Вот я читаю этот детектив с убийствами и прочими увлекательными фрагментами и создаётся впечатление, что этих злодеев убивают и наново запускают.
Если "Выскакивает окно с предложением установить супер-пупер антивирус ....2009 :)" — значит из интернета пришла новая пачка файлов для инфицирования системы, т.е. этот компьютер не защищен! и все действия по его чистке — филькина грамота.
Со стороны интернета компьютер сегодня должен быть защищён трижды: раутером, фаерволом и буфером (sandbox). AV защита — вопрос менее значимый и не всегда нужна; при необходимости для проверки можно воспользоваться virustotal или Jotti.
В данном случае, я думаю, что вирус просто гуляет по сети к которой я подключен (пользователей ну очень много....). Роутер (насколько я понимаю) мне не нужен, а вот фаервол установлю. А можно про sandbox подробнее?
Не совсем понятно, что Вы имеете ввиду. Я пользуюсь тремя простейшими элементами защиты; ресурсы системы особенно не страдают.
Из интернета — кино, видео, музыка, перемещение гугловских карт, посещение любых сайтов, скачивание любых файлов + внутренние задачи (графические редакторы, MATLAB...)
При специальных исследовательских задачах подключаю ещё снайфер и мониторинговую программу.
Всем. Спасибо за участие. Задумался о смене AdWare. Ну и к NODу надо присмотреться. В общем скачал и запустил AVPTool результат: photofile.ru — удалить не смог. CureIT (DrWeb) Не нашел... нихуа (там где надо было найти :)) зато нашел RootKit в другой системной папке ? (хз че думать) предложил убить — я с ним немного поспорил (ну для приличия — не мог же я сразу согласиться) ну он меня в общем уговорил ну и добавил — а давай перезагрузимся и хитро подмигнул мне. "А, была не была" — подумал я и с разбегу нажал на reset. После перезагрузки я нашел этот злополучный файл где и ожидал и вздохнув нажал волшебную комбинацию клавиш "Shift+Del" — и о чудо — его не стало ("Показалось" -подумал я и пошел за баночкой пива). Впрочем не стало и остальных вредных файлов.
P.S. 2formaks Оно, конечно, того не стоит — это чисто спортивный интерес. А пароли и закладки периодически обновляются на другом диске ибо жизнь научила....
Попробуй переименовать имена, а так же расширение файлов, не поддающихся удалению, если сопротивляются поищи процесс который их блокирует.
Для того что бы поменять расширение — зайди в любое окно или мой комп. — tools -folder options — вкладка view — убрать галочку с пункта — hide extensions for known files types
после поменяй не удаляемые файлы на .rar =)) перезагрузка и проверка на удаление.
Если рядом появился файл с старым расширением, значит пропустил какой то кусок вируса который отвечает за подсадку активной части вируса. Опять же временная папка и детально просмотреть , что загружает комп, в AVZ — менеджер автозапуска
P.s. А оно того стоит? 8 минут и акронис возродит систему даже из пепла
При использовании Unlocker на файле atl7.dll выдает что "Не найден блокирующий дескриптор" "Удалить при перезагрузке?". Соглашаюсь, после перезагрузки файл на месте. И второго файла вообще контекстное меню выглядит так: (мля, забыл что картинки в комменты не вставляются) в общем вот: photofile.ru. Насчет процессов все понятно, кроме одного — какие могут быть процессы при DOS — загрузке? При попытке удалить эти файлы через DOS пишет что-то вроде что неправильная дата создания (действительно время создания отображается как 47:23:06) AVZ у меня есть базы вчера обновил проверил, ничего не нашел :( кроме кейлоггера (про него я знаю) Или я не там смотрю? Подскажите плиз. Мля сижу пишу ответ... :) Выскакивает окно с предложением установить супер-пупер антивирус ....2009 :)
....Пока был отключен от сети удалось "убить" один файл — CAKT2301. (при помощи Far'a, к сожалению Total не смог этого сделать, а в проводнике этого файла вообще не видно)....
Первый файл нашел в Менеджере расширений IE в программе AVZ (и отсюда не удаляется) ссылается что это библиотека Alcohol 120%.
Снес алкоголь перегрузился — без изменений. Залез в свойства файла оказывается раньше (т.е. 16.11.08) он назывался StdMFC32.dll. В AVZ этот процесс так и висит. В папке %Temp% нашел еще один файл — fhsubffi.dat тоже пока не удаляется. Пошел в DOS...
