MegaNub | |
|
Скорее всего вопрос не новый, но что-то я ответ на него не нашел. Дал одногруппнику флешку, после чего пришлось удалять вирусы, но один троян, как я понял, внедрился в авто ран и не удаляется. При подключении флешки антивирь его видит, предлагает удалить и т.п., и файлик вируса тоже виден, но при повторном подключении вирус снова там. Формат тоже не помогает. В данный момент на компе антивирус Аваст. Возможно ли удалить вирус? |
Rambus | |
|
Можно, Каспером, форматированием или другими антивирями кроме Аваста, который лажанулся. Заодно и весь комп посканить не мешает коли такая возможность представилась. P.S. если форматирование не помогает, есть резон предположить, что либо форматирование проведено хреново, либо что вирь подцепляется с чьего-то компа, который "вне подозрений". Это сообщение отредактировал Rambus - 19-03-2009 - 01:34 |
zlo28 | |
|
Сейчас скажут читай правила создания тем. И действительно без логов с того же AVZ вам вряд ли что посоветуют. Ну если флешку форматируете а при повторном открытии там снова они есть, то резонно предположить что лечить нужно весь комп ибо вирус уже на нем
|
Алексеев | |
|
Смысл-то смотреть логи и изгонять вирус? Если антивирусная защита никакая, это работа в пень. С одноразовым эффектом. Rambus помоему всё сказал, добавить нечего :) |
do-do | |
|
Я уж по привычке на всх своих флешках создаю скрытый системный каталог Autorun.inf Не поверите - помогает :) |
MegaNub | |
|
Mateo , спасибо, прога действительно помогла, хоть и не со ссылки do-do , а как создать этот системный каталог? Решил теперь разобраться с провинившимся Аvastом, а он не хочет удаляться..эх |
chicolatino | |
|
У меня похожая проблема, хотя дело не во флешке. Через флешку я подхватил на ноут червя Worm, Каспер его удалил, потом я почистил реестр, вирус себя никак не проявлял. Поставил флешку на стационарный комп, НОД сразу обнаружил там Worm, отправил его в карантин. Насколько я понял, вирус на ноуте (а заодно и на флешке, и на выносных жёстких) остался. Возможно ли его полностью оттуда удалить? Переустанавливать систему по некоторым причинам не хочу. К сожалению, лог тоже не могу представить, не хочу подключать ноут к нету, т.к. червь сетевой. В нете пока ничего подходящего для лечения этого червя не нашёл...
|
|
Скучно как-то. Вот вам батничег. protect.bat поместить в %system32%
использование: Win+R -> protect E: -> enter Где E: - имя логического диска (флешки). И забываем про автораны нафсегда. |
chicolatino | |
|
Спасибо за батничег, и извините, что скучно. У меня проблема не столько с автораном и флешкой. Флешку я и отформатровать могу. Может, подскажите, как мне червя Worm полностью с ноута удалить без переустановки системы?
|
|
Worm (англ.) - червяк. Не осилил. Обычно обзывают минимум в два слова через точку. Конкретизируйте. |
do-do | |||
|
Ну ежли знаешь, что червь есть, значит палится антивирусом ? Другое дело, что удалить не может, Самое правильное LiveCD и чистка антивирем (со свежими базами) или пальцами, если известный червяк и знаешь, где на гадил В пиковом случае можно попробовать в Safe моде попробовать...если не запускается, нужно батничек найти, который включает ее (бывает зверьки, реестр гадят :) ) |
|
И вообще почитайте правила открытия новых тем. Там за AVZ агитация в картинках забавная. Поможет.
