» Странный вирус

Прроблема в следующем: Как-то мне флешечку принесли, скинул с нее вордовский файлик и как-то не обратил внимания что он (.exe). открывается он нормально. В системе у меня все документы каждый со своим расширением, (.doc, .xml) но как только я перекиываю любой на флешку он тут же меняется и становится (exe). Даже на чистую отфарматированную на другом компе флешку, все ровно ода и та же ситуация. Проверял несколькими антивирусниками, ничего они не находят. Если кто сталкивался, подскажите что делать, как искать "это".

Сталкнулся на днях. Называется recycled.exe у меня его нашел nod32 с последними обновлениями. Этот вирус переименовывает папки и документы без возможности восстановления. Совет проверь комп на вирусы. Каспером либо нодом. вирус похоже водится тока на компе а флехи страдают.

FEARCASPER
Проверять желательно загружаясь, минимум в безопасном режиме. Лучше загрузившись с LiveCD.
Скачай CureIt_ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe(От DrWeb работает без инстоляции) и\или Kaspersky Lab Tool
_http://downloads2.kaspersky-labs.com/devbuilds/AVPTool/
Загрузись или в безопасном или с диска и запускай.

Папки он не переименовывает, а присваивает атрибут "Скрытый". Так что никуда они не делись. Сам такое лечил на многих компах. В безопасный режим можно не переходить, надо просто убить процесс в памяти "ХР-ХХХХХ.exe". Этот же файл находиться в папке windows\system32. Вместо ХХХХХ - цифры, какие не помню. Процесс не дает просматривать скрытые файлы и папки и отвечает за размножение. Кстати не все папки он скрывает, а только те в которые заходит пользователь.

Решил написать в эту тему чоб новую не заводить,если топикстартер не против.
Вобщем не знаю вирус это или хрень какая,а стал вырубатся инет,на соединение щёлкаешь,то окошечко мигает только.Для подключения интернета после этого использовал перезегрузку.
Сейчас установил Файерволл,Комодо.И в журнале егошнем увидел активность этой заразы,через каждые 5 сек пытается подключиться с 3-5 разных айпи по разным портам.
Заблокировал мне комодо это,но вобщем-то хотелось бы убить эту гадость,тем более не могу сейчас с P2P качать,так как там по айпи надо подключаться.
Товарищи,подскажите дальнейшие действия,как быть?
А,доктор веб 4.44 и ад-аваре ничего не нашли.

Цитата:

А,доктор веб 4.44 и ад-аваре ничего не нашли.

В каком режиме сканировал?
Пробовал как я написал?

Цитата:

Проверять желательно загружаясь, минимум в безопасном режиме. Лучше загрузившись с LiveCD.
Скачай CureIt_ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe(От DrWeb работает без инстоляции) и\или Kaspersky Lab Tool
_http://downloads2.kaspersky-labs.com/devbuilds/AVPTool/
Загрузись или в безопасном или с диска и запускай.

Так же предварительно нужно отключить систему восстановления.

Вирус cureIT лечится, сам nod 32 лечил. интересный факт был вирусняк то не простой, он все скрытые папки друг в друга вкладывает nod32 ох..л!!! т.е. была папка картинки nod стал проверять и завис путь был такой i:картинки/картинки/картинки/.../картинки! хехе!

Может мой вирус и не странный, но я не могу от него избавиться. Помогите, пожалуйста.
У меня стоит АВАСТ, но несколько дней он был неактивен. После проверки обнаружилось 900 вирусов - все удалила. Но... В общих документах появилось 9 чудных папочек - -= The Porn Collection =-, в них - фото.JPG соответствующего содержания.
Когда я это чудо обнаружила, сразу вспомнила мужа добрым словом. Все удалила и успакоилась. Через несколько дней увидела, как моя дочь (6 лет) разглядывает фотографии.
Проверяла АВАСТОМ, Касперским и доктором Веб. Не помогает. Каждый день девочки вновь почвляются в документах.
Как от них избавиться???

Как такой случай

Цитата:

как моя дочь (6 лет) разглядывает

можешь сделать папку скрытой.

2lenocka
Похоже их какая-то специальная программка делает и обновляет. Проверь что автоматом загружается (не только в Автозагрузке), я пользуюсь Autoruns.

Lenocka это похоже AutoRun.Agent.GR ,NOD находит ,лечит но при выходе в интернет все повторяется.Возможно есть еще что-то чего антивирус не видит.Как решить пока не знаю.

У меня было нечто подобное. Так как разбираться не было времени (проблема на компе в офисе), а решить необходимо срочно, то нашлось следующее решение: зашел с другой учетной записи в интернет - все чисто. Поэтому взял и удалил "зараженную" учетку и никаких проблем . В вашем случае, учетка одна, то можно создать новую, а старую удалить. И еще, где-то на форуме предлагали запустить браузер без надстроек или сбросить их.

lenocka

Цитата:

Проверяла АВАСТОМ, Касперским и доктором Веб. Не помогает. Каждый день девочки вновь почвляются в документах.

