Друзья, нужна ваша помощь.
Сегодня зашел в интернет - и обнаружил, что на компьютере завелся вирус. Антивирусная программа Касперского виснет и не хочет включаться. В качестве стартовой страницы обнаружился сюрприз - открывается какой-то мерзкий порнографический форум. Он же добавился в избранное.
Никаких сомнительных программ я не запускал, писем не получал...
Загрузил программку Red Organizer, она нашла неск. подозрительных файлов за сегодняшнее число. Не без труда, но я их стер, кроме одной (размером 0 байт, никак не стирается). Но Касперский так и не включился, значит - что-то не так.
Помогите пожалуйста, что делать? Мерзкое ощущение, кроме того не знаю, безопасно ли пользоваться почтовым ящиком, форумом где я зарегистрирован и т.д.

Не факт, что вирус. А трояна мог подцепить вполне. Я бы что сделал.

1. Стереть всё лишнее из "избранного"
2. Вернуть на место нужную стартовую страницу, просто руками в настройках.
3. Снести нафиг касперского
4. Сходить на www.drweb.ru и взять там нормальный антивирус. Поставить, провериться.
5. Сходить на www.zonelabs.com и взять там файрвол (ZoneAlarm просто, поскольку plus и pro версии потребуют денег). Ставишь и смотришь, какие программы с твоего компьютера желают до интернета прогуляться. Думаю, узнаешь много нового. :)
6. Сходить на www.lavasoftusa.com и взять там AdAware. Запускаешь, смотришь, сколько шпионских модулей наловил. Может, и немного, но в любом случае не помешает.

Ну и дальше по ситуации.

Jacky
4. Сходить на www.drweb.ru и взять там нормальный антивирус.
ты считаешь, что доктор Веб лучше Касперского? Плиз, объясни (те) мне популярно, какой лучше и почему, потому что у меня вот недавно тоже была неприятная ситуация с вирусами, и теперь последний доктор Веб с _новейшими_ базами (чуть ли не за позавчерашнее число) говорит, что все нормально, а я точно знаю, что где-то какой-то виряк сидит. Но Веб его, очевидно, не находит, а сносить и ставить другой антивирус спонтанно неохота. Тем более что вирус безвредный -- периодически пытается записать себя любимого на дискету и всё.

heilig
Плиз, объясни (те) мне популярно, какой лучше и почему
Во-первых, ДрВеб существенно меньше тормозит, чем последние версии Касперского. Он лучше обновляется (Касперский просто достал постоянной перегруженностью серверов обновления, а если не ставить центр управления, чтобы хоть немного уменьшить тормоза, то еще и после каждого "сервер недоступен" приходится вручную жать ОК -- что бесит. И наконец, насколько я помню, на нескольких последних тестах VirusBulletin веб показал лучшие результаты.

последний доктор Веб с _новейшими_ базами (чуть ли не за позавчерашнее число)
Новейшие базы -- это сегодняшние + "горячее обновление". Кстати, версия ядра какая? 4.31b?

периодически пытается записать себя любимого на дискету и всё.
В чем это выражается? Ты документы (например, вордовские тексты) не открывала прямо с дискеты? В этом случае ярлыки копируются в Пуск -- Документы и естественно, когда система лезет обновить список (ну вот хочется ей так) -- конечно, идет обращение к дисководу. Почисти этот список и посмотри, будет ли продолжаться эта фигня. Или просто вставь дискету в дисковод, дай "вирусу" записать все, что он хочет и посмотри, какие файлы создадутся. И пошли их в саппорт ДрВеба с припиской "я думаю, это вирус, но веб его не обнаруживает, симптомы такие-то" -- сделаешь доброе дело, причем скорее всего они тебе еще и ответят, вирус это или не вирус.

Jacky
Новейшие базы -- это сегодняшние + "горячее обновление". Кстати, версия ядра какая? 4.31b?
да, 4.31b. А что такое "горячее обновление"? Я его там не нашла.

В чем это выражается? Ты документы (например, вордовские тексты) не открывала прямо с дискеты?
я -- нет, не открывала, но я на всякий случай все поудаляла из Пуска, посмотрим :)


А вообще ситуация получилась интересная, сейчас я вам опишу, а вы мне скажите -- это правда так могло быть или это была какая-то разводка РОЛа.

В общем, 15 числа днем я спокойно заходила со своего основного аккаунта, и все было нормально. Потом я ушла. Вернувшись через несколько часов, я уже с этого аккаунта зайти не могла. Просто не пускали меня и все, даже в личный кабинет -- посмотреть, в чем дело-то, безо всяких объяснений. Я подумала, что может быть, это опять какой-то роловский глюк и остаток дня пользовалась другим аккуантом, с которого заходила спокойно. Потом ночью я чего-то разозлилась, и решила все-таки позвонить в суппорт. Молодой человек уточнил, с какого номера я подключаюсь и могло ли быть подключение с другого номера. Когда я ему сказала, что с другого номера согласованных со мной подключений быть не могло, он мне сообщил, что, оказывается, при подключении с моего домашнего номера была засечена попытка несанкционированного сканирования портов (их, как я поняла), и поэтому они заблокировали все подключения _с_этого_номера. И задал глупый вопрос -- как я могу это объяснить. Получив очевидный ответ, милостиво согласился на то, что такую фигню мог проделать какой-то вирус. И предложил мне следующее: они открывают мне ограниченный доступ -- на их сайт и на сайт Касперского. Я должна скачать с их сайта антивирус Касперского, ключ к нему (за который они просят 1$), потом с сайта Касперского обновления, просканить комп, записать все обнаруженные вирусы, после чего позвонить им и сообщить названия. И если они посчитают, что эти вирусы могли им просканировать порты, то они мне открывают полный доступ. Говорю им, у меня, мол, не Касперский, они мне отвечают, что их это мало волнует, и они работают только с Касперским. Ну думаю, подождем тратить время на диалапе и доллары :), откуда они узнают, чем я сканировала и насколько свежие у меня базы :) Короче, просканировала своим доктором Вебом с достаточно старыми базами. Нашла двух виряков в разных местах. Один -- троян. Второй -- Win32.HLLW.Goalweb.2. Позвонила им, молодой человек полчаса никак не мог понять, что же второй за вирус, но в итоге сказал, что доступ открыл. Снова пытаюсь подключиться -- снова не пускают. Пытаюсь раз десять -- с тем же результатом. Снова звоню в суппорт, попадаю на этого же парня. Он меня уверяет, что фильтр снят, а потом, посмотрев попытки подключений, говорит, что я ошибаюсь в пароле и шустренько предлагает его поменять. Ну ладно, поменяли. Дальше все было нормально.
Что осталось за гранью моего понимания в этой истории:
1. Зачем он уточнял, могли ли быть подключения с другого номера, если сканирование портов они засекли с моего?
2. Если они, по их словам, запретили все подключения с моего домашнего номера, то почему я без проблем заходила под другим логином и паролем с этого же номера?
3. Почему, если это был вирус, он при подключении с другим логином и паролем никуда не лез и ничего не сканировал?
4. Потом я залезла на viruslist, посмотрела, что это за вирусы были. Ни про тот, ни про другой не было сказано, что они могут сами куда-то лезть и что-то сканировать. Почему тогда они мне доступ открыли, если эти вирусы такого сделать не могли?
5. Я с этим паролем уже около двух месяцев сидела. И каждый день несколько раз набирала его вручную, ибо никогда нигде галки "сохранять пароль" не ставлю, -- и не ошибалась. А тут десять попыток -- и все с ошибкой? Фигня какая-то. Кроме того, если ошибаешься с паролем, то обычно они советуют сначала попробовать еще раз, внимательнее, а тут он мне лихо сразу менять его решил.

Ну и что вы думаете по этому поводу?

А что такое троян и чем он отличается от вируса?

heilig
А что такое "горячее обновление"?
База с именем drwtoday.vdb и датированная, как правило, текущим числом. Потом все это входит в регулярные базы типа drw43110.vdb

Ну и что вы думаете по этому поводу?
Так, теоретически -- всё может быть. В любом случае для тебя положительный момент тот, что выловила пару вирей и обновила антивирь. НО я чувствую, судя по описанию ситуации, что файрвол ты так и не поставила (или не настроила). А зря.

Philosof
А что такое троян и чем он отличается от вируса?
В общем случае вирус пытается что-нибудь испортить (стереть файлы, форматнуть винт), а троян крадет разную информацию (пароли) и отправляет хозяину.

Jacky
База с именем drwtoday.vdb и датированная, как правило, текущим числом. Потом все это входит в регулярные базы типа drw43110.vdb
и как ее получить? Просто нажать "Обновление"?

НО я чувствую, судя по описанию ситуации, что файрвол ты так и не поставила (или не настроила). А зря.
не складываются у меня с ним отношения. Три раза ставила, три раза сносила -- не работает, а как настраивать -- я не понимаю, а разбираться негде -- на ру-борд меня то пускают, то не пускают, регистрироваться там по десять раз уж надоело и вообще... :(

heilig
Просто нажать "Обновление"?
Если у тебя есть лицензионный ключ -- то да. Все установленные базы можно просмотреть в окошке "о программе". Правый клик мышкой на паучке в трее (если, конечно, висит резидентный spider guard) и в меню выбрать "О программе". На текущий момент у тебя должны быть установлены основная база, обновления 1-12 и today. Если нет ключа, обновление работать не будет. В этом случае велкам на фтп, забираешь нужные базы и руками распаковываешь в ту папку, где у тебя установлен дрвеб, начиная с самых старых.
ftp://ftp.dialognauka.ru/dsav/russian/add-on/

на ру-борд меня то пускают, то не пускают
Небось тоже там им порты сканируешь?
Поставь попробуй zonealarm, его особо настраивать не нужно, только на закладке firewall передвинь бегунки (если это не так по умолчанию) в положение high. Ну, а дальше просто смотри на сообщения и разрешай/запрещай доступ программам в интернет в зависимости, что за программы.

троян крадет разную информацию (пароли) и отправляет хозяину

Значит почтовым ящиком и всякими сайтами, где пароль нужен, лучше пока не пользоваться?

Jacky
Если у тебя есть лицензионный ключ -- то да.
На текущий момент у тебя должны быть установлены основная база, обновления 1-12 и today.
да, есть ключ и все эти базы.


