Здравейте! Опитах какво ли не за да го премахна, но не се получава... Моля помогнете, че почнах да се отчайвам Първоначално Аваста ми откри вирус ... опитах какво ли не ... repair, delete, move to chest.. но без резултат.. Аваста намира вирусите, но не може да ги махне.. засегнатите директории са - C:\Documents and Settings\dt\Local Settings\Temp\tt1.tmp.vbs и C:\WINDOWS\system32\blphcre8j0e111.scr .... опитах да ги чиестя в safe mode безрезултатно, спрях System Restore ... и вече нямам представа какво да правя ... Когато изтривам ръчно заразените файлове tt1 ,tt2 и тн, то те се появяват отново

Последствията от вируса са - изчезна ми табулацията за смяна на десктоп и скрийн сейвър, на декстопа ми седи неактивен прозорец в който пише че съм инфектиран, който по скоро е снимка... махам го, но след рестарт на пц-то пак се появява... Излезе ми няколко пъти син екран (не запомних инфо от него)

Та какво бихте ме посъветвали да правя по нататък, че съм пред побъркване Благодаря ви предварително !

ПС. пропуснах да отбележа за една отвратителна програмка, която може би беше троянеца... XP antivirus 2008 се казва, която намиршае изключително много вируси и не можеше да се спре, но някак си успях да я изтрия ... та това е

@14sk и @Jorjini0 изпълнете стъпките от този пост:

http://www.kaldata.com/forums/index.php?sh...p;#entry1055496

за да генерирам script за премахване на заразата, подобен на този:

http://www.kaldata.com/forums/index.php?s=...st&p=977618

Няма да е зле да проверите и с дадена антивирусна от рода на Avira.

За да и направиш максимум настройки преди проверката вижте тези два поста:

http://www.kaldata.com/forums/index.php?s=...st&p=975515

http://www.kaldata.com/forums/index.php?s=...t&p=1017686

Редактирано 12 септември 200817 г. от B-boy[StyLe] (преглед на промените)

Изглежда имаш вирус в boot секторите на хардиска.

Използвай командата FIXMBR от Recovery Conosole-та.

http://www.kaldata.com/forums/index.php?s=...st&p=668835

Интересното е ,че когато изключа вторият диск от компютъра при сканиране съобщението изчезва. На компютъра остава диска на който е инсталиран Windows.

Да Mebroot е скрит ако системата е стартирана от инфектиран дял.

The point is that Mebroot is hidden if the system is started from an infected partition.

Можеш да пробваш с командата FIXMBR на дяла на който е инсталирана Операционната Система...или да сканираш и дадеш логове от Combofix и HijackThis (писано е как става това).

Редактирано 19 август 200817 г. от B-boy[StyLe] (преглед на промените)

За да не стигнете до тази тема, внимавайте много, ако ви се отвори изскачащ прозорец в Интернет браузъра. Особено ако този прозорец иска да инсталира Antivirus 2008 или какъвто и да е софтуер/ програма, която не търсите или която се появява случайно, докато сте в някой сайт.

Вариант за избягване на зараза: просто затворете/ изключете браузъра. Това става с клавишна комбинация Alt+F4 докато се затворят всички екрани на браузъра или Task Manager -> Applications -> End Task за цялостно изключване на браузъра (Internet Explorer, Opera, Firefox и други).

Не се съгласявайте с нищо и не кликвайте върху нищо в трудно затварящите се рекламни екрани! Ето снимка с покана за зараза с Antivirus 2008 (или XP Antivirus 2008), която направих преди малко. Браузър- Firefox 3.0.1 и ОС - Windows XP SP3:

После можете да проверите с някоя от популярните програми за сигурност, посочени в тази тема.

Редактирано 19 август 200817 г. от nologo (преглед на промените)

Ето ги и въпросите: Smile Моля по темата да се изказват само умни мнения и опити за помощ!!!

Хванах вирусче и четох много преди да пиша тук!

