Помощь в лечении систем от нечисти

[juve]

juve:

MRUlist вообще опасности не несет, а вот другую фигню определенно удаляй!

На всякий случай я все удалил, но про какую вторую фигню ты говорил?

[Сим-Сим88]

juve:

"Alexa", какие-то изменения в реестре винды.

[juve]

juve:

"Alexa", какие-то изменения в реестре винды.

Так удалив "Alexa" я вернул настройки назад (до заражения) или нет?

[Сим-Сим88]

juve:

да, все нормально

[Saule]

Просканировал свою систему Ad-Aware SE Personal, надыбал кучу фигни. Но что дальше делать я не знаю.

По поводу MRU-List:

Всё что определяеться как MRU-List - Most Recently Used (наиболее часто используемый) List - не являеться вирусами.

Это всего лишь по мнению Ad-Aware конфиденциальная информация (последние отрытые документы, посещаемые страницы в интернете, запускаемые на компьютере программы и т.п.), которая при наличии шпионов может быть отослана злоумышленникам. Поэтому Ad-Aware и предлагает удалить её из реестра.

Удалять MRU-List, конечно же, можно и иногда нужно, просто имейте в виду, что они постоянно будут появляться вновь.

[juve]

Только просканировал систему, нашел и удалил тояны, и опять появляэтся это окно. Может кто-то подскажет что делать?

[Saule]

Только просканировал систему, нашел и удалил тояны, и опять появляэтся это окно. Может кто-то подскажет что делать?

Это просто флуд. Если это раздражает, отключи Службу Сообщений.

Для этого нужно:

Нажать Start > Run

Вписать services.msc

Нажать ОК.

Найти в списке сервисов - Messenger (в русской Windows - Служба сообщений).

Кликнуть по нему двойным кликом.

Затем, если возможно, нажать на кнопку Stop и изменить Startup type на положение Disabled.

Затем Apply и ОК.

скрин:

[juve]

Saule: Спасибо.

Но кто этот флуд мне шлет?

[Сим-Сим88]

Ну, я бы это флудом не назвал. После того как ты стер злокачественные изменения в реестре (та самая Alexa), ты вполне мог немного покоцать нормальные части реестра. Скорее всего проблем не будет, но если что-то пойдет не так, то используй такие простенькие проги, как Registry Repair.

[Saule]

Saule: Спасибо.

Но кто этот флуд мне шлет?

Разработчики той программы, на сайт которой предлагается зайти в этом сообщении.

И рассылается это по очень многим компьютерам во всем мире, поэтому не переживай

Ну, я бы это флудом не назвал. После того как ты стер злокачественные изменения в реестре (та самая Alexa), ты вполне мог немного покоцать нормальные части реестра. Скорее всего проблем не будет, но если что-то пойдет не так, то используй такие простенькие проги, как Registry Repair.

Поспорим?

[juve]

Мне сегодня не везет. :)

Откуда это фигня, пупс эго знает, при нажатии создается папка, и приновом нажатии папка с другим именем(Googse например).

[Saule]

Мне сегодня не везет. :)

Откуда это фигня, пупс эго знает, при нажатии создается папка, и приновом нажатии папка с другим именем(Googse например).

Если есть желание, скачай HijackThis

Включи и сохрани лог программы (кнопка Do a systemscan and save a logfile).

Этот лог пришли мне в PM или выложи тут на форуме.

[juve]

2Saule

Этой программой я уже пользовался, просмотрел лог, ничего посторонего не нашел.

[Saule]

2Saule

Этой программой я уже пользовался, просмотрел лог, ничего посторонего не нашел.

В таком случае ищи виновника среди не постороннего, а именно своего софта, который ты сам устанавливал.

[juve]

В таком случае ищи виновника среди не постороннего, а именно своего софта, который ты сам устанавливал.

Нашел винновника - архиватор ALZip.

[Saule]

Нашел винновника - архиватор ALZip.

[snejinka]

juve:

Но кто этот флуд мне шлет?

Нашел винновника - архиватор ALZip.

Такой флуд обычно шлют трояны, посмотри по этой ссылке http://securityresponse.symantec.com/avcen...ojan.secup.html

Попробуй просканить ATS, эта программа много чего находит после ad-aware.

[Saule]

juve:

Такой флуд обычно шлют трояны, посмотри по этой ссылке http://securityresponse.symantec.com/avcen...ojan.secup.html

Попробуй просканить ATS, эта программа много чего находит после ad-aware.

Это не его случай :D

Там просто открыты порты, которые позволяют таки образом "общаться" с системой и всё.

От этих сообщений также возможно избавится, если просто блокировать с помощью файрвола входящие широковещательные пакеты NetBIOS и UDP.

[Raslovo]

Здорово люди!

Помогите пожалуйста. Я не знаю как называется моя проблема, но заключается она в том, что происходит самопроизвольный запуск IE и переход на

"http://www.intern-etadvertising.com/normal/yyy102.html"

или

"http://www.blow-outsales.com/normal/yyy102.html".