Поставь попробуй zonealarm, его особо настраивать не нужно, только на закладке firewall передвинь бегунки (если это не так по умолчанию) в положение high. Ну, а дальше просто смотри на сообщения
done. Большой тебе dankon. :)

Philosof
Значит почтовым ящиком и всякими сайтами, где пароль нужен, лучше пока не пользоваться?
Если троян поработал, то может уже какая-то информация и ушла. Другой вопрос, что будет делать с этой информацией хозяин троянца: понятно, что от пароля/логина на доступ в интернет из России мало толку, скажем, в Китае.
Вообще сам факт того, что тебе подменили стартовую страницу и записали в избранное какую-то пургу, еще не значит, что кроме этого случилось что-то еще. Может, этим все и ограничилось. Поэтому лучше просто сделай, как я написал выше. Если не хочешь менять касперского на дрвеб, просто переустанови его с нуля, с дистрибутива. Ведь все равно не запускается? Может быть, переустановка поможет. А все остальное рекомендую все-таки сделать и потом уже на всякий случай поменять важные пароли.

heilig
Большой тебе dankon
Nedankeble. :)

Значит так...
1, 2, 3 сделал сразу.
Dr. web установил, но он ничего не обнаружил.
ZoneAlarm установил. В разделе "Outbond protection" он подсчитывает количество программ, которых он проверил, я так понимаю? Но звенеть ничего не звенит, об утечке информации он ничего не говорит.
А вот AdAware вчера нашел 6 штук и потер. А сегодня утром - 4. Но я не уверен, что это шпионы, он там указал какую-то штуку от Media Playerа например.
Но вирус есть. Я нашел несколько подозрительных файлов и стер. Но все к сожалению не получается.

Philosof
В разделе "Outbond protection" он подсчитывает количество программ, которых он проверил
Сам по себе ZA ничего проверить не может. Он показывает там количество программ, которые хотели выйти в интернет. По каждой из них он должен был спрашивать тебя (выводя окошко запроса) и уже ты должен был разрешить/запретить выход однократно или постоянно. В этом, собственно, суть защиты от троянов. Если ты запускаешь Outlook Express -- то конечно доступ нужно разрешить. Если вдруг за обновлениями решил слазить, скажем, Windows Media Player -- смотри, нужны ли тебе эти обновления и соответственно разрешай/запрещай. А вот если вдруг в инет ни с того ни с сего полезла какая-нибудь программа load.exe которую ты в первый раз видишь, вот тут, конечно, нужно запрещать и разбираться. Полный список программ можно посмотреть в разделе program control и там же будут видны права, которые ты им выставил (разрешен доступ/запрещен).

Но я не уверен, что это шпионы, он там указал какую-то штуку от Media Playerа например.
А это такие мелкие шпиончики. :) Паролей не крадут, но могут пересылать всякую информацию о твоем компьютере куда следует.

Но вирус есть. Я нашел несколько подозрительных файлов и стер.
Каким образом ты определяешь подозрительные файлы?

Jacky
Во-первых, ДрВеб существенно меньше тормозит, чем последние версии Касперского.

Возьми старую версию, новые базы и радуйся.
У меня стоит Касперский много лет. Один раз только я серьезно повердила машину вирусом и по незнанию убила систему не без участия Касперского, но это была скорее моя ошибка, чем его.

Philosof
А что такое троян и чем он отличается от вируса?

Вирус - это, как правило, кусок кода, который сам по себе существовать не может. Часто он собой заменяет один из системных файлов. Или перезаписывает кусок кода в нем. Тогда получается, что файл заражен, а удалить его нельзя - он системный, и без него система погибнет. Вылечить в таком случае тоже нельзя. По крайней мере антивирусы не всегда это умеют. Вот на такого виря я нарвалась в свое время, забыла уже, как его завут, klez что ли, мне уже LoveSun все старые названия перебил (это относительно недавний вирь).

А троян - это самостоятельная программа, способная существовать сама по себе.


heilig
на ру-борд меня то пускают, то не пускают, регистрироваться там по десять раз уж надоело и вообще...

Ессно, если будешь по 10 раз региться с одного компа никто тебя не пустит. Выдели один логин и запроси пас, с доступом там сейчас все нормально. Только ящик почтовый на мейл.ру не держи.

И вообще, что значит "не складываются отношения"? И почему ЗонАларм то? Поставь Autpost - милое создание. Сложноватое, но привыкнешь. Зато, если поставить 2.х, будет знать всю интимную жизнь своей машины :)

Philosof
Значит почтовым ящиком и всякими сайтами, где пароль нужен, лучше пока не пользоваться?

И Инетернетом тоже - от него пасы тоже класс, как воруются.

Если у тебя есть возможность вынуть винт и подмонтировать его к другой (чистой) машине - то ты легко найдешь у себя на винте зараженные файлы, запустив антивирус с другой машины.

Но мне кажется, было гораздо проще. Примерно так: ты гулял по Инету, где-то кликнул, например, по баннеру, попал на порносайт, там тебепредложили поставить что-то ты не понял что, но нажал ОК, поставилось нечто, которое постоянно ломиться на этот сайт.

Какая у тебя версия системы?

Сделай так:
пуск - выполнить - regedit - f3 - и в посике набери или имя сайта, или адрес сайта, или имя того, что у тебя в автозапуске прописалось - попробуй. Все, что найдешь, полагаю, можно смело удалять.
Если не найдешь ничего, найди ключи (для Win2000, но наверняка и для остальны примерно то же самое):

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
и
HKEY_USERS\S-1-5-21-удалила_как_приватную_инфу\ Software\Microsoft\Windows\CurrentVersion\Run

Возможно, во втором случае у тебя будет нечто типа:

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run

и посмотри, что же прописалось в автозапуск. Ищи похожее на этот сайт или на программу, запускающуюся и ломящуюся на этот сайт и удаляй.

Поставь программу http://forum.ru-board.com/topic.cgi?forum=5&topic=0079#1 TauScan , поставь последние базы к ней (она сама это умеет делать) и проскань машину на трояны.
Еще рекомендуют (либо либо) http://forum.ru-board.com/topic.cgi?forum=5&topic=4334#1 pestpatrol


потом уже на всякий случай поменять важные пароли.
Пока троян есть, менять пасы нет ни малейшего смысла. Потом - конечно.


Может быть, переустановка поможет

Ага. Системы. На отфроматированный винт. :) Злая шутка.

Philosof
ZoneAlarm установил. В разделе "Outbond protection" он подсчитывает количество программ, которых он проверил, я так понимаю? Но звенеть ничего не звенит, об утечке информации он ничего не говорит.

Ну, если фаер ничего не нашел, то скорее всего это не то чтобы вирус, а как я описала выше.


Добавлено

heilig

Тебе в общем-то рекомендую то же самое, за исключением того, что тебе не надо в авторане ничего искать.

Антивирь с последними базами - скан
Фаер (только смотри, чего разрешаешь то)
Таускан - скан

Тогда будет ясно.

Если у тебя есть возможность вынуть винт и подмонтировать его к другой (чистой) машине

Нет, у меня же ноутбук, как я его выну?

Примерно так: ты гулял по Инету, где-то кликнул, например, по баннеру, попал на порносайт, там тебепредложили поставить что-то ты не понял что, но нажал ОК

Нет. Нет. Ничего я не ставил, ничего не загружал, на сайт их поганый попал после того, как он себя вписал как стартовую страницу.
У меня Windows 98.

в посике набери или имя сайта

Стер я его сразу.

Джекина программка AdAware постоянно находит 2 штуки в разделе cookies. Удаляю - появляются снова. Аннотация такая: "This cookie is known to collect information that may be used either fortargeted advertesing , or tracking users across a particular website, such as page views or ad click-thrus".
Как нахожу подозрительные? Странное имя, сегодняшним числом помечен, размножаются, в имени указано например название моего модема. Стереть не могу. Я всю эту дрянь послал Касперскому - он ответил, что вирусов там нет.


Добавлено

Очень странный еще файл в директории Windows win386.swp Никак не удаляется. Размер 50-80 млн. байт, а в safe mode - 0.

Philosof
Очень странный еще файл в директории Windows win386.swp
Не трожь его. Это виндовский своп, т.е. файл подкачки. Его размеры меняются динамически, поэтому могут быть и очень большими, и поменьше. Если у тебя все такие "странные" файлы (которые ты потер), то можно и систему обрушить. Это не вирусы.

Добавлено

lynx
Возьми старую версию, новые базы и радуйся.
Нафиг такие извраты. Потом в старых версиях у него нет аналога вебовскому SpiderMail. А вещица полезная.

Поставь Autpost - милое создание. Сложноватое, но привыкнешь.
Именно что. ZA по крайней мере поставил -- и работает фактически без настройки, причем работает вполне прилично. Вообще я обратил внимание, что любовь к outpost во многом напоминает любовь к thebat, не у тебя конкретно, а вообще. Типа круто, хотя и сложновато.

Ага. Системы. На отфроматированный винт.
Естественно. Если он будет удалять "вирусы" типа своп-файла, тут не только касперский работать откажется.

Добавлено

Philosof
Я всю эту дрянь послал Касперскому - он ответил, что вирусов там нет
В общем, если ни касперский, ни дрвеб ничего не находят, если через файрвол в интернет никто выйти не пытается, можно считать, что все в порядке. А те куки (сookies), которые находит ad-aware, в общем, безопасны. Тем более судя по количеству (четыре, две...) ты куда не следует фактически не ходишь. :) Потому что у меня в процессе прогулок по всяким странным местам сети drweb и zonealarm без работы, мягко говоря, не сидят. Если у тебя всё тихо -- значит, все в норме.

Philosof

Нет, у меня же ноутбук, как я его выну?

А сетевуха у него есть? Соедини его в сеть, сделай доступным диски по сети и посмотри с другого компа.

Но, походу, все с ним ОК, только сайт этот просится до сих пор или уже нет?

Куки - это такая фигня, она писаться будет все равно :) Она нормальная фигня. Можно отключить, но сюда не зайдешь тогда.

он себя вписал как стартовую страницу.

Открываешь IE - сервис - подключение - стратовая страница - стираешь все и пишешь:
about:blank


любовь к outpost во многом напоминает любовь к thebat, не у тебя конкретно, а вообще. Типа круто, хотя и сложновато.

Аутпост простой, как три копейки. Вот на что-то более сложное мне все не отважится. Где настройки тонкие - по всем протоколам и портам отдельно по каждому адресу. Вот это я понимаю. А Бат тоже простой, ничего в нем сложного. Для меня сложнее Аутлук - там все что-то делается, а мне не говорится, что именно и почему. Это мне сложно.

В Аутпосте сложно только то, что там всего много. А так - все просто, все по русски, покажет все коннекты, куда, зачем, все блокировки и по какой причине - логи у него понятней не бывает.

