» Вирус(ы) в Windows XP,Vista,7,8,8.1. Проблемы. Решения.

lwz

Цитата:

Что может обращаться к данным IP'никам?

курите http://whois.domaintools.com и гугль

opt_step
У меня обнаружилась проблема с фаром, есть установщик и два рег.файла которые добавляются в реестр.
Ну там увиличеный шрифт и кое что еще, линуксовый админ мне делал давно очень и все работало пока не было вирусни и после установки combofix.
Скрин прилагается http://rghost.ru/4270478
Как избавиться от абра казебры?

setwolk
сделать reg файл

Цитата:

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Nls\CodePage]
"1250"="c_1251.nls"
"1251"="c_1251.nls"
"1252"="c_1251.nls"
"1253"="c_1251.nls"
"1254"="c_1251.nls"
"1255"="c_1251.nls"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\FontSubstitutes]
"Arial,0"="Arial,204"
"Comic Sans MS,0"="Comic Sans MS,204"
"Courier,0"="Courier New,204"
"Courier,204"="Courier New,204"
"Microsoft Sans Serif,0"="Microsoft Sans Serif,204"
"Tahoma,0"="Tahoma,204"
"Times New Roman,0"="Times New Roman,204"
"Verdana,0"="Verdana,204"

Ткните носом в решение следующей проблемы (думаю я не первый) - Вставил флеху в чужой комп, после на ней появились ЕХЕ файлы с именами папок (тело вируса), а самих папок нет. Антивирь почистил, а как вернуть сами папки. Они есть физически (в тотале их не видно), не скрытые, проверка диска ошибок не выявляет, а диск заполнен. После прогона программами восстановления в удаленных их нет.

pepe1961
Папки нужные или нет? Если нет, то копируем нужную информацию и форматируем флешку.
Ещё бы попробовал посмотреть из под LiveCD.

HDD
Папки нужны, т.к. пофайловое копирование долго и муторно. Залез на флешку через DMDE. Папки есть, разобраться не могу как вернуть (может если полная версия редактора сам вернет? - у меня фри). LiveCD не помогает.

pepe1961

Цитата:

не скрытые, проверка диска ошибок не выявляет, а диск заполнен

прогоните через Dr.Web CureIT!, если тело вируса удалено, то будет в самый раз

opt_step
Спасибо приду домой внесу изменения в реестр, но вы можете сказать из за чего?
В чем причина?

Добавлено:
opt_step
Спасибо приду домой внесу изменения в реестр, но вы можете сказать из за чего?
В чем причина?

Здравствуйте многоуважаемые знатоки.
Простите, если пишу не туда или не то, но мне нужна ваша помощь.
Я поверхностно наслышан, что утилитой AVZ можно сделать такой отчёт о систем, который потом знающие люди смотрят и видят есть ли "зараза" на компьютере или нету.
Я вообще в этом деле чайник, причём самой древней модели, не могли бы вы мне пошагово расписать, что и как надо делать, чтоб получить такой отчёт?

Не много о своём компьютере:
ОС Windows XP SP2, постоянное подключение и-нета (adsl), антивирус avast 4.8 home edition, постоянно работают: Опера, QIP, uTorrent, BitTorrent, Винамп (радио через и-нет), экранная клавиатура.

Rediensh
Вот так _http://forum.oszone.net/post-717373-2.html
Думаю там все понятно написано что и как делать

setwolk
последствия вирусов

Добавлено:
HDD
для шапки
MBRCheck Freeware

С помощью этой небольшой утилиты ты сможешь проверить, не заражен ли твой MBR (Master Boot Record) современными руткитами.

setwolk
Как бы есть тема тут. Зачем посылать на сторонние ресурсы?
Rediensh
Читайте шапку темы
Цитата:

New Помощь при лечении компьютера от вирусов - помощь от "хелперов" с "VirusInfo". В топике строгие правила. Внимательно читаем шапку.

Добавлено:
opt_step
Добавил

HDD
Спасибо.

