Как трояна вывести?

[Major Keis]

Symantec, сцк, видит его, но только когда подключение к инету активно, но даже закарантинить не может. Путь выдает, я его на ноль множу в безопасном режиме, но как только подключение втыкаешь - снова появляется на том же месте. Вормат С знаю, но не люблю.

[aaz]

Операционка? Сервис паки последние?

[wildman]

Format C ONLY
Symantec отстой, KAV рулит!

[Visual]

Цитата:

Сообщение от wildman

KAV рулит!

плусадын

[Gosha %)]

KAV как и KIS ниразу не рулят, тормозит, половину вирусов не видит


по теме ставь фйрвол, и что нить для контроля над реестром

я использую Lavasoft Personal Firewall и Lavasoft Ad-Aware Pro (в прошной версии есть примочка Ad-Watch), Ad-Watch - контролирует доступ к реестру (+ процессы, окна и всякая другая фигня)

раньше NIS (Norton Internet Security, типа все в одном, KIS - его слабый аналог от касперского) рулил (в некоторых случаях его клинило и очень тяжело было его удалить), сейчас не знаю как дела обстоят

[atos]

Про КИСку зря такие плохие слова говоришь... :-)

[Тохыч]

у 6-го KAV тоже есть контроль доступа к реестру и контроль запуска приложений
Рулит однозначно

[Gosha %)]

тока вирей пропускает, что твое сито

[Тохыч]

а нинадо по порносайтам лазить

[Gosha %)]

а у мена ник КАВ, ни КИС, не установлен, и лажу я по порно сайтам и вирей не ловлю %) у меня почему-то чаще файрвол ругается когда я на автофоруме сижу, чем по порносайтам лажу , гы...

[Nikopol]

фаером выход в инет ему закрыть и гугглить в поисках лекарства.

[Barbadian]

Оутпостом забить активность зверя?
KAV - отстой, ему для работы отдельный компьютер нужен

[Prate]

а чо? отдельны комп, туда зараженнвый винт втыкаешь, и вперед. если система потом рухнет - значит так тому и быть

[Major Keis]

Это тема! Если что, в выходные так и сделаю.

[atos]

1. Смотри автозагрузку. Ничто не запускается просто так.
2. Смотри службы. Если не автозагрузка, то они.
3. Если есть имя трояна - топайте на вируслист, смотри описание и действуй. :-)
4. Про антивир пофигу, можешь его выключить... Руками придется поработать.

[Major Keis]

КАВ стоял, но нихрена не видел. Симантек на том же месте нашел три десятка вирусов и все потер, после чего был формат С и поставил ХП СП1. С антивиром стормозил немножко (не сразу поставил), в следствие чего имеем вышеозначенную проблему.

В автозагрузке есть один исполнительный файл, флажок снял, потер самого, при след. загрузке все на том же месте.

По фаерволу вопрос: оно в сети будет нормально работать? А то у меня аутпост стоял и компы друг друга не видели...

[atos]

Цитата:

Сообщение от Major Keis

В автозагрузке есть один исполнительный файл, флажок снял, потер самого, при след. загрузке все на том же месте.

А автозагрузке как правило только лоадер. За наличием лоадера в автозагрузке смотрит основное тело, как правило. Поэтому сначала покопайся в процессах, снимай незнакомые, а потом уже чисти автозагрузку... (В реестровскую загрузку наверняка тоже заглядывал?)

[Major Keis]

Цитата:

Сообщение от atos

(В реестровскую загрузку наверняка тоже заглядывал?)

А это где? В таких вещах не шибко грамотен.

[atos]

Запускай regedit, там смотри ветки
HCCU\Software\Microsoft\Windows\CurrentVersion\Run и
HCLM\Software\Microsoft\Windows\CurrentVersion\Run
Вытирай все, что не знакомо или не уверен, включая значение по умолчанию. Только делай это ТОЛЬКО после просмотра процессов... Иначе может оказаться бесполезным.
Кстати, имя пакости известно?

[Major Keis]

Пасиб, пойду попробую. Имя Симантек пишет вроде бы.

[atos]

Не встречал ни одного вируса по прозванию "симантек"... :-))
Уточни по возможности, это многое прояснит.

