Ужасный вирусняк %)

Discussion in 'Безопасность и Анонимность' started by Fraerok, 10 Oct 2007.

  1. Fraerok

    Fraerok New Member

    Joined:
    6 Feb 2006
    Messages:
    11
    Likes Received:
    0
    Reputations:
    0
    Собственно сталкнулся с таким вирусом:
    На половину трой - на половину не пойми что)) Поймал неизвестно где, стоит фаер обычный + аваст, как находит, жму удалить, вроде удаляет, но после перезагрузки опять...
    Собственно что делает вирус, отсылает меня каким то образом на трояны, аваст начинает ругаться, жму прирвать соединение... Так же начинает с моего компа посылать письма на мыло. Мыла видать с какойто базы берёт... Устал бароться с ним, форматнул винду сегодня, вроде всё установил, ништяк... Проверил антивирем всё, тоже ништяк... Тут такая тема, щас сижу и опять он :) На рабочем столе было пару файлов a.jpg и т.к., так же spool.exe, на диске С нашёл тоже пару каких то файликов. В system32 находит пару зараженных файлов.

    Так собственно чего я пишу, хотелось бы узнать откуда и чё за вирусня... Может мне его кто-то заливает? Впринцепи нереально ибо ip у меня динамический, да и некуда я щас не лазил по инету) Надеюсь ногами бить не будете, а поможете ;)
     
  2. _Sniper_

    _Sniper_ Banned

    Joined:
    21 Jul 2007
    Messages:
    409
    Likes Received:
    147
    Reputations:
    -17
    Как называецца вирь?
     
  3. Fraerok

    Fraerok New Member

    Joined:
    6 Feb 2006
    Messages:
    11
    Likes Received:
    0
    Reputations:
    0
    _Sniper_ собственно я это тоже не отказался бы узнать)
    ЗЫ, в моей папке, док-ов был файл bin2.exe + пару файлов a.jpg но на самом деле .dat. Щас почту отсылает, антивирем просканил - удалил, не помогло.
    В процессах убиваю spool.exe и spoolsv.exe + bin2.exe 2 шт., почту как отсылал так и отсылает, больше никаких подозрительных процессов ненашёл. (Узнал я что он почту отсылает из-за того что аваст сканит исходящию почту)
     
    #3 Fraerok, 10 Oct 2007
    Last edited: 10 Oct 2007
  4. Fraerok

    Fraerok New Member

    Joined:
    6 Feb 2006
    Messages:
    11
    Likes Received:
    0
    Reputations:
    0
    Кажется вспомнил с чего всё началось... Вообщем сделал я систре давно сайт, т.к. у неё питомник морских свинок, она долго упрашивала, в конце концов сделал, двига + тема, всё как пологается. Дали нормальных хост бесплатно. Вообщем тут недавно мне подруга её сообщает что на нашем сайте трой висит. Я захожу, у меня аваст ругается. Я захожу на фтп, копирую пару файлов php, открываю и вижу тупо переадресация на несколько троев. Собственно написал в тех. поддержку, ответили что незнают ничего. Больше на сайт и фтп не лазил. Комп форматнул не весь ибо другую харду форматировать я не перенесу т.к. недавно и так сгорела харда со всем добром. Вирусов на том диске не находит... Могу впринцепи удалить апач + все мои наработки в html, php и т.д., оставить только тупо инсталлеры нужные с прогами. Но поможет ли?
     
  5. Lexik

    Lexik Elder - Старейшина

    Joined:
    15 Apr 2007
    Messages:
    80
    Likes Received:
    90
    Reputations:
    3
    Не уверен, что аваст то что тебе надо. Скачай с drweb.ru cureit, проверься в безопасном режиме
     
    4 people like this.
  6. LEE_ROY

    LEE_ROY Elder - Старейшина

    Joined:
    9 Nov 2006
    Messages:
    450
    Likes Received:
    188
    Reputations:
    26
    выложи тело виря, если есть...
     
  7. •‡†PsyParty†‡•

    •‡†PsyParty†‡• Elder - Старейшина

    Joined:
    15 May 2007
    Messages:
    36
    Likes Received:
    24
    Reputations:
    -4
    просканируй ботом при загрузке,он его удалит
     
    1 person likes this.
  8. kair

    kair Elder - Старейшина

    Joined:
    12 Oct 2006
    Messages:
    146
    Likes Received:
    83
    Reputations:
    -4
    Вам как, в Hex виде или дизассемблерный код? :d
    Говоришь постоянно создается!? скорее всего там либо библиотека присобаченна к текущей задаче из-за этого нельзя завершить работу вируса или тупо в реестре запись стоит, а по вопросу с кокого Ip, надо лог смотреть
     
    #8 kair, 10 Oct 2007
    Last edited: 10 Oct 2007
  9. MicRO

    MicRO Member

    Joined:
    28 Oct 2004
    Messages:
    274
    Likes Received:
    75
    Reputations:
    49
    да балин поставь себе каспера 6 да и всё, понаставят уйни а потом думаю чо у меня вирусов полно и нече неработает, + выкладывай тело вируса + название, а то неясно даже чо у тебя
     
  10. Alexsize

    Alexsize Fail

    Joined:
    17 Sep 2005
    Messages:
    1,771
    Likes Received:
    1,221
    Reputations:
    704
    Аваст фтопку. Каспер щас хз какой, а вот НОД32 рулит реально.
     
