Зъл вирус POKAPOKA63
Работещи процеси: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\ svchost.exe C:\WINDOWS\system32\msdtc.exe C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Symantec_Client_Security\Symantec AntiVirus \Rtvscan.exe D:\TrafInsp\TiSvc.exe C:\WINDOWS\System32\wins.exe C:\WINDOWS\system32\Dfssvc.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\System32\svchost.exe C:\W INDOWS\system32\wbem\wmiprvse.exe C:\WINDOWS\system32\logon.scr C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\rdpclip.exe C:\WINDOWS\Explorer.EXE C:\ WINDOWS\system32\VTTimer.exe C:\WINDOWS\system32\explorers.exe C:\syshost.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\mmc.exe C:\HJT\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://shdoclc.dll/hardAdmin.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки O4 - HKLM\..\Run: [VTTimer] VTTimer.exe O4 - HKLM\..\ Стартирайте: [Microsoft Update Drivers] explorers.exe O4 - HKLM\..\Run: [tracert] C:\syshost.exe O4 - HKLM\..\Run: [vptray] C:\PROGRA
1\vptray.exeO4 - HKLM\..\Run: [System service62] C:\WINDOWS\etb\pokapoka62.exe O4 - HKLM\..\Run: [System service63] C:\WINDOWS\etb\pokapoka63.exeO4 - HKLM\..\RunServices: [Mi crosoft Update Drivers] explorers.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O9 - Допълнителен бутон: Свързано - - C:\WINDOWS\web\related.htm O9 - Допълнителен елемент от менюто "Инструменти": Показване на &свързани връзки - - C:\WINDOWS\web\related .htm O20 - WinlogonУведомяване: NavLogon - C:\WINDOWS\system32\NavLogon.dll O23 - Услуга: DefWatch - Symantec Corporation - C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe O23 - Услуга: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Pro gram Files\Symantec_Client_Secur ity\Symantec AntiVirus\Rtvscan.exe O23 - Услуга: Traffic Inspector (TrafInspSrv) - SMART-SOFT - D:\TrafInsp\TiSvc.exe
))) Ако можех да го копирам. Определено бих го изпратил, но къде седи той? няма папка C:\WINDOWS\etb\pokapoka62.exe. Такъв файл не се намира чрез търсене, но активната му активност се вижда във файловия монитор.
Първо инсталирайте Kaspersky. И проверявайте за вируси само след рестартиране в безопасен режим!
Най-добре е да премахнете винта и да го прикрепите към друга машина. И тогава най-новите вируси са много умни - те седят на всички места, където можете да стартирате, от win.ini до услугите, и се заменят, така че изглежда, че не са на диска. Тук на друга машина няма да може да тръгне и ще го намериш. Предайте за преглед.
В петък (2-ри) детето вдигна „Не направи нищо – просто влезе“ (c)
Започна с убиване на процеси и убиване на директории. Не от първия рестарт - но беше убит. Забеляза се от появата на лентата в експлорера.
Но виждам, че все пак трябваше да преинсталирам.
Почистих го чисто, ако някой има нужда, мога да изложа пълния път за почистване.
Разположете. Все пак е интересно, иначе днес го изчистих с Partition Magic :)
формат c:? жестоко. :-)
Никога. Никога не инсталирайте kaspersky. По-добре е да не използвате никакви, няма да има въображаемо чувство за сигурност.
> формат c:? жестоко. :-)Какво друго оставаше да се прави с този зоопарк от коне (троянски коне), колекция от вирусни щамове(компютър) и боклук на бъгове?)))
И искате ли да се забърквате с антивируси у дома, да преинсталирате системата? Инсталирайте системата, програмите веднъж, преди първия достъп до интернет, създайте изображение на системния дял (например с програмата призрак) и, ако се съмнявате, или просто периодично възстановявайте от изображението. плюсове - 1. секцията, където стои системата, няма стойност - можете да я форматирате без да гледате. Документи, файлове за изтегляне и др. - в папки на друго устройство, преки пътища от тези папки на работния плот. Във всяка програма в диалоговите прозорци "отваряне" или "запазване като" има бутон "отидете на работния плот", след което отидете на прекия път - т.е. за да навигирате до тези папки, дори не е необходимо да преминавате през дървото на дисковете / директориите.
2. В паметта на компютъра няма антивирусна, достатъчна е защитна стена, IMHO, за да не се открадне лична информация. няма възстановяване на системата, такива купчини не са необходими. системата винаги е нова и чиста - без боклук в системния регистър, без временни файлове, с празна кошница :)
3. Пълна свобода да изпробвате всякакъв софтуер, дори вируси :) сменяйте драйвери, правете всякакви опасни действия за системния регистър и т.н. - за да възстановите от изображението, достатъчно е да стартирате дори в DOS с обикновена дискета.
Минуси - 1. Трябва да свикнете да не записвате нищо важно на устройството C, например на работния плот и в "моите документи" :)
2. Всички промени в системата - допълнителна инсталация на програми, допълнителни настройки и др. случи се по следния начин - възстанови от изображението, направи промени, запиши изображението. тези. трябва да запазите изображението.
3. Няма текуща борба с нещо - различен подход - развали се, изхвърли го, взе нова система. Ако обичате да се биете, тогава ще има загуба.
