузерах сплошная "хрень".

Цитата:

Вот мой совет сноси Авиру и ставь NIS 2014 и проблем небудет

А я вот например, пользую Авиру и тоже проблем нет.

Спасибо за советы.
У меня мой личный компьютер тоже с Авирой и работает нормально.
Но зараженные компьютеры один под роутером. А другой напрямую кишкой с билайном.


То есть это может быть сетевой вирус который действует в одном случае напрямую, а в другом через роутер как то обходит?

Роутер с индивидуальным не с умолчальным паролем

Добавлено:
Да и сборка винды у меня одна и та же стоит на моем здоровом компе и на зараженных

При откртыии браузера открывается страничка "http://yamdex.net/?im". Вот лог (скрипт №2) с AVZ:
http://rghost.ru/58277752

Спасибо за помощь!

Добавлено:
Вот "образ автозапуска" uVS:
http://rghost.ru/58278362

activemax
Файл - Выполнить скрипт - запускать AVZ правой кнопкой от имени администратора

Цитата:

begin
DelBHO('{D5FEC983-01DB-414a-9456-AF95AC9ED7B5}');
DelBHO('{2670000A-7350-4f3c-8081-5663EE0C6C49}');
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
ExecuteRepair(2);
ExecuteRepair(4);
ExecuteWizard('SCU',2,3,true);
RebootWindows(false);
end.

перезагрузка
запуск от имени администратора http://forum.ru-board.com/topic.cgi?forum=5&bm=1&topic=46942#1 сканирование и очистка
перезагрузка

opt_step 14:22 30-09-2014
Цитата:

сканирование и очистка перезагрузка

в промежутке ОБЯЗАТЕЛЬНО надо смотреть, что утилита предлагает удалить. Там в списке может быть активатор винды или просто легальные программы (игры) и даже от нет фреймворка как-то был файл.

Цитата:

DelBHO('{2670000A-7350-4f3c-8081-5663EE0C6C49}');
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');

это не нужно удалять. Третий тоже сомневаюсь, что нужно. Да и этот скрипт с лечением вашей проблемы не поможет, хотя в логах проблема видна .
activemax, чтобы избежать подобных недоразумений с удалением чего-то легального, лучше http://forum.ru-board.com/topic.cgi?forum=62&topic=18156&start=2240#19

pps. если сохранился дроппер после запуска которого это началось, то пожалуйста пришлите его в ЛС.

Скажите существует международная единая классификация вирусов и единый реестр существующих вирусов (malware)
Например я пытался найти описание и не нашел на:

Backdoor.Bot 78707
Trojan. Generic 11921195
Trojan.Heur.LP.4i9aa4tmR0fG

krserv
Каждый вендор антивирусов называет по своему

[решено]

Дело, видимо, в YoutubeAccelerator.

После установки и удаления программы Stream Transport в системе остался какой-то червь, блокирующий напрочь работу интернета (ни броузер, ни торрент, ни обновления программ не работают, в сети ошибок не обнаружено). Что-то залезло в общие настройки сети, возможно, в настройки брандмауера, и блокирует. После удаления программы в системе остался какой-то мусор: Youtube Analyzer, Shopper, Appshat и другая бурда. Из броузера, а так же папки из системы удалил. Проверял avz - та лишь исправила что-то в настройках IE, потом CureIt - тот удалил несколько файлов (VTAhelper), однако проблемы это не решило. Сейчас проверяю Kasper Virus Removal Tool, тот тоже удалил файлы shopper и VTAHelper, проблема осталась. Просканировал HijackThis, удалил все ключи с YoutubeAccelerator, так же через регедит. Потом прошла проверка в MBAM, куча каких-то файлов, не знаю есть ли среди них VTHA, все на карантин, ребутнулся - ничего.
LiveCD нет возможности использовать.
Windows 8.

з.ы. еще сделал скрип отсюда http://www.windowdel.com/ru.php?w=140615-ytahelper-allusersprofile-error-fix
потом
выполнил стандартные скрипты из AVZ

Короче, не знаю что помогло, но инет заработал. Помощь не требуется.

тема названа без упоминания Win 8 - Win 8.1 тоже здесь обсуждается?

krserv

Цитата:

тема названа без упоминания Win 8 - Win 8.1 тоже здесь обсуждается?

