Если ваш антивирус нашел что то подозрительное в сборке!!!
Внимание всем! Если ваш антивирус нашел что то подозрительное в сборке, прежде чем сообщить об этом, поищите в этом форуме, может вы не первый и ситуация уже обсуждалась. За "кукарекание" об уже найденных и обсужденных "вирусах" будет следовать наказание.
Публикация ключей, номеров, лицензий, всякого рода взломщиков и кряков категорически запрещена.
|
| Предыдущая тема :: Следующая тема |
| Автор |
Сообщение |
YikxX
Сборщик сборок
Возраст: 47
Стаж: 17 лет 2 месяца и 10 дней
Сообщения: 2036
Благодарности: 1861/501
|
 19.09.2008 18:40 |
 |
|
| sanuich писал(а): | ставил сборку, сразу же копировал iExplorer.exe на сайт Скрытый текст
в экзешнике обнаружен вирус несколькими антивирусниками.
Сборку сам не качал |
Исполняемый файл IE7 называется iexplore.exe - так что неизвестно, чего вы там посылали на сайт и где это взяли. 
Файл находится в Program Files\Internet Explorer
_________________
Advanced super bot-admin
Скрытый текст
Пишу по-русски.
Да и "Выкалки" уже конкретно достали... Учите русский, блин!
|
|
| Вернуться к началу |
|
|
|
|
|
grig1
Барс
Возраст: 70
Стаж: 17 лет 2 месяца и 25 дней
Сообщения: 123
Благодарности: 34/40
Откуда: Советск Клг.обл.
|
| 26.09.2008 11:54 |
|
|
Есть такой вирус называется autorun Антивирусы его удаляют, но он,как правило,успевает нагадить.Удаляет этот вирус и исправляет последствия его деятельности Антиавторан.Вот ссылка Скрытый текст
Если установить настройки антивируса на максимум он еще не то найдет.Уважаемые подумайте логически: зачем людям делать сборку (Между прочим не такой уж легкий труд требующий нехилой квалификации), чтобы насовать туда вирусов.Есть миллион более простых способов.Какие нужно иметь мозги, чтобы еще и обвинять В Вашей сборке вирусы в таком-то файле. Вверху страницы в правом верхнем углу есть куча ссылок.Чтобы написать что-нибудь умное сначала нужно это умное прочитать, проверить все ли я правильно делаю в соответствии с учебником желательно пару раз. 99% проблем отпадут. А затем уже задавать вопросы.
_________________
Я горжусь двумя людьми:Гагариным и Ньютоном.Один попытался смыться с этой планеты, а второй доказал,что у первого нифига не выйдет))
|
|
| Вернуться к началу |
|
|
|
YikxX
Сборщик сборок
Возраст: 47
Стаж: 17 лет 2 месяца и 10 дней
Сообщения: 2036
Благодарности: 1861/501
|
| 26.09.2008 12:37 |
|
|
При вставке флэшек лучше держать нажатой клавишу Shift - тогда autorun не сработает и вирус вас не заразит. И через Мой компьютер не открывать, а сначала запустить Total Commander с включенной опцией "Показывать скрытые/системные файлы" и посмотреть, нет ли на флэшке какого-нибудь autorun.inf
Ну, и антивирус, конечно-же надо тоже иметь.
_________________
Advanced super bot-admin
Скрытый текст
Пишу по-русски.
Да и "Выкалки" уже конкретно достали... Учите русский, блин!
|
|
| Вернуться к началу |
|
|
|
Vovva
Навечно в строю
Возраст: 66
Стаж: 17 лет 3 месяца и 17 дней
Сообщения: 1026
Благодарности: 324/283
Откуда: г.Мегион Россия
|
| 03.11.2008 8:10 |
|
|
| monah79 писал(а): | | При перненоске файлов с одного компа на другой каспер нашел троян Rahaka 32 и после этого произошел сбой в системе компа. Унижтоженно было сразу два диска так, что пришлось переустонавливать всю систему,и уничтожен был виртуальный диск.Отформатировал сразу два диска я даже не понял как это произошло.После этого я систему переставил, а вот 16 гигов немогу досчитаться. |
Правильно вирус называется "Worm.Win32.Rahak.a" погуглите, если интересует его поведение. На счёт потеряных 16 гигов, просмотрите жёсткий через "управление дисками", или через AcronisDiskDirector (есть на диске в мультизагрузке и в WPI 1.9) если и там они не просматриваются, то проверяйте сам жёсткий на предмет исправности.
