Подцепил вирус, не могу вылечить, не знаю, что вообще за вирус...

← →
VictorT © (2004-07-22 19:05) [0]

кто-то посидел за моим компом во время пьянки... может кто с таким сталкивался...
http://deep.webest.net/forum/reply.php?num=2.6&id=112410

#0 VictorT © 20.07.04 18:33:41 - 21.07.04 10:35:25
Какой-то мудак лазил по порносайтам...

Теперь почему-то на моём компе стартовой страницей постоянно ставится http://search-world.net/, и не как не меняется, в реестре это адрес понапихан куда только можно, и куки не сохраняются... кто нибудь сталкивался? Как бороться?

--------------------------------------------------------------------------------
#1 VictorT © 20.07.04 18:37:56

Вот чего в сети нашёл:

Люди, пробовал несколько антивирусов: ни один не видит вирусов на компе... В то время как комп может находиться в сети максимум 20 минут, а потом вклинивается новое подключение (viconxx), блокируя родное и начинает набирать странный номер, меняет в свойствах обозревателя стартовую страницу на http://search-world.net/ и через полминуты вырубается с надписью, что соединение не может быть установлено... Кто-нибудь с подобным сталкивался??? Подскажите, пожалуйста! Заранее спасибо!

--------------------------------------------------------------------------------
#2 .craZy © 20.07.04 19:05:09

реестр чистить нада
не помню точно - во-первых проверь program files внимательно, посмотри процессы - мож там висит...
ну и реестр: ...\Windows\CurrentVersion\Run
антивиря не найдёт.

--------------------------------------------------------------------------------
#3 .craZy © 20.07.04 19:07:25

еще мож глянуть код этого search-wordl.net --- может там найдёшь куда он залазит... хотя тут шансов мало

--------------------------------------------------------------------------------
#4 VictorT © 20.07.04 19:27:51

И ещё какую-то панель для поиска на таскбар ставит, я убираю, а после перезагрузки опять появляется.
Сканю, др. вебом, уже нашлось кое что:
c:\Windows\System32\sysmon.exe Worm.Bizex
c:\Windows\alhem.exe Trojan.Alhem
c:\Windows\twaintec.exe Trojan.Bispy

--------------------------------------------------------------------------------
#5 VictorT © 20.07.04 19:37:40

Worm.Win32.Bizex

Вирус-червь, распространяющийся через интернет при помощи интернет-пейджера ICQ.

Червь рассылает пользователям ICQ сообщения с URL указывающими на файл, содержащий процедуры автоматической загрузки и исполнения на компьютере пользователя вредоносных компонентов.

http://www.viruslist.com/viruslist.html?id=144677050

Аськи у меня вообще на компе нету.

Ещё нашло:
c:\Windows\HookerDll.Dl2l Trojan.Navek
c:\Windows\sm.exe Trojan.Navek
c:\Windows\System32\q.vbs VBS.Psyme

--------------------------------------------------------------------------------
#6 VictorT © 20.07.04 19:43:40

Про Trojan.Alchem, Trojan.Bispy, Trojan.Navek, нифига не нашёл.

TrojanDownloader.VBS.Psyme

Семейство троянских программ, использующих уязвимость в Microsoft Internet Explorer для запуска на пораженной машине других троянских программ.

Обычно реализованы в виде HTML-страницы, при входе на которую начинает исполняться вредоносный код.

Данный код загружает из интернета, с удаленного сайта, исполняемый файл другого троянца, который, как правило, устанавливается в "%programm%\Windows Media Player\wmplayer.exe", перезаписывая таким образом, установленный Media Player.

Затем троянец дает IE команду выполнить произвольный media-файл:

window.open("имя файла,"_media");
В результате установленный на место Media Player троянец будет запущен на пораженной машине.

http://www.viruslist.com/viruslist.html?id=144031644

--------------------------------------------------------------------------------
#7 Sergey_S © 20.07.04 20:06:35

о... дак у тебя целый букет, а я то думал новичёк какойто подхватил!
Ты наверное их выращиваешь , я так много разновидностей давно не видел в одном месте!

--------------------------------------------------------------------------------
#8 VictorT © 20.07.04 20:11:42

букет, выросший за одну ночь. Насколько я понял, там некоторые из них сами других подкачивают.
Блин, первый раз мой комп заражен. До этого сколько раз вся локалка заражена была, а мой чистенький, на трёх работах и дома.

