Ru-Board.club
← Вернуться в раздел «Microsoft Windows»

» Вирус(ы) в Windows XP,Vista,7,8,8.1. Проблемы. Решения.

Автор: s0mik
Дата сообщения: 02.01.2010 22:03

Цитата:
NOD постоянно находит такую хрень:

Отключи у общедоступных папок права на запись!!! Когда делаешь папку доступной по сети, давай только читать!!!
Автор: Trakt0r
Дата сообщения: 05.01.2010 13:07
Здравствуйте. У меня проблема: Вчера утром по своей тупости я установил несколько (не спрашивайте зачем несколько) программ для скачивания музыки из Вконтакте.ру: VKMusic, LoviVkontakte и VKSaver. И в какой-то момент у меня вдруг потерялось соединение с вконтактом. Ну я как обычно перезагрузил интернет,но сайт по прежнему был недоступен. Тогда до меня дошло,что дело в программах. Я удалил все программы, но сайт все равно не работал. Я полностью проверил систему на вирусы и удалил из реестра все что отзывалось на "lovi" и "vk" (на vk не все конечно удалил,там куча файлов не связанных с этими программами). Но все равно сайт не работает. Выложил на всякий случай лог AVZ:http://dump.ru/file/4078530
В общем помогите пожалуйста решить проблему.
Заранее спасибо
Автор: bredonosec
Дата сообщения: 05.01.2010 13:20
в качестве новости -
Microsoft confirms first Windows 7 zero-day bug

Цитата:
Microsoft said it may patch the problem, but didn't spell out a timetable or commit to an out-of-cycle update before the next regularly-scheduled Patch Tuesday of Dec. 8. Instead, the company suggested users block TCP ports 139 and 445 at the firewall. Doing so, however, would disable a host of critical services, including network file-sharing and IT group policies.


Добавлено:
Trakt0r
c:\WINDOWS\system32\drivers\etc\hosts
проверь на содержимое.
Автор: Trakt0r
Дата сообщения: 05.01.2010 13:24

Цитата:
Trakt0r
c:\WINDOWS\system32\drivers\etc\hosts
проверь на содержимое.

Проверил сразу же после того как понял,что проблема в программах.
Пардон,у меня же две системы,а я только в одной hosts проверил. Во второй как раз было прописано вконтакте. Спасибо большое
Автор: VITEK62
Дата сообщения: 05.01.2010 17:23
Привет всем.Помогите пжл.Залез на какой то порно сайт и теперь выскочило окно почти на весь экран,типа я должен отправить смс или будет нанесён вред компу.

Добавлено:
Что делать подскажите???????????????????
Автор: rodrigo_f
Дата сообщения: 05.01.2010 19:15
Посмотрите тут:
http://juk121.ucoz.ru/publ/1-1-0-6
http://forum.drweb.com/index.php?showtopic=282981
Автор: HDD
Дата сообщения: 05.01.2010 21:51
VITEK62

Цитата:
Что делать подскажите???????????????????

Шапку читать.
Цитата:
Windows заблокирован! - отдельный топик по решению проблем с вирусом блокирующим запуск ОС и требующем выслать денег по СМС.

Автор: Skalder
Дата сообщения: 05.01.2010 23:51
Доброго всем времени суток. Не уверен что у меня вирус, но я облазил вного ресурсов и ответов тут не нашел.

1. Использую внешний винт Трансенд на 320 Гб. Записал я на него с компа свою папочку с софтом в размере 16 Гб (располагается на диске Д). Приношу винт на работу, включаю, пытаюсь скопировать папку на жесткий рабочего компа - выдает сообщение что доступ к этой папке закрыт а в свойствах пишет что она весит 0. Проверил вечером дома - все открывается на домашнем, все на месте.

2. Далее... хотел сегодня как обычно, как делал множество раз, записать на флеш карточку (размер 1Гб) на телефон СониЭриксон 750К пару композиций используя дата кабель через юсб. При попытке копирования файла выдало мне "Ошибка MS DOS", типа файил не может быть копирован. При повторном обращении к карточке мне вообще выдало что доступ запрещен.

Может ли быть это вирусом? Если нет - то что это твориться?

