Как обезвредить этот вирус, если это вирус?
Люди, у меня такая проблема.
Похоже, что у меня на компе появился вирус. Когда я как-то запустил комп при загрузке начал а запускаться стандартная программа звукозаписи причём не одна, похоже что был бесконечный цикл запуска прграммы, причём она сразу начинала записывать, и открывался СД-ром. Я перезагрузил комп - опять та же фигня. Я тогда запустил винду в сэйф моде и посмотрел, что прописано в автозагрузке, так же в обыкновенном режиме (когда запускалась прога аудиозаписи) я закрывал поочереди процессы. Кстати я наткнулся на два процесса которые при попытке завершить этот процесс выдавали сообщение что это системный процесс который нельзя закрыть, вирус так и не закрыл, но я не все процессы закрывал. На следующий день я просканировал комп НОД32, но такое чувство, что он ненавидит все файлы с расширением *.dll и *.exe, и готов удалить пол-компьютера. Ксати при запуске уже не было никаких проявлений вируса. Потом через время при загрузке сворачивались все открытые окна.
Кстати, ещё вот что, где-то месяц назад (может чуть меньше) я купил на рынке клаву. Недорогая (~10$), но выглядит красиво, с дополнительными кнопками, такими как открыть мой компьютер, запустить калькулятор и т.д. Само собой к ней идёт установочный диск, с дровами к клаве. При нажатии на дополнительные клавиши в правом нижнем углу экрана появляется соответствующая картинка. Когда происходила вся эта фигня описанная выше, поочереди отображались эти картинки. ПОсле того как я позавчера удалил программу для этой клавы ничего не слышно про вирус. Кстати когда открываешь таск манагер там на вкладке "приложения" отображается что работает программа клавы.
О компе: ноутбук, Windows XP professional.
Может кто может посоветовать как найти этот вирус, либо программу которая поможет отыскать того кто (в смысле программа) делает эти вредоносные вещи.
Вот ещё не совсем по теме: что это за проги temp1.exe и temp2.exe
Похоже, что у меня на компе появился вирус. Когда я как-то запустил комп при загрузке начал а запускаться стандартная программа звукозаписи причём не одна, похоже что был бесконечный цикл запуска прграммы, причём она сразу начинала записывать, и открывался СД-ром. Я перезагрузил комп - опять та же фигня. Я тогда запустил винду в сэйф моде и посмотрел, что прописано в автозагрузке, так же в обыкновенном режиме (когда запускалась прога аудиозаписи) я закрывал поочереди процессы. Кстати я наткнулся на два процесса которые при попытке завершить этот процесс выдавали сообщение что это системный процесс который нельзя закрыть, вирус так и не закрыл, но я не все процессы закрывал. На следующий день я просканировал комп НОД32, но такое чувство, что он ненавидит все файлы с расширением *.dll и *.exe, и готов удалить пол-компьютера. Ксати при запуске уже не было никаких проявлений вируса. Потом через время при загрузке сворачивались все открытые окна.
Кстати, ещё вот что, где-то месяц назад (может чуть меньше) я купил на рынке клаву. Недорогая (~10$), но выглядит красиво, с дополнительными кнопками, такими как открыть мой компьютер, запустить калькулятор и т.д. Само собой к ней идёт установочный диск, с дровами к клаве. При нажатии на дополнительные клавиши в правом нижнем углу экрана появляется соответствующая картинка. Когда происходила вся эта фигня описанная выше, поочереди отображались эти картинки. ПОсле того как я позавчера удалил программу для этой клавы ничего не слышно про вирус. Кстати когда открываешь таск манагер там на вкладке "приложения" отображается что работает программа клавы.
О компе: ноутбук, Windows XP professional.
Может кто может посоветовать как найти этот вирус, либо программу которая поможет отыскать того кто (в смысле программа) делает эти вредоносные вещи.
Вот ещё не совсем по теме: что это за проги temp1.exe и temp2.exe
Гы, полный фарш.