1) Отключить систему восстановления. В свойствах системы.
2) Сканировать в безопасном режиме и только. О таких вещах как LiveCD умолчим.
3) Что бы не заниматься установкой АВ, можно скачать версии которые работают без инсталяции.
Бесплатная лечебная утилита Dr.Web CureIT!
ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe
Kaspersky Lab Tool
http://downloads2.kaspersky-labs.com/devbuilds/AVPTool/
У меня была похожая проблема http://forum.ru-board.com/topic.cgi?forum=62&topic=14386

Всем привет! Спасибо за советы!
Но мне ничего не помогло
Скрывала папки - они становятся видимыми при выходе в интернет.
Отключала восстановление системы, сканировала обеими утилитами, которые советовал HDD. В процессе сканирования Касперским был обнаружен вирус Worm.Win32.AutoRun.xxn, но в конце сканирования было написано "не найдено: вирус Worm.Win32.AutoRun.xxn".
Fire_Volh советовал запустить браузер без надстроек или сбросить их, но я не знаю как это делать.

Скажите, а если я виндус переустановлю, это поможет?

Если с форматированием винта, то да.

Попробуйте антивирус - Outpost Security Suite Pro, по-моему самый лучший антивирус на сегодня. Стоял каспер он ничего не находил, сначала у меня отключился диспетчер задач, реестр, скрытые папки... Вобщем много писать, что у меня случилось, в результате остался один рабочий стол. Когда проверил антивирусом Outpost Security Suite Pro, (мне даже страшно писать, наверное многие не поверят) нашёл более 20 000 вирусов. В вирусе были dll, exe, html, реестр, htm, ini.

Всем привет !
Помогите мне, пожалуйста.
У меня проблема с вирусом.
Антивирус Касперского находит вирус Trojan-Downloader.Win32.BHOSta.sx
содержится он в C:\windows\system32\pEK.dll.
Каспер пишет, что при перезагрузке он его удалит, НО стоит мне перезагрузить компьютер он его снова находит (он его не удаляет)
Что мне делать ?

Цитата:

Попробуйте антивирус - Outpost Security Suite Pro, по-моему самый лучший антивирус на сегодня.

Рекламма в другом топике. С каких пор Outpost стал классным АВ? Он фаер отличный.


Цитата:

сканировала обеими утилитами

В каком режиме?????
Raver95

Цитата:

Каспер пишет, что при перезагрузке он его удалит, НО стоит мне перезагрузить компьютер он его снова находит (он его не удаляет)
Что мне делать ?

Отключить систему восстановления, просканировать комп в безопасном режиме.

Цитата:

предлагали запустить браузер без надстроек или сбросить их.

а если поискать в реестре на имя этой папки? вдруг отдаст имя процесса или файла, создающего?
ну, я еще не раз кидал ранее линки на список процессов выни - с ним сравнить видимое - чего не найдется в списке - убить..
+ посмотреть так в секциях ран, рануанс, в автозагрузке - нет ли чего нового?
или стартером поглядеть..

а потом найденное поубивать..
конечно, лучше с ливСД это делать. (убивать и в реестре копать), а не по процессам лазить)

Я сделала это!
В безопасном режиме удалила с зажатым shift эти вредные папки, затем просканировала АВАСТОМ комп. Потом загрузила свою учетку, отключила восстановление системы и снова просканировала антивирусником. Уже часов 12 живу спокойно.

Всем советую поступать таким образом.

Спасибо всем.
Вирус удален.

Спасибо за советы, все получилось, пробовал несколькими вариантами, все как ни странно работают. Просто для проверки заражал комп еще раз и проверял выше перечисленные методы лечения.

Мне помогает такой алгоритм:
1. Отключаю восстановление системы;
2. Гружусь с LiveCD;
3. Лечу систему с помощью CureIT;
4. Перегружаюсь в нормальный режим;
5. Качаю, ставлю и обновляю (если этого нет) бесплатный (от Гугля) Spyware Doctor. Им сканирую систему, удаляя все найденное.
6. Лечу NOD'ом
7. Обновляю Windows.
Все. Этот вариант помогает мне в 99% случаев. Иногда приходится кое-что повторить, порой бывает необходимым почистить систему CCleaner'ом...
P.S. Еще очень желательно отрубить автозапуск всех дисков.

Цитата:

3. Лечу систему с помощью CureIT;
4. Перегружаюсь в нормальный режим;

Я бы вставил сюда пункт с Kaspersky Lab Tool, потому как желательно двумя разными АВ проверять.

