Показать полную графическую версию : Вирус - [Архив]
izsede
А что мешает воспользоваться тем, что предложено здесь?
hasherfrog
02-11-2004, 11:22
Greyman Я тут столкнулся с этой гадостью месяц назад. Сколько не лечу, и руками, и ададварем, спустя несколько дней мужик опять приходит и говорит, что "тётки вернулись". Уже несколько раз. Причём он не лазает туда больше, вроде серьёзный кекс. Правда, мне некогда им заниматся совсем уж вплотную... Как только выясню, в чём причина, напишу. Но всё, что выше, во всяком случае, "с кондачка", не работает. Вот так-то.
hasherfrog
17-11-2004, 11:17
Короче, пришлось удалять весь (блуждающий) профиль пользователя и переустанавливать ОС на одной машине (заражёным был локальный админ). АдАваре так и не справился, хотя я пытался с его помощью чистить и примонтированый на ходу профиль, и по-всякому :(
Вот так-то.
hasherfrog
вышли мне на мыло тело этой вредоносной программы в архиве с паролем... я поковыряюсь и возможно найду как лечится.
hasherfrog
17-11-2004, 12:21
ArtemD
"И следов от него не осталося" (c) Тараканище
Я один раз отловил трояна руками, положил в папочку C:\Temp с именем cs_trojan.exe (на будущее), а удалить забыл... и что из этого вышло, как думаешь :)
Eglantine
19-11-2004, 22:55
Всем привет!
Где-то подцепила тоже эту заразу, автоматически открывается страница http://find.naupoint.com, все что здесь рекомендовано делала - не помогает, проверяла всем чем только можно: Ad-aware 6.0, Spybot-Search обновленный, Trojan Guarder, WinPatrol - ничего не находят. Натолкнулась на какую-то программку AdwareSpy, находит 100 с лишним гадости, но не чистит - платить надо, я могу ручками , конечно почистить все что она находит, но что-то сомнения терзают, если ни одна из предыдущих программ ничего не нашла, а эта аж 100...
Уже и не знаю, как эту заразу еще искать.
Люди добрые, помогите! Что делать?
Eglantine
20-11-2004, 02:05
Еще раз запустила Spybot-Search, вот что выдал:
Possible extension hijack 1 entries
в этой папке
Default executable handler Registry change
HKEY_CLASSES_ROOT\exefile\shell\open\command\!="%1"% и маленький крестик наверху, нажала Fix selected problems, все вроде сказал что исправил, тут же еще раз запускаю сканирование, опять тоже самое. В ручную нашла эту штуковину, крому нее больше ничего в этих папках нет, пока не удалила, незнаю можно ли?
Поскажите, кто знает, если ее удалить, не накроется комп? И если ее удалять, удалять ли папки тоже, в них кроме нее больше ничего?
Где-то подцепила тоже эту заразу, автоматически открывается страница http://find.naupoint.com, все что здесь рекомендовано делала - не помогает,
http://www.spynet.com/spyware/spyware-NauPoint-Installer.aspx
HTH
Eglantine
20-11-2004, 06:07
Vse nakrilos', pishus drugogo komputera, esli probuyu otkrit' lyubuyu programmu vihodit okno:
C:\Programm Files\McAfee.com\Agent\mcagent.exe (ili kakaya drugaya, smotrya chto pitayus' otkrit')
This file does not have a program associated with it for performing this action. Create an association in the Folder Options control panel.
Eglantine
20-11-2004, 06:13
Kogda otkrivayu Control Panel i probuyu otkrit' cho-libo (Add or Remove Programs i dr. pochti vse) vihodit takoe je okno.
Pls help!!! Chto mne delat'????
Spasibo za pomosch.
hasherfrog
20-11-2004, 11:14
Eglantine
Откройте Пуск, Выполнить, regedit
Идите в папку HKEY_CLASSES_ROOT
Найдите ключ HKEY_CLASSES_ROOT\exefile\shell\open\command
Выделите в левой части окна слово command
В правой будет написано [ab]По умолчанию REG_SZ ???
Кличките дважды в <<[ab]По умолчанию>>
В открывшемся окошке напишите
"%1" %*
Закройте regedit. Попробуйте что-нибудь запустить.
Если ключа HKEY_CLASSES_ROOT\exefile\shell\open\command нет, его надо создать.
Сами сможете?
Eglantine
20-11-2004, 19:55
Извините, что в 2-х местах спросила, просто в таком шоке нахожусь.
hasherfrog
20-11-2004, 20:31
>> Извините, что в 2-х местах спросила,
Ничего страшного, я просил просто дать знать всем, кого Вы спрашиваете, что решили проблему, когда Вы её решите, а не оставлять "подвешенную" темую
Переименуйте regedit.exe в regedit.com (лучше скопируёте), потом попробуйте запустить.
Eglantine
21-11-2004, 11:39
Цитата:
Где-то подцепила тоже эту заразу, автоматически открывается страница http://find.naupoint.com, все что здесь рекомендовано делала - не помогает,
http://www.spynet.com/spyware/spywa...-Installer.aspx
HTH
Что-то цитировать у меня не получается.
Vadikan, спасибо за программку, но у нас видно все было так запущено, что сначала вроде все хорошо, я как 1-ый раз запустиал ее наловила с 10-к и среди них был http://find.naupoint.com, все почистила, но стартовой все равно эта страничка вылазила, второй раз запустила, еще пару левых программок вычистила - этой уже не было, опять почистила, но та всеравно в Инете вылазила, но потом программка стала виснуть, потом наковыряла другую программку, которая все сделала. Я ее уже удалила, завтра найду напишу,где ее можно скачать и как называется точно.