ЗЫ на внешнем винте все остальные папки с файлами записанные с моего компа - и на работе доступны (винты дома в НТВСе, внешний винт тоже НТФС как и винты на работе). А телефон с флешкой "колбасит" как в лихорадке - через раз то могу зайти на влешку, то пишет что нет доступа , а о записи через телефон нет и речи - ошибка MS DOS

Помогите пожалуйста если знаете в чем может быть причина такого странного поведения.
Автор: s0mik
Дата сообщения: 05.01.2010 23:54
По первому пункту: посмотри права доступа в свойствах папки и владельца
По второму не очень уверен, но возможно она стареет и некоторые сектора выходят из строя
Автор: Skalder
Дата сообщения: 06.01.2010 00:03
Дело в том что права я не менял, все папки на компе на всех жестких дисках (локальных также) одинаковые.

По поводу флешки - только что вставил флешку в картридер МФУшника ХьюлитПаккард и все тип топ - прочитало флешку, удалило что хотел, записало что хотел - без проблем. Телефон?
Сам телефон читает флеху без проблем, даже то, что записал через ридер. Где то траблы в связке комп-телефон... У знакомо нечто подобное было.. он вроде бы то ли вирус подхватил, то ли что то напортачил - но ка кто проблему решил...

PS Меня смущает уведомление касательно MS DOS ( "Не правильная функция MS DOS" ) - к чему оно? Не проказничает ли это какой вирусняк? С чего я не могу записать ни один фаил будь то МР3 или Джейпег?
Автор: HDD
Дата сообщения: 06.01.2010 01:48
Skalder
пробуй просканировать по первому варианту из шапки. Удостоверься, что всё чисто.
Пароля на вход нет?
Автор: Skalder
Дата сообщения: 06.01.2010 08:03
Сегодня утром проверил машину - все чисто. Но это дурацкое сообщение с MS DOS по прежнему присудствует. Может мне в другой раздел надо? Если кто видел темы касательно этой ошибки - буду примного благодарен если линканете.

В целом нареканий на работу компа нет -есть именно эта проблема с копированием файлов
Автор: rodrigo_f
Дата сообщения: 06.01.2010 08:04
"Не правильная функция MS DOS"

Проверьте наличие на носителях (желательно в режиме показа всех видов файлов и скрытых то же и желательно смотреть через оболочку типа Far, Dn, Nc, Folder Manager и т.п...)пакетного исполняемого файла с расширением *.bat. Или же наличие autorun.inf. Ошибка может выдаваться из за отсутствия(удаленного тем же антивирусом) какого то иполняемого в пакете файла...
Автор: Haos79
Дата сообщения: 06.01.2010 17:25
Появился новый вирус проявляющий себя в виде банера eKAV который требует денег.Блокирует всё до чего может добраться, от диспетчера задач до востановления системы, вылазит эта радость при запуске любой программы, безопасном режиме естественно тоже. Пробывал вариантом №2 из шапки, Dr.Web CureIT просканировал насобирал штук 6 какие-то удалил другие переименовал но виновника не отыскал, virus removal tool (базы последние) вроде как находит его, не хватило терпения до конца сканирования, за 40 минут дошло до 60%, а потом что-то уж очень медленно стал сканировать. Вообщем форматнул системный диск там и без вирусов пора уже было систему переустанавливать. Просто интересно кто сталкивался чем лечили? может всё таки надо было дождаться окончания сканирования? Просто было бы на своём компе я бы конечно помучился ради спортивного интереса, а так проще систему перебить.
Автор: HDD
Дата сообщения: 06.01.2010 20:00
Haos79

Цитата:
Пробывал вариантом №2 из шапки,

Нужно было ещё AVPTool прогнать. И потом посмотреть что будет
Автор: Haos79
Дата сообщения: 07.01.2010 08:13
HDD
я думал Virus Removal Tool это и есть AVPTool утилитка от Касперского если это так то


Цитата:
virus removal tool (базы последние) вроде как находит его, не хватило терпения до конца сканирования

Я почти уверен что это был он примерно с таким именем был найден: trojan drooper script js думаю в этой теме мы ещё встретимся с новичком, потому что на заражённом компе стоял КИС 7 с последними базами и тот пропустил его думаю и другие АВ его пропустят.