TauScanом проверился, ничего нет.
ZoneAlarm молчит, только число программ подсчитывает в outbond protection.
Да, все такие. Я как увидел, что что-то не так - все файлы за сегодняшнее число стер. :)
Где не надо хожу очень редко :) Не там, где вы думаете
А с win.swp просто. У меня стоит программа Red Organizer, который, по идее, удаляет все лишнее. Осталось несколько файлов, которые он удалить не смог - вроде системные они или архивные. Я их и стал подозревать. Там целая директория TEMP и странные названия типа PCMCIA_CARD_56KFaxModem-FM56C-NF.log Или ~dfda46.tmp
Я решил что ничего хорошего с таким названием быть не может.

Добавлено

Ну вот, сейчас выскочило предупреждение, что кто-то хотел влезть в мой компьютер.
Из Австралии

Philosof
Ну вот, сейчас выскочило предупреждение, что кто-то хотел влезть в мой компьютер.
Из Австралии

На это не обращай внимания.Это обычный скан портов.

Там целая директория TEMP и странные названия типа PCMCIA_CARD_56KFaxModem-FM56C-NF.log Или ~dfda46.tmp

Все содержимое директории Windows/temp/ можно удалять.


Но он все равно наполнится - туда система складывает временные файлы.

Philosof
Ну вот, сейчас выскочило предупреждение, что кто-то хотел влезть в мой компьютер.
Из Австралии
Отключи вывод этих алертов, чтобы не раздражало. На закладке alerts & logs и верхняя закладка main и там alert events поставь на off.

Там целая директория TEMP и странные названия типа PCMCIA_CARD_56KFaxModem-FM56C-NF.log Или ~dfda46.tmp
Первое -- логи модема, второе -- системный временный файл. Это не вирусы, и вообще содержимое директории temp все антивирусы изучают весьма тщательно. Если касперский/веб со свежими базами молчат, все нормально.

Это обычный скан портов

А то что в Outbond protection подсчитывается тоже?


Добавлено

На это не обращай внимания.Это обычный скан портов

Вообще интересно... Я столько лет в интернете, и даже не знал, что на моем компьютере происходит!

Philosof
А то что в Outbond protection подсчитывается тоже?
Нет. Аутбаунд на то и аут, что считает программы, которые хотели выйти с твоего компа в интернет. А это входящие алерты, кто-то снаружи ломится. :)

Вообще интересно... Я столько лет в интернете, и даже не знал, что на моем компьютере происходит!
А ты думал, сидишь себе тихо, в одиночестве... Нет уж, Большой Брат видит тебя!

Ох, не говори!
Прямо посыпались!
Особенно при выходе с почтовых ящиков!
Я то думал стоит Касперский - и все дела...

Добавлено

Причем все время один и тот же...
Вот прицепился...
Такая аннотация: "ICMP Destination Unreachable message"

Отключи алерты, я выше написал, как. Блокировка при этом работать все равно будет. Иначе это назойливо очень. Ну разве что поначалу можно оставить, на некоторое время, посмотреть.

Значит так. Судя по всему это - один и тот же человек. Потому что один и тот же ip адрес.

Добавлено

Оччень интересует его моя почта.

Philosof
Дай ка мне IP-адрес этого "человека" Сдается мне, что это какой-нибудь сервер DNS :)

Значит так...
Заходит через разные (чужие) компьютеры - Москва и Саранск . А сам имеет такие координаты: 212.46.254.xxx

Philosof
А сам имеет такие координаты: 212.46.254.xxx
212.46.254.xxx

Это диалапный Ситилайн.
Это нормально, это дажене факт, что тебя сканят. А может и снанят - это не страшно.

lynx
Ессно, если будешь по 10 раз региться с одного компа никто тебя не пустит. Выдели один логин и запроси пас, с доступом там сейчас все нормально. Только ящик почтовый на мейл.ру не держи.
ну а как же быть, если они, то есть вы, меня каждые два месяца удаляете, а писать посты мне не надо -- мне бы только почитать, что пишут, а они, то есть вы, гестам даже почитать не везде даете? Приходится региться заново, а потом начинается -- то пускают, то нет.

heilig
ну а как же быть, если они, то есть вы, меня каждые два месяца удаляете,

Неправда, последний раз юзеров удаляли сто лет назад, а юзеров с постами - никогда не удаляют.

а они, то есть вы, гестам даже почитать не везде даете?

Да не везде.
Оставь один пост. Неужели нечего сказать ? :)

lynx
Неправда, последний раз юзеров удаляли сто лет назад, а юзеров с постами - никогда не удаляют.
ничего не знаю -- регистрируюсь, захожу-захожу нормально под своим логином, аккурат через два месяца форум меня узнавать перестает, и пароль не принимает. А постов я там ни одного не писала.
Оставь один пост. Неужели нечего сказать ?
нечего. Как часто бывает -- если вопросов нет, это означает, что человек либо все знает (что не про меня :)), либо не знает ничего (по крайней мере так думает :)) и не хочет позориться :)

Оставь один пост. Неужели нечего сказать ?

А ты раз в два месяща пиши постик: "Пост оставлен для продления аккаунта. Больше сказать нечего." Это наверное даже как то автоматизировать можно, чтобы не забыть :).

vik
А ты раз в два месяща пиши постик: "Пост оставлен для продления аккаунта. Больше сказать нечего." Это наверное даже как то автоматизировать можно, чтобы не забыть

Кстати, зря смеетесь. Иногда так народ приходит в помощь и просит их не удалять. Пост в http://forum.ru-board.com/forums.cgi?forum=13 Помощи - гарантия неудаления :)

Поставил сегодня Касперского вручную, просканировал - ничего нет. Похоже, действительно ложная тревога.
Только почему же он, гад, устанавливаться не хотел?

Philosof
Только почему же он, гад, устанавливаться не хотел?

Весенний авитаминоз у него :) Ну, бывает у Винды капризы. Лечатся перезагрузками, а иногда и выключениями :)

Скажите, а *исчезновение писем из почтового ящика следует списывать на вирус или троян? Мне человек, как выяснилось, послал 2 письма, а они не дошли. А третье письмо, посланное позже, почему-то дошло.

Philosof
Скажите, а исчезновение писем из почтового ящика следует списывать на вирус или троян? Мне человек, как выяснилось, послал 2 письма, а они не дошли.

Скорее всего, это следствие тотальной борьбы со спамом, от которой уже всем житья не стало. Под эту борьбу слишком часто, к сожалению, попадают нужные письма.

А третье письмо, посланное позже, почему-то дошло.

Оно могло идти другим маршрутом, ведь письмо проходит через несколько серверов, прежде чем дойдет к адресату, каждый сервер по своему борется со спамом.

Philosof
исчезновение писем из почтового ящика
Если из почтового ящика -- то это воры. :D
Не вирус и не троян -- точно. Скорее всего, да, кто-то решил, что это спам.

lynx
следствие тотальной борьбы со спамом
Вообще не понимаю, почему эта суровая борьба все еще продолжается. По-моему, с появлением обучаемого байес-фильтра проблемы больше нет.

Jacky
По-моему, с появлением обучаемого байес-фильтра проблемы больше нет.

О, это горе всех - и серверов и клиентов. Проблемы есть и много. Трафик спама огромен.
Единственное, чего я не понимаю - неужели кто-то на спам реагирует нужным спаммеру образом? Наверное, все-таки это наиболее дешевый способ рекламы и даже при чрезвычайно низкой эффективности продолжает быть популярен - ибо затраты минимальны.

lynx
Проблемы есть и много.
С точки зрения глобального подхода, да, много лишнего трафика. Но это разговор отдельный. У меня в ящике всё чистенько. Редко-редко какой-нибудь один прорвется, не страшно, на его примере дообучаем байес-фильтр и все ОК.

неужели кто-то на спам реагирует нужным спаммеру образом?
Конечно. Почему нет? Точно так же, как листают бесплатные рекламные газеты из почтовых ящиков. Коэффициент отдачи невысок, но он, конечно, есть.

Нет, что-то все-таки не так...
Сегодня получил сообщение - "в письме отправленном Вами на такой-то адрес найден вирус". Но я туда ничего не посылал.

У кого-то есть твой e-mail в адресной книге и этот кто-то не соблюдает антивирусную гигиену. Не переживай.

Philosof
в письме отправленном Вами на такой-то адрес найден вирус". Но я туда ничего не посылал.

Кто-то рассылает вирусы и подставляет чужие адреса. Одним из них подставился твой.

Недавно установил выделенку... ну, и в квартире стоит ллокальная сеть, вчера мой рабочий стол и папку "мои документы" почистили... (у был открыт доступ на мои диски).. оказывается на мой комп могли зайти все, кто живет в нашем доме, как по локалке...

ВОпросы: можно ли как нить вычислить кто это был?? Где нить регистрируется, кто заходит на мой комп??? и можно ли воостановить удаленные файлы???

Спасибо заранее!

VolkodaV

Ну е-мое... Так хочется сказать много нехороших слов, как в адрес зло-
умышленников, так и пострадавшему. Ну разве так можно, батенька?

Если винда 95 или 98 или Me, то уже не вычислите злоумышленника,
потому что это чудесная ОС по определению не имеет никаких жур-
налов безопасности, где можно посмотреть, кто и когда куда лазил.

В этих ОС можно отслеживать только в момент когда у вас лазают в
компе, консольная команда netstat -a -n покажет IP-адрес злобного
чела, а командой arp -a можно сопоставить IP-адрес с MAC-адресом,
а потом либо попросить админа сети посмотреть на коммутаторах
MAC Tables с целью выявление номера порта на котором висит чел,
либо если коммутаторы неуправляемые и не могут это показать ис-
кать с помощью этого же админа у кого на компе такой MAC-адрес.

Аналогично ситуация с ОС MS Windows NT, 2000, XP, 2003, когда у
вас прямо в данный момент кто-то лазает. Но в отличие от винды
95, 98 или Me, ОС NT/2000/XP/2003 имеют встроенную систему раз-
граничения доступа к объектам (в том числе файлам и папкам) на
уровне пользователей и более того, имеют журнал безопасноcти
(Security Log) его можно посмотреть кликнув правой кнопкой мыши
на иконке Мой Компьютер, далее выбираем Управление, появится
окно с утилитами, в том числе там найдете и журнал безопасности.
Ну а уж туда пишется инфа о попытках доступа. Однако вот беда,
если не было предварительных настроек безопасности (с помощью
опытного админа), то в журнале вы не найдете то, что вас интере-
сует. Систему нужно заранее настроить, а уж потом в случае чего
можно будет ловить злобных челов, мнящих себя кулц-хакерами :)

Так что, скорее всего, у вас нулевые шансы выяснить то, кто лазил,
но все же стоит попытатся обратиться к опытному админу, чтобы
он посмотрел, можно что-то узнать или нет. Вдруг что и выплывет.

