Вот я читаю этот детектив с убийствами и прочими увлекательными фрагментами и создаётся впечатление, что этих злодеев убивают и наново запускают.
Если "Выскакивает окно с предложением установить супер-пупер антивирус ....2009 :)" — значит из интернета пришла новая пачка файлов для инфицирования системы, т.е. этот компьютер не защищен! и все действия по его чистке — филькина грамота.
Со стороны интернета компьютер сегодня должен быть защищён трижды: раутером, фаерволом и буфером (sandbox). AV защита — вопрос менее значимый и не всегда нужна; при необходимости для проверки можно воспользоваться virustotal или Jotti.
..
В данном случае, я думаю, что вирус просто гуляет по сети к которой я подключен (пользователей ну очень много....). Роутер (насколько я понимаю) мне не нужен, а вот фаервол установлю. А можно про sandbox подробнее?
Не совсем понятно, что Вы имеете ввиду. Я пользуюсь тремя простейшими элементами защиты; ресурсы системы особенно не страдают.
Из интернета — кино, видео, музыка, перемещение гугловских карт, посещение любых сайтов, скачивание любых файлов + внутренние задачи (графические редакторы, MATLAB...)
При специальных исследовательских задачах подключаю ещё снайфер и мониторинговую программу.
Всем. Спасибо за участие. Задумался о смене AdWare. Ну и к NODу надо присмотреться. В общем скачал и запустил AVPTool результат: photofile.ru — удалить не смог. CureIT (DrWeb) Не нашел... нихуа (там где надо было найти :)) зато нашел RootKit в другой системной папке ? (хз че думать) предложил убить — я с ним немного поспорил (ну для приличия — не мог же я сразу согласиться) ну он меня в общем уговорил ну и добавил — а давай перезагрузимся и хитро подмигнул мне. "А, была не была" — подумал я и с разбегу нажал на reset. После перезагрузки я нашел этот злополучный файл где и ожидал и вздохнув нажал волшебную комбинацию клавиш "Shift+Del" — и о чудо — его не стало ("Показалось" -подумал я и пошел за баночкой пива). Впрочем не стало и остальных вредных файлов.
P.S. 2formaks Оно, конечно, того не стоит — это чисто спортивный интерес. А пароли и закладки периодически обновляются на другом диске ибо жизнь научила....
Попробуй переименовать имена, а так же расширение файлов, не поддающихся удалению, если сопротивляются поищи процесс который их блокирует.
Для того что бы поменять расширение — зайди в любое окно или мой комп. — tools -folder options — вкладка view — убрать галочку с пункта — hide extensions for known files types
после поменяй не удаляемые файлы на .rar =)) перезагрузка и проверка на удаление.
Если рядом появился файл с старым расширением, значит пропустил какой то кусок вируса который отвечает за подсадку активной части вируса. Опять же временная папка и детально просмотреть , что загружает комп, в AVZ — менеджер автозапуска
P.s. А оно того стоит? 8 минут и акронис возродит систему даже из пепла
Разве что закладки да пароли перекинь до...
При использовании Unlocker на файле atl7.dll выдает что "Не найден блокирующий дескриптор" "Удалить при перезагрузке?". Соглашаюсь, после перезагрузки файл на месте. И второго файла вообще контекстное меню выглядит так: (мля, забыл что картинки в комменты не вставляются) в общем вот: photofile.ru. Насчет процессов все понятно, кроме одного — какие могут быть процессы при DOS — загрузке? При попытке удалить эти файлы через DOS пишет что-то вроде что неправильная дата создания (действительно время создания отображается как 47:23:06) AVZ у меня есть базы вчера обновил проверил, ничего не нашел :( кроме кейлоггера (про него я знаю) Или я не там смотрю? Подскажите плиз. Мля сижу пишу ответ... :) Выскакивает окно с предложением установить супер-пупер антивирус ....2009 :)
....Пока был отключен от сети удалось "убить" один файл — CAKT2301. (при помощи Far'a, к сожалению Total не смог этого сделать, а в проводнике этого файла вообще не видно)....
Первый файл нашел в Менеджере расширений IE в программе AVZ (и отсюда не удаляется) ссылается что это библиотека Alcohol 120%.
Снес алкоголь перегрузился — без изменений. Залез в свойства файла оказывается раньше (т.е. 16.11.08) он назывался StdMFC32.dll. В AVZ этот процесс так и висит. В папке %Temp% нашел еще один файл — fhsubffi.dat тоже пока не удаляется. Пошел в DOS...
....Фих Вам... :(
Пошел искать RemoteIT и триальный KAV
Я бы поигрался с ниже представленными пунктами.