Автор: kerberosV5
Дата сообщения: 07.01.2010 18:47
Скачал Kaspersky Rescue Disk, он очень старый. Можно ли отдельно скачать базы и интегрировать в образ?
Автор: gjf
Дата сообщения: 07.01.2010 21:28
kerberosV5
Вот более свежий со свежими базами.
Автор: alexsht
Дата сообщения: 08.01.2010 01:15
По поводу вирусов под названием винлок. Вот цитирую http://lacetti.com.ua/ipb/index.php?showtopic=67245&view=findpost&p=1260907
"...Тем не менее существуют закономерности заражения. Ведь заражаются не все. Троян пролазит в систему через уязвимости программного обеспечения. И не только самой Windows.
Так, на одном из принесённых нам на анализ зараженных ноутбуков в результате расследования выяснилась следующая схема:
1. На одном из сайтов сработал Java скрипт, который открыл в браузере PDF документ
2. Сам PDF документ содержал эксплоит, который через уязвимость в Acrobat Reader сохранил в систему маленький (6 кб) загрузчик, и запустил его
3. Загрузчик уже выкачал в систему трояна и проинсталлировал его..."
Те вероятно винлок лезет в комп через уязвимость акробат ридера, и ридер надо апдейтить.
Автор: jonvarvar
Дата сообщения: 08.01.2010 01:20
В Сети появилась новая (относительно новая) зараза. А-вири и - спаи ,как обычно,
чухнутся недельки через 2-3... Суть :
Через всплывающее окошко на сайте ,даже если просто провести по нему курсором
мышки , на комп подгружается файл "dBEH.exe" ,тянущий за собой "mblF.exe".Первый -
испаряется , второй запускается и пытается подгрузить нечто из инета... Мой файер
(Outpost) паниканул только на этом этапе ."mblF.exe" я словил и изолировал. (Изначально , спасибо Process Explorer - прога изумительная , без неё ,штатными ср-ми,
процессы многих зловредов просто не убиваются) Самое забавное , что на 06.01.10 ,
этот "mblF.exe" не определялся НИ ОДНИМ из наиболее юзаемых антивирей :засылал я
его и на virustotal ,и на jotti , и ещё на пару подобных . Поведение же его - типичное для malware , троян 100%-й ИМХО.
Рекомендации : (Всё "ручками" ) 1.Тщательно следить после "контакта" со
всплывающими окнами , не появились ли на компе "dBEH.exe" и "mblF.exe" .
(Для XP %Windir%\Doc.&Set.\%User%\Loc.Set.\Temp - можно через "поиск") В случае
обнаружения, убивать через Process Explorer , вычищать из папки , чистить реестр.
Ни в коем случае до этого не позволять перезагруз ! На Dr.Web и иже с ним не надейтесь .(По крайней мере, пока)
2. Не совсем уверен , но по-моему , вторичный подгруз идёт через сервисы butirat.com ,
на вяк. случай , блокируйте в файере 213.155.1.39
P.S. Подобные "всплывающие" окна ,как правило, не "блокируются" даже спец. средствами , не говоря уж о штатных для браузера .Вредоносные сайты отнюдь не всегда игровые или порно ,в моём случае ,это был сегмент Нета, связанный с переводческой деятельностью. Заплатки (последние,декабрьские) "безопасности" к
тому же IE8 ,для этого трояна - что слону дробина...
Автор: iamm
Дата сообщения: 08.01.2010 02:11
Вот в темку
Автор: alexsht
Дата сообщения: 08.01.2010 04:33

Цитата:
Рекомендации : (Всё "ручками" ) 1.Тщательно следить после "контакта" со
всплывающими окнами , не появились ли на компе "dBEH.exe" и "mblF.exe" .
(Для XP %Windir%\Doc.&Set.\%User%\Loc.Set.\Temp - можно через "поиск")

А если запретить груповыми политиками запуск программ из %userprofile%\Local Settings поможет?
Автор: jonvarvar
Дата сообщения: 08.01.2010 06:25

Цитата:
А если запретить груповыми политиками запуск программ из %userprofile%\Local Settings поможет