да, в шапку добавил

Ok, тогда мой новый вопрос:

Windows 8.1 Pro: что может быть не могу запустить msconfig в нормальном режиме. Кнопка применить не активна. Вернее, если сделать изменения она становится активной, перезагружаю систему, захожу снова в msconfig, и опять отмечен только селективный режим. Систему проверил sfc /scannow, файлы системные не изменены, но возможно сидит где-то Рооткит, Буткит, который перехватывает управление ОС. - т.е это сиптомы зараженного компа, или может быть техническая проблема в системе? Я сам в msconfig режим не менял, причем такое на двух компьютерах, с приблизительно одинаковым установленным программным обеспечением.

Цитата:

Рооткит, Буткит, который перехватывает управление ОС. - т.е это сиптомы зараженного компа,

На windows 8.1 pro да еще если х64 очень маловероятно ,что кто-либо из Рооткит, Буткит смог проскочить,скорее всего программный или системный сбой.

сейчас поудалял такие программы как Origin, или Secondlife viewer, что-то у меня предположение, что один Китайский хакер, который мне продал ключ активации the SIMS 4 - подсаживается через Origin на мой комп. А мы с этим китайцем не нашли общего языка, т.к я вычислил, что он ворует ключи и аккаунты в Origin. Возможно, он нашел там уязвимость какую-то.
Нужно копать глубоко, кто-то на моем компе даже аутентификацию по USB Safenet eToken отключает. Барабашка какая-та завелась, причем на двух компах сразу, у них идентичное ПО стоит. Сейчас начну копать поглубже. Один комп анализируется Bitdefener антивирусной лабораторией, они просят время, т.к сообщили, что работают над моей проблемой и им необходимо более глубокое исследование.
Установлен Bitdefender Internet Security 2015
Msconfig - при открытии стоит в селективной загрузке, как его поставить в нормальную загрузку? Если это был сбой программный, то как вернуть в исходное состояние?

Цитата:

Возможно, он нашел там уязвимость какую-то.

Без эксплуатации реальной еще не известной уязвимости барабашки типа руткитов или буткитов наврятли встанут на Win8.1 ,сам пытался заразить вин8.1 известными буткитами, gapz,pixar,sidox -не дает зарзиться восьмерка.

как мне для начала восстановить работу системы нормально? Измененных файлов не обнаружено, но еще же есть реестр, может там какие-то установки изменились
Сейчас bitdefender делает глубокое сканирование, нашел какие-то две неисправляемые проблемы, закончит посмотрю, отпишусь, т.к
Переустановить систему - самое простое решение, но задача быть специалистом, а не help-desker.

krserv

Цитата:

Windows 8.1 Pro: что может быть не могу запустить msconfig в нормальном режиме

Зачем вам msconfig, если есть утилита autoruns .

Цитата:

Систему проверил sfc /scannow, файлы системные не изменены, но возможно сидит где-то Рооткит, Буткит, который перехватывает управление ОС.

В этом случае загрузка с помощью LiveCD и проверка системы (Каспер и/или DrWeb).

Цитата:

Переустановить систему - самое простое решение, но задача быть специалистом, а не help-desker.

Хотите быть специалистом, тогда вам к господину Руссиновичу + WSCC вам в помощь.

Цитата:

Хотите быть специалистом, тогда вам к господину Руссиновичу + WSCC вам в помощь.

Да, по этому пути и иду, сейчас в институте создаю исследовательский центр по оценке безопасности ОС Windows 8.1 Pro
Подскажите пжс с кем лучше всего устанавливать сотрудничество, в настоящее время я обсуждаю этот вопрос с компаниями, разрабатывающими модули доверенной загрузки: Код безопасности и Aнкад.
Хочу создать платформу для домашних пользователей, и малого бизнеса по гарантированной программно-аппаратной защите в интернете от киберпреступности. Т.е нужна недорогая для домашнего пользователя программно-аппаратная платформа для свободной работы в Интернете. Все ПО, установленное на компьютере будет либо лицензионным, либо свободным. При этом пользователи не будут специалистами, они бухгалтеры, менеджеры и т.д. Платформа должна гарантирована защищать их от киберпреступности, не задавая им вопросы, на которые они не зная дадут ответ - "разрешить" и будут атакованы.
И соответственно содержать - Антивирус, фаэрвол, модуль доверенной загрузки с учетом и проверкой всего установленного ПО.
Какой антивирусник посоветуете, кто в этой теме профессионал:
Т.е с каким брендом установить технологическое сотрудничество:
Kaspersky (давно уже не использовал их продукты)
Drweb (аналогично Касперскому не знаю о его эффективности)
Bitdefender (победитель в 2014 году по исследованиям независимыми лабораториями) У меня он стоит, работать не мешает, проблем не создает, я сейчас рассматриваю его на первое место.
Comodo (мне нравится их сетевой экран, но в нем нужно разбираться, а нужно предложить клиентам, что-то, что будет работать само, без вмешательства пользователя) и т.д.
Платформа UEFI позволяет использовать только файлы системы с ЭЦП, т.е если отключить режим совместимости, то теперь безопасность системы повысилась, если конечно не выкрадут у Microsoft закрытые ключи подписи их файлов.
Драйвера, которые сертифицированы Microsoft тоже будут проверяться, ну а для отслеживания возможной атаки будет использоваться дополнительное ПО, о котором я сейчас и спрашиваю

Добавлено:

Цитата:

Зачем вам msconfig, если есть утилита autoruns .