_________________
В гостях хорошо, а дома интернет.
|
|
| Вернуться к началу |
|
|
|
Zver
Супер Админ
Стаж: 17 лет 9 месяцев и 16 дней
Сообщения: 632
Благодарности: 38935/321
|
| 28.11.2008 22:07 |
|
|
| F4RR3LL писал(а): | | При появлении приветствия "Добро пожаловать", выскакивает окно: Введите код активации. вводишь разные коды - нет эффекта.Есть пункт: отправь смс на какой то номер с каким-то текстом, в ответ получишь код. стоимость 10$.. |
меньше лазить по порно сайтам самый верный способ избавится переустановить систему
|
|
| Вернуться к началу |
|
|
|
karavan
Наблюдатель
Возраст: 45
Стаж: 17 лет 9 месяцев и 15 дней
Сообщения: 403
Благодарности: 368/121
Откуда: Армавир-Таганрог-Москва
|
| 28.11.2008 22:24 |
|
|
еще на заре становления контент-бизнеса в сотовых сетях ходила такая шутка: "Отправь СМС с текстом: "Я не ЛОХ!" на короткий номер ****, чем больше отправишь, тем больше ты не ЛОХ!"
Перед переустановкой попробуй прогнать жесткий с LiveCD
_________________
Если с проблемой не переспать, то решение не родится.
______________________________________________
Продам личное время, дорого!
|
|
| Вернуться к началу |
|
|
|
Eastoop
Гость
|
| 08.01.2009 17:16 |
|
|
| товарищ2 писал(а): | что за файл такой stub.exe?
Стоит НОД, но как здравомыслящий человек проверяю раз в неделю свежей утилитой вэба. И постоянно вэб находит этот файл в папке Local Settings\Temp. |
Папки Temp желательно ручками регулярно подчищать, из этих папок ничего не должно автозапускаться.
Так что если куреит сказал что троян, спокойно грохните этот файл с помощью того же куреита.
| Поблагодарили(1): товарищ2 |  |
|
|
| Вернуться к началу |
|
|
|
profmatviy
Ёжик
Стаж: 16 лет 8 месяцев и 25 дней
Сообщения: 1
Благодарности: 0/1
ICQ: 406096464
|
| 12.01.2009 3:29 |
|
|
| DmitryS писал(а): | прикиньте гад, не дает скачать др.веба и на каспера не пускает...вот сучка  |
Я недавно лечил этого парнишку, очень похожие симптомы:
блокирует "администратором")) вызов диспечера;реестра;безопасного режима;и даже частично сайты с антивирусниками.
называется что-то типа win32.sector12. Лечения не помню.
|
|
| Вернуться к началу |
|
|
|
DmitryS
Гость
ICQ: 406096464
|
| 12.01.2009 3:38 |
|
|
после сайфмода запустился каспер 7, нашел чтото win32.Seli....в систем 32 и комп завис.Сейчас уже на новой винде, вылечить не удалось, даже из под ливсд блокировал распаковку др.веба (писал битый файл, хотя до этого его на висте нормально распаковал.Переставил я все, скачал от веба утилитку и подключил второй винч, ну тут и посыпалось в основном win32.sector.11 и парочка других веб вылечил все, правда и руганулся на пару кряков, хотя это мелочи.
А программа usbguard из новой сборки замечательная весч, не понял только как обновление у нее работает
стоял каспер семерка, и такую дрянь пропустил,попытался поставить вместе с каспером веба, инет накрылся, один не дает другому обновляться и сайты подвисают, оставил киса 09
|
|
| Вернуться к началу |
|
|
|
Censor
Ёжик
Возраст: 38
Стаж: 16 лет 5 месяцев и 28 дней
Сообщения: 4
Благодарности: 0/6
Откуда: Одесса
ICQ: 355433051
|
| 12.01.2009 23:08 |
|
|
Я может и не в тему напишу, но для тех кто всё время "борется" с автораном. Есть для XP на форуме каспера _forum.kaspersky.com/index.php?s=&showtopic=64046&view=findpost&p=585899 там внизу есть файл AutorunDisabled.zip таким образом у Вас никогда не запуститься авторан сам по себе и Вас остаётся время проверить и телефон и флешку и всё остальное, НО авторан отключается весь! Я так сижу и не думаю вообще о каких либо вирусах с флешек и телефонов.
Последний раз редактировалось: Censor (14.01.2009 17:34), всего редактировалось 1 раз
|
|
| Вернуться к началу |
|
|
|
Yurko78
Ёжик
Стаж: 16 лет 5 месяцев и 15 дней
Сообщения: 2
|
| 17.01.2009 23:38 win32.HLLW. Shadow. based |
|
|
Avast! протестировал весь комп убил 5 вирусняков но проблема не решилась!Пишет
Вы попытались получить доступ к адресу avast.ru/, который сейчас недоступен. Убедитесь, что веб-адрес (URL) введен правильно, и попытайтесь перезагрузить страницу.
Вы попытались получить доступ к адресу kaspersky.ru/, который сейчас недоступен. Убедитесь, что веб-адрес (URL) введен правильно, и попытайтесь перезагрузить страницу.