2. обязательно подчистить папку временных файлов — temporal folder ( start-run-%temp%),удалить все перечисленные файлы, из всех перечисленых мест- unlocker (при перезагрузке)
2.а Если анлокер не работает скачать AVZ, в нем есть все, включая подробный менеджер загрузки, из под него удалить из автозагрузки все перечисленные тобой файлы
3.разумееться провериться самим AVZ'ом
4. скачать программу RemoveIT Pro v4 — SE пользуюсь ею в связке с AVZ (бесплатна) провериться ею тоже
p.s.
Это так сказать мои способы борьбы с вирусами, в твою копилку, способов удаления вирусов куча, каждый находит для себя самый удобный.
Комментарии
Если "Выскакивает окно с предложением установить супер-пупер антивирус ....2009 :)" — значит из интернета пришла новая пачка файлов для инфицирования системы, т.е. этот компьютер не защищен! и все действия по его чистке — филькина грамота.
Со стороны интернета компьютер сегодня должен быть защищён трижды: раутером, фаерволом и буфером (sandbox). AV защита — вопрос менее значимый и не всегда нужна; при необходимости для проверки можно воспользоваться virustotal или Jotti.
..
Из интернета — кино, видео, музыка, перемещение гугловских карт, посещение любых сайтов, скачивание любых файлов + внутренние задачи (графические редакторы, MATLAB...)
При специальных исследовательских задачах подключаю ещё снайфер и мониторинговую программу.
P.S. 2formaks Оно, конечно, того не стоит — это чисто спортивный интерес. А пароли и закладки периодически обновляются на другом диске ибо жизнь научила....
Для того что бы поменять расширение — зайди в любое окно или мой комп. — tools -folder options — вкладка view — убрать галочку с пункта — hide extensions for known files types
после поменяй не удаляемые файлы на .rar =)) перезагрузка и проверка на удаление.
Если рядом появился файл с старым расширением, значит пропустил какой то кусок вируса который отвечает за подсадку активной части вируса. Опять же временная папка и детально просмотреть , что загружает комп, в AVZ — менеджер автозапуска
P.s. А оно того стоит? 8 минут и акронис возродит систему даже из пепла
Разве что закладки да пароли перекинь до...
Нашла:
Infected file (Sys32.atl7) C:\WINDOWS\system32\atl7.dll
Infected file (Sys32.bsshell) C:\WINDOWS\system32\bsshell.dll
Infected file (Sys32.ftdiunin) C:\WINDOWS\system32\ftdiunin.exe
Infected file (Sys32.hha) C:\WINDOWS\system32\hha.dll
Infected file (Sys32.unam4ie) C:\WINDOWS\system32\unam4ie.exe
Infected file (Sys32.iun6002) C:\WINDOWS\iun6002.exe
Infected file (Sys32.ncuninst) C:\WINDOWS\ncuninst.exe
Осталось:
Sys32.atl7
Sys32.bsshell
....Пока был отключен от сети удалось "убить" один файл — CAKT2301. (при помощи Far'a, к сожалению Total не смог этого сделать, а в проводнике этого файла вообще не видно)....
Первый файл нашел в Менеджере расширений IE в программе AVZ (и отсюда не удаляется) ссылается что это библиотека Alcohol 120%.
Снес алкоголь перегрузился — без изменений. Залез в свойства файла оказывается раньше (т.е. 16.11.08) он назывался StdMFC32.dll. В AVZ этот процесс так и висит. В папке %Temp% нашел еще один файл — fhsubffi.dat тоже пока не удаляется. Пошел в DOS...
....Фих Вам... :(
Пошел искать RemoteIT и триальный KAV
1. отключить back up все диски
2. обязательно подчистить папку временных файлов — temporal folder ( start-run-%temp%),удалить все перечисленные файлы, из всех перечисленых мест- unlocker (при перезагрузке)
2.а Если анлокер не работает скачать AVZ, в нем есть все, включая подробный менеджер загрузки, из под него удалить из автозагрузки все перечисленные тобой файлы
3.разумееться провериться самим AVZ'ом
4. скачать программу RemoveIT Pro v4 — SE пользуюсь ею в связке с AVZ (бесплатна) провериться ею тоже
p.s.
Это так сказать мои способы борьбы с вирусами, в твою копилку, способов удаления вирусов куча, каждый находит для себя самый удобный.
Удачи!
первой прогой убей подозрительные программы, второй — удали из всех автозагрузок файлы вируса.
Ну и, самое главное, скачай последний KAV и под триальной лицензией проверь систему.
Достаточно будет заменить первых два байта...
И перезагрузись.