На днях впервые за время пользования системой (Win7) подключился к интернету без включенного KIS-2010, и поиграл минуты 2-3 в cs-1.6. Теперь иногда происходит такое: указатель мыши зависает, и вроде как происходит переустановка драйвера мыши (система сообщает об установке драйвера). КИС ничего не обнаруживает. Как от этого избавиться не трогая саму систему?) (вернее, не прибегая к жестким мерам)

Сообщение отредактировал kRe!Zz - 14.12.2009, 22:38

Как следует всунуть конец мыши в соответствующее гнездо (PS/2 / USB)

Вчера лечил новый вирус Imax Download Manager (Packed.Win32.Krap.w). При загрузке винды появляет на экране поверх всех окон сообщение вроде "Вы нарушили лицензионное соглашение Imax Download Manager. Отправьте СМС на короткий номер. Стоимость 10р". Этот противный гад убил антивирус (нод32 v2), завершал любые запускаемые приложения, нахимичил с групповыми политиками. В случае особой настырности пользователя перезагружал explorer или компьютер. При входе же в безопасный режим встречал синим экраном.
Засел крепко, дописался в пару драйверов, наплодил тьму либ по всей системе, в реестре прописался, как дома
Как убивал: загрузился с компашки (winPE), прогонял сначала пауком, потом каспером. CureIT полечил драйвера, прибрал пару вирусных либ. Каспер не нашел ничего вообще, хотя в system32 я своими глазами видел с десяток скрытых "системных" библиотек. При последующей загрузке винды вирус опять как ни в чем не бывало показал свое окно. Я уже почти опустил руки, опять загрузился с live cd и стал удалять из \system32 все скрытие системные либы, которых там быть не должно, попался и один файл .dat. Через ERD залез в реестр, убрал нечисть из winlogon. Загрузка на мое удивление прошла успешно, вирус не активировался, после чего был поставлен лицензионный каспер 2010 за 100 рублей, который уже его добил окончательно, отыскав еще 12 зараженных файлов. Аминь.

Сообщение отредактировал karasi - 26.12.2009, 13:57

писец, что только не напишут - жуть

парни,ставтье файрволы,антитвары и т.п!так как по сетке бродит троян модерн!!!его лечить никак!он вырубает инет не дает запустить ни один файл и что самое смешно то, что он говорит типо он антивирусник(Internet security)!типо проверяет на наличие вируса,когда запускаешь любой файл пишет он заражен!всегда опказывает 73 вируса и причем всегда разные(это не вирусы,он на шару подберает),поверх всех окон!тоже самое 10 р на номер с кодом,получишь код активаиции и тп....даже не вздумайте отправлять!деньги сорвеёт много=)единственный выход снести вин,и то енсли вам повезет вирус уйдет с пару попыток,но бывали и спервого раза получалось!сам тока 2 дня назад переустановил.вы можете даже не качать файл,он может залететь с банера!тоже самое нод32 вырубил у мя!мне помогло лишь переуст. винды
зы outpost хороший

Сообщение отредактировал ganteL - 18.1.2010, 2:47

Короткие номера для SMS поддерживаются какой-то организацией. Если узнать ее номер (в инете вроде есть специальные ресурсы) и позвонить туда, они могут сообщить код, который деактивирует вирус

Сегодня многие пользователи ICQ, QIP и других интернет-мессенджеров получили от пользователей из своих контакт-листов сообщение, призывающее нажать «прямую ссылку для скачивания файла Piggy.zip», после чего пользователя «выбрасывало» из ICQ, а с его аккаунта, в свою очередь, продолжалась рассылка сообщения с вредоносной ссылкой. Особенностью данного спама является то, что «бот» вступает в переписку с пользователем.


Как восстановить свой пароль после Piggy.exe?

1. Заходим на сайт http://www.icq.com/people/XXXXXXXXX/ (где XXXXXXXXX ваш номер угнанной аськи).

