А
Альпа
Гость
Trojan.Win32.SpyAgent.a
Как с этим бороться? Я в отчаянии. Касперский не берёт!!!
Как с этим бороться? Я в отчаянии. Касперский не берёт!!!
-
Уважаемый посетитель!!!
Если Вы уже являетесь зарегистрированным участником проекта "миХей.ру - дискусcионный клуб",
пожалуйста, восстановите свой пароль самостоятельно, либо свяжитесь с администратором через Телеграм.
Unknown
Группа удаления
Альпа а как же ты его нашла?
трояны и вирусы это не одно и тоже..
http://www.providers.perm.ru/article03.shtml -там внизу ссылочки есть..
трояны и вирусы это не одно и тоже..
http://www.providers.perm.ru/article03.shtml -там внизу ссылочки есть..
Unknown
Группа удаления
а это вот это:
Trojan Remover 6.0.9
2,75 Мб
Руссконо интерфЭйса нет
Антивирусник, специализирующийся на отлавливании троянских программ - полезная в хозяйстве вещь, ведь вполне может случиться так, что стандартный антивирусник не сможет не то что удалить, но и обнаружить какой-нибудь особо изощренно изготовленный троян (в настощий момент программа способна обнаружить и удалить более шести тысяч троянов, и эта база данных постоянно пополняется).
Кроме версии для "домашнего" применения (на нее ведет ссылка "загрузить"), выпускаются разновидности Pro и сетевая.
Без регистрации: работает 30 дней.
---
WEREWOLF такакая же просьба, как и к Киллеру нашему - говоришь о программе, давай ссылку на нее сразу..
Альпа
Разбираться надо.. встречаешься или нет, часто или редко, а надо.
~Frau Nebel~
Почетный участник
Я живу с вирусом уже полгода. Постоянно при включении компа появляется удаленное соединение. Если нажимаешь "Отмена" - начинает противно щелкать, потом выпадает ошибка, которую никак не убрать. Нашла метод борьбы, но удалить его невозможно. Пробовала найти енту хрень в списке автоматически загружаемых программ - ни фига. Виндоус вцепился и не отпускает. Как мне с ним бороться???
Nika
Гуру
Роза Люксембург, типичная картина для троянских программ. Самый простой способ - поставить какой-нить антивирус (с новыми вирусными базами) и почистить комп с помощью него.
Или же, как тебе сказали уже, удалить всё, связанное с этим трояном, из реестра.
Если уж вообще ничего не помогает, придется форматировать системный диск и переставлять систему, но такие безнадежные случаи на самом деле встречаются редко.
Да, обычно такие вещи не появляются в списке автоматически загружаемых программ. "Вычислить" этого трояна можно, просмотрев список процессов, в данный момент исполняемых компом. Для этого надо нажать Ctrl-Alt-Del -- Диспетчер задач --Процессы (правда, это не поможет в случае с Windows 98). А затем посмотреть, нет ли там процесса с каким-нибудь странным названием, но для этого естесственно, нужно знать, как называются обычные виндовые процессы и процессы приложений. Скорее всего определить , "вычислить" левый процесс может только достаточно опытный системщик. Ну так вот, если удастся вычислить процесс, исполняемый трояном, можно будет иметь представление о том, как называется .exe файл трояна, найти его в винде и удалить, Хотя конечно не факт, что система вот так просто даст это сделать.
Michael
Участник
От большинства тройнцев легко избавиться в ручную Правда для этого надо иметь определенный опыт общения с компьютером. 
Как правило, эти вредоносные программы не меняют исполняемые файлы других программ. Все что они делают -- это копируют себя куда-нибудь в папку windows, иногда при этом подменяя собой какую-нибудь полезную программу, например, notepad, затем прописывают свой запуск при загрузке windows и живут у вас в системе.
Шаг первый -- найти где эта программа запускается.
Таких мест в ситсеме windows много. Реестр, файлы win.ini, system.ini, папка для автозагрузки программ.
Шаг второй -- удалаяеам команду запуска этой программы, одновременно запоминая название файла из которго она запускается.