В плане восстановаления, если вы с того момента, когда вас злобно
похакали, вы ничего записывали (особенно большие объемы данных)
на диск, где у вас были ваши потерянные файлы, то с помощью спе-
циальных утилит можно попытаться восстановить их: из простейших
это Norton Unerase (работает только в файловой системе FAT/FAT32),
а из продвинутых - On-Track Easy Recovery Pro и иже с ними. Но опять
же лучше обратитесь к опытному спецу, и пусть он внимательно раз-
берется в ситуации, принесет нужные утилиты и попробуем восстано-
виться файлы. Сразу скажу, не надейтесь на полное восстановление.

В любом случае после того как получится или не получится восстано-
вить, пусть опытный спец поможет настроить как следует безопас-
ность и доступ к сетевым ресурсам. И еще - никогда не используйте
простых и тем более уж пустых паролей, если вы сами себе не враг.

Дамы и господа! подскажите, пожалуйста,какие-нибудь бесплатные программы для борьбы с троянами, червями. А то что-то мой аваст ничего не видит, а они есть. Авторан покоя не дает.

Дамы и господа! подскажите, пожалуйста,какие-нибудь бесплатные программы для борьбы с троянами, червями. А то что-то мой аваст ничего не видит, а они есть. Авторан покоя не дает.
Почему именно бесплатные? Можно Касперского поставить, например. По сравнению со старыми версиями, о которых я (давно уже) писал на первых страницах темы, новые работают существенно лучше, по крайней мере, таких мощных тормозов уже нет.
"На попробовать" у них на сайте можно триальную версию скачать. Как бы там ни было, а на сегодняшний день Касперский один из наиболее пристойных антивирусов.

Одна из лучших бесплатных программ такого рода: http://www.clamav.net

Jacky, согласен, провайдер и предоставляет касперского за умеренную плату. Наверное, поставлю его.

Добавлено через 13 минут 38 секунд
techni, спасибо, скачал. Начал установку, попросил скачать нет. фреймворк. а они 300 мб. ничего себе, бесплатный антивирус получился. пойду за касперским.
А Адваре замечательная штука - удалил 50 тварей )))

кто-нибуд знает что EDLauncher.exe и DDEServer Window вирусы?
а-то, Когда я завершаю работу в экране появляются такие надписи и завершение работы. установленный DrWeb не может найти или я незнаю. Подскажите.:confused:

Shuhrat, есть универсальное решение против вирусов - отказ от Windows.
Рекомендую подумать о переходе на другую ОС :cool:

Shuhrat, есть универсальное решение против вирусов - отказ от Windows.
Рекомендую подумать о переходе на другую ОС :cool:

Ага, как будто для других ОС вирусов не существует вообще.

Хотя, согласен, сам хочу на что нибудь линуксообразное перейти, только попроще.

кто-нибуд знает что EDLauncher.exe и DDEServer Window вирусы?
Совсем не обязательно. Если смущают конкретные исполняемые файлы, то есть возникло подозрение, что они заражены, загрузите их сюда: www.virustotal.com -- это онлайновая проверка на вирусы.

Ага, как будто для других ОС вирусов не существует вообще.


Под GNU/Linux - именно что "не существует вообще": причина тому - грамотная архитектура ОС и система разделения прав.

Feeleen
Под GNU/Linux - именно что "не существует вообще": причина тому - грамотная архитектура ОС и система разделения прав
Аналогично в Mac OS

Feeleen
Аналогично в Mac OS

С одним очень серьёзным дополнением: если Вы используете офисный пакет от мелкомягких на маке, то к Вашим услугам весь набор макровирусов, распространённых на этой платформе.

к Вашим услугам весь набор макровирусов
Так всегда же спрашивает, мол, хотите запустить вирус или как? :)
Просто следует отвечать "нет" и всё, никаких проблем.

А на Linux бывают проблемы с макровирусами при использовании того же офиса от MS?
Например, при использовании виртуальной машины.

Господа, а если я оупен оффис буду пользоваться, не возникнет ли проблем с текстовыми документами - ибо требуют часто только набранные в Ворде? Или, коли сохраню в формате rtf, проблем не должно быть??

Товарищи, подскажите пожалуйста человеку мало сведущему в программах какую антивирусную программу установить на комп? ( из бесплатных, которые можно скачать из интернета)

какую антивирусную программу установить на комп?
Никакую.
Поставьте себе нормальную ОС, и проблем с вирусами не будет.

не возникнет ли проблем с текстовыми документами - ибо требуют часто только набранные в Ворде? Или, коли сохраню в формате rtf, проблем не должно быть??
http://wiki.services.openoffice.org/wiki/%D0%A1%D0%BE%D0%B2%D0%BC%D0%B5%D1%81%D1%82%D0%B8%D 0%BC%D0%BE%D1%81%D1%82%D1%8C_c_MS_Office:_%D0%A7%D 0%B0%D1%81%D1%82%D0%BE_%D0%B7%D0%B0%D0%B4%D0%B0%D0 %B2%D0%B0%D0%B5%D0%BC%D1%8B%D0%B5_%D0%B2%D0%BE%D0% BF%D1%80%D0%BE%D1%81%D1%8B
Установите и попробуйте. :)
Вообще, с обычными "простыми" текстовыми документами проблем скорее всего не будет. Обычно сложности возникают, если используются разного рода специфические возможности, типа внешних связей, особо извращенных внедренных макросов и т.д. и т.п.

какую антивирусную программу установить на комп? ( из бесплатных, которые можно скачать из интернета)
Однозначно лучшей нет (много разных мнений).
Обычно советуют что-то из этого набора:
AVG free anti-virus http://free.grisoft.com
Avira AntiVir http://www.free-av.com
Avast Home Free http://www.avast.ru

В любом случае для платформы windows любой антивирус (из достаточно популярных, напр. те, что указаны выше) лучше, чем никакого.

Товарищи, подскажите пожалуйста человеку мало сведущему в программах какую антивирусную программу установить на комп? ( из бесплатных, которые можно скачать из интернета)

Пробовал все из перечисленных Jacky бесплатных антивирусов, результат самый лучший был на аваст. Однако, если уж что и выбирать, так это Касперского. Потратил всего 500 рэ на ключ (на полгода). Стоял аваст, были проблемы. Вирусов не видел. Поставил Касперского, проверил комп - нашел 5 вирусов, удалил, проблемы исчезли.

каким образом не могут быть в "нормальном" ОС вирусы, интересно?
Так как если другие ОС не включая Виндоус устанавливались-бы на 95% компов мира и у них не было бы вирусов хакеры все равно на других ОС создали-бы вирусов? Или не так!?!:confused::confused:

Или не так!?!
Именно что не так:
причина тому - грамотная архитектура ОС и система разделения прав
У меня вообще такое впечатление, что Windows специально создавали неустойчивым к вирусам и, вообще, неадекватным в работе. Для дальнейшей продажи литературы, сервисных услуг, курсов работы на компьютере и т.д., включая и антивирусные программы.

У меня вообще такое впечатление, что Windows специально создавали неустойчивым к вирусам и, вообще, неадекватным в работе. Для дальнейшей продажи литературы, сервисных услуг, курсов работы на компьютере и т.д., включая и антивирусные программы.

Да-да, подобное мнение имеет все больше сторонников.
Особенно "нравятся" сервис-паки.

Из антивирусов пользуюсь AVG и тьфу-тьфу-тьфу проблем с ним пока нет. Вирусов вылавливает исправно

Пожалуйста не рекламируейте свою AVG. Скорее всего лучше Касперский.

Спасибо большое за ответы!
Видимо у меня было предчувствие когда спросила....после этого мой касперский стал от меня лицензии требовать. проверять ничего не хотел. касперского удалила, точнее мне так показалось, поставила аваст, он тоже начал глючить, потом у меня непонятным образом появился малвар профешенал 2008, который требовал от меня денег, удаляться программа не хотела. Я прибывала все выходные в стрессе. Помимо этого у меня еще такое было - захожу в инет на 2 сайта и мне в журнале рисует что выходила уже на 30 и с каждой секундой прибавляется, причем сайты определенного содержания. Я на такие не хожу, компом моим никто кроме меня не пользуется, что происходит???? Благо нет у меня безлимитный, но все равно неприятно.
В итоге к вечеру воскресения попросили зайти знакомого компьютерщика. Он сказал что все убрать можно но возни на неделю, лучше переставить систему. Что он и делает сейчас. А программу он сказал поставит мне антивирусную как раз AVG....

малвар профешенал 2008
что за прог?
лучше переставить систему
Как хорошо дагадалась. Форматирование самое лучше в этом ситуации. А какую ОС установили?

Я сама не понимаю откуда она появилась эта малвар.
Систему переустановили. Все хорошо работает. Стоит АВГ.

Значит для тебя АВГ самый хороший, Да?

Пока не знаю какой хороший слишком мало времени прошло....Но пока все, тьфу-тьфу, отлично....:)

Кстати, у кого-нибудь был вирус, который спонтанно меняет расположение иконок на рабочем столе, или я первая?

или я первая?
Ну, конечно, дорогая, Вы первая :)

Сейчас зашла на форум, и антивирус выдал сообщение:http://s004.radikal.ru/i207/1105/7b/50cda97f37f0.jpg
Больше никуда не заходила ни в это время, ни ранее. На портале вирусы?

:laugh::laugh::laugh::laugh::laugh:

Ink, а поподробнее? А то я буду бояться заходить сюда :( Развейте мои страхи, пожалуйста...

Ink, а поподробнее?
Админу 20 и он бородат :lol:
Пусть Павел или Джеки объяснят, я пока под столом.
З.ы. ничего страшного там нет.

З.ы. ничего страшного там нет.
Точно? Вылезайте уже давайте из-под стола, нечего там валяться, пыль холостяцкую собирать :) Ну объясните, а? Я волшебное слово знаю :D Ну Иииииинк!!!... :)

Ну, можно почистить кэш... Тьфу, нет, это не то.

В общем это совпадение простое, мы тут ни причем в данном случае. С точки зрения аваста это внешняя атака (не с этого сайта), просто совпало с моментом, когда просматривалась страница форума.

С точки зрения аваста это внешняя атака
:D
С ip 172.19.*.*? :D

С точки зрения аваста это внешняя атака (не с этого сайта)
Ну ладно тогда. А то я уже было испугалась. Сервера-то по-прежнему в Германии али нет? Кто их, немчуру, фашистов недобитых знает.

