Боремся с вирусами (autorun'ом, и пр. гадостью)

[Maugly]

Спасибо за совет, буду пытаться. Если есть советы по конкретным программам этого класса и их настройкам - буду признателен.

[Abdulla]

Maugly
А как насчёт имеющегося у вас уже Аутпоста? В нём нет случайно сабжевого анализатора? Я сам просто с данным файером незнаком...

[vipmax77]

Как убить ручками червя, который висит всегда в процессах и когда его убиваешь в ручную то он сразу рождается под другим именем(имя всегда из 3х цифр.)

[Atom]

Убить самокопирующегося полиморфного червя ручками можно, но - лишь специалисту, типа вирусного аналитика. В остальных случаях на это просто может уйти куча времени, причем не обязательно - с успешным результатом.

В общем случае могу посоветовать следующее:

1. Если хотябы примерно известно название червя (в том случае, если он детектируется какой-либо из антивирусных программ, у вас установленных) - можно посмотреть и скачать соответствующую бесплатную утилиту с сайта kaspersky.ru, и попробовать вылечить компьютер с помощью одной из таких утилит.

2. Если на компьютере НЕТ антивирусной программы, тогда можно было бы поставить, например, - неплохой бесплатный антивирусник, типа Avira AntiVir Personal (размер в дистрибутиве: 28 МБ, язык программы: английский) и попробовать "вылечить" компьютер с помощью данного антивируса.

Ну и 3-ий, "запасной" вариант - обратиться к специализированным форумам типа Kaspersky Lab Forum, если вышеперечисленные советы вам по каким-либо причинам не подойдут.

[Maugly]

2 Abdulla:
Точно! Атака идет с адреса 94.76.194.116 если интересно. Блокировал его, посмотрим, что будет. В интернете нашел много упоминаний этого адреса как раз в связи с вирусными атаками.
Что интересно, в одном форуме сначала советовали (не мне, нашел по запросу об ай-пи-шнике) обновить систему до SP3 (речь, как и у меня о XP), человек отписал, что обновил, но все по фигу, тогда посоветовали левую сборку SP4 (!), и человек отписал, что все стало зашибись (!!!).
Спасибо!

[Maugly]

З-зараза! Не успел я создать правило в Outpost! Эта сволочь в очередной раз мутировала, и Каспер с новыми базами ее пропустил . Так что установленный монитор себя не оправдывает (ну, это я так - повыдрючиваться ). Но зато Outpost "обратно" его уже не выпускал - правило уже работало. Прибил вручную , отослал на сайт Касперского.
Да, а доменное имя адреса - java.kultufamily.com.
О! Ответ от Каспера пришел:
"Здравствуйте,


BSLBT.exe - Net-Worm.Win32.Kolab.ecx

Детектирование файла будет добавлено в следующее обновление."
---------
Теперь он уже сетевой червь, раньше троян-даунлоадером был

[MobyDick]

Добрый день, друзья !

Возможно решение проблемы не сложное и оно обсуждалось. (на работе так занят, что нет возможности прочитать и вникнуть во всю ветку обсуждения)

Проблема появилась со спам программой, которая периодически выскакивает на компьютере и рекламирует всякую похабную хрень.
Антивирусы ее не видят - проверял Авастом и НОДОМ.
Выключается только CTRL+ALT+DEL
Название имеет "CMedia" и еще ,
если нажать на убрать рекламу,он предлагает данный текст:

согласно принятому вавми договору оферты получения условно бесплатного доступа к материалам сайтов,вы обязаны просмотреть еще 937 показов рекламных рассылок,либо отказаться от просмотра рекламы путем отправки смс с текстом 7728 на номер 4125 (стоимость смс 150 р. без ндс).

Мне кажется что решение не очень сложное, но к сожалению мои знания позволяют только обновить WINDOWS.(или переставить)

Заранее Благодарен.

[Burano]

выскакивает на компьютере и рекламирует всякую похабную хрень.