Ето инструмента за премахване на този троянски кон. Предпоставка е тази помощна програма да се изпълнява в защитен режим.
Забравих линкацитирам:) http://forum.hijackthis.de/attachment.php?s=2fcf163cf469607da2d6d9984563f708&
Ето как нарисувах за себе си стъпките за почистване на сървъра от този вирус. В допълнение към него открих още около 5 удивления, които Symantec (бази от 08/30/05) мълчаливо игнорираха. Тук изпълних повече стъпки от необходимото, но си заслужаваше. Отне около 20 минути. И при форматиране на диска на сървъра, настройката му щеше да отнеме 2-3 дни.
Инсталирайте: • HijackThis • AD-Aware SE • Ewido • Killbox • drweb-cureit • CCleaner
Рестартирайте в безопасен режим.
Стартирайте drweb-cureit. След първоначалното сканиране изберете всички дискове и стартирайте сканирането.
Пуснете пълно сканиране на Ewido.
Стартирайте HijackThis. След сканиране бележка: O4 - HKLM\..\Run: [System service62] C:\WINDOWS\etb\pokapoka62.exe O4 - HKLM\..\Run: [System service63] C:\WINDOWS\etb\pokapoka63.exe Щракнете върху Fix.
Стартирайте AD-Aware SE и изтрийте всички намерени заразени файлове.
Стартирайте Killbox. Изберете „Изтриване при рестартиране“. Посочете пътищата до файловете за изтриване. C:\WINDOWS\etb\pokapoka62.exe C:\WINDOWS\etb\pokapoka63.exe Отговорете (Да) на въпроса относно рестартирането.
Рестартирайте нормално.
Стартирайте CCleaner и изтрийте всички временни файлове.
Стартирайте HijackThis и сканирайте, за да сте сигурни, че няма вирус.
>vrem >Минуси - 1. Трябва да свикнете да не запазвате нищо важно на устройството C, например на работния плот и в "моите документи" :)
кой пречи на прехвърлянето на docs$sets в несистемен дял? можете да използвате и двете ръце и настройките
> Никога. Никога не инсталирайте kaspersky. Не > не използвайте, > няма да има въображаемочувство за сигурност.Не казвайте просто, че Kaspersky е пълна глупост, която само изяжда ресурси. Разбира се, сигурността не е 100%, но поне я има.
За да бъде сигурността възможно най-висока - трябва да има възможно най-много антивирусни програми, само 2-3, и дори защитна стена, и разбира се, няколко различни антишпионски софтуер и "чистачи" от интернет боклук. IMHO, разбира се.
> За да поддържате сигурността възможно най-висока - антивирусни програми > трябва да има възможно най-много, само 2-3, и дори защитна стена, > и разбира се, няколко антишпионски софтуера и почистващи средства от > интернет боклук. IMHO, разбира се.Какъв е смисълът от такава сигурност? Е, ще се получи зоологическа градина, по-чиста от вирусна. Цялата тази въртележка безсрамно ще забави и най-луксозната кола. Какво излиза - да си купя компютър, за да карам антивирусни?
Съгласен съм, но къде можете да ги намерите? Всеки има своите предимства и недостатъци. За себе си избрах една антивирусна програма за време на изпълнение и допълнителни антивирусни програми и скенери за рядка превенция.
И в един момент бомба със закъснител ще заработи и ще се сбогува със сървъра с всички данни.
> Тук имам AntiSpyWare от MelkosoftА как е темата? По едно време го държах под око, докато не попаднах на статия, тъй като се смяташе за шпионски софтуер и напълно изтрит от невинни потребители. Internet Explorer! Нямаше ли такава шега?
Имам PC-cillin, честно купен. Постоянно се актуализира. със защитна стена в една бутилка. Това е добре. Но не това е причината да нямам вируси. Опитвам се да не създавам ситуации, в които вирусите могат да проникнат.
Безплатният софтуер на AVG е добър
или NOD, но той е за пари
Това е, което не трябва да поставяте, така че това е BitDefender! Веднъж настроен. Едва спасенипосле Windu :)
Umenya струва DRWEB и nefig не намери този вирус.
Рестартирах в БЕЗОПАСЕН РЕЖИМ "e и директорията на Windows \ etb стана достъпна. Изтрих я и това е. Забраних на msconfig" да я зареди и това е. (въпреки че не е задължително) :)
Надявам се някой да помогне.
LJ (14.09.05 19:05) [35] Имам DRWEB и не намерих този вирус.
Рестартирах в БЕЗОПАСЕН РЕЖИМ "e и директорията на Windows \ etb стана достъпна. Изтрих я и това е. Забраних на msconfig" да я зареди и това е. (въпреки че не е задължително) :)
Надявам се някой да помогне.
Изобщо не помогна, освен това стана още по-лошо: pokapoka66 се зареди от интернет и pokapoka68.. днес вероятно ще разруша Windows, ако горните рецепти не помогнат. (((
DAP (09/21/05 09:13) [36] Докато не получиш pokapoka2007, ще си в задника.
DAP (21.09.05 9:13) [36] Инета зареди pokapoka66, и pokapoka68..Но вирякът расте обаче.
Расте. През това време мога да направя формат c: 20 пъти и да премахна този раков тумор, освен това е гарантирано.