Вопрос №28774
 
 
 
 
 

Как избавиться от неизвестного вируса?

SILES · больше 6 лет назад · 3 ответа
 

Когда я захожу в гугл(Россия,Украина,Штаты), в мэйл.ру, на яндекс и рамблер то страницу *блокирует* КАСПЕРСКИЙ ИНТЕРНЕТ СЕКЬЮРИТИ 2010 и просит чтобы я сначала зашла на свою страницу в контакте (что тоже с точки зрения невозможно.Причём антивирус у меня АВАСТ).
Я рыла сеть в поисках ответа и откопала способ - диск С\Уиндоус\Систем32\драйверс\экт\хостес и удалить лишнее.Когда я зашла в этот документ,там было написано,что бы я *не мучалась и отправила смс*.Полный издёв.Я эту штуку удалила,но ни фига=(((
Всеё этой мутне поспособствовала программа *GeT-styles 2.0*. На 99%.Я её пыталась удалить,но она нивкакую...Не удаляется только документ,отвечающий за расширение программы....

ПОЖАЛСТА!!!!!ПОМОГИТЕ!!!!!!Я БОЛЬШЕ НЕ БУДУ КАЧАТЬ ТАКИЕ ПРОГРАММЫ!!!!

Хороший вопрос Ф топку
11
1
Видео по теме
 
Ответы
Ответ выбран автором вопроса
kelz · больше 6 лет назад

Откуда качали, помните?

 
 
 
kelz · больше 6 лет назад

Да, чувство юмора у ребят есть (это про файл hosts). :) Скачал софтину, поставил, все нормально. Дело не в ней.
Какой браузер? Скачайте вот эту софтину: technet.microsoft.com/ru-ru/sy...
Запустите, Ctrl+A, сохраняйте лог и давайте сюда (если небольшой).
То же самое вот с этой софтиной: technet.microsoft.com/ru-ru/sy...
Запускаете, сохраняете лог, и выкладываете.
А лучше на почту мне сразу (у меня в профиле есть)
Делать это надо, когда эта фиговина зловредная активна.

 
 
kelz · больше 6 лет назад

Что за процесс run.exe?
Запустите первую софтину и убейте его (клавиша Delete). Если она запустится снова (как бы сама), то тыкайте по ней правой мышей и выбирайте пукт Suspend - это поставит процесс на "паузу". Посмотрите откуда он запустился (даблклик по нему). Попробуй зайти куда не заходит. Будут изменения или нет? Если да, то это и есть наш клиент.

 
SILES · больше 6 лет назад

Итак,я эту штуку убила...И она не запустилась снова...И ничего не изменилось...

 
kelz · больше 6 лет назад

С полпинка не получилось :) И все-же ее там быть не должно. Посмотрите откуда она запускается, прибейте и для начала, переименуйте файл. Скайпы и торренты из автозагрузки уберите на время. Скачайте RootkitUnhooker: rapidshare.com/files/133000654... Отрубите инет, запустите прогу. Выделяйте все строки, где в столбце Hooked стоит Yes (кроме драйвера аваста aswSP.SYS - ему можно) и кнопка UnHook Selected. То же самое проделать на всех закладках. Имена хуковших драйверов надо запоминать, потом в %SystemRoot%\System\Drivers смотрим дату создания этих драйверов, если примерно в период возникновения проблемы, то это руткит. Чтобы убить, ищем это имя файла в реесте (Win+R, regedit[Enter]), в кусте HKLM\SYSTEM\CurrentControlSet\Services бахаем соответствующую службу.
Также проверяем msconfig-ом (Win+R, msconfig[Enter]) свою автозагрузку, убираем все не нужное и незнакомое - ничего страшного не произойдет. Жмем ОК, запускаем снова, убеждаемся, что обратно галочки не поставились. Если поставились, то это наш клиент, т.к. ни один софт, кроме вредоносного, свою автозагрузку мониторить постоянно не будет...
Чета как-то много получилается, а ведь только начали исследование :)))

 
kelz · больше 6 лет назад

В любом случае надо понимать, что это всего лишь программулина, которая каким-то образом запускается при старте компьютера. Может быть это драйвер - руткит, но скорее всего либо .exe файл, который явным образом запускается, либо .dll библиотека, которая автоматом грузится при старте какого-нибудь софта, например плагин для файерфокса, осла, аськи. Не знаю как там конкретно с оперой, но в винде есть куча способов загрузить себя автоматически. Как только пациент будет обнаружен, то его надо удалить.

 
SILES · больше 6 лет назад

Вы тут так много написали...уууух....с моим маленьким мозгом,который просуществовал 16 лет это сложно понять....я сейчас попробую переварить это всё и сделать....Завтра напишу что получилось....

