Премини към съдържанието
  • Добре дошли!

    Добре дошли в нашите форуми, пълни с полезна информация. Имате проблем с компютъра или телефона си? Публикувайте нова тема и ще намерите решение на всичките си проблеми. Общувайте свободно и открийте безброй нови приятели.

    Моля, регистрирайте се за да публикувате тема и да получите пълен достъп до всички функции.

     

sizif

полип вирус в C:\WINDOWS\System32\

Препоръчан отговор


Здравейте!

Имам същия проблем като този, описан от donibrasko в тази тема:

http://www.kaldata.com/forums/index.php?showtopic=148363

Става дума за полип вирус в C:\WINDOWS\System32\

Антивирусната ми е Nod32, версия 3.0.621.0. Програмата вади значително количество съобщения за инфектирани и почистени файлове, но за момента изглежда така сякаш все още удържа положението под контрол.

Реших да преинсталирам Уиндоус-а и ще последвам инструкциите, които е дал в мнението си B-boy[styLe].

Интересува ме дали има риск да са заразени графични файлове (jpg, png, gif) и такива с разширение txt, htm, tpl, php, mp3? Правя архив на файловете от текущи уеб-прокети и ги сканирам с антивирусната преди да ги прехвърля на дискове с надеждата, че ще мога да ги използвам след преинсталацията. Доколко мога да разчитам на резултатите на Nod32 от сканирането, че файловете са чисти? Файловете се намират на C:/

Моля за бърз отговор. Благодаря предварително!

ПП: Проблемният файл след няколко частични и пълни сканирания и опити за почистване остава този:

C:\WINDOWS\system32\nvsvc32.exe - Win32/Polip virus - error while cleaning

Дали има шанс да премахна вируса въпреки обезсърчаващия коментар на B-boy[styLe], че борбата с полип вирусите е изгубена кауза? В последните няколко часа антивирусната сякаш овладя положението, а не ми се иска да преинсталирам операционната система, ако има и други варианти.

В темата, която съм цитирал се препоръчва използването (доколкото разбрах след преинсталацията) на програмата Dr.Web CureIt. Дали би имало ефект, ако се опитам да почистя с нея без да преинсталирам?

Бих искал да сложа и нова версия на Nod32, но се боя, че ако деинсталирам старата версия преди да съм премахнал вируса, заразата ще остане безконтролна и ще нанесе поражения. Как да постъпя?

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
публикувано (редактирано)

деинсталирай драйвера на видеото nvidia вероятно обаче е фалшива тревога. може да повериш като качиш въпросното файлче на сайта http://virustotal.com и разгледаш резултата от сканирането...

ако наистина излезе вирус, просто от пермишъните на ntfs забраняваш да се стартира, рестартираш и си го триеш (забраната може да я направиш и от gpedit.msc - ако знаеш как се баца с груповите политики, които ги има в pro версиите на windows...) п.с. според мен ползвай авира - нода вади бая фалшиви тревоги според http://av-comparatives.org/ a ти на това отгоре караш с версия 3, след като има 4 поне от година

Редактирано от the professor (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
публикувано (редактирано)

Тегли някое .iso на Linux дистрибуция?(Fedora, PCLinuxOS например), записваш, буутваш от него, намираш файла през файловият мениджър и Delete.

Най-простичкият начин.

Но не вярвам това да е краят...

Редактирано от jjjjjk (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
................

Реших да преинсталирам Уиндоус-а и ще последвам инструкциите, които е дал в мнението си B-boy[styLe].

Преди да се инсталира Windows, се почистват всички дялове на хардиска с изтриване на всички файлове с разширения *.exe и *.scr. Следва формат на системния дял и инсталиране на Windows. Не разбрах дали това е направено при вас по този начин.

Интересува ме дали има риск да са заразени графични файлове (jpg, png, gif) и такива с разширение txt, htm, tpl, php, mp3? Правя архив на файловете от текущи уеб-прокети и ги сканирам с антивирусната преди да ги прехвърля на дискове с надеждата, че ще мога да ги използвам след преинсталацията. Доколко мога да разчитам на резултатите на Nod32 от сканирането, че файловете са чисти? Файловете се намират на C:/

Не може да се отговори категорично, защото има вероятност да имате и други полиморфни зарази.