Винду переставь, предварительно форматнув хард
Винду переставь, предварительно форматнув хард
пролечить копьютер любым LiveCD, который понимает NTFS. вперед, google ждет.
если у аффтара серьезненький вирус он может скопироваться на другой диск(я уже редко вижу компы с одним логическим диском) и тогда ищи-свищи его среди дистрибов и порнухи))))
А что за проги "temp1.exe и temp2.exe" ? Они сидят у тебя в списке процессов? Наклюй удаляй их! юзай фсе вплоть до "поиска файлов" в винде.
Я знаю одного типа, который сделал 2 проги, которые ищут друг друга в процессах и если одна прога не находит другую, то запускает её :D
А теперь представим что в них какая нибудь гадость работает. Как убивать будем?
А что за проги "temp1.exe и temp2.exe" ? Они сидят у тебя в списке процессов? Наклюй удаляй их! юзай фсе вплоть до "поиска файлов" в винде.
Я знаю одного типа, который сделал 2 проги, которые ищут друг друга в процессах и если одна прога не находит другую, то запускает её :D
А теперь представим что в них какая нибудь гадость работает. Как убивать будем?
Цитата: Maximillian_Cavalera
... Вот ещё не совсем по теме: что это за проги temp1.exe и temp2.exe
Вирусы или компоненты одного вируса.
Если сможете заглянуть в реестр Вашего компьютера, то проверьте значение параметра Shell в ветке
[color=blue]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon[/color]
Оно должно иметь значение [color=green]Explorer.exe[/color] без параметров. Если я не ошибаюсь, то поселившееся у Вас "насекомое" стартует именно отсюда, прописавшись параметром к строке запуска Проводника. Учтите, что оно умеет запускаться в безопасном режиме.
а как можно проверить программу на наличие вредоносного кода, не запуская её?
По поводу temp1 & temp2: уже давно при запуске у меня появляется сообщение что приложению temp2 не удалось запуститься и давайте отправим анонимный отчёт. За всё это время (до ранее описанных событий) я не замечал никаких странностей с компом. Они находятся в корневой папке, ничего не будет если я их просто удалю?
Цитата: 0xf001
если у аффтара серьезненький вирус он может скопироваться на другой диск(я уже редко вижу компы с одним логическим диском) и тогда ищи-свищи его среди дистрибов и порнухи))))
Дык пусть себе копируется на LiveCD хоть до посинения!
Цитата: Maximillian_Cavalera
По поводу temp1 & temp2: уже давно при запуске у меня появляется сообщение что приложению temp2 не удалось запуститься и давайте отправим анонимный отчёт. За всё это время (до ранее описанных событий) я не замечал никаких странностей с компом. Они находятся в корневой папке, ничего не будет если я их просто удалю?
Разумеется, удаляйте.
Кстати, по части автозапуска. Есть замечательная утилитка от дяди Билла и некоего Марка Руссиновича :)
http://www.microsoft.com/technet/sysinternals/Security/Autoruns.mspx
Показывает ВСЁ, что прописано для автозапуска в системе. Всё, включая plugin'ы для IE и прочие мелкомягкие программы, запускаемые по десять раз на дню :)
http://www.microsoft.com/technet/sysinternals/Security/Autoruns.mspx
Показывает ВСЁ, что прописано для автозапуска в системе. Всё, включая plugin'ы для IE и прочие мелкомягкие программы, запускаемые по десять раз на дню :)
для начала залезь в пуск/выполнить/msconfig и во вкладке автозагрузка убери все галочки напротив которых ты не знаеш что это (только не системные). и еще бы проверить в пуске автозагрузку.
дальше качаешь Антивирус Касперского 7.0 и устанавливаешь (если есть другие альтернативы с ниже описанными характеристиками можеш чтото другое). теперь настроем хорошенько. берем пробный ключ на месяц, включаем проактивную защиту (анализатор активности, контроль целостности и слежение за реестром). а также в настройках файлового антивируса вручную включаешь эвристический анализатор.