1. Угасна антивирусната (каквато и да е тя момента не е подходящ за спорове коя е най-добра)

2. Рестартира се компютъра. След рестарта компютъра естествено започна да забива като при едвам пуснат Task Manager CPU е качило 100%. Разгледах текущите приложения през Task Manager и засякох вирус с име flec006.exе, който е някакъв вид Троянец.

Четох много за този вирус в нета и свалих около 20 програми фиксове и други "боклуци". За да пиша тук е ясно, че нищо не е помогнало. От Касперски през фиксовете, та чак до съвсем неизвестни програми.

Опитах да махна вирусите през Safe Mode , но този вирус изключва функцията SAFE MODE.

Опитах да спра вируса през TASK MANAGER с End Process , но и това е изключено.

Изключена е и функцията за пускане от Тооls>Folder Options>Show hidden files and folders. Защото този вирус си е направил папка в C:Documents and Settings>User>Aplications Data>M

Самият вирус се пуска в Task Managera и с други имена, като най-често това са цифри като 350937.exe.

След като написах всичко това очаквам предложенията Ви за поредни действия!!!

Благодаря предварително!

П.С. Този вирус върви заедно с wintems.exe и srosa.sys и exe.

Ето ги и въпросите: Smile Моля по темата да се изказват само умни мнения и опити за помощ!!!

Хванах вирусче и четох много преди да пиша тук!

1. Угасна антивирусната (каквато и да е тя момента не е подходящ за спорове коя е най-добра)

2. Рестартира се компютъра. След рестарта компютъра естествено започна да забива като при едвам пуснат Task Manager CPU е качило 100%. Разгледах текущите приложения през Task Manager и засякох вирус с име flec006.exе, който е някакъв вид Троянец.

Четох много за този вирус в нета и свалих около 20 програми фиксове и други "боклуци". За да пиша тук е ясно, че нищо не е помогнало. От Касперски през фиксовете, та чак до съвсем неизвестни програми.

Опитах да махна вирусите през Safe Mode , но този вирус изключва функцията SAFE MODE.

Опитах да спра вируса през TASK MANAGER с End Process , но и това е изключено.

Изключена е и функцията за пускане от Тооls>Folder Options>Show hidden files and folders. Защото този вирус си е направил папка в C:Documents and Settings>User>Aplications Data>M

Самият вирус се пуска в Task Managera и с други имена, като най-често това са цифри като 350937.exe.

След като написах всичко това очаквам предложенията Ви за поредни действия!!!

Благодаря предварително!

П.С. Този вирус върви заедно с wintems.exe и srosa.sys и exe.

Изпълни действията от този пост:

http://www.kaldata.com/forums/index.php?s=...t&p=1023621

И иначе можеш да си поправиш наложените ограничения (ако има още такива след употребата на Combofix) с SUPERAntispyware от менюто REPAIRS: (Preferences => Repairs)

*Enable Task Manager => Perform Repair

*Repair broken Safeboot key => Perform Repair

Редактирано 21 август 200817 г. от B-boy[StyLe] (преглед на промените)

Ето ги и въпросите: Smile Моля по темата да се изказват само умни мнения и опити за помощ!!!

Хванах вирусче и четох много преди да пиша тук!

1. Угасна антивирусната (каквато и да е тя момента не е подходящ за спорове коя е най-добра)

2. Рестартира се компютъра. След рестарта компютъра естествено започна да забива като при едвам пуснат Task Manager CPU е качило 100%. Разгледах текущите приложения през Task Manager и засякох вирус с име flec006.exе, който е някакъв вид Троянец.

Четох много за този вирус в нета и свалих около 20 програми фиксове и други "боклуци". За да пиша тук е ясно, че нищо не е помогнало. От Касперски през фиксовете, та чак до съвсем неизвестни програми.

Опитах да махна вирусите през Safe Mode , но този вирус изключва функцията SAFE MODE.

