Главная Вход в систему Регистрация
Задать вопрос Консультации Пользователи Форум
О системе Помощь
Задать вопрос экспертам
Консультация № 136702
13.05.2008, 20:35
0.00 руб.
0 7 2
Компьютеры Программное обеспечение Защита информации
Здравствуйте уважаемые эксперты! Проблема: дал людям поработать на машине(стоял Каспер 6.* 2 дня, не судите так получилось), затем они загрузили, как я понимаю троян загрузчик, вот он:Trojan-Downloader.Win32.Small.cxx вот с этого ресурса URL: http://try-count.net/pictures5/zgame1 или если сказать правильно с этого адреса, теперь просто извините"прёт нечисть" во всем ее разнообразии(черви трояны вирусы адвары спайвары кейлоггеры) и самое интересное то, что Каспер 7 им не помеха в принципе:)... Еще симптомы: комп грузят не по-детски, хотя при этом проц 4-32%, при подключении к интернету "бегут" на вышенаписанный ресурс и качают оттуда "обновления", затем почему-то в автозапуске я нашел интересную запись "KernelFaultCheck-программа, имя файла-%systemroot%\system32\dumper 0 -k, путь в реестре откуда загружать естественно- HKEY_LM\Run. Затем появились еще 2 программы: C\Windows\taskmOn.exe, а не taskmAn.exe & C\Windows\sys32\maxpaynow1.exe . Компьтер не в локалке, подключается через 3G(хотя я думаю это неважно). Чем лечил: Каспер 7 и Антивирус Зайцева (последний), кстати после удаления AVZ всеравно находит Trojan-Dropper.Win32.Small.bgx и еще вот это "chel.citysvyaz.ru.avi MailBomb detected !". Помогите сделать так, чтобы не грузились вирусы с этого ресурса(удалить загрузчика). Заранее большое спасибо!

Обсуждение

Неизвестный
13.05.2008, 20:58
общий
это ответ
Здравствуйте, Vitek Koval!
Насколько видно возможен единственный способ вылечить все это.
1. Для этого необходимо закачать с использованием не зараженного компьютера кокую ибудь утилиту проверки на вирусы (например CureIt от диалог науки www.drweb.ru или аналогиччную от Касперского или другого антивирусного средства)
2. загрузится с внешнего носителя (загрузочный CD или DVD) и запустить эту утилиту с флэшки (или если умеете вставить ее в состав загрузочного CD/DVD диска)
3. с использованием этой утилиты проверить на вирусы компьютер, пока не удалите все...
Аналогичный вариант пойти к кому нибудь, у кого установлен антивирус со свежайшими антивирусными базами, со своим жестким диском. Подключить его там и проверить антивирусным средством с того компьютера (не бойтесь там ничего не заразите, если будите только проверять жесткий диск, а не открывать и запускать с него файлы.