Шаг третий -- перезагружаем компьютер и удаляем саму программу с диска.
Это все в общих чертах. Иногда приходится импровизировать. Например, недавно я нашел у себя дома троянца и смог удалить его только из DOS'а (у меня win98).
Кроме того, антивирусные сканеры никто не отменял. Теми, что постоянно сидят в памяти и что-то там проверяют я не пользуюсь, а вот обычное сканирование программ на диске запускаю регулярно.
Если есть желающие -- могу расписать шаги более подробно.
Как правило, эти вредоносные программы не меняют исполняемые файлы других программ. Все что они делают -- это копируют себя куда-нибудь в папку windows, иногда при этом подменяя собой какую-нибудь полезную программу, например, notepad, затем прописывают свой запуск при загрузке windows и живут у вас в системе.
Шаг первый -- найти где эта программа запускается.
Таких мест в ситсеме windows много. Реестр, файлы win.ini, system.ini, папка для автозагрузки программ.
Шаг второй -- удалаяеам команду запуска этой программы, одновременно запоминая название файла из которго она запускается.
Шаг третий -- перезагружаем компьютер и удаляем саму программу с диска.
Это все в общих чертах. Иногда приходится импровизировать. Например, недавно я нашел у себя дома троянца и смог удалить его только из DOS'а (у меня win98).
Кроме того, антивирусные сканеры никто не отменял. Теми, что постоянно сидят в памяти и что-то там проверяют я не пользуюсь, а вот обычное сканирование программ на диске запускаю регулярно.
Если есть желающие -- могу расписать шаги более подробно.
А
Альпа
Гость
Michael, есть. Я. Давай расписывай.
У меня эта зараза в Windows. И ничем она себя не заменяла. Так и называется по имени... Ну, того, кто хрюшу подкинул. Пробовала удалить обычным методом, ан неет. Ковыряется, укоренился... "Нет доступа... Диск защищён или переполнен...". Касперский не удаляет, а находит, при этом троян противно визжит по-свинячьи. Хотите пришлю? Послушаете. Шутю, шутю...
Michael, айда расписывать. Будем объявлять войну троянам!!!
"Здоровье компам русских граждан!" Ураааа! Ураа!... Ура.
Michael, заранее благодарю!
У меня эта зараза в Windows. И ничем она себя не заменяла. Так и называется по имени... Ну, того, кто хрюшу подкинул. Пробовала удалить обычным методом, ан неет. Ковыряется, укоренился... "Нет доступа... Диск защищён или переполнен...". Касперский не удаляет, а находит, при этом троян противно визжит по-свинячьи. Хотите пришлю? Послушаете. Шутю, шутю...
Michael, айда расписывать. Будем объявлять войну троянам!!!
"Здоровье компам русских граждан!" Ураааа! Ураа!... Ура.
Michael, заранее благодарю!
Michael
Участник
Ладно.
Начнем с певого шага. Находим где запускается зловредный троян.
Для начала расскажу как быть в том случае, когда имя исполняемого файла программы-трояна нам известно.
Хочу предупрелить, что если вы не уверены в своих действиях, то лучше ничего не меняйте в файлах конфигурации Windows, так как это может привести к неприятным последствиям, вплоть до полной потери всех данных на диске
Итак.
1. Сморим в папке "StartUp" ("Автозагрузка") в меню "Programs" ("Программы")
Если там есть какие-то ярлыки -- смотрим что они запускают. Если они запускают нужный (а точнее совсем не нужный) нам файл, то удаляем этот ярлык из папки.
2. Смотрим на содержимое файла Win.ini из папки, где у нас стоит windows. Как правило он находится там: "C:\WINDOWS\WIN.INI"
Чем смотреть? Ну хотя бы программой NotePad.
Кстати, эти файлы выглядят по разному в разных версиях Windows.
Нас интересуют такие строки:
В данном случае они пустые. Но может быть и вот так:
В этом случае, все, что написано справа от знака "равно" нужно удалить.
На всякий случай смотрим в файл system.ini, рассположенный там же.