Может и поможет , но и не навредит ли ? Помониторьте , не обновляются ,в частности,
через эту папку (Темр) ,прграммы , уже установленные на компе ; также возможны
проблемы с инсталляцией новых приложений.
И ещё , "о наболевшем" , позавчера дитя на свой комп словило с довольно популярного сайта флеш-игрушек - www.flashplayer.ru - трояна : прописывается в папке Program Files как plugins.exe . С этим-то попроще : Авира ,хоть и прошляпила установку , всё ж его вычислила .Но для себя , я вынес урок : всё , что устанавливается в эту Program Files (особо-проги , "не тебующие инсталяции" ) - должно быть :каждая программа в своей отдельной папочке. Тогда подобная зараза ,как "голый" , "безпапочный" исполняемый файл ,сразу же бросается в глаза. А также , прежде , чем ребёнок полезет поиграть on-line , обязательно запускать ProcessMonitor (procmon), от Марка Русиновича ( того же автора , что и Process Explorer , и Autorun - ссылки в "шапке"). "Тормоза" минимальные , а польза может получиться большая.
Автор: IvANANvI
Дата сообщения: 08.01.2010 10:48
plugins.exe - такой лечил пару раз на неделе, потом раз по телефону рассказывал, что с ним делать. Нод не видел. Как уже и говрил в полноэкранном FAR, в списке процессов легко идентифицируется и удаляется. Находится только в корне папки Program Files.
Автор: CMEX68
Дата сообщения: 08.01.2010 11:10
[q][/q]

В KAV2010 есть функция-диск аварийного восстановления, это и есть Kaspersky Rescue Disk со свежими базами
Автор: ElektroNick
Дата сообщения: 08.01.2010 12:03
помогите решить проблему в WIN7, после 30 дней не меняется размер шрифта. В Панель управления\Все элементы панели управления\Экран устанавливаю галочку на крупный и средний, а на рабочем столе все равно мелкий (по умолчанию)

сорри - не туда запостил, удалите пжлст
Автор: Pksltym23
Дата сообщения: 08.01.2010 12:12

Цитата:
Появился новый вирус проявляющий себя в виде банера eKAV который требует денег

Позавчера из-за этой заразы даже на работу вызвали. Пакость та ещё - заблокирован реестр и диспетчер задач, если зайти в папку с avz комп просто выключается (даже в безопасном режиме). в автозагрузке никаких подозрительных файлов не обнаружил.
Лечение: загрузка с лайфСД, подключение к реестру - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon строка userinit содержала дополнительную странную запись, потом удалил значение параметра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows AppInit_DLLs, в папке C:\Documents and Settings\%username%\Local Settings\Temp была библиотека (что то вроде j*.dll), которая после удаления появлялась вновь (пришлось создать файл с тем же именем и поставить параметр - тока чтение).
Чувствую, что зараза всё ещё внутри, но уже признаков жизни нет.
Автор: jonvarvar
Дата сообщения: 08.01.2010 13:52

Цитата:
Чувствую, что зараза всё ещё внутри, но уже признаков жизни нет

Я б после этого проверил ещё %WinDir% , поискав "по дате", очень похоже , что вирус
подменил системные файлы. Далее - RootkitReveal , и после procmon -ом помониторил бы систему.
Автор: kerberosV5
Дата сообщения: 08.01.2010 15:25

Цитата:
В KAV2010 есть функция-диск аварийного восстановления, это и есть Kaspersky Rescue Disk со свежими базами

У меня нет KAV2010, мне вполне хватило бы одного LiveCD, как у DrWeb.

To gjf:
Спасибо, конечно, но Вы же не собираетесь каждый день выкладывать новую сборку? Может, все-таки есть способ затолкать на диск новые базы
Автор: AZA_N
Дата сообщения: 08.01.2010 17:12
kerberosV5, если скачать Kaspersky Rescue Disk по ссылке из шапки, то свежие базы, скачанные с помощью KLUpdater можно записать прямо на этот же диск (папку Updates в корень), а потом указать источник обновления - /mnt/cdrom/Updates . Кроме того, можно и из инета скачивать уже загрузившись с Kaspersky Rescue Disk.

Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687

Предыдущая тема: Незапускаются программы


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.