|
chicolatino | |||
|
Да, всё правильно. Извините. НОД его идентифицирует как Autorun inf. Win32/Tifaut C. worm. Я читал про AVZ. Возможно, это был бы самый подходящий вариант для меня, однако, есть некоторые проблемы. Вирус у меня на на ноуте, а к интернету подключён стационарный комп. С подключением ноута к инету есть некоторые трудности. Провайдер для подключения к нету привязывается к сетевой карте конкретного компа, поэтому мне каждый раз нужно перенастраивать подключение и связываться с провайдером для подключения другого компа. Вчера я всё-таки подключил ноут к нету, установил и обновил последнего каспера, просканировал систему, в итоге каспер ничего не нашёл, а я замахался переподключаться. Потратил на это полдня и безрезультатно. Раньше этот червь проявлялся таким образом. На флешке, а потом и на ноуте появлялся ехе. файл, котрый, как в последствии выяснилось, после удаления появлялся снова под новыми именами. Началось все с имени типа csrcs.exe, потом имена менялись, прежним оставалось только количество букв в имени. Это приложение пыталось организовать подключение к инету, кроме этого, оно изменяло реестр. В результате этих изменений перестал работать Windows Explorer. По совету друзей и с помощью Hijackthis я удалил 4 ключа из реестра, после этого всё заработало. Само же приложение было удалено каспером. Приложение это появлялось постоянно с файлом khs, который я тоже изначально удалил и посчитал, что с этим вирусом покончено. На протяжении последнего месяца я не пользовался флешкой, а вот позавчера подключил флешку к ноуту, а потом к стац. компу. На стац. компе стоит НОД, регулярно обновляемый, который сразу обнаружил на флешке этот вирус: Autorun inf. Win32/Tifaut C. worm. Он пытался подключиться к нету и параллельно пытался внедриться в Агнитум. После этого, как я писал выше, я сделал глубокую проверку ноута обновлённым каспером, но он ничего не обнаружил. Но что интересно. Во время сканирования ноута каспером я случайно заметил, что там проскакивает файл с именем khs, но каспер на него никак не реагирует! После этого я просканировал весь комп поиском но файла с таким именем там не обнаружено. Как я прочитал на одном из форумов, этот червь оставляет хорошо замаскированные части, которые в нужное время (при подключении к нету, ессно) могут восстановить червя в полном объёме. Пока что я думаю насчёт этого файла khs. Может ли такое быть, что он всё-таки где-то остался, но обычным поиском его нельзя обнаружить? И можно ли как-то определить, остались ли какие-то части этого червя в ноуте? Это сообщение отредактировал chicolatino - 22-05-2009 - 18:57 |
|
Можно. Скачай и через флешку перенеси эту версию AVZ на бук(c флешки не запускай). http://rapidshare.de/files/47208693/explorer.pif.html базы не нужно обновлять. Затем сделай отчеты по правилам раздела Help. Hijackthis тоже. Отчеты залей http://www.slil.ru/ |
|
Кстати, по поводу провайдера и подключения: сохраните MAC-адрес привязки и, в случае необходимости, просто присваивайте новому компьютеру. Не забыв изменить на предыдущем на произвольный. А вообще лучше купить за две тысячи (x/a)DSL-роутер с точкой доступа и вообще забить на проблемы. http://www.klcconsulting.net/smac/ http://www.nthelp.com/NT6/change_mac_w2k.htm Да, если кому не понятно, инструкция mkdir ..1\ на FAT(FAT32) делает невозможным удаление скрытых каталогов, создаваемых батником. Это сообщение отредактировал JeyLo - 23-05-2009 - 13:13 |
-=DRON=- | |||
|
Еще один скрипт для вакцинации флешки.