В строке Shell= после Explorer.exe не должно быть больше ничего. Если есть -- удаляем.
3. Ну а теперь -- самый распространенный и часто используемый вариант запуска троянцев. Через реестр. Для его просмотра и редактирования нужно запустить специальную программу -- редактор реестра. Нажимаем "Start"-->"Run..." ("Пуск"-->"Выполнить") и в появившемся окошке набираем "Regedit" без кавычек и нажимаем "Enter". Запустится программа -- редактор реестра.
На экране вы увидите окно, разделенное на две части. В левой части -- дерево и ветки реестра. В правой части -- содержимое той ветки, которая выбрана слева. Если эту программу раньше не запускали или если у вас windows95-98, то Сверху вы увидите иконку "My computer" и из нее будут "произрастать" несколько веток-разделов. Нас интересуют только два: HKEY_CURRENT_USER и HKEY_LOCAL_MACHINE. Если же стоит более позний Windows и кто-то уже "лазил" по реестру, то часть веток может быть открыта с самого начала. Видимо будет удобнее их закрыть, а потом идти дальше по инструкции.
Начнем со второго ключа HKEY_LOCAL_MACHINE. Открываем его содержимое, щелкнув на маленький "плюс" слева около него. Можно просто втать на него "стрелками" и нажать "стрелка вправо". Из этой ветки "вывалится" несколько "подветок". Среди них надо найти ветку "SOFTWARE" и, в свою очередь, открыть ее. Дальше ищем ветку "Microsoft" и открываем ее. В выпавших из ветки "Microsoft" ищем "Windows" и тоже открываем ее содержимое. Находим "CurentVersion" и открываем ее. Вот мы и добрались до нужного места. В нижней части окна, редактор реестра пишет путь к тому месту, где мы сечас находимся. Если вы все сделали правильно, то там должна быть строка вида:
Если там что-то другое -- начните сначала.
Итак, в открывшемся разделе ищем ветку "Run". Если установить курсор на эту строку, в правой части отобразится ее содержимое. В этом разделе прописываются все программы, которые автоматически запускаются при загрузке компьютера. Программ этих может быть довольно много. Штук десять, например. Важно найти ту, что нам мешает. Как выглядит экран программы в этот момент, вы можете увидеть в прикрепленном к сообщению файле. Этот скриншот сделан в windows95, поэтому там запускается всего три программы. Одна из них (winkiller.exe) специальная утилита, которую я сам когда то устанавливал на тот компьютер. На ее примере хорошо видно, как программы "прописывают" себя в этот раздел. Смотрим на скриншот в правую часть окна. Каждый параметр, запускающий программы, состоит из двух частей: "Name" (имя) и "Data" (данные). Имя может быть произвольным. Часто троянцы прописывают себя под какими-то заковыристыми именами, так что и не сразу поймешь, что это не то, что есть на самом деле. Нас интересует только вторая часть параметра: данные. Вот там мы видим либо просто имя файла с программой или то же имя вместе с путем до него.
Теперь все просто. Так как имя файла с программой-троянцем нам известно -- находим соответствующий параметр и просто удаляем его (кнопка "Del" или контекстное меню правой кнопкой мыши).
Кроме этой ветки реестра точно так же нужно проверить еще несколько:
Последние два есть не во всех версиях Windows.
Затем нужно посмотреть те же ветки но в разделе для текущего пользователя, то есть в My Computer\HKEY_CURRENT_USER. Нужно вернутся на самый верх деревса и опять идти по веткам вниз, открывая нужные. Итак проверяем
и удаляем оттуда все лишнее, если оно там есть.
Заодно можно и поудальть то, что запускается, но вам не нужно. Например какой-нибудь LivePlayer, WinampAgent и т. п.
После того, как мы удалили все команды на запуск троянца нужно перезагрузить Windows и удалить файл с троянцем вручную. Затем запустить антивирус на проверку.
Когда имя программы с троянцем нам не известно, делать надо примерно тоже, но только тут уже нужно представлять что должно запускаться при старте Windows, а что нет. И аккуратно удалять лишнее.