В темата, която съм цитирал се препоръчва използването (доколкото разбрах след преинсталацията) на програмата Dr.Web CureIt. Дали би имало ефект, ако се опитам да почистя с нея без да преинсталирам?

Според мен ще има ефект, но след почистване от EXE и SCR файлове, формат и инсталация на Windows. Ето пак инструкция за сканиране с Dr.Web CureIt:

1. Изтеглете програмата => Dr.Web CureIt и я стартирайте.

2. Направете следните настройки -> клавиш F9:

-В категория проверка се придвижете до списък с изключени файлове.

-Маркирайте всичките и изберете Изтрий. Потвърдете с Apply.

qys86v.jpg

-Придвижете се до категория действия.

Приложете настройките от снимката и натиснете Apply.

1z1wuwi.jpg

3. Направете пълна проверка на системата и публикувайте съдържанието на лог файла (DrWeb.csv) в следващия си коментар. Можете да го качите на rapidshare.com и след това да дадете линк за файла.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Здравейте!

Благодаря за отговорите!

the professor,

Не мисля, че е фалшива тревога. При първото зареждане на дадена програма Нод-а ми изписва, че вирусът я поразява - пример от снощи при стартирането на локалния ми апач-сървър:

03.6.2010 г. 02:53:22

Real-time file system protection

file	C:\program files\easyphp1-8\easyphp.exe	Win32/Polip virus

cleaned - quarantined	NT AUTHORITY\SYSTEM

Event occurred on a file modified by the application: C:\Program Files\Internet Explorer\iexplore.exe.
Концентрирах се върху този файл:
C:\WINDOWS\system32\nvsvc32.exe - Win32/Polip virus - error while cleaning

...защото единствено върху него Нод-а не успява да установи контрол. На всички останали съобщения дава: "cleaned - quarantined". По-късно днес ще направя проверка през сайта, който си дал.

Ще опитам да деинсталирам драйверите. Дано се получи, защото другите две възможности:

ако наистина излезе вирус, просто от пермишъните на ntfs забраняваш да се стартира, рестартираш и си го триеш (забраната може да я направиш и от gpedit.msc - ако знаеш как се баца с груповите политики, които ги има в pro версиите на windows...)

...надскачат компетентността ми - аз съм обикновен юзър. За да го направя ще ми трябва принт-скрин и обяснение като за индианец, а се съмнявам на някого да му се занимава :)

jjjjjk,

ако деинсталацията се провали ще опитам и по твоя начин.


Сподели този отговор


Линк към този отговор
Сподели в други сайтове
публикувано (редактирано)

Има доста други варианти, например работа с Kaspersky Rescue Disk или Dr.Web LiveCD. Ако желаете, може да погледнете как работи Dr.Web LiveCD. На този линк има упътване за работа на руски и английски (LiveCD-5.0.3-ru.pdf и LiveCD-5.0.3-en.pdf), както и мирър за изтегляне на ISO файл. Но ако решите да използвате някое от Live CD версиите на антивирусни програми, имайте предвид, че има голяма вероятност доста файлове да бъдат изтрити и да си усложните още положението с нови инсталации/ преинсталации...

P.S. Според мен инструкциите, които е дал в мнението си B-boy[styLe] в другата тема са най-точни и може би това е най-бързото и сигурно решение.

Редактирано от nologo (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
публикувано (редактирано)

nologo,

благодаря, че продължаваш да следиш развитието на проблема!

Ще форматирам и ще преинсталирам. Явно няма да стане другояче, само че цялата ми колекция от скриптове и завършени проекти е на компютъра (програмирам на РНР, правя сайтове) и затова отлагам и търся други варианти. Доста повече файлове са отколкото имам работещи на сървъри + това имам текущ проект, който трябва да финализирам съвсем скоро. Не ми е минавало през ума, че може да възникне подобна ситуация и се чувствам съвсем безпомощен. Имам се за разумен потребител, който не зарежда случайни сайтове и не инсталира безразборно софтуер и почти нищо не съм записвал на външен носител, а архива, който направих след заразяването явно крие риск.