Цитата:

MBRCheck

Спасибо.
Аналог eSage Lab Bootkit remover (но этот, похоже, занимается только диском с активной системой).
Ещё аналог - MBR (GMER) (этот без конкретики просто говорит ОК).
Оба ставят временние драйверы, а MBRCheck - нет.

opt_step
Рег файл сделал, запустил, ребутнулся ну и как бы глюк с фаром не исчез...как быть?
ПО переустанавливал...

setwolk
Из папки "C:\Program Files\far\Addons\Tables\Russian\" импортируйте в реестр файлик KOI8-R.REG

Был вирус баннер вымогатель, пароль подобрать удалось, операционка WinXP SP3, антивирусник стоит касперский Интернет Секьюрити 2010, ничего не нашел, работают все сайты кроме контакта и одноклассников, при попытки зайти на них пишет ведутся временные работы, хотя я со своего компа захожу на них, данная проблема на компюьтере у девушки, hosts проверил, там ничего лишнего тнет, подскажите что это может быть и чем вылечить можно?

DJMC
DrWEB CureIT в БР попробуйте.

Проблема с ОС win XP SP3. Токо с открытием страничек Ru-board и токо Maxthon2.5.15. Начинает быстро размножаться процесс в диспетчере задач mplayer2.exe.
Вот скрин диспетчера:


Удалить процессы нельзя. Лечится перегрузкой ОС.
- при открытии страничек IE6 на Ru-board просто он зависает - ничего не грузит. Лечится убитием процесса IE6.
- при открытии страничек Ru-board с помощью Mozilla Firefox никаких проблем нет.
- при открытие любых других страничек(не Ru-board) с помощью IE6, Maxthon2.5.15, Mozilla Firefox вообще никаких проблем нету.

На компе есть еще ХР. Поставил на нее Drweb 6 с новыми базами. Он обнаружил и удалил два вируса(два файла):
- windows\options\cabs\_desktop.ini - вирус win32.hllw.gavir.ini
- windows\system\svchost.exe - вирус trojan.siggen2.15959

Перегрузил в проблемную винду. Она, почему то, загрузилась без проблем. Но проблема с Ru-board и Maxthon2.5.15 осталась.
В ОС стоит антивирус KIS2011(лицензия) с новой базой. Но он почему то прошляпил это дело(вирусы пропустил и при проверке не обнаруживал).

В поиске прочитал про вирус trojan.siggen2 - он кроме того прописывает в реестре IP-адрес. Может из за этого и проблема токо с ру-боардом. Но почему тогда множаться процессы mplayer2.exe.
Просто интересно разобраться.В чем же проблема. На будущее. Откуда и что я подцепил. Я эту винду снесу на фиг. Просто дело нескольких дней - надо в торренте докачать файл.

Цитата:

прогоните через Dr.Web CureIT!, если тело вируса удалено, то будет в самый раз

Прогнал, правда не понял зачем. Вирусов не нашел, по кругу доктор прогнал файлы (папок и файлов из них в информационной строке не было, проверил более 1000). Исходя из колличества проверенных, доктор один и тот-же видимый файл сканировал 75 раз. Ошибка наверное в FAT и надо копать в сторону восстановления.

Цитата:

Токо с открытием страничек Ru-board и токо Maxthon2.5.15

На вирус решительно не похоже...

Цитата:

The process Windows Media Player belongs to the software Microsoft Windows Media Player by Microsoft Corporation (www.microsoft.com).

Description: File mplayer2.exe is located in a subfolder of "C:\Program Files". The file size on Windows XP is 4,639 bytes.
The file is a Windows system file. mplayer2.exe is a Microsoft signed file. The program has no visible window. Therefore the technical security rating is 1% dangerous, however also read the users reviews.

Сперва - что за mplayer2.exe, где находится, что из себя представляет.
Этот Maxthon2.5.15 - не Ru-Board Edition?

Цитата:

сборка, которая просто напичкана плагинами

DJMC
avz -- восстановление системы

Erekle

Цитата:

Этот Maxthon2.5.15 - не Ru-Board Edition?

Оно. Самое. Творение. Ru-Board Edition - портабл.
По поводу удаленного файла - windows\system\svchost.exe. У меня на компе еще две ХР-шки. Поиском проверил там папки windows\system\ на наличие оного файла. Не наличиствует он там в обоих ОС. Получается что -Drweb заразу удалил, которая маскировалась под "своих"? А иначе, тогда почему проблемная(с удаленным хостом) винда работает уже второй день и никаких проблем пока. И, получается, что связи этого вируса и процесса mplayer2.exe не прослеживается. Как спонтанно появлялся он до удаления вируса, так и остался после удаления.
Файл C:\Program Files\Windows Media Player\mplayer2.exe размер его 4639 байт.
Токо в одном месте, в одном экземпляре, на системном разделе с ОС - режим всякого скрытого, системного и т.п. включен.