Вы попытались получить доступ к адресу drweb.com/, который сейчас недоступен. Убедитесь, что веб-адрес (URL) введен правильно, и попытайтесь перезагрузить страницу.И.т.д.
|
|
| Вернуться к началу |
|
|
|
grig1
Барс
Возраст: 70
Стаж: 17 лет 2 месяца и 25 дней
Сообщения: 123
Благодарности: 34/40
Откуда: Советск Клг.обл.
|
| 18.01.2009 0:11 |
|
|
| Yurko78 писал(а): | | и так далее... такого плана сайты для меня закрыты ну и сайт |
Попробуйте пропинговать эти сайты. Сначала ping nod32.com.ua,а затем ping 194.0.200.9 (это IP сайта nod32).Введи в адресную строку брайзера 87.242.72.150. Должен попасть на сайт Dr.Web.
Пуск-Выполнить и ping nod32.com.ua, затем ping 194.0.200.9. или Пуск-Выполнить ping drweb.com, затем ping 87.242.72.150 Похоже DNS сервер на некоторых сайтах не срабатывает. Может помочь прописка основного и альтенативного адреса DNS сервера. У меня была аналогичная проблема правда не открывались другие сайты. Причем обязательно нужно указать адрес альтенативного DNS сервера.Свойства протокола TCP/Ip. Использовать следующие адреса DNS-серверов: и вручную прописать предпочитаемый и альтенативный адреса. (можно узнать у провайдера или посмотреть в настройках модема).
| Yurko78 писал(а): | | не знаю я как прописать днс.. |
Сетевое окружение СВОЙСТВА. Твое соединение с интернетом (не знаю как оно у тебя называется) СВОЙСТВА. Вкладка ОБЩИЕ выделяешь ПРОТОКОЛ ИНТЕРНЕТА TCP/IP нажимаешь кнопку СВОЙСТВА. Ставишь переключатель на Использовать следующие адреса DNS-серверов: и прописываешь адреса.
_________________
Я горжусь двумя людьми:Гагариным и Ньютоном.Один попытался смыться с этой планеты, а второй доказал,что у первого нифига не выйдет))
|
|
| Вернуться к началу |
|
|
|
Canabis220
Ёжик
Стаж: 16 лет 5 месяцев и 14 дней
Сообщения: 1
|
| 18.01.2009 0:54 |
|
|
| Yurko78 писал(а): | да попал, на сайт Dr.Web#a
а вот внизу по ссылке меня снова не пустили! |
В этой папке:"C:\WINDOWS\system32\drivers\etc"есть файл "hosts". Открой его блокнотом и вставь сюда содержимое.
Другой вариант: поищи в реестре названия этих антивирусов, скорее всего найдешь ветку или ключи где они все перечислены. Выложи сюда его название (ветки).
| Yurko78 писал(а): | # (C) Корпорация Майкрософт (Microsoft Corp.), 1993-1999
#
# Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows.
#
# Этот файл содержит сопоставления IP-адресов именам узлов.
# Каждый элемент должен располагаться в отдельной строке. IP-адрес должен
# находиться в первом столбце, за ним должно следовать соответствующее имя.
# IP-адрес и имя узла должны разделяться хотя бы одним пробелом.
#
# Кроме того, в некоторых строках могут быть вставлены комментарии
# (такие, как эта строка), они должны следовать за именем узла и отделяться
# от него символом '#'.
#
# Например:
#
# 102.54.94.97 rhino.acme.com # исходный сервер
# 38.25.63.10 x.acme.com # узел клиента x
127.0.0.1 localhost
127.0.0.1 mpa.one.microsoft.com |
Вот этот конкретно сайт "mpa.one.microsoft.com" у тебя закорочен на самого себя "127.0.0.1" . Можешь эту строку снести спокойно. Закрой и открой снова. Если снова сама появилась - значит то что ее пишет не удалено и активно. Нужен более толковый антивирь. Если далее строк подобных этой нету, значит остальные сайты закорочены в другом месте.
Я предполагаю что твой антивирус сами вирусы вынес, а вот последствия их работы нет. Есть такая весчь: AVZ. И еще SDFix . Обе утилиты бесплатные. Я думаю чистка ими тебе поможет. В инете должны быть.
Смысл поиска в реестре такой: Если у тебя никогда не стоял, скажем NON32, то и записей в реестре быть не должно. А вот если они есть, да еще со всеми подряд другими, то с высокой вероятностью это способ их тебе заблокировать при помощи мало документированых возможностей винды.