Msconfig не сохраняет состояние нормальной загрузки, это наводит меня на предположение, что не все чисто в системе.


Цитата:

В этом случае загрузка с помощью LiveCD и проверка системы (Каспер и/или DrWeb).

Если записать их на диск, или флэшку, перед проверкой они обновляют свою антивирусную базу или каждый раз нужно качать по новой диск?

Добавлено:
утилита из шапки

MBRCheck
MBRCheck identifies infected Master Boot Records (MBR).

Windows LICENSE Free
 
 MBRCheck identifies infected Master Boot Records (MBR).
This tool is sometimes referred to on security related community web-sites such as bleepingcomputer and majorgeeks. However, there is no official homepage and the origins of this tool are unclear, hence it is flagged with a warning.


Link to official MBRCheck site
Official Website
MBRCheck was added by Reprotected in Dec 2010 and the lastest update was made in Apr 2012. There is a history of activites on MBRCheck in our Change Log and Activity Log. It's possible to update the information on MBRCheck or report it as discontinued, duplicated or spam. If you want a nice widget to put on your website check these out.

Внимание!!! - нет официального автора и последнее обновление было в апреле 2012 года.
и нет связи с пользователем, который разместил эту утилиту:

http://alternativeto.net/user/reprotected/messages/

 

Добавлено:
у Bitdefender Internet Security 2015 - есть режим Rescue mode - запустил его, он перезагрузился в режим Win RE - сейчас буду проверять, а потом проверю DrWeb и Kaspersky Live CD - и напишу о результате.

krserv
Это не ваш Сайт ?

Цитата:

И соответственно содержать - Антивирус, фаэрвол, модуль доверенной загрузки с учетом и проверкой всего установленного ПО.
Какой антивирусник посоветуете, кто в этой теме профессионал:
Т.е с каким брендом установить технологическое сотрудничество:

Если основное требование полный автомат без участия пользователя в принятии решений по малваре,то под такой критерий подходят Symantec(Norton Security) или BitDefender с режимом автопилот,если участие пользователя предусматривается --Kaspersky,DrWeb.

Цитата:

Это не ваш Сайт ?

нет

Добавлено:

Цитата:

Если основное требование полный автомат без участия пользователя в принятии решений по малваре,то под такой критерий подходят Symantec(Norton Security) или BitDefender с режимом автопилот,если участие пользователя предусматривается --Kaspersky,DrWeb.

значит bitdefender, я с ним уже начал работать более продуктивно, да и полагаю он лучше чем Symantec или Вы так не считаете?

krserv

Цитата:

значит bitdefender, я с ним уже начал работать более продуктивно, да и полагаю он лучше чем Symantec или Вы так не считаете?

хуже (чем Symantec) сложно найти, это какой то кошмар, удаляет все, что нужно и нет, и не всегда есть возможность восстановления

Цитата:

хуже (чем Symantec)

Домашний Norton в принципе да,за ни нужен глаз да глаз ,так и норовит что нибудь втихаря удалить , правда обучаем ,то что удаляет пихает в карнтин из него легко все восстанавливаетя и больше не трогает, ну а корпоративный будет работать ровно так,как админ настроит.

Bitdefender rescue не нашел ничего. Готовлюсь к проверке Каспером и Drweb по очереди
Ни каспер, ни Drweb - тоже ничего не нашли.
Установил на другой диск чистую систему - в ней msconfig работает нормально, в этой нет. То ли зловред неизвестный пакостит, толи уже напакастил и ключи реестра поменял, а сам был уже убит ранее Bitdefender.

Нужен совет: можно ли сие удалить?




Недавно установила Семёрку (сборку)
И при переходах на сайте http://filmoff.net/ и при наборе в Поиске появляется табличка:


На других сайтах ничего подобного не наблюдается. Эти 2 явления связаны между собой?

Living things
http://forum.kaspersky.com/index.php?showtopic=19883 , похоже?