 
SILES · больше 6 лет назад

ААААААААААААААААА!!!!!!!!!!!!!Кошмар!!!!!!!!!Я тут прежде писала,что эту штуку убила и она нифига не перезапустилась...Она перезапустилась!!!!!Я Поставила её на паузу....А вот что там дальше делать я не совсем поняла....Неее,ну я кликнула на неё 2 раза и она выдала мне 3 строчки....А вот что дальше?????

 
kelz · больше 6 лет назад

Так, если она перезапустилась, то это означает, что она вешает своего т.н. сторожа, который ждет когда она завершится (или упадет из-за ошибки) и стартует заново. Сторож вешается обычно в какой-нибудь стандартный виндовый процесс, обычно это services.exe, svchost.exe и explorer.exe. Если вида седьмая, то скорее всего это explorer, т.к. вклиниться в нулевую сессию это геморрно. Думаю, если бы он это делал, то он бы себя так тупо не палил. Поэтому перед нами стоит задача:
1. Сделать так, чтобы сторож думал, что его программа работает. Это делается постановкой run.exe на паузу.
2. Находим в реестре ссылки на run.exe. Win+R, regedit[Enter], Ctrl+F, run.exe, Найти далее. Находим, удаляем, ищем далее, снова удаляем и т.д. пока не сообщат, что поиск в реесте завершен. Только все-таки смотрим что удаляем. Если полный путь к файлу, то бахаем, если есть еще что-то, то лучше спрашиваем сначала.
3. Обрубаем комп. И не просто выключаем, а выдергиваем сзади шнур питания, или жмем Reset на системнике, чтоб просто рубанулся. Это надо для того, что винда при выключении (даже если кнопку питания нажать) начнет завершать процессы, но по одному. Т.е. есть шанс, что сторож успеет рестартануть свой софт, а тогда, ессно, он успеет прописать себя заново везде за пару миллисекунд.
4. Загружаемся, удостоверяемся, что run.exe не запущен. Если запущен, то что-то или сделали не так, или надо копать глубже. Если нету - открываем поиск файлов и ищем run.exe по всем дискам. Он явно должен быть больше одного раза (на всякий случай делается). Удаляем (не в мусорку, а с клавишей Shift). Наслаждаемся!

 
kelz · больше 6 лет назад

К пункту 2. После удаления жмем F5 (обновить) и смотрим не появилась ли запись снова. Если появилась, то значит какой-то поток еще работает наподобие сторожа и мониторит реестр и дальше двигаться бессмысленно. Если не появилось, ну или появилось через минут пять (за это время успеем рестартануться, пока реестр чист) то все норм и двигаемся по плану.

 
SILES · больше 6 лет назад

Итак....Обращусь ко второму пункту....Я чайник чайником....и ни слова ни бум-бум...

 
kelz · больше 6 лет назад

Для начала можно пойти по легкому пути: пуск->выполнить, вбиваем regedit и жмем ок. Нажимаем Ctrl+F, вбиваем run.exe и жмем искать. Когда найдет, подсвечиваться будет нужный ключ, поэтому жмем клавишу Del и подтвержаем. Жмем F3 - поис продолжается. Находит снова. Снова Del и подтверждаем. И так до тех пор, пока не напишет, что поиск окончен. После этого переходим к пункту 3.

 
SILES · больше 6 лет назад

вооот....когда я ввела в поиск run.exe он мне выдал какую-то штуку ,у которой тип REG_SZ и значение - много циферок...Имя - (По умолчанию)...И когда я её удаляю, пишет * удаление некоторых параметров реестра может привести к нестабильности системы*

Так оно и над?Иль что-то не так?

 
SILES · больше 6 лет назад

Ну деее Выыыы????

 
kelz · больше 6 лет назад

Нет, run.exe должен находится в правой части.
Когда что-то находится, то в левой части папочка, в которой нашлось, рисуется как открытая. Если на нее тыкнуть правой мышей, то в вываливающемся меню будет пункт "Копировать имя раздела" (в буфер обмена копируется). Давайте все найденные скопируете сюда, а дальше уже разберемся, что надо, а что не надо

 
SILES · больше 6 лет назад

ОЙ..Папец узнал что с компом..и короче...Я лишена карманных и через час придет чувак,который должен переустановить винду....

Было приятно пообщаться...Когда всё сделают,я вам напишу на мыло и тама поболтаем,если Вы конечно, не против=)

 
 
 
 
Похожие вопросы
Маша · больше 9 лет назад · 4 ответа
 
 
Mad · больше 8 лет назад · 3 ответа
 
 
Xom9shvilli · больше 8 лет назад · 2 ответа
 
 
Ссылка на этот вопрос
 
Поискать ответ на вопрос: ответы@mail.ru, otvety@google.ru, Яндекс.Ответы
 
Читать новые вопросы в: LiveJournal, Livinternet, Google Reader
 
Этот вопрос посмотрели 1050 раз, в среднем 3 просмотра в неделю (0.44)
 
 
 
 
 
 
Адрес друга:
 
 
 
 
 
 
 
 
 
 
 

© vorum.ru — вопросы и ответы, 2006–2016
Пишите нам на in@vorum.ru

Администрация сервера не гарантирует точность и достоверность размещаемых пользователями материалов, а также не несет ответственности ни за какие задержки, сбои, удаление или несохранность какой-либо пользовательской информации.

Цифры не для всех: 498

 
 
× Нравится наш сайт?
Нажмите кнопку «Мне нравится» (Like), чтобы присоединиться к нам на Facebook