Скопировать в блокнот и сохранить как AUTOSTOP.bat Вместе с подходящей иконкой скопировать на флешку и запустить. Создает на флешке папку "AUTORUN.INF" и в ней папку "LPT3". Так как "LPT3" в папке "AUTORUN.INF" создан нестандартным способом то и удалить его уже не получится, только формат! Подходящую иконку для скрипта можно найти поиском на компе, например в папке "C:\Program Files\". Это сообщение отредактировал -=DRON=- - 04-06-2009 - 20:58 |
chicolatino | |
|
Спасибо за ответы, извините, что не сразу, был в отъезде. У меня НОД на стационарном компе опять нашёл подозрительный файл и определил его как конфикер. Я скачал AVZ, просканировал пока только стац. комп. Приаттачиваю лог, помогите советом, пожалуйста. Это сообщение отредактировал chicolatino - 05-06-2009 - 20:53 |
|
Это не лог. Лог находится в папке из которой вы запускали AVZ, в папке LOG и называется virusinfo_syscure.zip Его можно залить сюда http://www.slil.ru/ , но и без него понятно, что лечиться от конфикера пока рано:
Установите SP3 http://www.microsoft.com/DownLoads/details...08-1e1555d4f3d4 и все последующие обновления, ну хотябы это: http://www.microsoft.com/downloads/details...76-2067b73d6a03 Потом можно проверить обе машины и флешку KidoKiller: http://support.kaspersky.ru/wks6mp3/error?qid=208636215 PS. Логи АВЗ и Hijack нужны для проверки на присутствие прочей заразы. |
chicolatino | |
|
Спасибо, я понял. Но, пока я всё это сделаю, можно походу два вопроса: 5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL) C:\windows\hffext\hffkbd.dll --> Подозрение на Keylogger или троянскую DLL C:\windows\hffext\hffkbd.dll>>> Поведенческий анализ 1. Реагирует на события: клавиатура 2. Определяет имя файла для модуля: hffkbd.dll 3. Опрашивает состояние клавиатуры 4. Опрашивает активную раскладку клавиатуры 5. Определяет ASCII коды по кодам клавиш C:\windows\hffext\hffkbd.dll>>> Нейросеть: файл с вероятностью 99.91% похож на типовой перехватчик событий клавиатуры/мыши Файл успешно помещен в карантин (C:\windows\hffext\hffkbd.dll) НОД определяет именно этот файл hffext как конфикер, причём указывает на ту папку, где его нет. Что с ним делать? 8. Поиск потенциальных уязвимостей >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! И что делать с этими уязвимостями? Компьютер домашний, но подключается к нету через локальную сеть. Агнитум постоянно блокирует атаки с разных айпишников... |
|
Хорошо, тогда установите пока патч WindowsXP-KB958644 по второй ссылке, которую я дал и сделайте проверку KidoKiller со вставленной флешкой. Потом,- логи АВЗ и Hijack по правилам. SP3 потом установите. hffsrv.exe Hide Files and Folders установлена такая программа? Это программа для скрытия файлов и папок, которая часто используется заразой для того, чтобы скрыть собственные файлы, вот он(конфикер) и пользуется. Я бы удалил ее, но это не обязательно, если она вам необходима. Может это ее hffkbd.dll-ка. Поищите C:\windows\hffext\hffkbd.dll через любой файловый менеджер(этот файл в "скрытых", как я понял) и проверьте здесь http://www.virustotal.com/ru/ ссылку на проверку дайте.