Существует альтернативный радикальный вариант, отформатировать жесткий диск, данный способ дает практически 100% особенно если отформатировать все разделы (не обязательно , можно отформатировать только системный, а затем остальные разделы проверить антивирусом. опять же ничего не запуская с них и не открывая)
Неизвестный
13.05.2008, 21:29
общий
<b>Vitek Koval</b>Вы так застращали этим грозным сайтом, что не утерпел и, поскольку я в своей защите уверен, пошел сразу туда. И меня сразу-же "предупредили" и KIS блокировал сайт. Странно: как у Вас 6-ой пропустил? У меня - KIS 7.Устанавливать антивирус на уже пораженную машину глупо. Он при установке уже может быть поражен (особенно если Вы не включили защиту при установке)
Неизвестный
14.05.2008, 14:32
общий
Нда-а-а....В общем, если захотите воспользоваться советом Александр aka endoftime (без форматирования), то также настойчиво рекомендую исследовать после этого все точки автозапуска (не подключаясь к инету) с пом. программы Autoruns от Sysinternals. Бывало, что после тотального обезвреживания вирусная активность восстанавливалась. Скорее всего с пом. браузера Интернет Эксплорер (пользуюсь годами исключительно Оперой, к ней всякая гадость не цепляется).
Неизвестный
15.05.2008, 07:35
общий
DimanG1. Опера также дырява как и интернет эксплорер.. (и под нее есть эксплойты)ненадо обольшатся ...2. "точки автозапуска" уже ни чем не помогу.. по тому как это просто строки в реестре... если убрать сами модули далее просто нечего запускать будет, так что тут вы не правы...Теперь, почему я написал про форматирование... сейчас все почемуто все подряд называют вирусами, но вирус это только такое вредоносное ПО, которое осуществляет изменение кода хранящегося в файле со вставкой своего, другие программы это черви (они тоже "умеют" размножаться) троянцы, эксплойты и т.д. Если в системе именно вирус да к тому же заражающий EXE то далеко не факт, что после того как вы его вылечите зараженные исполнимые файлы останутся работоспособными, и что система вообще оживет.Теперь о том почему способ лечения примененный автором вопроса не правильный... Большинство вредоносного ПО состоит из 2 модулей. непосредственно вредоносного и загрузчик... загрузчик после загрузки основного модуля исчезает из памяти, он может быть вполне легальным модулем, но нести с собой шифрованный контейнер с вредоносным основным модулем.... так что выгружая процессы и проверяя мы можем не достичь нужного.Кстати возвращаясь к вопрос авторана, для вирусов (именно вирусов) он не нужен... это только для троянов, червей и т.п.
Неизвестный
15.05.2008, 08:31
общий
Для Александр aka endoftime1. Недырявого софта просто не существует, и вряд ли когда он будет существовать. Я говорю о его, так сказать, безопасной работоспособности без применения каких-либо радикальных мер - когда просто устанавливаешь и работаешь. Руководствуюсь чисто фактами из своей практики.Кстати, вирусная активность возобновлялась именно после неосторожного запуска Експлорера. То, что он тоже настраивается - я знаю, но всё равно предпочитаю им не пользоваться...2. "Точки автозапуска" - это не только "строчки в реестре", но также и службы и драйвера (хотя они, впрочем, в реестре тоже представлены как "строчки" - что поделаешь, так задумано). Вы встречали когда нибудь вирус, работающий как службы или драйвер? Сейчас таких много. В папке "Автозагрузка" их точно нет.3. Насчёт определения "вирус" - просто такое прижилось... Ведь назвают же программу антиВИРУС, а не каким-то умняцко-универсальным термином. Для пользователей, которые с этим регулярно сталкиваются, удобнее называть всю эту нечисть одним словом, и не стоит создавать путаницу. Да, лет 10-12 назад (именно тогда я сел впервае за комп (нормальный писюк, а не БК какой-нить), были, в основном, только такие, "заражающие" вирусы. Сейчас же подцепить таковой - маловероятно ввиду их нераспространённости. Понять, что вирус именно "заражающий" - совсем нетрудно с помощью антивируса, видно это будет сразу. Тогда и встанет вопрос о форматировании винта. Врочем, мне почти всегда удавалось вылечивать заражённые exe-шники и безо всякого форматирования на огромном количестве файлов.
Неизвестный
15.05.2008, 08:36
общий
Также вирусы можно опознать и локализовать с целью последующего устранения с пом. утилит, отслеживающих сетевую, файловую и реестровую активность. Пакет от Sysinternals - лучший помощник в таком деле...
Неизвестный
15.05.2008, 22:48
общий
это ответ
Здравствуйте, Vitek Koval!
Полезный совет:
1. Периодически, почаще, заглядывайте в раздел RUN системного реестра вашего Windows. Это можно сделать следующим образом: Пуск - Выполнить. В появившемся окне наберите regedit и нажмите ОК. Далее заходите в раздел HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run. Там смотрите, не грузятся ли вместе с вашим виндовсом программы-паразиты (трояны, "черви" и прочая нечисть), которые могут являться причиной утечки информации через Internet или локальную сеть. Если таковы имеются, немедленно оттуда их удаляйте! В правой половинке редактора реестра отмечаете правой мышкой вредоносную программу и в появившемся контекстном меню, левой мышью нажимаете удалить.
2. Дело в том, что вредоносные прграммы (троянские кони и "черви") действуют иначе, чем обычные вирусы, поэтому бороться с ними антивирусными программами бесполезно. Для полного контроля над механизмом передачи и получения информации предназначены специальные программы. Они работают на уровне логичесикх портов компьютера, блокируя или открывая нужные из них. Одной из таких программ является Kerio Personal Firewall. Если такой у вас программы нет, рекомендую установить, не пожалеете.
Удачи.
Форма ответа