с описания похоже на винджок, так что можеш теперь ждать пока начнутся симптомы (проактивная защита будет реагировать на мельчайшую активность системы, блокировать и выводить сообщение о названии процесса, что он делает и предварительная характеристика. или поставить на проверку мой компьютер (тоесть все) и если есть сомнительный программки то анализатор даст знать. лучше и то и то но времени много надо и ресурсов.
по поводу проверки программки не запуская: теоретически можно, если ты понимаешь машинный код. пример куска реальной программки для подсчета выражения (1 строчка из 1500 с копейками):
дальше качаешь Антивирус Касперского 7.0 и устанавливаешь (если есть другие альтернативы с ниже описанными характеристиками можеш чтото другое). теперь настроем хорошенько. берем пробный ключ на месяц, включаем проактивную защиту (анализатор активности, контроль целостности и слежение за реестром). а также в настройках файлового антивируса вручную включаешь эвристический анализатор.
с описания похоже на винджок, так что можеш теперь ждать пока начнутся симптомы (проактивная защита будет реагировать на мельчайшую активность системы, блокировать и выводить сообщение о названии процесса, что он делает и предварительная характеристика. или поставить на проверку мой компьютер (тоесть все) и если есть сомнительный программки то анализатор даст знать. лучше и то и то но времени много надо и ресурсов.
по поводу проверки программки не запуская: теоретически можно, если ты понимаешь машинный код. пример куска реальной программки для подсчета выражения (1 строчка из 1500 с копейками):
Код:
124000DC45F8DD5D F8DD45F8D81DC012 4000DFE09E0F8623 FFFFFFE86C6F0000
Я говорил ещё о дровах к клаве. Я удалил эту прогу, и вот, всё это время никаких проявлений вируса
а есть кнопки запуска программы звукозаписи или сворачивания окон? если дело в клаве почему тогда не запускался калькулятор, и вообще все команды бы выполнялись...
кнопки звукозаписи нет, но когда происходила вся эта фигня появлились признаки что клава выполняет какие то действия. Ещё: до сих пор никаких проявлений вируса. Дрова для клавы, после деинсталляции, я не устанавливал.
По поводу temp1 & temp2. Я их удаляю, но они появляются снова после каждого запуска.
Здравствуйте форумчане. У меня произошла подобна проблема с одним из моих компьютером. Вобщем у меня есть малая домашняя сеть. Один из компьютеров этой сети был заражен кучкой вирусов. Из за всяких кретинов пользователей. Но щас не об этом вообщем проблема у меня заключается в чём. В том что компьютер постоянно перезагружается (работает окало 30 секунд). Я сразу подумал что в автозагрузках есть что то что заготовляет компьютер перезагружаться. Набрал вобщем mcconfig смотрю там странная задача стоить называется dumper -k ну думаю сниму ка я её. Снял за хожу думаю что все будет нормально смотри конфиг там уже две таких и комп перезагружается. Посмотрел расположение на ходиться в system32 не с первого раза но нашёл этот файл. Удалил. После перезагрузки компа смотрю в конфиг тот по менял свое расположение после следущий опять появился в system32 . То есть щас находиться два файла в конфиге не чего не могу сделать так как комп работает всего 30 секунд. Форматировать нельзя и винду сносить тоже.... Не простоя задача единственное что я смог сделать закинуть туда файл stng260.exe что есть сканер вирусов до презагрузки он успел сохранить отчёт. Вот что в нём:
List of viruses Stinger can delect and clean
BackDoor-ALI
BackDoor-AQJ
BackDoor-CEB
BackDoor-JZ
BackDoor-JZ
Bat/Mumu.worm
Downloader-DN.a
Exploit-DcomRpc
Exploit-Lsass
Exploit-MS04-011
HideWindow
IPCScan
IRC/Flood.ap.dr.