Опитах да спра вируса през TASK MANAGER с End Process , но и това е изключено.

Изключена е и функцията за пускане от Тооls>Folder Options>Show hidden files and folders. Защото този вирус си е направил папка в C:Documents and Settings>User>Aplications Data>M

Самият вирус се пуска в Task Managera и с други имена, като най-често това са цифри като 350937.exe.

След като написах всичко това очаквам предложенията Ви за поредни действия!!!

Благодаря предварително!

П.С. Този вирус върви заедно с wintems.exe и srosa.sys и exe.

Ами най-лесният вариант е да стартираш от Live CD. Такива из нета много. Свали го от друг, чист компютър, запиши го на диск и стартирай компютъра си от него. Изчисти си вируса, стартирай си компютъра нормално оправи си АВ програмата и сканирай с нея или с друга. Такива спасителни дискове има на сайтовете на почти всички АВ програми, като: Касперски, Авира, Hiren's BootCD, Ultimate Boot CD и други.

Хм,дали е вирус,спайуер или малуер,на мен ми прилича по-скоро на последното,но това не е най-важното.

Моето мнение е че чистачките на спай и антивирусните няма да ти помогнат много-много.Винаги ще остане нещо и няма да бъде напълно изчистено.

Съветът ми е да си заделиш важните файлове на някакъв носител или на другия дял на хард диска (ако ти е разделен на две или повече) и да направиш една чиста инсталация на Windows.Така ще си най-сигурен че всичко е изчезнало.

И като направиш новата инсталация си сложи една хубава бекъп програма (Acronis True Image например) и следващия път внимавай какви файлове отваряш и кои сайтове посещаваш.

Успех

След като си сложих OUTPOST PRO.2009 забелязах, че за кратко време получих много атаки /те си и продължават- през 1-2 мин/. Като разгледах процесите що да видя- имам стартирани UDP протоколи с някакъв френски адрес??? , като в същото време всички атаки ми идват от тоя френски адрес, но с различни IP. Прилагам скрийншотове от Outpost Pro 2009.

Моля помагайте да изчистя това животно!

Споко

няма заплахи за тебе

Просто казано така работят Суичовете, предполагам си на Лан интернет.

Пакетите минаващи през Суичовете достигат и до твоята Лан карта. И понеже ФайърУола който ползуваш изглежда не е настроен или пък не е направен както трябва и ти ги показва като атаки към тебе

Абе как няма заплахи като всичко свети в червено. не виждаш ли, че има някакъв френски адрес, който въобще не трябва да го има, не виждаш ли, че SVCHOST.EXE е стартирано няколко пъти.... ( През 1 мин. стената ми дава за осъществена атака.

Защо си мислиш че SVCHOST.EXE не трябва да е стартиран няколко пъти? Ако не пускаш пакетите да стигат до програмата какъв ти е проблема? И какво като е френски адрес, искаш да го махнеш от интернет ли?

Човек, не разбирам от пакети и др. неща...виждам обаче, че всичко свети в червено, а и какъв ще е този френски адрес дето се е лепнал за машината?

Ами като не разбираш какви ги ръсиш тогава. Просто машината ти е атакувана. Ако не си правил глупости при конфигуриране на защитната стена няма от какво да се притесняваш. И никой не се е лепнал за машинатат ти, просто те сканират. От една обикновена мрежова атака направи световен проблем

добреееее....казваш, че ме сканират, което значи, че съм "видим" в мрежата. В същото време тестовете на pcflank.com дават, че съм "Stealt". Т.е. възниква някакво противоречие!

Мама му стара, а как мислиш подобни сайтове като цитирания от теб разбират че си невидим. Ами и те правят сканиране. Дали тези сканирания са законни/незаконни, опасни/безопасни вече е тема на друг разговор

Погледни отново настройките на стената,ако имаш P2P включен клиен го изключи и виж пак има ли ги тези атаки.Случват се такива неща,когато студенти от технически университети си правят лабораторни упражнения.