Ако може да ми дадете някакъв съвет как по сигурен начин да проверя дали са заразени файловете, които свалих вчера или поне някаква идея, как да изтегля безопасно информацията от тях, напр. чрез някаква програма за презапис на текста?

Редактирано от sizif (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Ако става дума за архив, може да се провери с NOD32. Но не съм сигурен за достоверността на резултатите от сканирането по ред причини. Може да се използва някой онлайн скенер на антивирусна програма. Аз препоръчвам тези на известните компании за програми за сигурност: ESET, Dr.Web, Kaspersky, Panda, Sunbelt, Norton и подобни.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
публикувано (редактирано)

Ако става дума за архив, може да се провери с NOD32. Но не съм сигурен за достоверността на резултатите от сканирането по ред причини. Може да се използва някой онлайн скенер на антивирусна програма. Аз препоръчвам тези на известните компании за програми за сигурност: ESET, Dr.Web, Kaspersky, Panda, Sunbelt, Norton и подобни.

Направих пълно сканиране с он-лайн скенера на ESET. Резултатът:

C:\Documents and Settings\gan\Local Settings\Temp\pdfupd.exe

a variant of Win32/Injector.BIO trojan

cleaned by deleting - quarantined


C:\Documents and Settings\gan\Local Settings\Temporary Internet Files\Content.IE5\0L2FCXIJ\st[1]

HTML/Exploit.Agent.NAC trojan

deleted - quarantined
В списъка от он-лайн сканирането не присъства файла, за който все още сигнализира антивирусната на компютъра и заради който публикувах темата:
C:\WINDOWS\system32\nvsvc32.exe - Win32/Polip virus - error while cleaning

Как си го обяснявате и кой резултат да приема за верен - този от он-лайн скенера или от антивирусната (Nod32, версия 3.0.621.0)?

Има ли смисъл да дублирам он-лайн сканирането със скенера на друга компания?

Колебая се за преинсталирането :wors:)

ПП: Опитах да изпратя файла за анализ на http://virustotal.com/, но неуспешно.

Редактирано от sizif (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
публикувано (редактирано)

Отстраненият от EOS файл - pdfupd.exe според мен е някаква част от фейк (rogue) програма за сигурност. Не съм сигурен дали няма други поражения. Може да се сканира, например с Dr.Web CureIT. По-горе има инструкции как. Или да се пусне скенера на Kaspersky...

Редактирано от nologo (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
публикувано (редактирано)

ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe

Да сваля този файл или да го стартирам в он-лайн режим през браузъра?

Опитах да направя последното, но защитната стена на уиндоус-а се включи с въпрос дали да допусне достъп на IE през нея. Да позволя ли?

ПП: ако инсталирам Dr.Web CureIt при работеща антивирусна на компютъра няма ли да се получи колизия между двете програми?

Редактирано от sizif (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Просто изтеглете файла, без да го стартирате с Run. После пуснете изтегления файл. Според мен няма да се получи конфликт с вашия NOD32.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
публикувано (редактирано)

Първо се извинявам, че пиша в темата, но не се сдържах да не се похваля. :baby:

Ако сметнете за нужно, ми изтрийте коментара.

Снощи от глупост и аз се заразих с Win32/Sality.

Познавам си Windows-a ( SP3 ) достатъно добре. Забелязах странно товарене ( за много кратко време се показа на няколко пъти "пясъчния часовник" ). Опитах се да отворя Task Manager, за да видя за какво става дума. Естествено беше забранен :)

Свалих си Avast5 , но не успях да го инсталирам.

Спрях един съмнителен процес с една друга програмка, и едва след това успях да сложа Аваста.

Още докато видях че намира Sality, си изтеглих и пуснах Dr.Web CureIt ( с препоръчителните настройки за такива случаи ) + ESET Online Scanner.

Успях да се изчистя де ( към 60 заразени файла ).

Извода е, че ако се открие на време се чисти !!! :clap:

1636809c.jpg

Редактирано от palavata_tanq (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
публикувано (редактирано)

Просто изтеглете файла, без да го стартирате с Run. После пуснете изтегления файл. Според мен няма да се получи конфликт с вашия NOD32.