То что я написал -- это лишь общие рекомендации. Мой способ может сработать не всегда. Например, две недели назад я нашел у себя дома троянца. Удалил строки на его запуск из реестра, перезагрузился, а windows не дает мне стереть файл с трояном, потому, что тот запущен. Странно. Захожу опять в реестр -- а там опять команда на запуск есть. Но я ведь ее удалял только что? Удаляю снова, перегружаюсь -- то же самое. Оказалось, что троянец сидел в памяти и регулярно обновлял команду на свой запуск в реестре. То есть, я ее удалял, а он ее снова туда вписывал через пару секунд. Пришлось перезагрузится в DOS'е и удалить файл с троянцем, а потом почистить реестр...
Так что, к вопросу удаления троянцев надо подходить творчески. Кроме того, существует полно программ, в том числе и бесплатных, которые покажут вам и все, что у вас запускается при загрузке, и троянцев удалят... Я просто по старой привычке стараюсь все то, что могу делать сам, делать своими руками...
Michael добавил [date]1065510567[/date]:
Похоже, форум обрезает длинные строки... В общем, пути в реестре должны писаться в одну строку, как на скриншоте.
___
По техническим причинам вложение было удалено.
Обращайтесь лично ко мне.
Fractal
Начнем с певого шага. Находим где запускается зловредный троян.
Для начала расскажу как быть в том случае, когда имя исполняемого файла программы-трояна нам известно.
Хочу предупрелить, что если вы не уверены в своих действиях, то лучше ничего не меняйте в файлах конфигурации Windows, так как это может привести к неприятным последствиям, вплоть до полной потери всех данных на диске
Итак.
1. Сморим в папке "StartUp" ("Автозагрузка") в меню "Programs" ("Программы")
Если там есть какие-то ярлыки -- смотрим что они запускают. Если они запускают нужный (а точнее совсем не нужный) нам файл, то удаляем этот ярлык из папки.
2. Смотрим на содержимое файла Win.ini из папки, где у нас стоит windows. Как правило он находится там: "C:\WINDOWS\WIN.INI"
Чем смотреть? Ну хотя бы программой NotePad.
Кстати, эти файлы выглядят по разному в разных версиях Windows.
Нас интересуют такие строки:
Код:
[windows]
load=
run=
Код:
[windows]
load=
run=C:\Windows\Trojan-we-are-looking-for.exeНа всякий случай смотрим в файл system.ini, рассположенный там же.
Код:
[boot]
oemfonts.fon=vgaoem.fon
system.drv=system.drv
drivers=mmsystem.dll power.drv
user.exe=user.exe
gdi.exe=gdi.exe
sound.drv=mmsound.drv
dibeng.drv=dibeng.dll
comm.drv=comm.drv
shell=Explorer.exe3. Ну а теперь -- самый распространенный и часто используемый вариант запуска троянцев. Через реестр. Для его просмотра и редактирования нужно запустить специальную программу -- редактор реестра. Нажимаем "Start"-->"Run..." ("Пуск"-->"Выполнить") и в появившемся окошке набираем "Regedit" без кавычек и нажимаем "Enter". Запустится программа -- редактор реестра.
На экране вы увидите окно, разделенное на две части. В левой части -- дерево и ветки реестра. В правой части -- содержимое той ветки, которая выбрана слева. Если эту программу раньше не запускали или если у вас windows95-98, то Сверху вы увидите иконку "My computer" и из нее будут "произрастать" несколько веток-разделов. Нас интересуют только два: HKEY_CURRENT_USER и HKEY_LOCAL_MACHINE. Если же стоит более позний Windows и кто-то уже "лазил" по реестру, то часть веток может быть открыта с самого начала. Видимо будет удобнее их закрыть, а потом идти дальше по инструкции.
