вирусссс

[Л@ве]

короче онн отключил диспечера задачь не могу попасть в учетную запись и ни один анти вирусник не устанавливается помогите кто может

[Ktulu]

а по конкретнее пожалуйста

[Л@ве]

ну блин как обьясниьть он видать создал учетную запись я даже туда не могу попасть там всёбелое и не чего нет , диспечер задачь когда я его хочу включить пишет отключен админестратором , антивирусные программы не дает загрузить только начинается загрузка окно проподает.

[Гость Sea_soul]

Для начала качаем утилиту Доктора Вэба тут: http://www.freedrweb.com/download+cureit/

Неплохо бы скачать и утилиту Зайцева тут: http://soft.softodrom.ru/scr/get.php?id=6963

Они хороши тем, что их не надо устанавливать.

Затем перегружаемся в безопасный режим через F8, глядим чего у нас в автозагрузке лишнее (Пуск-Выполнить-msconfig-Автозагрузка), убираем непонятное...

Затем в безопасном режиме прогоняем обеими утилитами. Должно помочь, однако.

[Happy]

доктора веба качай, лайф сиди ;) грузись с него и будет тебе счастье

[CrazyVan]

Hiren's 9,7 CureIT & AVZ тебе в помощЪ ;). Загружаешь с "хиренса" минивиндовоз ХР запускаешь CureIT, после чего восстанавливаешь диспетчер задач, диспетчер автозапуска и прочую х... утилитой зайцева и будет тебе ЩАСтье :(. А вобще лучше конечно всё грохнуть и свежие форточки воткнуть :).

[zelanna7777]

в принципе любой антивирус с поддержкой загрузки с диска тебя спасет.Загружаешь-сканируешь.

 

или отнеси хард знакомому,пусть отсканирует,если сам не справишься

[+GEF+]

Наврняка Win32.Jeffo или тип того....судя по описанию

[МальчишПлохиш]

короче онн отключил диспечера задачь не могу попасть в учетную запись и ни один анти вирусник не устанавливается помогите кто может

Советую купит новый комп..

[Чеба]

По симптомам похоже на Sality. Если еще и при попытке загрузиться в безопасном режиме комп виснет с BSOD - то точно он. Самый простой способ лечения - подключить винчестер к другому компьютеру, на котором установлены хорошие антивирусы с актуальными базами и отключена автозагрузка с дисков.

Блокирнуть автозапуск можно через реестр:

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]

"AutoRun"=dword:00000000

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoDriveTypeAutoRun]

"NoDriveTypeAutoRun"=dword:000000b1

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

"NoDriveTypeAutoRun"=dword:000000b1

 

 

 

Знаю точно что лечится NOD32 (версии 2,7 и 4.0 - но не советую, т.к. часто зараженные exe-шники после лечения НОДом не работают) или же простым CureIt. Из под зараженной системы лечить практически невозможно, т.к. сия зараза блокирует запуск большинства известных антивирусов и даже попытки зайти на их странички в интернете.

 

Для того чтоб разблокировать редактор реестра и диспетчер задач придется загрузиться с какого-нибудь Live CD позволяющего редактировать реестр операционки на винте (сам пользуюсь ERD Commander).

 

а там уже поправить данные строки:

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr

 

реестр разрешить можно так: меняем единицу на ноль в ветке

 

[HKCU\SOFTWARE\Microsoft\ Windows\CurrentVerson\Policies\System]

“DisableRegistryTools”=dword:00000001

[gorod_prizrak]

завелся зверь вот такой, удалить не дает, каспер не можэт с ним ни чо сделать и постоянно вываливает это окно, хотел посмотреть чо есь в сетке про нево, но он блокирует фсе окна связанные с ним, люди или глянте или подскажите кто чо знает

[zelanna7777]

не хороший вирус... С сайта Касперского

Не так давно появился интересный червь, проникающий на компьютер жертвы через уязвимость ОС Windows, которая позволяет злоумышленнику выполнить любой код на атакуемой системе. Интересным свойством является то, что он производит обновление системы, которое закрывает указанную уязвимость. Делается это для того, чтобы таким же способом на компьютер не попали другие вредоносные программы...

 

Технические детали

 

Сетевой червь, использующий для проникновения на компьютер достаточно «свежую» уязвимость, описанную в бюллетене MS08-067. Червь может загружать произвольные файлы и запускать их на выполнение. Файл вредоносной программы является библиотекой Windows (PE-DLL-файл). Многочисленно упакован различными утилитами паковки. Первый слой – UPX. Размер файла – 50-60 килобайт.