Добавлено через 1 минуту
ip 172.19.*.*?
А что за IP? Это мои вирусы, что ли?:D

Ink, почему "с"? Это типа из серии "меня постоянно атакуют с 127.0.0.1", да? ;)

Вот здесь в частности описывается данная "проблема".
http://www.avastclub.ru/viewtopic.php?f=5&t=20

172.16/12 (http://ru.wikipedia.org/wiki/Частный_IP-адрес)

Добавлено через 35 секунд
Это типа из серии "меня постоянно атакуют с 127.0.0.1", да?
:yes::yes::yes:

Добавлено через 5 минут
http://www.avastclub.ru/viewtopic.php?f=5&t=20
http://xmages.net/storage/10/1/0/5/5/upload/8c6fc489.png

Ничего не поняла. Объясните по-русски, господа. Хватит уже издеваться над ребенком :( Вирусы мои или чужие ломятся?

Добавлено через 46 секунд
Вот послал так послал :)))))))))
Инк, а это у Вас некорректно отображается.

Инк, а это у Вас некорректно отображается.
:laugh::laugh::laugh:
З.ы. дайте угадаю: там, выше по ссылке предложили использовать WWDC для блока 135 и 445? Я предлагаю более тонкое решение: надо просто сменить аваст на приличный софт.

Я предлагаю более тонкое решение: надо просто сменить аваст на приличный софт
Не могу. Для этого надо переустановить систему, как минимум. Или сидеть и разбираться, из-за чего происходит откат.
выше по ссылке предложили использовать WWDC для блока 135 и 445
Зы. По ссылке-то? Ну да. И?

Ну да. И?
:D
Не могу. Для этого надо переустановить систему, как минимум.
Зачем?
З.ы. меж тем: удивительное дело, но все педагоги, что мне попадались (мужчины ли, женщины) одинаково не разбирались в компьютерах.

Там внизу на скрине галка есть "больше не показывать данное сообщение", если снова появится, поставить галку.

Ink, не будьте злюкой. Я сдаюсь. Пасую перед проблемой. Смиренно прошу ответа на вопрос. Пожалуйста.

Там внизу на скрине галка есть "больше не показывать данное сообщение",
Есть такое. Я даже думал это предложить. Но проблемы-то это не решит. Давайте всё же снесем аваст, а? :)

Но проблемы-то это не решит
В чем проблема? Я так и не поняла:(

Но проблемы-то это не решит.
Какой проблемы? Он там пишет, что заблокировал угрозу? Ну и пусть себе блокирует, если ему так хочется, но окошки зря не показывает.

В чем проблема?
Какой проблемы?
Само появление этого сообщения при отсутствии локалки уже достаточно красноречиво говорит о данном продукте. Судя по сайту в антивирус входит какой-то простенький фаервольчик, но.. я такому не доверяю. Так что проблема - она в наличии слабой защиты. Вот я и предлагаю снести аваст :)
Ну да ладно...
З.ы. как я еще в самом начале написал: нет там ничего страшного, - аваст просто тупит.
З.з.ы. скачать программку про которую говорилось выше имеет смысл тем, у кого win xp до sp 3. На висте и далее программа вообще потеряла смысл.
З.з.з.ы. поддержка этой программки прекратилась лет 5 назад, кажись у автора кончились деньги на сайт...

проблема - она в наличии слабой защиты
Нет. Проблема в том, что я не пойму природу этого сообщения. Проблема во мне. В том, что я глупа и не разбираюсь в компьютерах.

Само появление этого сообщения при отсутствии локалки
Минутку. А у неё нет локалки?

Добавлено через 4 минуты
Я лично это красненькое сообщение воспринял так (когда писал о внешней атаке имелось в виду, что внешнее по отношению к атакуемому компьютеру), что обнаружено прощупывание 135 порта. И поскольку адрес явно не интернетный, а внутренний, то отличился кто-то из локальной сети провайдера. И поскольку аваст бодро отрапортовал о блокировке, то и фиг с ним, поставить галку "не показывать" и забыть. Вот такая логика.

Минутку. А у неё нет локалки?
Из того диапазона нет. У неё вообще домашний компьютер обычный. То бишь если
отличился кто-то из локальной сети провайдера.
тогда бы ip был из диапазона 10.0.0.0 - 10.255.255.255 - стандартная шара провайдера. Но возможно всё. Кто его знает как там сеть построена.
Проблема в том, что я ... Проблема во мне. В том, что я глупа и не разбираюсь...
Хватит якать. Прям суперэго. Холерик. Близнец. :)

Ink, мой IP в диапазоне 172.19.*.*. А адреса 10.*.*.* я сто лет уже у себя не видела.

Хватит якать. Прям суперэго. Холерик. Близнец.
Вы так и не дали вразумительного ответа на мой вопрос. Вместо этого я выслушала множество насмешек и обвинений в тупости в свой адрес. Я признаю. Подтверждаю Ваши слова. Вы сами стали заострять внимание на моих компьютерных знаниях и умственных способностях.

мой IP в диапазоне 172.19.*.*.
Ура, я снова прав. :) Как всегда. :)

Вы так и не дали вразумительного ответа на мой вопрос.
Да я в самом первом сообщении написал, что ничего страшного там нет. Известная аваставская фигня.
Вместо этого я выслушала множество насмешек и обвинений в тупости в свой адрес.
Ну какие обвинения? Какие насмешки?
Вы сами стали заострять внимание на моих компьютерных знаниях и умственных способностях.
Я про педагогов вообще говорил. Я, ранее, еще и Саше советовал аваст снести. Я вообще всем советую аваст снести :D
З.ы. опять эта хитрая женщина заставляет меня оправдываться и чувствовать себя виноватым :rolleyes:
мой IP в диапазоне 172.19.*.*. А адреса 10.*.*.* я сто лет уже у себя не видела.
Зайдите сюда (http://2ip.ru/), какой ip? Внутренние адреса Вам должны отображаться именно так. Внешние нам будут другими.

Добавлено через 1 минуту
Ура, я снова прав.
[В сторону] хитрый админ - читер: у него справа ip отображается :rolleyes:

Ну вот, на Инка я опять обиделась, зато удалось порадовать Jacky :smirk:

[В сторону] хитрый админ - читер: у него справа ip отображается
Во-первых слева, во-вторых внутреннего "серого" IP (для сидящих за NATом и иже с ними) я естественно не вижу, да и не нужен он.

Зайдите сюда, какой ip? Внутренние адреса Вам должны отображаться именно так. Внешние нам будут другими.

Ink, а и не говорю, внутренний он или внешний. Я просто сказала, в каком он диапазоне. В свойствах подключения так отображается.

Добавлено через 1 минуту
Я про педагогов вообще говорил. Я, ранее, еще и Саше советовал аваст снести. Я вообще всем советую аваст снести
Да? И что, мне вообще без антивируса сидеть? Спасибо за совет.

Добавлено через 2 минуты
Известная аваставская фигня
А именно? Что происходит при этом и инициирует появление данного сообщения - это Вы можете мне объяснить? Я третью страницу пытаюсь добиться ответа. Уже четвертую.

Во-первых слева,
Мдя? :confused: А мне помнится справа... Ситранно конечно, надо будет обновить знания.
И что, мне вообще без антивируса сидеть?
Я же писал: установить нормальный софт...
Ну да ладно: пусть будет аваст, - мне не жалко :p

Добавлено через 1 минуту
это Вы можете мне объяснить?
Это даже разработчики не могут объяснить. И устранить это у них не получается.

Я же писал: установить нормальный софт...
Я тоже писала, и не раз: не катит нормальный софт, на последних этапах установки происходит откат действия, из-за драйверов и еще какой-то фигни.
Я повторяю свой вопрос:
Что происходит при этом и инициирует появление данного сообщения - это Вы можете мне объяснить? Похоже, не можете. А может, это все-таки форум вирусами оброс? Не исключаю такую возможность.

Добавлено через 1 минуту
Это даже разработчики не могут объяснить. И устранить это у них не получается.
Да Вы что?:rolleyes: А как Вы можете за них отвечать? Вы разработчик? Не думаю. Вы издеваетесь оттого, что Вам нечего сказать по существу. А молчать тоже не можете, потому что язык без костей, как у бабы-сплетницы. Попробуйте возразить.

А может, это все-таки форум вирусами оброс?
Нѣтъ, это не такъ.

Похоже, не можете.
Не, не могу: не в курсе причины.
А может, это все-таки форум вирусами оброс?
Всё возможно. Но меня больше интересует другой момент.

Добавлено через 3 минуты
А как Вы можете за них отвечать?
Совсем никак. Я за них и отвечать-то не хочу. :)
Вы издеваетесь оттого, что Вам нечего сказать по существу
Правильно, я согласен :D
А молчать тоже не можете, потому что язык без костей, как у бабы-сплетницы.
И снова в точку: я солидарен ;)
Попробуйте возразить.
Зачем? Я Вам слово - Вы мне десять. Давайте считать меня проигравшим и всё будет хорошо.

Давайте считать меня проигравшим и всё будет хорошо.
Нет, хорошо уже не будет :(

Ну и как решение ситуации (http://www.avastclub.ru/viewtopic.php?f=5&t=20) для любителей аваста

Добавлено через 2 минуты
З.ы. остальное можно и потереть.

Ну и как решение ситуации для любителей аваста
Спасибо, воспользовался. Да, я любитель Аваста. До него пробовал дважды, давно ещё, антивирус Касперского (оба раза вскоре после установки система сначала начинала безбожно тормозить, а потом её приходилось переустанавливать), время от времени юзал DrWeb, потом устанавливал Avira. Сейчас вот на Avast перешёл.
P.S. Журнал "Хакер" кинул пёрышко (http://www.xakep.ru/post/54789/) на чашу весов Аваста.

До него пробовал дважды, давно ещё, антивирус Касперского (оба раза вскоре после установки система сначала начинала безбожно тормозить, а потом её приходилось переустанавливать)
Недавно установила демонстрационную версию Касперского 2011. Приятно удивил своей скоростью, хотя на том же компьютере Касперский 2 года назад тоже безбожно тормозил. :) Наверное, они изменили алгоритм поиска: проверка заканчивается за несколько часов, а раньше он мог вообще весь день поверять.

Приятно удивил своей скоростью, хотя на том же компьютере Касперский 2 года назад тоже безбожно тормозил.
У них была какая-то неудачная и действительно очень тормозная версия, кажется, шестая. С тех пор много воды утекло и версий сменилось, но народ по-прежнему помнит и плюется на якобы "тормозного касперского". Так что, если пробовали несколько лет назад, есть смысл попробовать сейчас, актуальную версию.
А вообще это лучше в отдельную тему об антивирусах (http://www.aspirantura.spb.ru/forum/showthread.php?t=5535).

Иногда при открытии по гиперссылке нового окна в Internet Explorer 8 начинается каскадное безостановочное генерирование новых окон. Помогает только диспечер задач, да и то не сразу. В интеренет обсуждение этой проблемы какое-то слабое и непонятно вирус это или баг операционной системы. Антивирусник Nod32 и неустанавливое приложение от Касперского вирусов не нашли.