Начнем со второго ключа HKEY_LOCAL_MACHINE. Открываем его содержимое, щелкнув на маленький "плюс" слева около него. Можно просто втать на него "стрелками" и нажать "стрелка вправо". Из этой ветки "вывалится" несколько "подветок". Среди них надо найти ветку "SOFTWARE" и, в свою очередь, открыть ее. Дальше ищем ветку "Microsoft" и открываем ее. В выпавших из ветки "Microsoft" ищем "Windows" и тоже открываем ее содержимое. Находим "CurentVersion" и открываем ее. Вот мы и добрались до нужного места. В нижней части окна, редактор реестра пишет путь к тому месту, где мы сечас находимся. Если вы все сделали правильно, то там должна быть строка вида:
Код:
My Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurentVersion\Итак, в открывшемся разделе ищем ветку "Run". Если установить курсор на эту строку, в правой части отобразится ее содержимое. В этом разделе прописываются все программы, которые автоматически запускаются при загрузке компьютера. Программ этих может быть довольно много. Штук десять, например. Важно найти ту, что нам мешает. Как выглядит экран программы в этот момент, вы можете увидеть в прикрепленном к сообщению файле. Этот скриншот сделан в windows95, поэтому там запускается всего три программы. Одна из них (winkiller.exe) специальная утилита, которую я сам когда то устанавливал на тот компьютер. На ее примере хорошо видно, как программы "прописывают" себя в этот раздел. Смотрим на скриншот в правую часть окна. Каждый параметр, запускающий программы, состоит из двух частей: "Name" (имя) и "Data" (данные). Имя может быть произвольным. Часто троянцы прописывают себя под какими-то заковыристыми именами, так что и не сразу поймешь, что это не то, что есть на самом деле. Нас интересует только вторая часть параметра: данные. Вот там мы видим либо просто имя файла с программой или то же имя вместе с путем до него.
Теперь все просто. Так как имя файла с программой-троянцем нам известно -- находим соответствующий параметр и просто удаляем его (кнопка "Del" или контекстное меню правой кнопкой мыши).
Кроме этой ветки реестра точно так же нужно проверить еще несколько:
Код:
My Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurentVersion\RunOnce
My Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurentVersion\RunServices
My Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurentVersion\RunServicesOnceЗатем нужно посмотреть те же ветки но в разделе для текущего пользователя, то есть в My Computer\HKEY_CURRENT_USER. Нужно вернутся на самый верх деревса и опять идти по веткам вниз, открывая нужные. Итак проверяем
Код:
My Computer\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurentVersion\Run
My Computer\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurentVersion\RunOnceЗаодно можно и поудальть то, что запускается, но вам не нужно. Например какой-нибудь LivePlayer, WinampAgent и т. п.
После того, как мы удалили все команды на запуск троянца нужно перезагрузить Windows и удалить файл с троянцем вручную. Затем запустить антивирус на проверку.
Когда имя программы с троянцем нам не известно, делать надо примерно тоже, но только тут уже нужно представлять что должно запускаться при старте Windows, а что нет. И аккуратно удалять лишнее.
То что я написал -- это лишь общие рекомендации. Мой способ может сработать не всегда. Например, две недели назад я нашел у себя дома троянца. Удалил строки на его запуск из реестра, перезагрузился, а windows не дает мне стереть файл с трояном, потому, что тот запущен. Странно. Захожу опять в реестр -- а там опять команда на запуск есть. Но я ведь ее удалял только что? Удаляю снова, перегружаюсь -- то же самое. Оказалось, что троянец сидел в памяти и регулярно обновлял команду на свой запуск в реестре. То есть, я ее удалял, а он ее снова туда вписывал через пару секунд. Пришлось перезагрузится в DOS'е и удалить файл с троянцем, а потом почистить реестр...
Так что, к вопросу удаления троянцев надо подходить творчески. Кроме того, существует полно программ, в том числе и бесплатных, которые покажут вам и все, что у вас запускается при загрузке, и троянцев удалят... Я просто по старой привычке стараюсь все то, что могу делать сам, делать своими руками...
Michael добавил [date]1065510567[/date]:
Похоже, форум обрезает длинные строки... В общем, пути в реестре должны писаться в одну строку, как на скриншоте.
___
По техническим причинам вложение было удалено.
Обращайтесь лично ко мне.
