Форум портала Metropolis

Поймал где-то трояна, антивирус стоит, и ловит и удаляет его, но после каждого перезапуска компа, снова вылазит антивирь с сообщением об трое,  вирус находится в файле service.exe и если его не трогать то он запускает 2 процесса в огромных количествах (service.exe и cmd.exe) Как его можно снести совсем ? Чтоб больше не появлялся? Пробовал ставить касперского, после чего даже не запускалась система, пришлось удалить. Ща у меня установлен Symantec AntiVirus 10.0, стоит уже много лет, менять бы не хотелось.

ну вирус (троян) паходу резидентный так-что попробуй вытащить комп из розетки (с запущенной системой)
после загрузись с болванки (с записанной линукс) и грохни этот файлик
или поставь nod32
вобще непохоже на троян :)

Каспер с Нортоном? Ядерная смесь.
Выход: загрузись с лайва какого-нибудь и скань, СКАНЬ!

уфф..не раз были аналогичные темы=)
1.Ищеш и ставишь проактивный монитор процессов(не те что в дырь веб-нортон-панда) а злее...а ля AVZ (http://www.z-oleg.com/secur/avz/download.php)(впрочем можно и его)...^^ мне по нему проще обьяснять
там сразу же включаешь авзет гвард...после лезешь в конфиги и настраиваешь жесточайшие методы скана и проверки.потом...идёшь проводником в папку с заразой(в идеале бы Тоталь командиром)и там начинаешь глумиться милым и добрым образом а именно переименовывать зловредные длл(обычно они "источники")...если зараза попалась =) хамоватая то она тебя шлёт нафиг...но и это поправимо...утилитой Анлокер(опять же не раз говорилось про неё тут...да и админ как то клал на портале).Отвязываешь от неё все процессы(хотя наверное проще свцхосты)...после чего винда икает и умирает пляшешь с бубном над павшим файлом(он таки переименовывается).Казалось бы что такого...ан нет...после следующего ребута,ключ реестра запускавший тварюшку,уже нерабоч и...смело на сей раз удалив с винта файлы ты убиваешь и резидента=)

*забыл сказать...после обнаружения места надиске(где неубиваемая зараза) отруби гварда...=) а то с ним можно и на измену подсесть

Отпишусь, пожалуй.

У меня какой-то непонятный случай — я с таким не сталкивался.
Как все было: скачал AVZ по совету из этого поста, он помониторил чего-то и ничего не нашел, однако теперь ни один экзешник средствами эксплорера не вызвать (браузер открыл через AVZ), тотал коммандер, понятное дело, тоже. :) По прежнему блокируются перечисленные майкрософт-ком и компания.

Чего делать? AVZ-то молчит, ноду нет доверия, но снести его пока невозможно, да и муру эту не удалить, она просто мешается.
Отправлено: 14-01-2009 | 18:49:10

---

Да, погуглил чуточку и нашел ооочень похожую тему (http://forum.oszone.net/thread-111482.html) на мою. Кажется, это оно. Один вопрос: как они эти файлы выцепили? Как я понял, имена этих голимых файлов генерятся автоматически, как мне найти свои и где это надо нажать в AVZ? :)

я справился со своей проблемой с помощью Ad-Aware SE Professional, клевая прога, всегда всего дофига находит и  все удаляет. Попробуй в общем.

Рукоблудством в тырнете меньше страдать надо  :D

Не, спасибо, мне «проги» не нужны, тут более тонкий подход нужен, а чтобы его осуществить, мне надо знать куда жать, чтобы увидеть имена файлов для удаления. Как-то так. :|
Отправлено: 14-01-2009 | 19:27:53

---

Майор, я тебя спрашивал про то как подцепил фигню? Прошу не флудить. Если тебя интересует ответ, то по помойным сайтам не хожу. Скорее всего подцепил заразу, когда на вылезшей откуда-то форме ввода пароля «нет» нажал. Надо было чето умнее сделать, но я и не заметил тогда. :( Это был самый подходящи случай, ну или меня взломали как-то и троян протащили — файервола не ставил. По хорошему надо все порты позакрывать, конечно же… Сейчас почему-то активны порты 135, 139, 445 — наверно я в ботнет попал.

Может посерьёзнее какой Fire поставить и ещё раз посмотреть кто и как  :-k?

эм..проверять заразу на пионерность не пробовал?(те глянуть классические системс и системс32 по дате создания,на предмет появления новых длл)

а вообще есть ещё жабавный вариант проверки с паралельной ОСи.Если место на разделах есть загрузи туда ещё 1у винду(пофиг какую ибо лишь на время) и из под неё прогони всё снова

По дате создания не получилось, но мне хотелось бы тем скриптом воспользоваться, а для этого надо какой-то хренью лог составить как там.
Отправлено: 15-01-2009 | 12:57:55

---

AlexSS, я кстати, ради интереса поставил adaware какой-то шестой версии, ничего не нашло конечно же :D комп clean по ее мнению и по мнению нода с avz. Это к вопросу о заморочности. :) Я эту заразу отрубаю в процесса[ и играю себе спокойно, фильмы смотрю, но какие-то козлы мне канал затыкают постоянно, надо уже собраться с силами и погуглить основательно. :P

Ну у меня стоял Ad-Aware SE Plus v1.06r1, он даже куки считает опасными объектами ) но думаю это таже байда, видимо действительно что-то крутое поймали. А вообще самое сильное что когда либо против вирусняков я ставил это касперский, самая последняя версия так круто мне комп защитила - просто не дала винде загрузится(вечная загрузка)  :o  :)

Не, я больше не хочу связываться с антивирусами, которые в фоне сидят, потому что возникает иллюзия защиты. Главное — файервол, но вот чето не могу выбрать подходящий. Пока на том форуме отправил логи свои, может помогут, фиг его знает. :)
Отправлено: 15-01-2009 | 17:58:07

---

Да, фигня давно побеждена, если кого-то интересует.