[Major Keis]

Короче, пишет: Trojan.Vundo

[atos]

http://www.symantec.com/smb/security...112210-3747-99
----------------------
Добавлено позже.
----------------------
Судя по этому описанию, http://www.symantec.com/security_res...912-99&tabid=2
надо вам все же, периодически критические патчи-то накладывать...
Дабы уж если попали, серфя, куда не думали, то никакая гадость бы этим не воспользовалась...

[aaz]

Вот и я про сервис паки сразу же спросил. Большая часть подобной гадости ими лечится.

[atos]

Только ДО, а не ПОСЛЕ... :-))

[aaz]

В принципе, да. Но если ДО не было, то ПОСЛЕ тоже не помешает. Потому как патчи дырок + Malware SW Removing Tool (или как там её зовут) тоже способны на активные действия.

P.S. Когда писал сервис паки, имел в виду не столько SP, сколько Critical Updates. Виноват, что исказил смысл.

[atos]

Я ж смайлик в конце поставил... :-)
На самом деле этой проблемы, кстати, можно было избежать еще одним способом. Как минимум. Каким? Отказом от ИЕ... Понимаю, что повод к холивару, но уж больно пример характерный...

[aaz]

Цитата:

Сообщение от atos

Я ж смайлик в конце поставил... :-)

А я вроде ничего против твоего поста и не имел .

Отказ от IE - не панацея, к сожалению. Но кое-чем помочь может, согласен.

[akm]

Права доступа к файлу можешь поправить?

[atos]

Не знаю замысла, но имхо - изврат...

[Major Keis]

Эт как... где?

[akm]

Если известен путь к телу зверя и фс - нтфс, то можно запретить экзекуцию мерзавца, ребутнуться и спокойно вычищать результаты его жизнедеятельности.

[Аппарат]

Вот прога, мониторит все процессы происходящие в системе. многие вещи видит......
http://utopiatm.chat.ru/download.html
http://zenith.at.tut.by/patrul560.zip

[morgul]

Если XP - отключи востановление системы, очень помогает в борьбе с вирусами
И слушай умных людей собравшихся в этой ветке

[Gosha %)]

гы, сначала она тебя задолбает, кучей дурацких вопросов, в конце концов, ты или отрубишь сообщения, или поставишь в режим полного запрета... в результате или половина прог не будет работать или будет зоопарк, да и торомозит он не подетски

да я б еще мог заставить его работать и пережить все вопросы, но клиенты звонят - "а-а-а задолбал он", "у меня комп торомзит" и т.д.



ладно предлагаю, не поднимать эту тему, скользкая она, у каждого свои предпочтения... я вон вообще DrWeb-овской бесплатной утилитой проверяюсь %))

[Gosha %)]

блин не туда ответ прицепился...

да-да отключи восстановление, тогда установка чистой винды точно вылечит от вирей (нормальный антивирус, должен уметь проверять\лечить системные бэкапы)

[1020]

скачай себе какой-нито бесплантый антивирь-у DrWeb есть такой, и у других тоже-и потри

[Gosha %)]

в общем и целом правильно насоветовали, толкько сп2 лучше сразу все таки накатывать после установки , сп1 давно уж не актуален

[atos]

Надо иметь знакомого админа, который будет в таких случаях давать дистр с виндой, куда запихнуты все критикал апдейтс и убраны всякие г и бесполезности как минимум... :-)

[Gosha %)]

ага, только я им не хочу быть %)) если только друзьям, то на шею сядут,фик избавишся

[atos]

Коллега, взрослый и соображающий по жизни пользователь как правило обзаводится админом, кому он пиво таскает, а админ ему че-нить хорошее делает. Это закон жизни. :-) Это не про тебя/меня/топикстартера, это больше на отвлеченную тему... :-)

[alTar]

У меня который год в качестве антивиря стоит падла. (она же Panda). Много нареканий в ее счет имею, но вот вирусы и трояны лечит, никаких проблем на этот счет.

[atos]

Если бы существовала на этой планете ИДЕАЛЬНАЯ защита, то она бы была у всех. :-) И с другой стороны, когда я очень долго лет сидел на панде, мне не мешало это периодически самому же пробивать ее файрволл... Да и самозащита у панды имхо не особо...