2. Списываем нолики и единички из поля "о себе" (нажать "Больше обо мне" для открытия информации).

Например: 01011001100101101010010110100001001100000101101000010110110001011011000101101000


Если у вас этот ряд неполный, то нужно посмотреть исходный код страницы (пр. кн. мыши "Исходный код страницы" - в Firefox)

4. Отделяем пробелами по 10 знаков, начиная с начала.

Например: 0101100110 0101101010 0101101000 0100110000 0101101000 0101101100 0101101100 0101101000

5. Ищем совпадения из таблицы ниже

0100110010 : 1
0101100000 : 2
0101100010 : 3
0101100100 : 4
0101100110 : 5
0101101000 : 6
0101101010 : 7
0101101100 : 8
0101101110 : 9
0100110000 : 0

Получившиеся значения и будут искомым паролем (в нашем случае: 57606886)

Не забудь изменить свой пароль! Удачи!

Сообщение отредактировал Kluch - 19.1.2010, 18:40

Какой-то несвязный бред если честно.

вчера поймал вирус, в виде банера, который типа заблокировал мне винду..(на банере было написано antivirus online), я его снес, после чего я не могу открыть локальные диски левой и правой кнопкой... ни какой реакции. которые неоткрываются локалки лежат 2 левых файла скрытых: autorun.inf и md.exe. сносил вручную, утилитой от weba, после перезагрузки снова они появляются.
вот ттекст в файле autorun:
[AutoRun]
label=Съемный диск
action=Открыть папку для простмотра файлов
useautoplay=1
icon=C:\WINDOWS\system32\shell32.dll,4
shellexecute=md.exe
shell\auto=&Автозапуск
shell\auto\comand=md.exe
shell\open=&Открыть
shell\open\command=md.exe
shell\explore=&Проводник
shell\explore\comand=md.exe
shell\explore=&Найти
shell\find\comand=md.exe
[AutoRun]
label=Съемный диск
action=Открыть папку для простмотра файлов
useautoplay=1
icon=C:\WINDOWS\system32\shell32.dll,4
shellexecute=md.exe
shell\auto=&Автозапуск
shell\auto\comand=md.exe
shell\open=&Открыть
shell\open\command=md.exe
shell\explore=&Проводник
shell\explore\comand=md.exe
shell\explore=&Найти
shell\find\comand=md.exe
[AutoRun]
label=Съемный диск
action=Открыть папку для простмотра файлов
useautoplay=1
icon=C:\WINDOWS\system32\shell32.dll,4
shellexecute=md.exe
shell\auto=&Автозапуск
shell\auto\comand=md.exe
shell\open=&Открыть
shell\open\command=md.exe
shell\explore=&Проводник
shell\explore\comand=md.exe
shell\explore=&Найти
shell\find\comand=md.exe
[AutoRun]
label=Съемный диск
action=Открыть папку для простмотра файлов
useautoplay=1
icon=C:\WINDOWS\system32\shell32.dll,4
shellexecute=md.exe
shell\auto=&Автозапуск
shell\auto\comand=md.exe
shell\open=&Открыть
shell\open\command=md.exe
shell\explore=&Проводник
shell\explore\comand=md.exe
shell\explore=&Найти
shell\find\comand=md.exe

Я бы сделал так:
I. I. почистил бы все темповские папки через LiveCD
1. C:\Windows,
2. C:\Documents and Settings\Администратор (и у всех других)\Local Settings\Temporary Internet Files
3. C:\Documents and Settings\Администратор (и у всех других)\Local Settings\Temp
4. C:\Documents and Settings\Администратор (и у всех других)\Local Settings\Application Data\Temp
5. C:\Documents and Settings\Администратор (и у всех других)\Local Settings\Application Data\Opera\Opera\temporary_downloads
6. C:\Documents and Settings\Администратор (и у всех других)\Local Settings\Application Data\Opera\Opera\cache
7. C:\Documents and Settings\Администратор (и у всех других)\Local Settings\Application Data\Opera\Opera\opcache

II. Посмотрел бы, что запускает система? или через менеджер автозагрузки? или в реестре
Пуск-выполнить-regedit.exe- тут [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] и тут [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
Проверил бы и отключил бы подозрительные программы. !тут надо подходить знающе, что бы не отключить, то что надо!