--------------------------------------------------------------------------------
#9 VictorT © 20.07.04 20:18:02

c:\Windows\System32\java32.dll Worm.Bizex
c:\Windows\System32\javaext.exe Worm.Bizex

--------------------------------------------------------------------------------
#10 VictorT © 20.07.04 20:48:57

c:\Windows\System32\szbbkyz.exe Trojan.Downloader.331
После очередной перезагрузки и сканирования находятся очердные тела...

--------------------------------------------------------------------------------
#11 Galenfea © 20.07.04 22:21:32

А если смотреть это Нортоном обновлёнными базами, то он и не видит?

Кошмар, это получается что в принципе, если нортон, молчит это не значит, что мшина чиста?

--------------------------------------------------------------------------------
#12 VictorT © 20.07.04 22:35:00

Блин, так и не лечится до конца, фиг поймёшь, как он работает вообще...

--------------------------------------------------------------------------------
#13 cyborg © 21.07.04 06:27:36

Следющий раз по рукам себе, по рукам, когда порнушки захочется посмотреть.

--------------------------------------------------------------------------------
#14 Immitator © 21.07.04 09:22:03

м-дааааааа помнится поначалу как тока в инет попал любил захажывать на подобные сайты... а потом забил... уж больно они стремные...

--------------------------------------------------------------------------------
#15 Sergey_S © 21.07.04 09:35:10

> Блин, так и не лечится до конца, фиг поймёшь, как он работает
> вообще...
Мож к нам на фирму позвонить, мы вылечем правда счёт выставим в раёне от 30 до 65 гривен

--------------------------------------------------------------------------------

← →
VictorT © (2004-07-22 19:22) [1]

#16 Паша © 21.07.04 10:30:43

> #9 VictorT ©
находишь в поиске Worm.Bizex, там указанно, какие файлы зараженны. удали их, а аську переставишь или чистые с другой машины возьми. здается мне, так надо. я касперским пользуюсь, троянов мочит нормально. к сожалению, наш спец по вирусам в отпуске на 2 недели, поэтому более подробно не скажу. а про вормы я чего-то слыхал неприятное. или не про вормы?

а вообще - отключай в ИЕ возможность использования явы, активиксов и прочей лабуды, когда идешь на непроверенный сайт. или фиревол поставь (да на пароль) и там отключай, это надежнее, никакая зараза не пройдет.

--------------------------------------------------------------------------------
#17 oval © 21.07.04 10:35:25

> Какой-то мудак лазил по порносайтам...
Поздравляю!!!
Мне после такой фигни пришлось стереть все Temporary и в эксплорере и в program files и везде везде.
Немножко помогло, но время от времени эта сволочь всё-таки включала свою порнушку.
В конце концов переустановил систему, благо не жалко было.

--------------------------------------------------------------------------------
#18 VictorT © 22.07.04 18:21:19

> реестр чистить нада
> не помню точно - во-первых проверь program files внимательно,
> посмотри процессы - мож там висит...
> ну и реестр: ...\Windows\CurrentVersion\Run
Да смотрел я это всё... А реестр после чистки снова ключи восстанавливает...
> еще мож глянуть код этого search-wordl.net --- может там
> найдёшь куда он залазит...
Насколько я понял, сам этот сайт не заразный, заразились не там... Собственно говоря, я в общем-то не знаю точно, что это через сайт какой-то заразили, мож прогу какую скачали и запустили... мало ли чего там тогда по пьяни да по ламерству могли сделать... мне правда сказал один парень, что по порнухе лазили, да это я и сам увидел, по ссылкам, по сохранённым картинкам...
> А если смотреть это Нортоном обновлёнными базами, то он
> и не видит?
Нортоном не сканил, сканил Др. Вебом и УНА.
> находишь в поиске Worm.Bizex, ...
Да от него почистил, ещё какая-то зараза сидит...
> а вообще - отключай в ИЕ возможность использования явы,
> активиксов и прочей лабуды, когда идешь на непроверенный
> сайт. или фиревол поставь (да на пароль) и там отключай,
> это надежнее, никакая зараза не пройдет.
Дак то не я лазил, я вообще ещё в своей практике ничё не цеплял, посидели вот люди... У меня вообще за всё практику скока раз было, и на трёх работах и дома, вся локалка заражена, и только мой комп чистый... а тут вот случилась такая фигня... первый раз в жизни...
> Мне после такой фигни пришлось стереть все Temporary
Да потёр первым делом...