Антивирусник Nod32 и неустанавливое приложение от Касперского вирусов не нашли
И не найдут: это pop up ы

И не найдут: это pop up ы
Нет pop up - одно окно с посторонней рекламой (т.е. не тем, что я хочу открыть в новом окне), а тут куча окон с еще недогруженным содержанием (белый фон). Пока не остановишь с помощью диспечера задач, успевает загрузиться до 20 таких белых страничек :mad:. По страничке в секунду. Наверное, если не остановить, комп зависнет.

Нет
не нет, а да. Скриптик там. Уровень безопасности поставьте высокий или в настройках включите на сценарии предлагать и спрашивать

Тем, у кого комп послабее и Касперского не тянет, могу порекомендовать Comodo - он бесплатный, процент обнаружений чуть хуже, но, вцелом, справляется, пользуюсь им. Гуглим cispremium_installer_x64.exe или cispremium_installer_x32.exe, в зависимости от того, какая ОС. Касперский по защите один из лучших, но 2012 версия затормаживает даже мой, неслабый комп :) Рекомендую также пользоваться утилитками TrojanRemover, Malwarebytes Anti-Malware и AVZ.
Сравнительные тесты антивирусов можно посмотореть тут: http://www.anti-malware.ru/tests_results

Может не надо юзать эксплорер? :)

Коллеги!

Вчера начал сильно подтупливать компьютер, причем все программы.
Естесственно, подозрение пало на вирус. Установил CureIt от web'а,
тот проверил и среди прочих обнаружил некий bitcoinminer...

По сообщению антивируса файл х30811.ехе засел в С:/temp,
вылечить его не удалось, удалить тоже. Поместил в карантин,
загрузка центрального процессора упала со 100% до нормальной,
но при перезагрузке компьютер опять стал тормозить. И web
заново нашел файл по тому же адресу...

Подскажите, как избавиться от этого шайтана? Навсегда.

Коллеги!

Вчера начал сильно подтупливать компьютер, причем все программы.
Естесственно, подозрение пало на вирус. Установил CureIt от web'а,
тот проверил и среди прочих обнаружил некий bitcoinminer...

По сообщению антивируса файл х30811.ехе засел в С:/temp,
вылечить его не удалось, удалить тоже. Поместил в карантин,
загрузка центрального процессора упала со 100% до нормальной,
но при перезагрузке компьютер опять стал тормозить. И web
заново нашел файл по тому же адресу...

Подскажите, как избавиться от этого шайтана? Навсегда.

http://pchelpforum.ru/f26/t68700/

Коллеги!

Вчера начал сильно подтупливать компьютер, причем все программы.
Естесственно, подозрение пало на вирус. Установил CureIt от web'а,
тот проверил и среди прочих обнаружил некий bitcoinminer...

По сообщению антивируса файл х30811.ехе засел в С:/temp,
вылечить его не удалось, удалить тоже. Поместил в карантин,
загрузка центрального процессора упала со 100% до нормальной,
но при перезагрузке компьютер опять стал тормозить. И web
заново нашел файл по тому же адресу...

Подскажите, как избавиться от этого шайтана? Навсегда.
avz4 должен помочь, видимо дрвеб не видит сам генератор вируса.

да! делать все надо из под безопасного режима, минимум

kravets,
Crzay, спасибо!
Вечером буду пытаться победить зло :)

Кажется, я подцепила вирус... Пишет, что произошла ошибка и приложение будет закрыто... А на одноклассниках стало просто невыносимо находиться. Что делать? У меня стоит Касперский, я проверила на наличие вирусов, что-то там обнаружено было, все вроде бы вылечила, удалила, но кажется он есть...

Пишет, что произошла ошибка и приложение будет закрыто...
Ну, это не обязательно вирус.
кажется он есть
Остались какие-то признаки?
А на одноклассниках стало просто невыносимо находиться.
А какие проблемы возникают с этим сайтом?

Кажется, я подцепила вирус...
Мне тоже так периодически кажется, а потом куки и временные файлы почищу, перезагружусь - и порядок:). Если антивирусник обновляется регулярно, вряд ли пропустит пакость какую-нибудь...

kravets,
Crzay, спасибо!
Вечером буду пытаться победить зло :)

Очень похоже на вечекр с пятницы на понедельник. Справились?

kravets, конечно. Появился прекрасный повод пригласить
в гости старого приятеля. Вместе и справились... ;)

Я нашла эту гадость :( Она сидит вот здесь: c:\users\Aspirant_Cat\appdata\local\temp\ebab1010-7543674c-8e41cf14-920d5c9c\2a802_xp.exe, а её процесс с соответствующим названием 2a802_xp.exe обнаруживается Касперским, но ни в какую не завершается. Похоже, что она успела модифицировать системный файл: во вкладке "История" в окне "Активность программ" в KIS 2012 появилась запись: "Объект: С:\Windows\system32\MSCTF.dll Событие: Разрешено: Установка перехватчиков". Касперский на него ругается, но сделать ничего не может. Посоветуйте, как быть?

Здесь спроси: http://forum.kaspersky.com/index.php?showforum=18
Доступ туда не заблокирован?

Да чем мне там помогут? Если они такой антивирус сделали, что он с обычным трояном справиться не может, лузеры, такие же, как я :( Мне надо сделать так, чтобы этот процесс не запускался при автозагрузке, и восстановить системный файл, вот что я имею в виду. Тогда я удалю полностью эту папку из темпа.

Добавлено через 6 минут
Jacky, а если я попробую удалить запись об этом файле в автозагрузке CCleaner'om, а потом перезапущу, тогда процесс ведь по новой не запустится, да? И я смогу удалить его из темпа?

Aspirant_Cat, не знаю.

Мне надо сделать так, чтобы этот процесс не запускался при автозагрузке, и восстановить системный файл, вот что я имею в виду. Тогда я удалю полностью эту папку из темпа.
А восстановление системы не пробовали? Мне в свое время восстановление помогло избавиться даже от окна, требующего отправки sms для разблокировки компьютера, хотя при загрузки операционной системы в обычном режиме вообще ничего нельзя было сделать (запустить какую-нибудь программу, открыть папку и т.п.)

А восстановление системы не пробовали?
Нет, просто удалила вручную в безопасном режиме :) Только подтормаживание осталось.

Обнаружила у себя какую-то дрянь, Trojan.Win32.Generic, причём так и не поменянный Касперский находит её на системном диске Мегафон-модема, где её явно не может быть: e:\siljo\kramponja.exe.

Гугл говорит, что дрянь не лечится :(

http://forum.kaspersky.com/index.php?showtopic=104794
http://support.kaspersky.ru/faq?qid=208637344

Скачала импортный антивирус: http://www.prevx.com/filenames/1943632580028770308-X1/KRAMPONJA.EXE.html. Будет время, посмотрю, вдруг поможет.

http://forum.kaspersky.com/index.php?showtopic=104794
http://support.kaspersky.ru/faq?qid=208637344
Да, я видела, что Касперский не умеет его лечить. По первой ссылке чётко определяется путь заражения, у меня другой случай, он делает вид, что сидит на флэшке (заведомо защищённой от записи). Где-то прячется, зараза. Скрытный ;)

Добавлено через 7 минут
Кстати, эта зараза сидит с 1 декабря. А Касперский помалкивал...

Скачала импортный антивирус: http://www.prevx.com/filenames/1943632580028770308-X1/KRAMPONJA.EXE.html. Будет время, посмотрю, вдруг поможет.


Да, я видела, что Касперский не умеет его лечить.

Тогда, если Вы дочитали дальше, видели, что Касперский рекомендует обновить базы.

Они автоматически обновляются, сейчас стоят сигнатуры от вчерашнего числа, 23:21 время. И галочка там тоже выставлена на проверку файлов на карантине.

Добавлено через 2 минуты
2a802_xp.exe
А вот эта зараза опять проявилась во всей красе :( Добавила себя в доверенные к Касперскому и, судя по данным отчёта, обработала весь софт (заразила, что ли? это теперь при каждом запуске любой программы она будет активизироваться?). Утилиты от SysInternals её тоже не видят.

Они автоматически обновляются, сейчас стоят сигнатуры от вчерашнего числа, 23:21 время. И галочка там тоже выставлена на проверку файлов на карантине.

Добавлено через 2 минуты

А вот эта зараз опять проявилась во всей красе :( Добавила себя в доверенные к Касперскому и, судя по данным отчёта, обработала весь софт (заразила, что ли? это теперь при каждом запуске любой программы она будет активизироваться?). Утилиты от SysInternals её тоже не видят.

Мда. Везучая Вы. Попробуйте скачать avz здесь - http://z-oleg.com/secur/avz/ , разместить каталог в корне диска С, перезагрузиться в безопасном режиме и запустить.

Спасибо, попробую.

Добавлено через 3 часа 10 минут
Ничего не помогает. Интернет тормозит страшно, а Касперский продолжает по-тихому находить Крампонью.ехе. Наверное, проблема в том, что я не умею интерпретировать результаты Proccess Explorer от SysInernals, поэтому и не вижу, где сидит вирус. :(

Aspirant_Cat, может, всё-таки переустановить систему на чистый отформатированный и переразбитый диск?..

Два месяца назад переустановила с нуля. Все бесполезно. Ни к кому вирусы не липнут, а ко мне как мухи... :(

Добавлено через 48 минут
Ну вот, теперь ещё и PDM.Surpricious driver installation в темпе нашёлся :( Причём он сегодня инсталлировал минимум два непонятных мне драйвера, и я не знаю, как удалить их и их инсталлятор.

А ещё я от расстройства сегодня сломала кнопку у телевизора, она вылетела, когда я протирала на нём пыль, а из неё вылетела пружина, я кнопку вставила, а пружину позже заметила, и теперь вытащить её не могу, чтоб поставить пружину. Пыталась вязальным крючком, в результате сломала крючок (железный!). Ну что за день такой! :weep::weep::weep:

Добавлено через 7 часов 34 минуты
Вот те раз, опять проблемы с обновлением антивирусных баз начались. Дела :(

Вот те раз, опять проблемы с обновлением антивирусных баз начались. Дела :(

Вирус блокирует.

Ну всё. Срок действия вчера поставленной триальной версии НОД32 истёк, ошибка инициализации фаервола. Виндоус капут. :Grobovschik:

Гугл говорит, что дрянь не лечится
Это гугле не лечится...
Утилиты от SysInternals её тоже не видят.
С чего вы решили, что не видят? Список процессов, плюс список тредов процесса System в студию!
Ни к кому вирусы не липнут, а ко мне как мухи...
Опять под локальным админом в Инете сидите?
PDM.Surpricious driver
Многообещающее название ;)
Виндоус капут
Нет, вы просто устали, плюс не хватает знаний и опыта. В виндоусе в принципе
нечему дохнуть... просто слегка покореженный набор файлов и ключей реестра.