А выскакивает в браузере, закрывая собой весь сайт? Или отдельно запускается?

[MobyDick]

Появляется отдельным окном заданного размера

[Al_lexx]

Притащили ноут на антивирусную проверку.
Странная ситуация:
В панели задач постоянно висит значок (красный круг с белым крестиком) и с регулярностью в 3-5мин выдаёт сообщение
"Windows has detected infection! ..."
Короче просит установит антиспай/антивирь. При клике на сообщение, начинает закачивать какой то AntivirusPro 2010. Эта хрень закачивается, устанавливается, сканирует диск, показывает какие то вирусы, а потом просит 50обамчиков для регистрации.
В общем шантаж.
Из выявленых...
В документ/сеттинг валялся файл seres.exe Удалён с помощью SpywareTerminator.
Пока продолжаю сканировать. Попробую разные сканеры..

Кто нить с таким сталкивался?

[fant]

Al_lexx Было такое дело... Попытаюсь вспомнить... Я убил так... Останавливаю этот процесс, пока он снова не запустился, бегу и удаляю папку этой хрени... Потом по имени чистил реестр.. Кажется даже не в безопасном режиме проделал... Здесь предлагают другой способ. http://virusinfo.info/archive/index.php/t-8032.html похоже ваш случай..
MobyDick В программах ищете папку этой гадости и с помощью программы Unlocker разблокируете и удаляете.. Возможно будет ругаться, для верности несколько раз проделайте эту манипуляцию над данной папкой. Может жить по адресу c:\Documents and Settings\\application date\ и имя этой фигни.. У меня обзывалась AbSubscribe. Потом пререгрузитесь...
Удачи.

[Al_lexx]

fant
Cпасибо. Случай действительно очень похожий. Разве что значок без анимации. Сегодня провозился три часа, перепробовал несколько антивирьных пакетов. Нашлась куча бяки, удалилась, но... Без толку.
Дело в том, что я не очень понимаю, какой процесс останавливать, а тем более в какой папке искать зловреда (где то в документ/сеттинг, но где именно?)..
Завтра попробую по методике, которая по вашей ссылке.

Что примечательно - ни одна из точек восстановления не работает...

Хотелось бы услышать ещё чьё то мнение по этому поводу.

[Serega S.U.]

Хм, если известен процесс, то легко найти откуда у него и ноги растут - Process Explorer покажет всё (если что - там есть "мишень", ставишь на визуальное проявление процесса и он его показывает). Если ни одна точка восстановления не помогла - значит точно в документах (ибо восстановление это не затрагивает).
Так же в помощь можно попробовать и другие утилиты Руссиновича\Sysinternals - AutoRuns как продвинутый просмотрщик всей подноготной автозагрузки (включая дрова, бибилотеки, службы и т.п.), ну и если всё же сие инкогнито - возможно Process Monitor, Regmon, Filemon. Ну и местный RootkitRevealer - для порядку.

А вообще про эту гадость (и производные) не в первый раз слышу. Кто чем выводит - кто руками, кто AVZ, кто Др.Вебом (Лайв-СД)... Смотря у кого какой случай.

[Al_lexx]

Если ни одна точка восстановления не помогла...

Не то что не помогла. Система сообщила о том, что "не смогла восстановиться и ни каких изменений не произошло".
Причем с нескольких точек (точнее со всех) в т.ч. и с тех, которые я сам делал пару месяцев назад. Вот это то и удивило. Очевидно, что зараза каким то образом блокирует систему откатов на точки восстановления.
Спасибо, что напомнили про всем известные инструменты. Я как то притупил по этому поводу. Завтра буду копать глубже. AVZ не успел прогнать (уже было поздновато), а Д.Вебовский лив завтра качну..

[fant]

Я открывал Виндовый Диспетчер задач и , так сказать , визуально вылавливал новый процесс. Прикол в том, что эта "бяка" не давала установить ни Нода, ни Каспера..