Да, глюк оный появился после установки нескольких программ перекодировки видео файлов. Снес эти программы. Не помогло, как видите.
На разделе стоит антивир KIS2011(лицензия) с новыми базами. Как он пропустил эти два файла, которые Drweb удалил. И почему при проверке до лечения раздела доктором, КИС ничего не обнаруживал.
Может что новенькое, неизведанное словил?

Добавлено:
Да, еще...
Запускал AVZ(обновленный). Все О.К. Токо выдал "красным" десятка два процессов под именем klif.sys - драйвер как безопасный...
Поиск показал, что klif.sys - это касперская приблуда...

opt_step
Импортировать это простым запуском?

setwolk

Цитата:

Импортировать это простым запуском?

да

Цитата:

Сперва - что за mplayer2.exe, где находится, что из себя представляет.

Цитата:

Файл C:\Program Files\Windows Media Player\mplayer2.exe размер его 4639 байт.

На ру-борд когда первый раз заходишь, он говорит, что нужно установить надстройку от MS "Windows Media....". Так что этот процесс, это нормально. Это как на ukr.net заходишь первый раз после переустановки систему и тут же вылазит табличка о необходимости установки Flash Player.

Цитата:

Токо выдал "красным" десятка два процессов под именем klif.sys - драйвер как безопасный...

Это драйвер касперского.

HDD
klif.sys

Цитата:

Это драйвер касперского.

Это мы в курсе

Цитата:

Поиск показал, что klif.sys - это касперская приблуда...

И поиск указал на то, что бывают случаи его подмены гадостью...
Вот поэтому я обратил на него внимания.
Пока потуги решения проблемы безуспешные. Этот случай еще спрашиваю в ветке:
Maxthon 2.x (часть 6)
http://forum.ru-board.com/topic.cgi?forum=5&topic=33077&start=2560#lt
Что бы не повторятся, привожу мои "изыскания":
asbo

Цитата:
И все-таки, кто родитель у mplayer2.exe?

Это Windows Media Player. И то, токо в случае размножения процесса player2.exe на ру-боарде. При запуске им(Windows Media Player) видео файлов - он использует не player2.exe, а wmplayer.exe.
При проверке(открытие видеофайлом множеством приложений, которые имеются на компе) - ни один из плееров или др. приложений не использует файл player2.exe.

HiDeyKan

Цитата:
А свсхост в другой папке может и не враг, а приблудный. Его надо было побайтно сравнить с тем что в систем32 лежит

Поздно...
Дохтур постарался. Удалил его...
Сравнил две ОС ХР-шки(нормальная и проблемная).
Файл svchost.exe. (в обоих ОС-ях) и в папке C:\WINDOWS\system32 и в C:\WINDOWS\system32\dllcache - одинаковы по размеру. И составляют 14336 байт.

Интересный факт. Беру и удаляю(в начале просто перемещал) из папки C:\Program Files\Windows Media Player файл player2.exe. Удаляется. Дается себя удалить. Но после закрытия/открытия этой папки он снова "возрождается". Дата его остается прежней - 15.04.2008 18.00


Остается еще поэкспериментировать с плагинами макстона...

rodrigo_f

Цитата:

ни один из плееров или др. приложений не использует файл player2.exe.

>

Цитата:

The program has no visible window

установить надстройку от MS "Windows Media....".

Цитата:

Его надо было побайтно сравнить с тем что в систем32 лежит

- а ещё проверять всё подозрительное (даже системное и в "правильных" местах) на валидность, в том же AVZ.

AlexIva

Цитата:

DrWEB CureIT в БР попробуйте.

Ничего не найдено...
вот как выглядит сайт вконтакте подскажте где искать вирус?

Erekle

Цитата:

Его надо было побайтно сравнить с тем что в систем32 лежит

"Вынул" из установочного (родного) CD- диска с win XP SP3 файл SVCHOST.EX_ с помощью EXPAND.EXE. Получился "первичный" svchost.exe и сравнил(побайтно) с обоими файлами из проблемной ХР-шки svchost.exe(из директорий C:\WINDOWS\system32 и C:\WINDOWS\system32\dllcache). Идентичны побайтно. Различий нету.

Цитата:

установить надстройку от MS "Windows Media....".

Зачем? Проблем с воспроизведением видео нету. И я этот проигрыватель(Windows Media Player) нигде и никогда не использую(другие для этого есть)