Привет всем! Вот и наступило первое апреля!! С утра в новостях пугали хакерскими атаками...и не зря!!Сегодня в офисе на большей части машин при обращении к експлоэру или куитлоку антихакер Каспера 6.0 выдавал сообщение: исполняемый файл был изменен и дальше разрешить или блокировать. Файлы которые были изменены: explorer.exe; svchost.exe; и еще забыл точное название но служба запуска куитлока. Так вот я сразу подумал о трояне который маскируется под svchost.exe, но скачав Fixtblast и Antimsblast и проверив, компы я ничего не нашел. Также проверил и каспером и кореллои и авз. Ничего. Так как без меня на некоторых компах доступ этим приложениям разрешили, то я просмотрел их более подробно. Выяснилось, что трафик не увеличился. загруженность системы тоже. Тоесть никакой активности, присущей вирусу, о котором я подумал. На форуме лаборатории видел подобные темы..там тишина. Многие из тех кто там писал уже все разрешили и вроде все нормуль. Есть предположение, что это первоапрельская шутка, которая не несет реальной угрозы. Кто столкнулся с этой проблемой просьба откликнуться. Да еще обновлений никаких не производилось. И еще если запрещать эти процессы, то приложения не работают..(например почта, интернет через експлорер).
Простите если где-то есть подобный вопрос!

Новости с поля битвы....Сегодня на некоторых компах появился сбой в задаче касперского а именно запуске анти-спама. Есть случаи, где работает експлорер, но опера и аська нет!!!На одном компе поставил аваст..он нашел два вируса...все заработала, но при в ключении каспера все повторяется. Пробовал переставить каспер..возвращение назад. Не знаю что делать...

Добавлено:
Надеюсь кому-то это поможет. На все компы ставлю аваст. Проверка..от 2 до 6 вирусов в папке тем или коннтент... их удаление..все работает. Завтра собираюсь удалить полностью каспер и переустановить его! Видимо вирус сел в антивируснике))

Здравствуйте!У меня такая вот проблема.Хотел записать диск,но Неро выдал сообщение о "Nero BurnRights".Это типа значит, что у меня нет прав для записи сиди,хотя я администратор и таких проблем до сегодня не было.Попробовал записать образ UltraIso - та же история,надо права администратора.Потом посмотрел в Учётных записях - всё ок, у меня статус админа.Но заметил ещё одну проблему - в Управлениях дисками не отображается ни один диск.Прошёлся по разных форумах,говорят вирус какой-то.Сканировал систему Нодом (базы актуализированы),но тот ничего не видит.потом сделал,как советовали выше - безопасный режим и прошёлся CureIt - ничего.Система (Win xp pro sp 3) работает нормально,ничего не виснет и не глючит,кроме вышеописаного.Может, кто знает что за беда.Спасибо.

Привет всем!
комп.: CPU Cоre2 Quad Q8400, RAM 4 GB Mather Gigabyte GA-EP45-DS5, Win XP, Доктор ВЕБ. Ad-Aware, Outpost, Spybot.
И вот такая штука:
установленые языки: англ., русс., японский. Соотвественно Офисы 2003 и 2007. Но вот, время от времени самопроизвольно появляется китайский язык Chinese (PRC). По своему поведению очень смахивает на вирус.
Я его в установке языков стираю, а он спустя некоторое время сам появляется вновь. Более того, переустановка системы тоже ничего особеного не принесла. Спустя некоторое время кит. язык появляется вновь.

Подскажите, может быть у кого-либо была такая княка?

IgorM00
Язык скорее всего добавляет какая-то программа. Ищите.

Здравствуйте, Уважаемые! У меня прото склад этих вирусов 1. amvo.exe; 2. i.exe; 3. Recycler - теперь еще! Вот этот recycler сподвиг меня к решительным действиям, тк начал расползаться по всем флэшкам и делать там exeшные папки(( Но мой касперский ничего не нашел, но стабильно зависал на D...\Digital press-Windows Server 2003 Security Infrastructures.chm//. Я сделал восстановление системы за число до попаданиия вируса (с чужой флэшки). Потом отключил восстановление системы. Снова начал проверять касперским. И периодически выскакивали сообщения о запуске вредоносных процессов amvo.exe, i.exe, C:/resycler/....exe. Я их всех запрещал и делал откат. Сейчас я не могу зайти ни на С, ни на D - пишет "отказано в доступе к указанному устройству, пути или файлу. Возможно, у вас нет нужных прав доступа к этому объекту". Причем через некоторое время когда снова пытаюсь зайти на диски, то снова запускается i.exe. Если его разрешить, то диски открываются. Так же я не могу делать видимыми скрытые папки - это из-за i.exe и amvo.exe, тк это у меня давно. Подскажите, что делать, тк кое что из описанного выше мне не понятно, что такое Live CD, и нужно мне удалять касперского, чтобы попытаться полечить CureItом? Помогите, пожалуйста как расправиться с этим ядовитым букетом?