 

Деструктивная активность

 

При запуске червь создаёт свою копию в директории %SYSTEM% с произвольным именем. После чего проверят, какую операционную систему использует заражённый компьютер. Если это Windows 2000, то внедряет свой код в процесс services.exe. Если же операционная система отлична от указанной, то создаёт службу со следующими характеристиками:

 

Имя службы: netsvcs

Путь к файлу: %SYSTEM%\svchost.exe -k netsvcs

 

Создаёт следующий ключ реестра, обеспечивая себе автозапуск при следующей загрузке:

 

HKLM\SYSTEM\CurrentControlSet\Services\netsvcs\Parameters\ServiceDll = "%SYSTEM%\<название_файла>.dll"

 

 

Червь пытается подключиться к домену traff******ter.biz и загрузить следующий файл:

 

http://traffi******ter.biz/*******/loadadv.exe

 

В случае успеха, загруженный файл запускается на выполнение.

 

Другие действия

 

Червь производит обновление системы, закрывая тем самым описанную выше уязвимость. Делается это для того, чтобы таким же способом в систему не попали другие вредоносные программы.

 

Рекомендации по удалению

 

Если ваш компьютер не был защищён антивирусом и оказался заражён данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить оригинальный файл червя (его расположение на заражённом компьютере зависит от способа, которым программа попала на компьютер).

2. Удалить файл, созданный троянцем в каталоге:

 

%SYSTEM%\<название_файла>.dll

 

Посмотреть имя файла можно в ключе:

 

HKLM\SYSTEM\CurrentControlSet\Services\netsvcs\Parameters\ServiceDll

 

3. Удалить ветку реестра:

 

HKLM\SYSTEM\CurrentControlSet\Services\netsvcs

 

4. Произвести полную проверку компьютера Антивирусом Касперского с обновлёнными антивирусными базами.

 

Другие названия: Worm:Win32/Conficker.A (MS OneCare), W32.Downadup (Symantec)

 

 

TEXT + TEXT - Печать Опубликовано : 01 Декабрь 2008 | Просмотров : 40468

 

 

 

Последние комментарии - 7

kotzawy | Net-Worm.Win32.Kido

11 Января 2009 в 07:41

стоит каспер. убить не может тк как пишет что нет прав и записей на вирь. показывает назв файла. а найти его не могу. подскажите плиз че делать ? (

 

Евген | Net-Worm.Win32.Kido

11 Января 2009 в 12:59

Обратите внимание на тему в форуме: http://av-school.ru/forum/index.php/topic,520.0.html

 

rasclogin | Net-Worm.Win32.Kido

16 Января 2009 в 21:49

1) Данный вирус запускается оригинальным SVCHOST.EXE с параметром заражённой библиотеки (random_name).dll, лежащей в SYSTEM32 (атрибут билиотеки установлен в "скрытый" или "ситемный") . Необходимо проверить права доступа для этой библиотеки. Как правило, кроме системы, никому доступ не разрешён. После переустановки прав (напр., Администраторы=полный доступ), можно убить его UNLOCKERом (http://ccollomb.free.fr/unlocker/).

 

rasclogin | Net-Worm.Win32.Kido

16 Января 2009 в 21:53

2) В реестре всё-же запись есть. Необходимо искать абсолютно пустой (без параметров и подключей) ключ в ветке HKEY_LOCAL_MACHINESYSTE MCurrentControlSetSer vices (например HKEY_LOCAL_MACHINESYSTE MCurrentControlSetSer vicesdpiixcu), и также переустановить права доступа для ветки. Тогда (после обновления содержимого по F5) появится вся инфа, в т.ч. в подветке PARAMETERS ключ ServiceDll с именем и путём к вирусной библиотеке.

 

rasclogin | Net-Worm.Win32.Kido

16 Января 2009 в 21:57

3) В файловом менеджере (не ПРОВОДНИК !!!) необходимо также проверить подпапки в "Documents and SettingsNetworkService Local SettingsTemporary Internet FilesContent.IE5" , где вирус под видом кешированных файлов прячет свои копии.

 

 

 

 

 

 

И ещё скачай с сайта Касперского утилиты klwk.com и clrav.com они борятся с вирусами, которые не дают Антивируснику работать в полнофункциональном режиме.