III. скачал и заменил shell32 (внешка 98кб)
Замену проводил бы через LiveCD, так как и под винды не получиться, система запретит это действие.

IV. отключил бы восстановление системы виндовс.
Пуск - выполнить - control.exe - система - закладка "Восстановление системы" - ставим галочку "Отключить восстановление системы на всех дисках"
Это делается для того чтобы вирус не восстановился после перезагрузки компа из архива восстановления (некоторые так могут)

V. Если не открываются сайты.
Инструкция по очистке файла Host
И вообще проверь свой комп на вирусы!
p.s. администрация, извините за предыдущий комментарий("del.")

Сообщение отредактировал Russia - 2.2.2010, 3:13

у меня такая ситуация,ЦП загружен на 100.Даже когда все закрыто...проверял нодом,ничего нет,в автозагрузке убрал все что не нужно,все равно та же ситуация...причем это и отображается на работе в сети,причем странным образом,скрость скачивания хорошая,но вот страницы открывает долго,причем посмотрев использование сети,не вижу там никаких процессов тоесть,ничто не качается и интернет ни кем и ни чем кроме меня не используется... в чем проблема?чем лечить?

Попробуй винт на ошибки проверить. (это долго)
Мой компьютер - винт (раздел винта) - свойства - сервис - выполнить проверку - ставишь обе галочки - проверить. Запросит перезагрузку. Синий экран с проверкой на несколько часов.

Вяснилось что это сам NOD так грузил. даже в режиме простоя на 100 проц грузил процесс EKRN.диспетчер задач не отображал процентов использовая проца,увидев через другую прогу что он грузит на 100 снес к чертям

теперь уже другая проблема,SVCHOST грузит на 100проц.причем только тогда когда подключаешься в сеть.Тоесть включил комп,все быстро работает,подключаешь 2-3 минуты работы и все 100проц загрузки проца.причем потом отключайся не отключайся все равно грузит проц.Проверил последним вебовским cureit'ом ничего не нашел.Отключал автоообновление,влкючал автообновление,таже ситуация...уже не знаю что делать,систему не могу переустанавливать,слишком много,нужно будет восстанавливать..что посоветуете?

cureit' - не панацея.
А вообще очень удобен в этом смысле TuneUp Utilites. Менеджер процессов. Можно посмотреть какие процессы запущенны и какой программой, откуда.
А чего за антивирусник стоит?

При просмотре процессов через диспетчер задач, процесс SVCHOST.EXE должно быть указано, что он запущен от SYSTEM, LOCAL SERVICE или NETWORK SERVICE. Если SVCHOST.EXE запущен от имени пользователя, это 100% работа вируса.
Вирусы могут маскироваться создавая похожие с системными по названию процессы

Сообщение отредактировал Russia - 13.2.2010, 13:31

В TuneUp Utilites есть менеджер автозагрузок.

siszyd32.exe - вот походу твой вирус.
Расположение
C:\Documents and Settings\[пользователь]\Главное меню\Программы\Автозагрузка\siszyd32.exe (удаляй)
Или что-то новое на подобие этого вылезло.

И то что выше написал - чистка всех временных папок - тоже решает много проблем с вирусами.




Сообщение отредактировал Russia - 13.2.2010, 14:01

в данный момент антивирусов не стоит..
этот svchost system . 2 службы Dcomlaunch,TermService ... в автозагрузках,в папке был файл УУУУ с какими то палочки над каждй У,это был просто ярлык его снес..

ничего не изменилось..тюнап провел какие то работы и все так.почистил прогой tempcleaner временные папки.неужели переустанавливать винду?