Уязвимостями после заняться можно. Outpost выполняет свою задачу. Кстати, на время лечения необходимо его обязательно выгружать! при сборе логов АВЗ, иначе он работать нормально не даст, а так же ваш антивирус. Это сообщение отредактировал Semenka - 06-06-2009 - 02:44 |
chicolatino | |
|
Да, такая программа hffsrv.exe Hide Files and Folders у меня действительно установлена, скачал я её с инета, сносить по некоторым причинам не хочу, но если там действительно есть зараза, то я её конечно снесу и установлю что-то другое. Вот линки на проверку http://www.virustotal.com/ru/analisis/13af...1fc2-1242229000 http://www.virustotal.com/ru/analisis/86db...e9c0-1238334641 Всвязи с этим два (как обычно:)) вопроса. Я переодически делаю сканирование системы НОДом, а он упорно находит этот файл hffsrv в папке Temporary Internet Files, и определяет его как червя, причём отыскать этот файл в этой папке у меня не получилось. Ну и ессно отправить его в карантин. Может, в самом деле просто снести эту прогу да и не парить себе мози? Переодически и внезапно svchost.exe запрашивает интернет соединение, агнитум его блокирует. Это может быть как-то связано с этим предполагаемым червём? |
|
Прежде: C:\windows\hffext\hffkbd.dll запакуйте в архив и залейте http://www.slil.ru/ ссылку дайте. Это ложный детект скорее всего. Теперь о проблемме вашей: 1. Hide Files and Folders удалите на время лечения, чтобы не мешала. 2. Отключите восстановление системы и очистите все временные файлы системы и браузеров. 3. Червь не предполагаемый, он реальный и кроме него может быть еще много всякого, чего без логов не увидеть. Сетевая активность svchost.exe может быть связана с червем, а может и с другой заразой. Вроде ответил на все ваши вопросы. Теперь мои: 1. Патч KB958644 установлен, проверка KidoKiller проводилась? Результаты? 2. Логи АВЗ и Hijack запрашиваю в последний раз. Или лечение или беседы на отвлеченные темы, выбирайте. |
chicolatino | |
|
Да, конечно, извините, выбираю лечение. Так как я в этом вопросе заинтересованное лицо номер один, то разговаривать на посторонние темы больше не буду. Итак, по порядку. Файлы hffext запаковал в архив и залил. Вот адрес http://slil.ru/27732528 Саму программу снёс, отключил восстановление системы, почистил кэш броузера, удалид временные интернет файлы, выгрузил антивирус и брандмауэр, отключил интернет. К компьютеру подключил флешку и два выносных жёстких, общим объёмом 0.5 терабайт, которые тоже хотел проверить, начал сканирование. Прежде всего, воспользоваться утилитой KB958644 не получилось. При установке появилось сообщение, что этот патч не может быть установлен, потому что язык патча отличается от языка виндоус. Судя по всему, я скачал англоязычный патч. Но ещё позавчера я скачал две утилиты, одна из которых НОДовская и называется что-то типа "антиконфикер", вторая МС windows-kb890830-v2.10. Позавчера первая утилита ничего не нашла, а вот со второй произошли некоторые непонятки. Позавчера же я сделал поверхностный скан компютера, причём программу hffext я тогда ещё не снёс. Тогда kb890830 ничего не нашла. Вчера я решил сделать этой же программой полный скан компа при всех вышеописанных условиях. Внутренние жесткие диски сканировались около пяти часов, и, насколько я успел заметить, там было найдено два вируса. Однако, когда началось сканирование выносных жёстких, комп практически сразу отключился, судя по всему, у процессора не хватает мощности на обработку дополнительных жёстких дисков такого объёма. Тем не менее, я ещё раз сделал поверхностный скан компа без дополнительных дисков. Программа нашла два вируса conficker B, C (так она их назвала) и удалила оба. Где нашла- не знаю, эту информацию она не выдавала. После этого просканировал комп HiJackThis и АВЗ. Последнюю прогу скачал в виде архива, разархивировал его, обновил и запускал из папки. После сканирования просмотрел все файлы в этой папке, нигде архива virusinfo_syscure.zip не нашёл. Если бы вы подробнее объяснили, где его искать, я б его тоже залил на файлообменник. А пока прикрепляю то, что есть. Это сообщение отредактировал chicolatino - 07-06-2009 - 11:30 |
chicolatino | |
|
Почему-то не получилось прикрепить два лога в одно сообщение, прикрепляю второй сюда, надеюсь, модеры меня за это не накажут...
|
Рекомендуем почитать также топики: ВОПРОС-ОТВЕТ... Пропал трей и значки на рабочем столе Помогите пожалуйста Нужен совет MS-DOS игры. Старые игры. |