[Vic]

Если под идеальной понимается абсолютная защита, то есть она и очень простая - отрубить ВСЕ внешние контакты.
Вот только пользоваться ей ты имхо не будешь

[atos]

Можно, как вариант, извратить мои слова и сказать, что лучшая защита - это отсутствие напряжения на входе БП. И получится вполне весело. :-) И даже доля смысла в этом будет...
Только я имел ввиду совсем другое.

[Vic]

Да, согласен, с БП гораздо надежнее.
А идеальной защиты в том смысле, что вкладывал ты, быть в принципе не может. Любая защита - это компромис между степенью защищенности и возможностью машины решать поставленные задачи.
Но мне кажется, ты и сам это знаешь

[Major Keis]

Скачал приблуды. Счаз поработаю, потом займусь лечением. О результатах доложу. Всем спасибо!

[OlegL]

Есть еще одна приблуда, оказавшаяся для меня очень полезной: AVZ
Кроме того, что это бесплатный антивирус в него еще встроено огромное количество хороших утилит - отложенное удаление файлов, просмотр списка процессов, чистка автозапуска из всех возможных мест и т.д. и т.п.
Когда мне комп на лечение приносят, это у меня одна из основных утилит.

[IKnow]

На всякий пожарный. Был у меня случай, когда лоадер был реализован тремя процессами, которые следили друг за другом и вновь запускали останавливаемых сородичей.
Есть консольная тулза - ProcessKill (или TasksKill, ищется по "процессы Windows" в Яндексе), которая позволяет жестко кикать процессы без их остановки.

[OlegL]

У меня был аналогичный случай, удалял с помощью AVZ с включенным режимом AVZGuard.

[IKnow]

Значит что насоветую еще. Если это не вирь, а "честная" прилага, то попробуй пройтись по системе SpyBot-ом. Он как арз заточен по уничтожение левых программ. Но с ним надо быть аккуратнее, т.к. васякие тулбары, бывает, глубоко интегрируются в систму и автоматом их лучше не удалять - положите систему.

[Major Keis]

Докладываю: FixVundo, сцк, виря не нашел! AVZ тоже, но оно жутко материлось на некий исполнительный файл в куках ИЕ. Файл скрытый и удаляться не хочет.

[Gosha %)]

ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe

спасет тебя, естественно лучше лечить в безопасном режиме

да только перед запусом проверикия я б в настройках выставил, что можно вылечить - лечить, все остальное убивать нах...

[Major Keis]

Пасиб, ушел качать.

[Dionis]

Посмотри что у тебя с процессами?! svchost систему не грузит?

Недавно тоже тут воевал с вирусняком. Перепробовал все и avp и nod32 и cureit - не помогало!!!

И тут попадается мне прога Spy Emergency 2006. И все! После полного сканирования удаляет пару вирусных файлов - система работает стабильно!!!

[Major Keis]

svchost ов пять штук целых. Но сидят спокойно.

[aaz]

Пять штук - это нормально.

[MK011]

Скрытый - раскрытить. И проверить сwindows\system32\dllcache

[Major Keis]

Тут вовсе какая-то жопа началась: чтобы видеть скрытые файлы лезу в свойства папки, а оно грит, что у меня прав таких нету!

[1020]

эт виь уже подхачил те винду-ставь far )

[aaz]

Что за папка-то?

Вообще, с правами администратора это лечится. Смени сначала владельца (на себя), а потом уже делай с этой папкой что хочешь.

[OlegL]

А через отложенное удаление в AVZ тоже не удаляется?

[Major Keis]

Загрузили, сцк, работой начальники... и то сделай и это... и чтобы комп работал не позднее понедельника. Короче, грохнул я его... формат с:\ рулит! Ибо бывает либо быстро либо аккуратно! :)

Зато новых антивирей навставлял и прочего интересного.
Всем пасиба! Респект и уважуха! :)

[andrew52]

порой бывает намного быстрее переставить и восстановить инфу, чем копаться с лечением всяким...

[Bronxx]

прога Trojan Remover