опробуйте скачать avz здесь
Замечательная утилита, сам ею пользуюсь, от антивирусов давно отказался, ибо
мало, что ловят, и только жрут системные ресурсы. Но этой утилитой тоже нужно
уметь пользоваться. И вообще пани Котовски нужен реальный специалист рядом...

В виндоусе в принципе
нечему дохнуть...
Как это? А самой винде?..
просто слегка покореженный набор файлов и ключей реестра.
... что обычно и приводит к смерти винды.

Вот список процессов из Process Explorer'a:
http://s49.radikal.ru/i125/1112/69/72324f7c9d2d.png
А треды процесса System я не знаю, как получить.
Опять под локальным админом в Инете сидите?
Нет, из под учётной записи с ограниченным доступом.

Как это? А самой винде?..
Ну чему там дохнуть-то? Главное, чтобы диск физически был целый, а файлы и
ключи все можно поправить, подключив его к другому компу с чистой системой,
либо загрузив mini Windows XP, используя Hiren Boot CD, если нет другого компа.
А треды процесса System я не знаю, как получить.
Очень просто, кликаете на процесс System (он второй сверху у вас), и переходите во вкладку Threads.

Нашла треды, теперь не знаю, как их оттуда вытащить. Они не входят на один скриншот и не копируются. Можно сделать их несколькими скринами?

Можно сделать их несколькими скринами?
Ну разумеется, только весь список обязательно, ничего не упускаем из виду.

Треды:
http://s017.radikal.ru/i411/1112/3b/3d64771548fa.png
http://s017.radikal.ru/i438/1112/96/3e339aa9f8e3.png
http://s013.radikal.ru/i325/1112/17/d73142eeb024.png
http://s006.radikal.ru/i213/1112/2c/5726c6587d4b.png

Добавлено через 9 минут
Или вот так лучше, отсортировала по номеру, чтобы ничего не потерять:
http://i026.radikal.ru/1112/a9/1e07bfe53d06.png
http://i052.radikal.ru/1112/31/2e3cd11a635d.png
http://s017.radikal.ru/i411/1112/7d/f9c0b1a7480e.png

Теперь плиз скриншот окна утилиты TCPview.

Еще скриншот окна утилиты Autoruns в закладке Logon.

TCPview:
http://s005.radikal.ru/i212/1112/49/de5efe3deb6c.png
Autoruns:
http://s017.radikal.ru/i407/1112/7f/c5ffa4d0487d.png

Добавлено через 26 минут
пани Котовски нужен реальный специалист рядом
Ещё как нужен.

Что-то я криминала не вижу... Беда в том, что вирус может сидеть в одном из svchost, автоапдейтере Adobe... Все-таки прогнать бы AVZ и посмотреть на то, что он скажет...

Он говорит, что угроз нет. Сначала только выдал два подозрительных сообщения типа "Прямое чтение: путь в папку темп в аппликэйшн дата", но при повторной проверке уже не выдавал их. Может, Касперский даёт ложную тревогу? Но почему тогда NOD 32 сразу вышел из строя?

Действительно, на первый взгляд не видно подозрительных процессов или драйверов.
Ладно, запустите RootkitRevealer (тоже SysInt-вская утилита), дождитесь завершения,
потом сохраните отчет (текстовый файл) и выложите его сюда. Завтра посмотрю его.

Может, Касперский даёт ложную тревогу? Но почему тогда NOD 32 сразу вышел из строя?
Оба антивируса имеют модули режима ядра, защищают свои компоненты, противодей-
ствуют попыткам других программ лезть к ним, перехватывают функции чтения и запи-
си файлов, ключей реестра, и, разумеется, пытаются блокировать и лечить друг друга.

Он говорит, что угроз нет. Сначала только выдал два подозрительных сообщения типа "Прямое чтение: путь в папку темп в аппликэйшн дата", но при повторной проверке уже не выдавал их. Может, Касперский даёт ложную тревогу? Но почему тогда NOD 32 сразу вышел из строя?

К сожалению, современные вирусы умеют блокировать работу антивирусов. Последнее. Правда, с Вашим модемом это будет утомительно, но все же - попробуйте:
- скачать DrWeb-CureIt в корень диска C (проще запускать);
- скачать заведомо чистый avz в папку в корне диска С (проще запускать);
- отключить Интернет;
- отключить восстановление системы;
- перезагрузиться в безопасном режиме;
- запустить скачанный файлик DrWeb (у него будет абсолютно идиотское имя, но это не страшно) и выбрать режим выборочного сканирования - Windows, Documents and Settings, Program Files; соглашайтесь на лечение чего ни попадя, но записывайте имена файлов;
- запустите после этого AVZ, если будут угрозы, запишите их в скрипт и потом выполните его;
- запустите regedit.exe и удалите упоминания о файлах, побитых DrWeb, из реестра (ВНИМАНИЕ! Если Вы не уверены в том, что можете определить корректность файла - этого лучше не делать!!!);
- перезагрузитесь в обычном режиме.

Если не поможет - я бы переставлял систему...

Хорошо, сделаю.
PavelAR, kravets, спасибо.

Добавлено через 4 минуты
DrWeb-CureIt
Кстати, от запуска этой утилиты, скачанной месяц назад и уже использованной для лечения вирусов, у меня вчера и активизировался опять этот вирус. Буду качать свежую версию.
Оба антивируса имеют модули режима ядра, защищают свои компоненты, противодей-
ствуют попыткам других программ лезть к ним, перехватывают функции чтения и запи-
си файлов, ключей реестра, и, разумеется, пытаются блокировать и лечить друг друга.
Касперский был удалён перед установкой NOD32. Я надеялась, что НОД как второй по популярности среди посетителей этого портала антивирус сможет вылечить то, что Касперский видит, но не может ни удалить, ни вылечить.

Кстати, от запуска этой утилиты, скачанной месяц назад и уже использованной для лечения вирусов, у меня вчера и активизировался опять этот вирус. Буду качать свежую версию.

Маловероятно. Скорее, зоопарк на Вашем компьютере за этот месяц заразил DrWeb и уже потом что-то происходило.

Ладно, запустите RootkitRevealer (тоже SysInt-вская утилита), дождитесь завершения,
потом сохраните отчет (текстовый файл) и выложите его сюда.
Не могу сохранить отчёт, три раза запускала, программа открывается не на рабочем столе, а на голубом фоне, пишет, что из-за частичной несовместимости; при попытке сохранить отчёт программа зависает.

Добавлено через 2 часа 5 минут
Если бы я сразу сделала вторую учетную запись для выхода в Интернет, сейчас бы не мучилась с вирусами. Они явно залезли туда, когда я выходила в сеть из-под рута. Проверка CureIt показала один зараженный трояном файл, а при повторной проверке той же утилитой в статусной строке, где отображаются названия проверяемых процессов и файлов, снова виден этот вирус, запускаемый из темпа, хотя нахожусь в безопасном режиме померещилосьб, название похожее, откуда в точности запускается, не уловила. Зато после удаления нескольких вирусов разными примочками восстановилась работа МегаФон Интернет, а восстановленный Касперский обновил свои базы без проблем. Если что-то и не удалилось до конца, то по крайней мере, деактивировалось.

Добавлено через 4 часа 25 минут
Проверка Касперским дала печальную картину :( На свежих базах надпись "Базы давно не обновлялись", красный крест на гаджете, вместо "Компьютер защищен" надпись "Угрозы", опять тот же троян в нескольких файлах, опять PDM.Surprisious driver в темпе. Последний, кстати, при запуске RootkitRevealer попытался загрузить драйвер RKREVEAL150.SYS. Я не знаю, может, это нормально.

Проверка Касперским дала печальную картину :( На свежих базах надпись "Базы давно не обновлялись", красный крест на гаджете, вместо "Компьютер защищен" надпись "Угрозы", опять тот же троян в нескольких файлах, опять PDM.Surprisious driver в темпе. Последний, кстати, при запуске RootkitRevealer попытался загрузить драйвер RKREVEAL150.SYS. Я не знаю, может, это нормально.

Касперский мог быть заражен.

Вы отключили восстановление системы?

Запишите свежий DrWeb на CD/DVD. Запускайте только в безопасном режиме и только с него.

После этого запустите AVZ на исследование системы.

Нормально.

Нет, восстановление я пока не отключила, решила сначала сама проверить результаты RootkitRevealer, подозрительные моменты я просто сфотографирую и выложу сюда.

DrWeb запускала свежий и в безопасном режиме, только вот болванки под рукой нет, чтобы записать. :(
AVZ тоже в безопасном запускала.

Aspirant_Cat, у тебя семерка судя по скринам? Любопытства ради, UAC не отключен?

Добавлено через 2 минуты
На будущее может быть есть смысл после переустановки системы с нуля и установки/настройки основных программ сделать образ каким-нибудь акронисом, чтобы, если что, развернуть систему потом побыстрее.

Нет, конечно. Я до сих пор не могу понять, почему рекомендуют его отключать.

Не могу сохранить отчёт, три раза запускала, программа открывается не на рабочем столе, а на голубом фоне, пишет, что из-за частичной несовместимости; при попытке сохранить отчёт программа зависает.
А у меня она просто не запускается

Я просмотрела результаты, ничего подозрительного не вижу, кроме одной пустой папки без названия со странным штампом даты, 01.01.1601 6:00, скрытой от Windows API, в самом начале списка. Ни несоответствий в реестре, ни нулевых символов, ни отказа в доступе, ни подозрительных файлов и папок. Но Касперский так и показывает старые базы, сколько ни обновляй, и это мне не нравится. Два часа назад обновила, а он пишет "Базы сильно устарели".

Aspirant_Cat,
если нет болванки, попробуйте с флешки
http://www.freedrweb.com/liveusb/
конечно live флешку делать надо на здоровом компе

Нет, восстановление я пока не отключила, решила сначала сама проверить результаты RootkitRevealer, подозрительные моменты я просто сфотографирую и выложу сюда.

DrWeb запускала свежий и в безопасном режиме, только вот болванки под рукой нет, чтобы записать. :(
AVZ тоже в безопасном запускала.

Солнце упрямое, восстановление НУЖНО отключать. Там, в скрытых файлах, и сидит живущая у Вас зараза. Когда Вы отключаете восстановление, Вы автоматически эти файлы сносите и при следующей перезагрузке оттуда никакая сволочь уже не выпрыгнет.