1. отключить back up все диски
2. обязательно подчистить папку временных файлов — temporal folder ( start-run-%temp%),удалить все перечисленные файлы, из всех перечисленых мест- unlocker (при перезагрузке)
2.а Если анлокер не работает скачать AVZ, в нем есть все, включая подробный менеджер загрузки, из под него удалить из автозагрузки все перечисленные тобой файлы
3.разумееться провериться самим AVZ'ом
4. скачать программу RemoveIT Pro v4 — SE пользуюсь ею в связке с AVZ (бесплатна) провериться ею тоже
p.s.
Это так сказать мои способы борьбы с вирусами, в твою копилку, способов удаления вирусов куча, каждый находит для себя самый удобный.
Удачи!
С сайта sysinternals.com скачай PROCESS EXPLORER и AUTORUNS.
первой прогой убей подозрительные программы, второй — удали из всех автозагрузок файлы вируса.
Ну и, самое главное, скачай последний KAV и под триальной лицензией проверь систему.
Комментарии
Если "Выскакивает окно с предложением установить супер-пупер антивирус ....2009 :)" — значит из интернета пришла новая пачка файлов для инфицирования системы, т.е. этот компьютер не защищен! и все действия по его чистке — филькина грамота.
Со стороны интернета компьютер сегодня должен быть защищён трижды: раутером, фаерволом и буфером (sandbox). AV защита — вопрос менее значимый и не всегда нужна; при необходимости для проверки можно воспользоваться virustotal или Jotti.
..
Из интернета — кино, видео, музыка, перемещение гугловских карт, посещение любых сайтов, скачивание любых файлов + внутренние задачи (графические редакторы, MATLAB...)
При специальных исследовательских задачах подключаю ещё снайфер и мониторинговую программу.
P.S. 2formaks Оно, конечно, того не стоит — это чисто спортивный интерес. А пароли и закладки периодически обновляются на другом диске ибо жизнь научила....
Для того что бы поменять расширение — зайди в любое окно или мой комп. — tools -folder options — вкладка view — убрать галочку с пункта — hide extensions for known files types
после поменяй не удаляемые файлы на .rar =)) перезагрузка и проверка на удаление.
Если рядом появился файл с старым расширением, значит пропустил какой то кусок вируса который отвечает за подсадку активной части вируса. Опять же временная папка и детально просмотреть , что загружает комп, в AVZ — менеджер автозапуска
P.s. А оно того стоит? 8 минут и акронис возродит систему даже из пепла
Разве что закладки да пароли перекинь до...
Нашла:
Infected file (Sys32.atl7) C:\WINDOWS\system32\atl7.dll
Infected file (Sys32.bsshell) C:\WINDOWS\system32\bsshell.dll
Infected file (Sys32.ftdiunin) C:\WINDOWS\system32\ftdiunin.exe
Infected file (Sys32.hha) C:\WINDOWS\system32\hha.dll
Infected file (Sys32.unam4ie) C:\WINDOWS\system32\unam4ie.exe
Infected file (Sys32.iun6002) C:\WINDOWS\iun6002.exe
Infected file (Sys32.ncuninst) C:\WINDOWS\ncuninst.exe
Осталось:
Sys32.atl7
Sys32.bsshell
....Пока был отключен от сети удалось "убить" один файл — CAKT2301. (при помощи Far'a, к сожалению Total не смог этого сделать, а в проводнике этого файла вообще не видно)....
Первый файл нашел в Менеджере расширений IE в программе AVZ (и отсюда не удаляется) ссылается что это библиотека Alcohol 120%.
Снес алкоголь перегрузился — без изменений. Залез в свойства файла оказывается раньше (т.е. 16.11.08) он назывался StdMFC32.dll. В AVZ этот процесс так и висит. В папке %Temp% нашел еще один файл — fhsubffi.dat тоже пока не удаляется. Пошел в DOS...
....Фих Вам... :(
Пошел искать RemoteIT и триальный KAV
1. отключить back up все диски
2. обязательно подчистить папку временных файлов — temporal folder ( start-run-%temp%),удалить все перечисленные файлы, из всех перечисленых мест- unlocker (при перезагрузке)
2.а Если анлокер не работает скачать AVZ, в нем есть все, включая подробный менеджер загрузки, из под него удалить из автозагрузки все перечисленные тобой файлы
3.разумееться провериться самим AVZ'ом
4. скачать программу RemoveIT Pro v4 — SE пользуюсь ею в связке с AVZ (бесплатна) провериться ею тоже
p.s.
Это так сказать мои способы борьбы с вирусами, в твою копилку, способов удаления вирусов куча, каждый находит для себя самый удобный.
Удачи!
первой прогой убей подозрительные программы, второй — удали из всех автозагрузок файлы вируса.
Ну и, самое главное, скачай последний KAV и под триальной лицензией проверь систему.
Достаточно будет заменить первых два байта...
И перезагрузись.