← →
Vlad Oshin © (2004-07-22 19:25) [2]

Ad-aware 6.0, по-моему не очень тяжелая, но сильно полезная
есть загрузка с сайта всякой фигни новой

← →
VictorT © (2004-07-22 19:39) [3]

Vlad Oshin (22.07.04 19:25) [2]
Чё-то я не совсем понял... прочитал в инете:

Ad-Aware Plus 6.0

Программа для обнаружения и удаления модулей \"спонсорских\" служб, появляющихся после установки программ, имеющих статус \"adware\"

Мне это нужно?

← →
Григорьев Антон © (2004-07-22 19:40) [4]

У меня было это - Касперский идентифицировал это как Trojan.StartPage и удалил.

← →
Vlad Oshin © (2004-07-22 19:52) [5]

> VictorT © (22.07.04 19:39) [3]

не только их, или, вернее, не столько их
нужно ли... не знаю, мне помогло(тоже порнуху посетил, по ссылочке, блин :))

> Касперский

не плох, очень нравился, но в связи с последними событиями - начальство решило перейти на NortonAntivirus

← →
Anatoly Podgoretsky © (2004-07-22 19:52) [6]

Похоже дело не в том, что полазили по порно, а в том что кто то отключил антивирус и возможно целенаправленно инсталировал после этого трояны.

← →
VictorT © (2004-07-22 21:03) [7]

> Vlad Oshin
Спасибо, помогло, вроде как вылечил, во всяком случае симптомы... Правда наверно всё-таки винду придётся переставлять :( Успело чего-то напортачить... при запуске некоторых приложение (в частности, медиаплеера, консольного зип-архиватора, попытке унинсталировать УНА (украинский националный антивирус, даже такой поставил, в попытке вылечит :)), выдает ошибку:
http://deepbrowser.nm.ru/temp/error.gif

← →
VictorT © (2004-07-22 21:04) [8]

Или это кто-то знает, как лечить?

← →
VictorT © (2004-07-22 21:07) [9]

Хотя нет, блин, куки всё равно не хотят сохранятся :(

← →
Anatoly Podgoretsky © (2004-07-22 22:19) [10]

VictorT © (22.07.04 21:03) [7]
Недавно было обсуждение подобной ошибки, но как то это не связывали с вирусом :-)
Возсожно не стоит аытаться вылечить заразу, мало ли что еще останется. По времени и по качеству эффективнее format, я последнее время так поступаю, результатом гарантировано чистая система.

> VictorT © (22.07.04 21:03) [7]

16bit... угу, была как-то такая ерунда. Отменил сервис пак, потом заново проставил, вроде работает :)

Два раза в две неделю появлется такоя тема. Задолбали уже!
Ищи CWShredder.exe!

http://www.softpedia.com/public/cat/10/17/10-17-150.shtml

и ещё панель быстрого запуска после перезагрузки пропадает, надо каждый раз заново включать.

а поискать по ключу HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects?... их там любит сидеть... :)
там записаны CLSID компонентов, которые зарегистрированы в екплорере...
алгоритм ловли гадов такой:
1) ищем каждый CLSID в реестре... должно найти в HKEY_CLASSES_ROOT\CLSID...
2) в найденном подключе ищем ключик InProcServer (или похожий) и глядим, какая серверная dll там прописана...
3) если dll нам не понравилась (нету или невнятное version info, внешний вид ;), рядом с dll-кой в системном каталоге лежат ini или какие либо backup, текстовые файлы), то переносим её с потрохами в карантин (какую-либо папку, подальше от системы)... также не забыть пересмотреть её импорты и перенести туда же все подозрительные dll, которые она импортирует...
также необходимо переименовать ключ реестра, по которому мы нашли её (тот, что в Browser Helper Objects находится), для того, чтобы експлорер не пытался её загрузить в следующий раз... также было бы неплохо как нибудь пометить (переименовать) найденную запись CLSID под ключем HKEY_CLASSES_ROOT\CLSID для того, чтобы подозрительный обьект не был доступен системе...
4) если система не даёт вытереть dll (занял её кто-то), то просто переименовываем её и выясняем, кто держит файл... возможно, нужно будет закрыть тот процесс или даже перезагрузиться....

вот... удачной охоты... :)

Подцепил вирус, не могу вылечить, не знаю, что вообще за вирус... Найти похожие ветки