Попробуй скачать утилиту так
Скрытый текст
|
|
| Вернуться к началу |
|
|
|
Eastoop
Гость
|
| 18.01.2009 6:13 |
|
|
| Yurko78 писал(а): | win32.HLLW. Shadow. based
первый попался
16 янв 2009 новость то новая!!!!!!!!!!!!!!!!!!!!!!Сетевой червь Win32.HLLW.Shadow.based моментально распространился по всему Интернету. По некоторым данным заражены уже 2 млн компьютеров. Для упаковки своих файлов вирус применяет постоянно видоизменяющийся упаковщик, что затрудняет его анализ.
Сетевой червь Win32.HLLW.Shadow.based, некоторые образцы которого также могут определяться антивирусом Dr.Web как Win32.HLLW.Autorunner.5555, использует для своего распространения сразу несколько способов. Прежде всего — съёмные носители и сетевые диски посредством встроенного в Windows механизма автозапуска.
Кроме того, червь может распространяться по сети с использованием стандартного для Windows-сетей протокола SMB. При этом для организации удалённого доступа к компьютеру вирус перебирает наиболее часто встречающиеся способы задания пароля, а также пароли из своего словаря. При положительном результате поиска червь копирует себя в системную папку компьютера-жертвы и создаёт задание на запуск через определённый промежуток времени.
Наконец, вирус распространяется по сети с использованием уязвимости Windows.
Вирус умеет останавливать работу службы обновления Windows, а также блокировать сайты множества антивирусных компаний, что затрудняет его обнаружение неопытными пользователями.
Данная вредоносная программа была создана с целью формирования очередной бот-сети. (Бот-сеть - компьютерная сеть, с запущенными ботами— автономным программным обеспечением, которое позволяет злоумышленнику управлять вашим компьютером – МР).
В ходе работы вируса делаются запросы на загрузку исполняемых файлов со специально созданных для этого серверов, установку и запуск этих программ на компьютерах, входящих в эту бот-сеть. Целью преступников может быть как самостоятельное извлечение прибыли из построенной бот-сети, так и её продажа[/u]
ВСЕ!!!!!!!!!!!!!!!1 ПЕРЕГРУЗИЛ КОМП И ВСЕ ЗАРАБОТАЛО! СПАСИБО ВСЕМ ВАМ ЗА ПОМОЩЬ!!!
win32.HLLW. Shadow. based - В НЕМ БЫЛА ПРОБЛЕМА И НАШЕЛ ЕГО DR.WEB 5.0.0.0 !  |
| Цитата: | Процедура лечения системы от Win32.HLLW.Shadow.based и меры по профилактике подобных методов заражений
Установить патчи, указанные в следующих информационных бюллетенях Microsoft:
MS08-067 ( Скрытый текст );
MS08-068 ( Скрытый текст );
MS09-001 ( Скрытый текст ).
Отключить компьютер от локальной сети и от Интернета. Если компьютеры подсоединены к локальной сети, то вылеченный компьютер необходимо подключать обратно к локальной сети лишь после того, как будут вылечены все компьютеры, находящиеся в сети.
Скрытый текст на неинфицированном компьютере, перенести ее на инфицированный и просканировать все диски, тем самым произведя лечение системы. |
Добавлено спустя 55 минут 12 секунд:
Вот такой казус выдал CureIt при проверке... Это по вопросу нахождения некоторыми антивирусами несуществующих вирусов.
|
|
| Вернуться к началу |
|
|
|
Vovva
Навечно в строю
Возраст: 66
Стаж: 17 лет 3 месяца и 17 дней
Сообщения: 1026
Благодарности: 324/283
Откуда: г.Мегион Россия
|
| 18.01.2009 11:34 |
|
|
| Yurko78 писал(а): | | некоторые образцы которого также могут определяться антивирусом Dr.Web как Win32.HLLW.Autorunner.5555, |
Этот тип вируса запускает от имени пользователя системный процес csrcs.exe в диспетчере задач он еще может идти в сопряжении с файлом "cftm.exe", который активируется после закрытия процесса "csrcs.exe", и также наоборот при закрытии "cftm.exe" активируется "csrcs.exe"(только не путать с "csrSs.exe" этот процесс системный). У себя в городе, после того как пролечил свой комп, примерно за месяц наблюдения видел подобные процессы порядка на 20 из 30 компах. В вирусные базы добавлен только около месяца назад.
_________________
В гостях хорошо, а дома интернет.
|
|
| Вернуться к началу |
|
|
|
|
|
|
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете вкладывать файлы
Вы не можете скачивать файлы
|
Заблокировано регистраций / сообщений: 691202 / 329
Powered by phpBB © 2001, 2005 phpBB Group
|
|
|
Правила конференции
Темы 
FAQ 
Поиск
Группы
Регистрация
Профиль
Войти и проверить личные сообщения
Вход
![[ скрыт ]](templates/subSilver/images/lang_russian/icon_email.gif "[ скрыт ]"){kind=icon}