Я и Ad-Ware запускал, и SpyStopper и SpySpotter и SpyBoat S&D и много еще чего - нефига. Они, конечно, нашли кучу всяких гадостей у меня в системе, но эта выскакивающая хрень так и осталаь!!! Гадина. Систему нельзя восстановить - все точки восстановления удалились. Мало того я теперь не могу запустить System Explorer - система пишет, что у меня прав на это нет.

ПАМАГИТЕ КТО-НИТЬ!!!!!

[Saule]

Здорово люди!

Помогите пожалуйста. Я не знаю как называется моя проблема, но заключается она в том, что происходит самопроизвольный запуск IE и переход на

"http://www.intern-etadvertising.com/normal/yyy102.html"

или

"http://www.blow-outsales.com/normal/yyy102.html".

Я и Ad-Ware запускал, и SpyStopper и SpySpotter и SpyBoat S&D и много еще чего - нефига. Они, конечно, нашли кучу всяких гадостей у меня в системе, но эта выскакивающая хрень так и осталаь!!! Гадина. Систему нельзя восстановить - все точки восстановления удалились. Мало того я теперь не могу запустить System Explorer - система пишет, что у меня прав на это нет.

ПАМАГИТЕ КТО-НИТЬ!!!!!

Скачайте, пожалуйста HijackThis

Включите и сохраните лог программы (кнопка Do a systemscan and save a logfile).

Этот лог пришлите мне в PM или выложите тут на форуме.

[claren]

Всем доброго время суток,

проблемка, которая уже стала ПРоблемишей -постоянно вылезает предупреждение что копьютер заражён, при нажатии вылазиет SpySheriff и начинает что-то проверять. Плиз, как избавиться и что поставить, чтоб такое не лезло... .

Logfile of HijackThis v1.99.1

Scan saved at 19:39:42, on 15.03.2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\HPConfig.exe

C:\Programme\HPQ\Notebook Utilities\HPWirelessMgr.exe

C:\Programme\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\HPQ\One-Touch\OneTouch.EXE

C:\Programme\Synaptics\SynTP\SynTPLpr.exe

C:\Programme\Synaptics\SynTP\SynTPEnh.exe

C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe

C:\WINDOWS\system32\carpserv.exe

C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe

C:\Programme\ABBYY Lingvo 10 Multilingual Dictionary\Lvagent.exe

C:\Programme\Time Sync\time.exe

C:\WINDOWS\system32\ctfmon.exe

C:\winstall.exe

C:\Dokumente und Einstellungen\Vadim\Desktop\HijackThis.exe

C:\Programme\Messenger\msmsgs.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.rambler.ru/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: XTRANS - {DBBABB93-DDBC-48CA-B6BE-7F85E50D8FC7} - C:\Programme\X-Translator GOLD\PRMTET\PrmtETru.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll

O4 - HKLM\..\Run: [TV Now] C:\Programme\HPQ\Notebook Utilities\TvNow.exe /RK

O4 - HKLM\..\Run: [QT4HPOT] C:\Programme\HPQ\One-Touch\OneTouch.EXE

O4 - HKLM\..\Run: [synTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"

O4 - HKLM\..\Run: [CARPService] carpserv.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe

O4 - HKLM\..\Run: [Lingvo Launcher] "C:\Programme\ABBYY Lingvo 10 Multilingual Dictionary\Lvagent.exe" /STARTUP

O4 - HKLM\..\Run: [LingvoTraining] "C:\Programme\ABBYY Lingvo 10 Multilingual Dictionary\Tutor.exe" /ND /NW /AS

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [Time Sync] C:\Programme\Time Sync\time.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe

O4 - HKCU\..\Run: [spySheriff] C:\Program Files\SpySheriff\SpySheriff.exe

O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Translate with Lingvo - res://C:\Programme\ABBYY Lingvo 10 Multilingual Dictionary\Lingvo.exe/3000

O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://de8l.hpwis.com

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1102676102678

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe

O23 - Service: HP Configuration Interface Service (HPConfig) - Hewlett-Packard - C:\WINDOWS\system32\HPConfig.exe

O23 - Service: HPWirelessMgr - Hewlett-Packard Co. - C:\Programme\HPQ\Notebook Utilities\HPWirelessMgr.exe

O23 - Service: LEC TranslateDotNet Server - Language Engineering Corporation, LLC - C:\Programme\Power Translator\LogoMedia TranslateDotNet Server.exe

O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Internet Explover как полгода не работает, пользуюсь оперой. Стоит Norton Antivirus, без обновлений.... .

[Saule]

Всем доброго время суток,

проблемка, которая уже стала ПРоблемишей -постоянно вылезает предупреждение что копьютер заражён, при нажатии вылазиет SpySheriff и начинает что-то проверять. Плиз, как избавиться и что поставить, чтоб такое не лезло... .

1. Открываем HijackThis, нажимаем на кнопку "Do a system scan only" и отмечаем галочкой следующее:

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe

O4 - HKCU\..\Run: [spySheriff] C:\Program Files\SpySheriff\SpySheriff.exe

Затем нажимаем на кнопку "Fix Checked" (важно, чтобы при нажатии на эту кнопку, ваш браузер был бы закрыт).