[gorod_prizrak]

цука не дает загрузить KidoKiller

цука не дает зайти на сайт каспера

вопщем цука

 

Рекомендации по удалению

 

Если ваш компьютер не был защищён антивирусом и оказался заражён данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить оригинальный файл червя (его расположение на заражённом компьютере зависит от способа, которым программа попала на компьютер).

2. Удалить файл, созданный троянцем в каталоге:

 

%SYSTEM%\<название_файла>.dll

 

Посмотреть имя файла можно в ключе:

 

HKLM\SYSTEM\CurrentControlSet\Services\netsvcs\Parameters\ServiceDll

 

3. Удалить ветку реестра:

 

HKLM\SYSTEM\CurrentControlSet\Services\netsvcs

 

4. Произвести полную проверку компьютера Антивирусом Касперского с обновлёнными антивирусными базами.

 

Другие названия: Worm:Win32/Conficker.A (MS OneCare), W32.Downadup (Symantec)

 

 

TEXT + TEXT - Печать Опубликовано : 01 Декабрь 2008 | Просмотров : 40468

 

 

И ещё скачай с сайта Касперского утилиты klwk.com и clrav.com они борятся с вирусами, которые не дают Антивируснику работать в полнофункциональном режиме.

4. не даёт зайти на сайт каспера и такжэ блокирует скачивание програмулек и утилит связанных с ним

3. такой ветки HKLM\SYSTEM\CurrentControlSet\Services\netsvcs нет, дата статьи "TEXT + TEXT - Печать Опубликовано : 01 Декабрь 2008 | Просмотров : 40468" возможно отцы этова вируса полгода работали и запрятали в другое место

2. см. п.3

1. см. п.3

[Чеба]

Можно попробовать связку какого-нибудь Live CD + CureIt

Или из зараженной системы AVZ. Смотреть автозапуск, службы, драйвера и т.д.

Для удаления конкретного файла в AVZ выполнить следующий скриптик:

 

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\ojlsa.dll');
BC_DeleteFile('C:\WINDOWS\system32\ojlsa.dll');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

[НЕМ]

У меня была такаяже проблема. Долго мучался и после переустановки систему через некоторое время все повторялось, потом в инете нашел маленькую штучку - Combofix. Он и помог. А вообще в инете есть мануалы именно по решению этой проблемы.

[ALEX94]

тоже нетавно попал на зверского трояна+червь, блокировались обновления антивирусов, сделать ничего не смог, даже винт проверяли каспером на другом компе,бесполезно. переустановка рулит, подписался у усишников на каспера (надоело воевать и ключи искать каждый день) щас щастье :oops:

[zelanna7777]

Ключи к касперу в игромании каждый месяц к примеру идут... раньше пользовался постоянно... 12 раз в году думаю можно и ключи с игромании брать... зато бесплатно...

[ALEX94]

они официальные чтоли ? :oops:

они щас банят их ваще резко.

[gorod_prizrak]

пришлось к другану идти у ниво читать и качать утилиты (сразу несколько, шоп по десять рас не ходить туда-сюда), залили фсё это на диск, а то на флэхе мона было эту заразу принести и о чудо первая жэ програмуля убивает кидо, другие запустил для верности, фсе чисто :oops: и каспер успокоился

[Чеба]

... залили фсё это на диск, а то на флэхе мона было эту заразу принести...

Данную проблему решаю такими способами: либо пользуюсь кардридер и SD карту с блокировкой ( не уверен что есть на всех карточках) либо пользуюсь MP3 плеером, на нем тоже есть кнопка блокировки кнопок, которая еще и блокирует запись/стирание.

[zelanna7777]

они официальные чтоли ? :oops:

они щас банят их ваще резко.

конечно офицальные,подходят к 7,8,9 касперу.У Игромании договор такой есть с лабораторией Касперского

[Лосик]

Народ, кто-нибудь может почистить мой комп и установить антивирусник ( желательно avast) ?

[Красс]

В Сети появился новый вирус под название "Бомж". Программы не трогает, просто роется в корзине.

[Nemo]

Народ, кто-нибудь может почистить мой комп и установить антивирусник ( желательно avast) ?

Нет проблем. Напиши свой IP, отключи брандмауэр и открой общий доступ к диску С. Тогда все желающие смогут тебе помочь.

[Лосик]

гы гы гы...просто супер! а ключ от квартиры, где деньги лежат, куда принести?