IRC/Flood.bi.dr
IRC/Flood.cd
NTServiceLoader
ProcKill
PWS-Narod
PWS-Sincom.dll
W32/Anig.worm
W32/Bagle
W32/Blaster.worm
W32/Bropia.worm
W32/Bugbear@MM
W32/Dedorm.worm.gen
W32/Doomjucice.worm
W32/Dumaru
W32/Elkern.cav
W32/Fizzer
W32/FunLove
W32/IRCbot.worm
W32/Klez
W32/Korgo.worm
W32/Lirva.gen@MM
W32/MoFei.worm
W32/Mumu.b.worm
W32/Mydoom
W32/MyWife
W32/Nachi.worm
W32/Netsky
W32/Polybot
W32/Sasser.worm
W32/Sdbot.worm.gen
W32/Sober
W32/Sobig
W32/SQLSlammer.worm
W32/Swen@MM
W32/Yaha@MM
W32/Zafi
W32/Zindos.worm
W32/Zotod.worm
W32/Zotod.worm!hosts
Вообщем посоветовали что бы комп не презагружалься вести shutdown -e но не помогает отсрочивает ещё на секунд 15
List of viruses Stinger can delect and clean
BackDoor-ALI
BackDoor-AQJ
BackDoor-CEB
BackDoor-JZ
BackDoor-JZ
Bat/Mumu.worm
Downloader-DN.a
Exploit-DcomRpc
Exploit-Lsass
Exploit-MS04-011
HideWindow
IPCScan
IRC/Flood.ap.dr.
IRC/Flood.bi.dr
IRC/Flood.cd
NTServiceLoader
ProcKill
PWS-Narod
PWS-Sincom.dll
W32/Anig.worm
W32/Bagle
W32/Blaster.worm
W32/Bropia.worm
W32/Bugbear@MM
W32/Dedorm.worm.gen
W32/Doomjucice.worm
W32/Dumaru
W32/Elkern.cav
W32/Fizzer
W32/FunLove
W32/IRCbot.worm
W32/Klez
W32/Korgo.worm
W32/Lirva.gen@MM
W32/MoFei.worm
W32/Mumu.b.worm
W32/Mydoom
W32/MyWife
W32/Nachi.worm
W32/Netsky
W32/Polybot
W32/Sasser.worm
W32/Sdbot.worm.gen
W32/Sober
W32/Sobig
W32/SQLSlammer.worm
W32/Swen@MM
W32/Yaha@MM
W32/Zafi
W32/Zindos.worm
W32/Zotod.worm
W32/Zotod.worm!hosts
Вообщем посоветовали что бы комп не презагружалься вести shutdown -e но не помогает отсрочивает ещё на секунд 15
В безопасном режиме пробовали систему загружать и оттуда исследовать автозагрузку?
Цитата: Punch
З Я сразу подумал что в автозагрузках есть что то что заставляет компьютер перезагружаться. Набрал вобщем mcconfig смотрю там странная задача стоить называется dumper -k ну думаю сниму ка я её. Снял за хожу думаю что все будет нормально смотри конфиг там уже две таких и комп перезагружается.
Дак я при обычной загрузки авто загрузки смотреть могу. И знаю что енто за херня просто как от неё избавиться не знаю помоги.Или что вы имеете в виду "исследовать автозагрузку в безопасном режиме"
Цитата: Punch
что вы имеете в виду "исследовать автозагрузку в безопасном режиме"
Загрузиться в безопасном режиме, убедиться что вирус не стартовал, найти все файлы вируса через автозагрузку и почистить одно и другое. Что-то вроде этого :)
удаляйте Касперских, ставьте Нод
Цитата: Maximillian_Cavalera
По поводу temp1 & temp2. Я их удаляю, но они появляются снова после каждого запуска.
У меня было что то подобное. Тогда я подумал(уже не помню почему) что копии вирусов лежат в папке System Volume Information. Отсюда вопрос : можно ли дать полный доступ на изменение файлов в этой папке и скопировать туда свои файлы програмно?