2. Перезагружаем компьютер. После чего удаляем:

ФАЙЛ:

C:\winstall.exe

ПАПКУ:

C:\Program Files\SpySheriff

Если после этого останутся какие-либо проблемы, то сделайте, пожалуйста, новый лог HijackThis

В идеале, еще нужно бы почистить все ключики в реестре, которые содержат слово SpySheriff, но в принципе это будет уже не обязательно.

-------------------------

И еще не знаю, что это за программа:

C:\Programme\Time Sync\time.exe

Вы её сами устанавливали?

[claren]

Спасибо Огромное!!!

Всё получилось , таблица не вылазиет! Time Sync я не ставил; Laptop от HP, при продаже Windows и всякие утилиты уже стояли, возможно оттуда... или возможна тоже "Гадость"?

И хотелось бы узнать, как почистить реестр и на сколько зашишён компьютер? *делаю иногда онлайн банкинг, и теперь думаю-можно ли и впредь спокойно делать?

Спасибо Большое ещё раз ( ) и куда ставить Отлично...?

[Saule]

Спасибо Огромное!!!

Всё получилось , таблица не вылазиет! Time Sync я не ставил; Laptop от HP, при продаже Windows и всякие утилиты уже стояли, возможно оттуда... или возможна тоже "Гадость"?

С Time Sync всё ок. Как оказалось, это программа для синхронизации системных часов компьютера с Интернетом.

И хотелось бы узнать, как почистить реестр и на сколько зашишён компьютер? *делаю иногда онлайн банкинг, и теперь думаю-можно ли и впредь спокойно делать?

На данный момент у вас всё хорошо и активных вирусов в системе нет.

Но (!) вы упоменули о том, что у вас стоит Norton, без обновлений.... Дело в том, что если не делать обновлений антивируса, то толку от него нет никакого. То есть вы защищены лишь от N-нного количества "старых" вирусов, а от новых (а их каждый день появляется около трехсот штук) нет. Поэтому регулярные обновления необходимы, если вы хотите иметь дейсвительно эффективную защиту.

В связи с этим возникает вопрос: вы не делаете обнавления антивирусных баз по причине дорогого траффика или потому что у Нортона просто закончилась лицензия?

Также было бы совсем не лишним установить на компьютере какую-либо программу-антитроян (которая тоже обязательно нуждается в регулярном её обновлении).

Несколько бесплатных вариантов:

Ad-Aware Personal http://www.lavasoftusa.com/software/adaware/

(Руссификатор http://www.adaware.ru/download.htm)

Spybot S&D http://www.safer-networking.org/ru/mirrors/index.html

SpywareBlaster http://www.javacoolsoftware.com/spywareblaster.html

Microsoft AntiSpyware Beta http://www.microsoft.com/athome/security/s...re/default.mspx

a-squared Personal http://www.emsisoft.com/en/software/free/

X-RayPc http://www.xblock.com/

---------------------------

Что касается реестра: если вы никогда туда не залезали, возможно, лучше тогда и не лезть, так как можно случайно стереть чего-нибудь нужное. Там осталась всего лишь информация о SpySheriff, ненужные записи, которые не представляют опасности, так как сама вредоносная программа уже удалена. Возможно, даже, что любой из приведенных выше антитроянов эти записи легко найдет и сам удалит.

Но если желание покапаться в реестр всё-таки есть, то я бы посоветовала воспользоватся программой AVZ (она бесплатна), так как с ней подобное удаление будет наиболее легким и безопасным.

Её нужно запустить, в верхнем меню выбрать закладку "Сервис", затем "Поиск данных в реестре"

скрин:

Затем в графу "Образец" списываем слово: "SpySheriff"

И нажимаем на "Пуск"

скрин:

Когда поиск будет закончен, в верхнем меню нажимаем на "Найденные ключи"

Отмечаем их галочкой, и сначала нажимаем на кнопку внизу - "Создать reg файл с отмеченными ключами" (это будет копия тех ключей, которые вы в последствие удалите, она нужна на всякий случай, чтобы можно было вернуть информацию, если будет удалено что-либо важное).

И затем жмем на "Удалить отмеченные ключи".

скрин:

------------------------------

Возможно еще воспользоваться встроенной в Windows программой - Registry Editor.

Start > Run

Вписываем "regedit"

Нажимаем ОК.

Затем в появившемся приложении в верхнем меню нажимаем на "Edit".

Затем на "Find"

Вписываем "SpySheriff" и нажимаем на "Find Next".

Ищем ключики с этим словом, и удаляем.

Но такой поиск не всегда бывает успешным и удаление ключиков производится уже не настолько легко, но, возможно, вы сможите разобраться.

[valentin61]

Уважаемая Saule проверил свою машину AVZ . Отчет в прикрепленном файле. Посмотрите пожалуйста. Можно ли все это удалить. И вообще, что это такое? Заранее благодарю.