  11. --exe--

    --exe-- Elder - Старейшина

    Joined:
    23 Dec 2006
    Messages:
    54
    Likes Received:
    68
    Reputations:
    0
    А может у тебя тупо на другом диске лежит тело виря и через авторан грузится?
     
  12. LEE_ROY

    LEE_ROY Elder - Старейшина

    Joined:
    9 Nov 2006
    Messages:
    450
    Likes Received:
    188
    Reputations:
    26
    Сваренный всмятку, екзе
     
    1 person likes this.
  13. Dashke

    Dashke Elder - Старейшина

    Joined:
    27 Aug 2007
    Messages:
    73
    Likes Received:
    48
    Reputations:
    6
    Вирусняк в REGISTRY поместился!!! Мой совет - установи Kaspersky Anti-Virus 7.0, ZoneAlarm Security Suite и Spybot - Search & Destroy 1.5.... Обязательно просканируй REGISTRY с Spybot - Search & Destroy 1.5 так как он сканирует REGISTRY, а вот Kaspersky и NOD32 REGISTRY не сканируют!!!!!
     
  14. Ky3bMu4

    Ky3bMu4 Elder - Старейшина

    Joined:
    3 Feb 2007
    Messages:
    487
    Likes Received:
    284
    Reputations:
    42
    Зачем так много?
    В реестре посмотри: \\Software\\Microsoft\\Windows\\CurrentVersion\\Run(для HKEY_CURRENT_USER и HKEY_LOCAL_MACHINE). И лично я юзаю AntiVir. =\
     
  15. Y.Dmitriy

    Y.Dmitriy Banned

    Joined:
    14 Mar 2007
    Messages:
    208
    Likes Received:
    85
    Reputations:
    16
    молодой человек вы, простите, хоть чем-то думаете прежде чем говорите?
     
  16. _SploiT_

    _SploiT_ Elder - Старейшина

    Joined:
    9 May 2007
    Messages:
    88
    Likes Received:
    16
    Reputations:
    1
    Все они сканируют.... внимательно исследуй эти ав
     
  17. Ci5

    Ci5 Elder - Старейшина

    Joined:
    10 Oct 2006
    Messages:
    141
    Likes Received:
    100
    Reputations:
    -1
    Если вирус у тя находит твоим антивирем, то ничего себе не устонавливай. Зайди просто в безопасный режим, запусти свой антивир на наличие вирусов. Зайди в msconfig, посмотри что твориться у тебя в автозагрузке. (все это в безопасном режиме)
    а что у тя за браузер стоит ? Может ты полез на какой нить сайт и к те он влез через уязвимость ? Иль может его нашел на каком нить диске.
     
  18. Fraerok

    Fraerok New Member

    Joined:
    6 Feb 2006
    Messages:
    11
    Likes Received:
    0
    Reputations:
    0
    Вообщем пришлось опять фсё форматнуть. Антивирь щас поставлю каспера 7 и spybot. Позже напишу чего вышло.
    ЗЫ, вирус прописывается в реестре 100% ибо все файлы которые он создает я удалял + все зараженные тоже.
     
  19. LEE_ROY

    LEE_ROY Elder - Старейшина

    Joined:
    9 Nov 2006
    Messages:
    450
    Likes Received:
    188
    Reputations:
    26
    мамачки как страшно :((
     
  20. _Sniper_

    _Sniper_ Banned

    Joined:
    21 Jul 2007
    Messages:
    409
    Likes Received:
    147
    Reputations:
    -17
    а) spoolsv.exe – отвечает за обработку процессов печати на локальном компьютере в операционных системах Microsoft Windows. В случае завершения процесса spoolsv.exe, локальный пользователь не сможет распечатывать задания на локальном принтере.

    Файл spoolsv.exe всегда расположен в %systemroot%\System32 директории(возможно так же присутствие в папке %systemroot%\System32\dllcashe) . В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. В настоящее время известно несколько вирусов (например Backdoor.Ciadoor.B, VBS.Masscal.Worm, Hacktool.Privshell и другие), использующих имя spoolsv.exe для сокрытия своего присутствия в системе.

    б) Возможно проблема даже не в вирусе или в черве, а некорректно установленном когда-то сетевом принтере, а после также некорректно удаленном...
    Проверь для начала - что там у тебя с принтерами...

    Пуск-"Настройка"-"Принтеры и факсы"-выдели все принтеры и нажми кнопку Del на клаве (или правой кнопкой - удалить).
    Перезагрузись.
    Установи заново нужные принтеры.