Fractal
Можно я вмешаюсь? В Windows 98 определить какие программы запускаютя автоматически можно гораздо проще. Нужно нажать "Пуск", затем "Выполнить" в появившемся окне написать "msconfig" и нажать на "OK". Запустится "Программа настройки системы". На закладке "Автозагрузка" будет приведен список всех программ, которые стартуют вместе с Windows. Если убрать галочку, стоящую напротив программы, она загружаться не будет.
А удалять файлы трояна лучше всего в защищенном режиме (его еще называют режим защиты от сбоев или safe mode). Чтобы в этот режим перейти, нужно при загрузке Windows 98 несколько раз нажать клавишу Ctrl (с одного раза иногда не срабатывает), и в появившемся меню выбрать Safe mode. После следующей перезагрузки система вернется в нормальное состояние. Способ перехода в DOS тоже хорош, но в DOS'е не видны длинные имена файлов.
А удалять файлы трояна лучше всего в защищенном режиме (его еще называют режим защиты от сбоев или safe mode). Чтобы в этот режим перейти, нужно при загрузке Windows 98 несколько раз нажать клавишу Ctrl (с одного раза иногда не срабатывает), и в появившемся меню выбрать Safe mode. После следующей перезагрузки система вернется в нормальное состояние. Способ перехода в DOS тоже хорош, но в DOS'е не видны длинные имена файлов.
А
Аманда
Гость
Не подскажите что за вирус?Записываю игры а через сутки некоторые игры полностью стёрты, а в некоторых остается 2 папки и в каждой папки по 10 файлов?
Comens-la-la
Почетный участник
У меня на рабочем компьютере при проверке жесткого диска Dr.Web, кажется, (паучок такой, не могу посмотреть, т.к. я сейчас на другом компе) обнаружилось два трояна. Я их удалила. При повторном сканировании антивирус ничего не обнаружил. Это все? Последствий никаких быть не может?
Nika
Гуру
А кто знает что это такое: при подключении в инет в тот момент, когда должна быть "проверка логина и пароля" связь зависает, приходится отменять и пробовать много раз, прежде чем всё-таки подключишься. В диспетчере задач при этом видны какие-то "левые" процессы, и если их все снять, то инет подключается с первого раза. (имена процессов все не помню, но вот например: bpc.exe, resetservice.exe) Проверяла комп свежеобновленным Касперским, никаких троянов и других вирусов нет.
S
Shah
Гость
Nika, не советую тебе удалять. Особенно этот файл - resetservice.exe
. Зайди в сервисы, посмотри на файлы, почитай про них.
Nika
Гуру
Shah, насчет resetservice.exe я уже разобралась, а вот один из процессов действительно был левый. Я посмотрела через msconfig, откуда "растут ноги" у процессов и обнаружила интересную вещь. Один из процессов, msbb.exe, вызывала программа, лежащая в C:\Program Files, в папке N-Case. Никто ее не устанавливал точно, и на приложение каких-либо других программ она не похожа. Вобщем, помимо экзешника в папке лежали еще log-файлы, в которых были зафиксированы все подключения в инет за последние дней 10, с точностью до секунды, а также адреса всех открывавшихся сайтов и еще какая-то информация, плюс всякие непонятные цифры и символы. Причем, почему-то время некоторых подключений было совсем невероятное - когда дома никого не было или ночью, когда комп точно был выключен (ну, например, 16:30 в будни или 5:30 утра). И еще там же был dat-файл, в котором было прописано более сотни англоязычных слов, из которых большинство сесуально-эротической тематики - уж не знаю, что это за база такая, возможно, для редиректов, на сайты имеющие это в названии...И еще в реестре эта программка оставила массу следов. Ну очень похоже на трояна...хотя Касперский молчит.
Вобщем, всё это добро я удалила вручную (логи только оставила ради интереса), реестр вычистила и теперь вроде никаких левых процессов нет и всё работает нормально
Вобщем, всё это добро я удалила вручную (логи только оставила ради интереса), реестр вычистила и теперь вроде никаких левых процессов нет и всё работает нормально
Похожие темы
