s.o.s!!!

[DJ-SCREAM]

В последнее время, у меня вдруг стала выскакивать странная хрень, скриншот ниже. В среднем 2-3 раза за сутки. Я первым делом подумал что виряк, просканил комп вдоль и поперёк, ничего. Кроме этого всё отлично работает, снижения производительности не наблюдается. Выскакивает в самое неподходяещее время. Даже не представляете как это бесит!!! Посоветуйте пожалуйста, как от этой напасти избавится!

 

[Pixies]

Этта наверна вирь....

 

[DJ-SCREAM]

Нортон и Каспер ничего не нашли, даже подозрительных файлов.

 

[Phil]

To DJ-SCREAM.Старик.потерпи до вечера.Я тебе опишу всё,что нужно делать.Сам с этой хренью боролся полгода.Если не терпится,позвони 8-916-1033115.Олег.

 

[tarzan]

Классика - mydoom (sobig) или как там его. Есть методика чистки, подробности сейчас не помню, но надо удалить его из автозагрузки и чистить в safe mode.

 

[DJ-SCREAM]

Phil, жду с нетерпением. К сожалению сейчас не имею возможности позвонить.



tarzanА что чистить то? Что искать в реестре?

 

[Phil]

Сообщи свой ящик,чтобы я тебе скинул кое-какие утилитки.

 

[DJ-SCREAM]

transovik@walla.com

Только что прогнал в поиске по реестру все известные имена файлов запуска вирусов Sasser, Love Sun и других "перезапускателей". Прогнал нортоновскую утилиту поиска mblast. Ничего не обнаружено.

 

[tarzan]

Дык они умнеют, шифруюцца гады.

Ты из safe mode прогонял или в обычном режиме?

 

[DJ-SCREAM]

Нет, только в обычном. Сейчас в safe прогоню.

 

[Real]

DJ-SCREAM
А после этого сообщения комп сам не перезагружается?

 

[Real]

DJ-SCREAM

Вроде года 1,5 назад был у меня такой трабл - MS Blast - вирус такой, вылечил, заплатки поставил, вобщем почитай вот тут хттп://compas.fastbb.ru/re.pl?6-00000003-000-0-0-0-0-0
должно помочь или в инете еще про него почитай....

 

[D.Copy]

Вот за что я не люблю XP... В 2k сервис падает, а XP вся падает... :biggrin:

 

[DJ-SCREAM]

Originally posted by Real+--><div class='quotetop'>QUOTE(Real)</div>

DJ-SCREAM
А после этого сообщения комп сам не перезагружается?[/b]

Конечно перегружается, в этом вся и проблема.

<!--QuoteBegin-Real
DJ-SCREAM

Вроде года 1,5 назад был у меня такой трабл - MS Blast - вирус такой, вылечил, заплатки поставил, вобщем почитай вот тут хттп://compas.fastbb.ru/re.pl?6-00000003-000-0-0-0-0-0
должно помочь или в инете еще про него почитай....

Нет, это не он 100%. Проверил чуть ли не 5-6 способами. Нету даже намёка на него. Разве что мне выпала честь протестить бета версию его новой модификации ))

 

[SoNick]

Так. Он имеет название файла иное нежели ты искал. Шифроватся он не шифруется, но тебе следует залезть в regedit.exe в
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
Там ищешь странный по названию файл, который ты не юзаешь стопроцентно, потом жмёшь CTRL+ALT+Del. Выгружаешь из памяти процесс с таким названием. И удаляешь идентичный файл с виндовой папке( по поиску найдёшь(вроде в system rootsystem32)).
Пиши, если не понятно.

 

[SoNick]

ОЙ, это я по памяти. Не забудь его строчку на его запуск удалить в HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun !!!!!!!!!
И ещё! Выруби сетевой провод перед операцией! После ребута - ставь патч против виря(заплатка под винду)!

 

[D.Copy]

На базе этого движка (выбивание RPC службы и перехватывание трафика) есть уже куча модификаций.
Советую попробовать NOD32
SoNick
Во-первых ты можешь увидеть его в таск менеджере в виде svchost.exe, который имеет системный приоритет и не выключается в таскменеджере (скорее всего так и есть).
Во-вторых обычно сам вирус прячется не там, де лежит екзешка которая пускается в сервис...
В-третьих много регистра перелопатить придется и можно ничего не найти подозрительного. :biggrin:

 

[Alexey Lukin]

Можно поступить кандово: запретить сервису RPC при ошибках перезагружать комп. Это делсается так. Start -> Run -> services.msc -> Remote Procedure Call (RPC) -> Recovery -> First Failure - Restart the service.
После этого берете нормальный сканер червей и запускаете. Я использую Ad-aware и всем рекомендую.

 

[Alexey Lukin]

P.S. Не надо реестр портить. Для этого есть специальные программы.

 

[D.Copy]

Alexey Lukin
AD-Aware не найдет вирус типа бласта...
Отрубит можно, согласен.

Regedit удобнее, согласен.

 

[SoNick]

Хм. Я порекомендовал, как бы я поступил в первые две-три минуты. Вариантов решения много. Просто я этим зарабатываю на жизнь. Но лучше иметь сломавшийся комп под рукой, чтобы точно знать что делать с ним.

 

[D.Copy]

Andrey Geraskin
LoveSan(W32 WinBlast) обыкновенный.
Он подключается к компу, открывает порт (4444), закачивает файл и запускает его.
http://securityresponse.symantec.com/avcen...er/FixBlast.exe
http://www.microsoft.com/technet/security/...n/MS03-026.mspx

 

[naut]

DCopy

А у меня в таск мэнэдюере постоянно присутствует svchost.exe, это чё значит, комп в опасности? Его кстате можно вырубить.

 

[D.Copy]

naut
SVCHOST у тебя там есть и не один... Только чтоб понять что за ним нужно не в таскменеджере смотреть,а в чем то продвинутей...

 

[DJ-SCREAM]

Огромное вам спасибо друзья за отзывы! Проделал почти всё что вы посоветовали, нет никакого намёка на виряк. Нет записей в реествре, нету подозрительных файлов, ни одна "сканилка" ничего не нашла, антивирь тоже молчит. По всей видимости это какая-то неполадка а не вирь.

 

[Phil]

Забудь про всё и давай действовать.Всё будет нормально.Это не неполадки,а действительно вирь.Давай оживай и сообщай свой ящик.Сейчас мы всё поправим.

 

[slade]

Phil
Расскажи для всех,а то у меня вроде-бы тоже это было.я переустанавливал систему.

 

[Phil]

To Slade.Давай и свой ящик.Я отправлю несколько утилиток и заплаток.

 

[DJ-SCREAM]

transovik@walla.com

 

[wess]

НЕ знаю ребята.... такое гавницо было и я делал как пишет Лукин..... все равно ...пока не зачистил весь диск и по новой не поставил винду с анивирем и фаером.... эта херня издевалась надо мной.