Изтеглих Dr.Web CureIt от линка, който ми дадохте и го стартирах. Докато се съгласявах с условията програмата се включи в режим "бързо сканиране" и не можах да направя настройките, които сте показали. Канех се да спра програмата, когато засече полип вируса във файла:

C:\WINDOWS\system32\nvsvc32.exe

за който сигнализираше и Нод-а и затова я оставих да продължи сакнирането.

Резултатът:

http://rapidshare.com/files/395594352/DrWeb.csv.html

MD5: 72B9FE47579281F320F01977749AD31E

По време на сканирането нод-а се включи с предупреждение 2 пъти за активен вирус, който заразява изпълнимите файлове, но след изчистването на проблемния nvsvc32.exe не е извеждал нови съобщения.

При изтеглянето на Dr.Web CureIt, малко преди да го стартирам се случи нещо, което малко ме притеснява. Нод-а изведе съобщение, че Dr.Web CureIt е заразен с полип вирус и че не може да го постави под карантина и да го изчисти.

Сега ще се опитам да изтрия Dr.Web CureIt от компютъра и ще го изтегля наново, а довечера ще пусна сканирането с клавиш Ф9 и настройките, които сте дали.

Мога ли вече да се чувствам по-спокоен?

ПП: 1) рестартирах компютъра -> липсват нови съобщения от антивирусната, че има активен вирус;

2) сканирах exe-файла на Dr.Web CureIt с нод-а, даде ми че е чист. Изтрих го без проблем и след малко ще изтегля програмата наново.

3) Сканирах с нод-а проблемния доскоро:

C:\WINDOWS\system32\nvsvc32.exe

нямаше опити за заразяване на други файлове, а самия файл според нод-а вече е чист.

4) След малко ще заредя някое от програмите, които досега се въздържах да стартирам, за да не бъдат засегнати от вируса и ако не получа традиционното съобщение от нод-а:

03.6.2010 г. 02:53:22 

Real-time file system protection 

file    C:\program files\easyphp1-8\easyphp.exe Win32/Polip virus 

cleaned - quarantined   NT AUTHORITY\SYSTEM 

Event occurred on a file modified by the application: C:\Program Files\Internet Explorer\iexplore.exe.

ще приема, че компютъра е чист.

Редактирано от sizif (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Dr.Web CureIt е открил сравнително малък брой заразени файлове с дефиниция Win32.Polipos при вас, справка:

Процес в паметта: C:\Program Files\Common Files\Real\Update_OB\realsched.exe:280;;Win32.Polipos;Обезвреден.;

accwiz.exe;C:\WINDOWS\system32;Win32.Polipos;Излекуван.;

nvsvc32.exe;C:\WINDOWS\system32;Win32.Polipos;Излекуван.;

cleansweep.exe;c:\cleansweep.exe;Trojan.DownLoader.46203;Изтрит.;

Според мен имате шанс. Ако имате време, опитайте с Live CD на Dr.Web.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Първо се извинявам, че пиша в темата, но не се сдържах да не се похваля. :baby:

Ако сметнете за нужно, ми изтрийте коментара.

Снощи от глупост и аз се заразих с Win32/Sality.

Познавам си Windows-a ( SP3 ) достатъно добре. Забелязах странно товарене ( за много кратко време се показа на няколко пъти "пясъчния часовник" ). Опитах се да отворя Task Manager, за да видя за какво става дума. Естествено беше забранен :)

Свалих си Avast5 , но не успях да го инсталирам.

Спрях един съмнителен процес с една друга програмка, и едва след това успях да сложа Аваста.

Още докато видях че намира Sality, си изтеглих и пуснах Dr.Web CureIt ( с препоръчителните настройки за такива случаи ) + ESET Online Scanner.

Успях да се изчистя де ( към 60 заразени файла ).

Извода е, че ако се открие на време се чисти !!! :clap:

1636809c.jpg

Но тъй като почистените файлове може би няма да имат оригиналните си контролни суми (ако искаш провери), се счита че системата е компрометирана и е добре да се изпълни един Repair Install или направо чиста инсталация след формат на системния дял. Командата sfc /scannow може би НЯМА да помогне, защото е възможно и файловете от папката C:\Windows\system32\dllcache също да са били променени...