Да оставим pcflank.com. Аз питам за този френски адрес, който смея да твърдя се е "лепнал" за мен. Нали съм "невидим", как ме вижда, за ма сканира....освен ако "отвътре" не му се подава "сигнал", че "съм тук" Въпросите са ми на лаик, но не мисля, че не са логични!

Не са логични!!! Примерна ситуация: Аз нямам идея за даден хост и за да разбера дали случайно мога да го атакувам по някакъв начин започвам с едно проучване под формата на сканиране на портовете. Едва след това мога да кажа че например хоста липсва, не отговаря или е достъпен. В зависимост от ситуацията решавам дали да разгърна атака или не. Но както споменаха по-горе ако примерно някакъв софтуер (при теб) достъпва този хост то той даже след като е видял че си в невидим режим може да се пробва, защото има комуникация с теб и вижда че си "жив"

Защо не посочи този френски адрес - просто за да бъде проучен ... С тази стена е нормално да свикваш с такива констатации ... Поздрави

Аааа, е за това питах и аз. Значи все пак има "нещо" вътре в машината, което му дава сигнал. А как да разбера кое е? това 3-4 кратно стартиране на SVCHOST.EXE ме съмнява нещо. Може ли да има нещо гнило в тая работа и как да разбера?

броузер, торент клиент, ICQ, и още какво ли не.

И го остави на мира тоя SVCHOST.EXE!!!

От това което изброяваш едиствено браузър може да е. А как да разбера и да елеминирам това?

Ами не пускай НИКАКВИ програми на машината, изключи я от контакта и мрежата, заключи я в сейф и ще е почти перфектно защитена.

Аре стига с тези паранои...

Колега, предполагам ползваш някакъв торент, това може да е една от причините, тоест няко да се опитжа да си дотегли несхто от теб.

Хм.... Хората в този форум, а и във всеки друг се делят общо на два типа- манияци /и специалисти/ в конкретната област и хора търсещи отговор на някакъв въпрос. Аз се причислявам към втората категория. И като човек, неразбиращ професионално от компютри- питам, когато нещо не ми е ясно. В конкретния случай пък, от защитни стени въобще не разбирам- за първи път си слагам и е нормално за питам, когато ми излизат такива "червени резултати". Не виждам защо се нервираш? Ако знаеш как да си настроя по-оптимално стената, ми кажи, но засега от всичките ти постове не получих нито един практически съвет за конкретния случай, освен "идеята" да си изключя компютъра.

1. Поне два пъти писах за прословутия SVCHOST.EXE

2. Писах че такива атаки са нормални, всеки ежедневно е подложен на тях

3. Обяснението ми със сейфа беше да ти покажа че абсолютна защита няма. Освен това при анализите преди избор на защитна стратегия се смята цената на информацията, която ще се защитава и евентуалните загуби при пробив. И цената на защитата е само част от цената на информацията. Ако те интересува този процес мога да те насоча към някои източници да четеш

Ако е на разбираем език /български или руски/ ще ми бъде интересно!

За съжаление тези неща мога да ги намеря само на английски или френски

http://forums.kaldata.com/index.php?showtopic=1133

ето обяснение на svchosta на БГ

@engineer няма място за паника.

Аз дори разкарах OUTPOST-a.

http://www.kaldata.com/forums/index.php?s=...t&p=1020059

Изглежда доставчика ми има по-добра защита и нямам смисъл от него.

Все пак можеш да видиш тези "hardening tools" и да позакърпиш тук-таме, но внимавай все пак да не изпищиш после на умряло ако си спреш ИНТЕРНЕТА!!!

http://www.kaldata.com/forums/index.php?s=...st&p=992627

Ако е на разбираем език /български или руски/ ще ми бъде интересно!

http://www.nigma.ru/index_menu.php?action=...p;display=login При правилно зададено търсене намира много резултати на всички основни езици ... На азиатските също... Поздрави