Всем огромное спасибо!!!!!!
Eglantine
21-11-2004, 20:17
Вот нашла, называеься HijackThis 1.98.0.2
Можно найти здесь:
http://www.spywareinfo.com/~merijn/downloads.html
Залез ко мне JS.Exception.Exploit NortonAntiVirus обнаружил его.
Но я не понял он прописан в C:\Docum. and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\SXIRGTIF\opa[1].htm ,
но я не нашёл даже папки Local Settings. Я не особо в этом разбираюсь может кто-нибудь объяснит мне что за фигня? :confused:
папка Local Settings является скрытой и системной. по умолчанию проводник не показывает её пользователю.
в данном случае могут быть две рекомендации:
1. Очистить историю IE (Tools - Internet Option - General - Temporary Internet Files - Delete files)
2. Удалить файлы вручную, включив опцию отображения скрытых и системных файлов в проводнике (Tools - Folder options - View - Show hidden files and folders )
з.ы. возможно пути немного отличаются в различных операционных системах
Если Нортон обнаружил его, то значит удалил. А вообще скрытые папки можно спокойно просматривать через любой файловый менеджер, Far например.
Ну что мешает забить на осла и юзать Оперу ?
Там все есть, и никакие кривые извраты там не работают. Агнитум в придачу -и никто вам ничего не сделает. Я к Опере нормальных эксплойтов не могу найти - они все пашут как-то криво и не делают то, чего должны делать. А под ие вся эта дрянь прекрасно пашет. Рекомендую сменить браузер, кстати спецы из CERT тоже сейчас это рекомендуют.
Второй день уже достают выскакивающие окна о предупреждении, что, мол, компьютер инфецирован какой-то заразой. Проверял и NOD32 и PestPatrol. Они ничего не находят. Вот эти сообщения. И еще несколько других. Я не стал их все писать. Думаю смысл и так понятен.
[hr]Проблема
Появляется окно службы сообщений с рекламным объявлением из Интернета.
http://www.andyrathbone.com/tips/images/netsend.jpg
Причина
Такое поведение наблюдается в случае приема сообщения net send от пользователя службы сообщений Windows. Эта служба предназначена для передачи между клиентскими компьютерами и серверами сообщений net send и сообщений службы оповещений. Например, с ее помощью пользователям сети рассылаются административные оповещения. Кроме того, служба сообщений используется самой операционной системой и другими программами. Например, Windows использует ее для отправки сообщения о выполнении задания печати или отключении электричества и переходе в режим питания от ИБП. В некоторых случаях с помощью службы сообщений передаются уведомления антивирусной программы. Служба сообщений не имеет отношения к веб-обозревателю, программе электронной почты, Windows Messenger или MSN Messenger. Подобное поведение возможно в случае выполнения следующих условий.
• Запущена служба сообщений.
• Запущена служба удаленного вызова процедуры.
• Для данного подключения к Интернету разрешена пересылка входящих широковещательных пакетов NetBIOS (NetBIOS по TCP/IP) и UDP.
Решение
Для устранения этой неполадки следует установить или включить межсетевой экран, который блокирует входящие широковещательные пакеты NetBIOS и UDP. Необходимые действия зависят от используемой операционной системы и типа подключения к Интернету. Ниже рассмотрены возможные варианты конфигурации и соответствующие методы решения проблемы.
Непосредственное подключение к Интернету
Если компьютер подключен к Интернету напрямую (с помощью высокоскоростного модема, DSL-модема или удаленного доступа), то следует установить межсетевой экран и блокировать с его помощью входящие широковещательные пакеты NetBIOS и UDP.
На компьютере под управлением Windows XP
Если на компьютере установлена ОС Windows XP и используется прямое подключение к Интернету (с помощью высокоскоростного модема, DSL-модема или удаленного доступа), установите пакет обновления 1 (SP1) для Windows XP и включите брандмауэр подключения к Интернету (ICF). После установки пакета обновления 1 (SP1) для Windows XP брандмауэр подключения к Интернету способен блокировать весь входящий трафик (одноадресный, многоадресный и широковещательный). После установки пакета обновления 2 (SP2) для Windows XP брандмауэр Windows включается по умолчанию.
Временное решение
В качестве временного решения проблемы можно отключить службу сообщений. Для этого выполните следующие действия.
1. Нажмите кнопку Пуск и выберите пункт Панель управления (или Настройки, а затем – Панель управления).
2. Дважды щелкните значок Администрирование.
3. Дважды щелкните значок Службы.
4. Дважды щелкните запись Служба сообщений.
5. В поле Тип запуска выберите значение Отключено.
6. Нажмите кнопку Стоп, а затем – ОК.
Примечание. После остановки службы сообщений уведомления службы оповещений (например, антивирусного программного обеспечения) передаваться не будут. Кроме того, не запускаются службы, которые зависят непосредственно от службы сообщений, и в журнале системных событий регистрируется соответствующее сообщение об ошибке. Исходя из этих соображений, корпорация Майкрософт рекомендует вместо отключения службы сообщений установить межсетевой экран и заблокировать входящий трафик NetBIOS и RPC.
Источник: KB330904 (http://support.microsoft.com/kb/330904/ru)
© OSzone.net 2001-2012
vBulletin v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.
Available in ZeroNet 1osznRoVratMCN3bFoFpR2pSV5c9z6sTC