А POLIP прави доста сериозни изменения според Microsoft.

Ако машините съдържат критично ценна информация и се използват за онлайн банкиране/пазаруване/транзакции е абсолютно немислимо да се мине без формат на системния дял поне. :bighat:

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

nologo,

мога само да ви благодаря за вниманието към проблема ми и за търпението, което проявихте!

По т. 4 от предишния ми пост:

стартирах няколко приложения, които досега не бях включвал -> FlashGet, Skype, WebTrance, дори QIP, който не съм използвал поне от година и съм сигурен, че дори случайно не съм го включвал в последни три-четири дни. Нод-а не изведе никакво съобщение за проблеми.

ПП:

Според мен имате шанс. Ако имате време, опитайте с Live CD на Dr.Web.

Т.е. да сваля нея вместо Dr.Web CureIt или да направя пълно сканиране с Dr.Web CureIt и после с Live CD на Dr.Web? Можете ли да ми дадете някакви инструкции как да я използвам?

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Имах предвид ако имате време да направите контролно сканиране с Dr.Web LiveCD. Дал съм линк с информация в този коментар.

Но после ще трябва да направите една доста сложна и трудоемка операция, за която стана дума веднъж:

  • Копиране на ваши файлове (бекъп), без EXE и SCR разширения на външен носител.
  • Изтриване на всички дялове и създаване наново, формат и чиста инсталация на Windows.
  • Инсталиране на лицензирана програма за сигурност, независимо дали е платена или безплатна.
  • Внимателно връщане на вашите файлове на новоинсталираната система.
  • Сканиране с Dr.Web CureIT на системата.

Това според мен е най-сигурното за вашия случай. Споменах, че имате шанс. Но за запазване на някои ваши файлове, като се колебаех донякъде за Windows. При полиморфните вируси не трябва да има никакво колебание...

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
публикувано (редактирано)

Стартирах Dr.Web CureIt с указаните настройки, на пълно сканиране, което продължи малко над 6 часа.

Резултатът:

http://rapidshare.com/files/395751857/DrWeb.csv.html

MD5: 54DBD4FB6F483875E62E8B679F040B93

Сканирането засече 2 полип-вируса. При опита да бъдат излекувани изведе съобщение, че са неличими, а антивирусната се задейства и ги постави под карантина. След края на сканирането зададох ръчно изтриване пак през Dr.Web CureIt. Този път програмата ги изтри.

Как ви се струва резултата - обнадеждаващ?

Ще направя още едно пълно сканиране утре или вдруги ден и едва тогава ще прехвърля избрана част от архива си на външен носител (само най-важното, без EXE и SCR) и ще направя преинсталация.

Мога ли да извърша форматирането на харда по време на самата инсталация? Ако не е приемливо при инсталирането, как да го направя безопасно?

PS: Току-що при включването на компютъра се случи нещо много странно. Уиндоус зареди, забеляза проблемни файлове (изтрития пакет от снощи след сканирането с Dr.Web CureIt), след което започна да сканира паметта, смени файловата система от FAT32 (Уиндоуса е на 4 г.) на NTFS и възстанови файловете.

Антивирусната не е извела съобщение за проблеми, не липсва информация, свободното пространство е толкова, колкото беше, компютъра се държи нормално. Някакво обяснение?

Редактирано от sizif (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Добавете отговор

Можете да публикувате отговор сега и да се регистрирате по-късно. Ако имате регистрация, влезте в профила си за да публикувате от него.
Бележка: Вашата публикация изисква одобрение от модератор, преди да стане видима за всички.

Гост
Напишете отговор в тази тема...

×   Вмъкнахте текст, който съдържа форматиране.   Премахни форматирането на текста

  Разрешени са само 75 емотикони.

×   Съдържанието от линка беше вградено автоматично.   Премахни съдържанието и покажи само линк

×   Съдържанието, което сте написали преди беше възстановено..   Изтрий всичко

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Добави ново...