Что касается Касперского - удалите его (если есть возможность снова поставить), прогоните реестр софтинкой ccleaner - http://www.piriform.com/ccleaner - и снова поставьте.

Хорошо, после переустановки отключу :)

Добавлено через 46 минут
Ну вот, переустановила, отключила восстановление, создала две учётных записи со сложными паролями, сейчас ещё гляну, как отключить UAC. Всем спасибо за советы.

PS. Я всё равно научусь ;)

Хорошо, после переустановки отключу :)

Добавлено через 46 минут
Ну вот, переустановила, отключила восстановление, создала две учётных записи со сложными паролями, сейчас ещё гляну, как отключить UAC. Всем спасибо за советы.

PS. Я всё равно научусь ;)

Безусловно. Но восстановление НУЖНО отключать ТОЛЬКО при лечении. А в штатном режиме оно ДОЛЖНО БЫТЬ включено.

ОК. Вернула обратно :) Спасибо.

сейчас ещё гляну, как отключить UAC
Не, не надо отключать.

Не, не надо отключать.
Точно? Я в одной книжке (http://www.twirpx.com/file/536004/) читала, что наоборот рекомендуют отключать.

Я теперь не могу водворить документы на место, потому что стоит воткнуть заражённый диск и что-то с него скопировать, как начинает глючить Касперский, автозапуск отключён. С этим можно что-то сделать?

Точно?
Зуб даю.

Я теперь не могу водворить документы на место, потому что стоит воткнуть заражённый диск и что-то с него скопировать, как начинает глючить Касперский, автозапуск отключён. С этим можно что-то сделать?

Поступите иначе. Воткните зараженный диск, прогоните его через DrWeb. И потом уже что-нибудь копируйте.

Воткните зараженный диск, прогоните его через DrWeb.
Через утилиту CureIt или снести Касперский и поставить полноценный DrWeb?

Через утилиту CureIt или снести Касперский и поставить полноценный DrWeb?

CureIt достаточно.

CureIt достаточно.
ОК, так и поступим. Спасибо.

ОК, так и поступим. Спасибо.

Еще один совет: прогоните через CureIt все сменные носители. Неизвестно, что прыгнуло туда или Вы затащите оттуда.

kravets, посмотрите, пожалуйста, вот сюда:
http://s017.radikal.ru/i441/1112/7e/33a49f9d1e22.png
http://s001.radikal.ru/i194/1112/da/65dde790d197.png
Это появилось после запуска свежескачанной CureIt из-под админа и прогона через неё сменных носителей, и нынче я поставила KasperskyCRYSTAL вместо KIS, поэтому смогла получить картину запуска этого PDM.Hidden Object, который в KIS определялся как PDM.Surprisious driver. У него первые буквы, я заметила, меняются, но всегда остаётся суффикс "хр". Это конфликт антивирусов или с сервера DrWeb'a поставляются заражённые утилиты или к ним что-то цепляется, пока я их скачиваю?

Последняя программа, кстати, называется AutoRun Manager и имеет цифровую подпись DrWeb'a, за счёт чего обе прописываются у Касперского как доверенные, за чем-то обращаются ко всему имеющемуся у меня софту, который потом оказывается заражён троянами (возможно, не из-за этих обращений, я просто не знаю, что думать об этом).
Добавлено через 7 минут
А ещё у флэшки, форматированной вчера на явно заражённом этой пакостью нетбуке, оказался изменён размер кластера, хотя я его не меняла.

С сервера DrWeb зараженный файл поступить не может. Зараза уже сидела внутри.

Отключите восстановление системы. Редактором реестра удалите из него все упоминания о двух файлах *.sys (поиск по имени, без расширения), которые есть у Вас на первой картинке. Выключите ноутбук длительным нажатием на кнопку питания. Включите и посмотрите ,что будет.

Кстати - имена исполняемых файлов очень похожи на те, под которыми работает CureIt. Вы его утром запускали?

Посмотрите еще и это:

http://www.redgrad.net/index.php?option=com_idoblog&task=viewpost&id=1025&Itemid=

Я почищу реестр, конечно, но я не понимаю, неужели она пережила двойное форматирование жесткого диска? Это картинки не с нетбука, а со стационарной машины, где только что переустановлен виндовс с форматированием жесткого диска, утилита выкачивалась со всеми мерами предосторожности, проверялась касперским, и флэшки на этом компьютере не открывались еще вообще. Хорошо, что я теперь вижу, какие изменения она произвела в системе и могу попытаться их исправить.

Я почищу реестр, конечно, но я не понимаю, неужели она пережила двойное форматирование жесткого диска? Это картинки не с нетбука, а со стационарной машины, где только что переустановлен виндовс с форматированием жесткого диска, утилита выкачивалась со всеми мерами предосторожности, проверялась касперским, и флэшки на этом компьютере не открывались еще вообще. Хорошо, что я теперь вижу, какие изменения она произвела в системе и могу попытаться их исправить.

Это странно. Никто не переживет даже однократного форматирования. Я, если честно, все-таки не уверен, что это вирус.

да, я его запускала как раз в то время, что зарегистрировал касперский, а в 10.13 перезапустилась в безопасном режиме и убила папку с файлами в темпе.

да, я его запускала как раз в то время, что зарегистрировал касперский, а в 10.13 перезапустилась в безопасном режиме и убила папку с файлами в темпе.

Похоже, что это все-таки не вирус, а элементы активного CureIt. Он, к сожалению, неаккуратен в плане мусора за собой. До перезагрузки в памяти висит его процесс, даже когда он сам завершен.

Хорошо, пусть это не вирус, но все-таки я ещё раз переустановлю систему, потому что в реестре его записи не видны, хотя из четырёх удалены только две, если я правильно понимаю. Впредь буду соблюдать элементарные меры безопасности, а для удаления троянов пользоваться AVZ.

Добавлено через 23 часа 0 минут
Кажется, я схожу с ума: Касперский нашёл вирусы в собственных системных папках или я брежу?

23.12.2011 11:00:02 Обнаружено: HiddenObject.Multi.Generic C:\Users\All Users\Kaspersky Lab\AVP9\Data\Updater\Temporary Files\temporaryFolder\bases\as\pas4\ForDiff\mcflt0 0.keb.fk7 Записано в отчет

23.12.2011 11:01:09 Обнаружено: HiddenObject.Multi.Generic C:\Users\Все пользователи\Kaspersky Lab\AVP9\Data\Updater\Temporary Files\temporaryFolder\bases\as\pas4\ForDiff\mcflt0 0.keb.fk7 Записано в отчет


Добавлено через 52 минуты
Мне уже вторую ночь снятся вирусы :(

Ну вот, переустановила
Легче стало?
Впредь буду соблюдать элементарные меры безопасности,
а для удаления троянов пользоваться AVZ.
Аминь! ;)

P.S. Если виснет RootkitRevealer - это признак заразы-руткита или кривого антивируса.

Хорошо, пусть это не вирус, но все-таки я ещё раз переустановлю систему...
Мне уже вторую ночь снятся вирусы :(

И ведь не лень же людям :)
Вместо того чтобы потратить 15 минут на загрузку того же http://linuxmint.com и, записав на диск, через 5 минут получить безопасную, работающую систему с набором повседневных программ...
С другой стороны - в жизни должно быть место Подвигу, Героической Борьбе (пусть и с вирусами) и Преодолению с Превозмоганием :)

Легче стало?
Нет, не стало. Легче станет тогда, когда я буду знать, что происходит у меня в компьютере и почему, и буду уверена в том, что происходящее не есть деятельность вирусов (если такое вообще когда-нибудь случится). Вот AVZ сейчас выдал подозрение на руткит C:\Windows\system32\DRIVERS\klif.sys, возможно, это остатки CureIt не прекращают своей активности. У меня уже паранойя на почве вирусов.

Добавлено через 3 минуты
Для начала попытаюсь изучить Руссиновича.

C:\Windows\system32\DRIVERS\klif.sys
Драйвер Klif.sys, предназначенный для защиты продукта от несанкционированного доступа и отключения злоумышленниками
Это часть Касперского

Это часть Касперского
Правда??? :eek::eek::eek:

Инк, а ссылку можно, где об этом написано, если не трудно, пожалуйста? Как-нибудь вообще можно доподлинно узнать поподробнее о том, что Касперский творит в моей системе?

Тут есть (http://www.kaspersky.ru/news?id=207732544)

Спасибо, успокоил :)

Нет, не стало. Легче станет тогда, когда я буду знать, что происходит у меня в компьютере и почему, и буду уверена в том, что происходящее не есть деятельность вирусов (если такое вообще когда-нибудь случится). Вот AVZ сейчас выдал подозрение на руткит C:\Windows\system32\DRIVERS\klif.sys, возможно, это остатки CureIt не прекращают своей активности. У меня уже паранойя на почве вирусов.


(тихо шипя и ругаясь) вот сюда ходи, да, когда отдельный файл вызывает подозрения:

http://www.virustotal.com/ru/

http://www.virustotal.com/ru/
Спасибо :o

klif.sys
Kaspersky Lab Interceptor and Filter.

Легальный (небитый, незараженный) файл должен обязательно иметь действитель-
ную цифровую подпись Kaspersky Labs Inc., на базе ключа, выданного VeriSign-ом.
Проверить подлинность файла можно в закладке цифровые подписи свойств файла.

Что касперский творит в моей системе?
Ничего особенно, перехват и анализ API-вызовов относящихся к созданию процессов,
потоков, открытия файлов, ключей реестра, эвристический анализ, и анализ по базе,
фильтрация на основе правил, выполнение проверок по расписанию и прочая мелочь.

Легче станет тогда, когда я буду знать, что происходит у меня в компьютере и почему
Нельзя объять необъятное ;) А вот найти и цепко объять воина дzена - вполне реально ;)
Для начала попытаюсь изучить Руссиновича.
Мысль хорошая, но при условии, что хорошо знаешь архитектуру процессоров Intel x86,
глубоко понимаешь защищенный режим, страничную адресацию, ну и прочие "мелочи".

P.S. Мну вот другой зверек уже года 3 как привлекает внимание, шифруется под драйвер
sptd.sys - SCSI Pass-Through Direct driver, поставляемый с различным софтом типа Alcohol.

PavelAR, спасибо за пояснения. Цифровую подпись нашла, подписано "Kaspersky Lab.".

Сегодня, делая доклад на "методологическом семинаре..." подцепил того самого червя, который помещает папки флешки в папку с именем ".." (две точки), не видимую через проводник. Последовало банальное уничтожение вируса с помощью Microsoft Security и дальнейшее копирование файлов на флешку. Это к вопросу о необходимости держать нужные файлы на двух-трех носителях, дабы не возиться с восстановлением информации.