Ещё одна бяка!

Тема в разделе "Вирусы и другие вредоносные программы", создана пользователем serg155, 12 сен 2009.

  1. serg155 Участник

    Регистрация:
    10 окт 2008
    Сообщения:
    234
    Симпатии:
    23
    Провайдер:
    Мультинекс
    при открытии мой комьютер антивирус сразу орёт;обнаружен вирус!!! Вот какую бяку даёт!! C:\Documents and Settings\Serg\Local Settings\Temporary Internet Files\Content.IE5\INOE4CF2\config_bcob_ru[1].htm Опасно ли это?? Антивирус стоит Аваст! Я его удаляю,комп висит минуты 3,потом всё работает!И так почти каждый раз при открытии мой компьютер!
     
  2. georg Супер-Модератор Команда форума

    Регистрация:
    7 июл 2007
    Сообщения:
    1.734
    Симпатии:
    981
    Провайдер:
    Мультинекс
    Моё мнение-авасту дверять нельзя! удали его и поставь каспера или dr.web
     
  3. Spirit[root] Участник

    Регистрация:
    3 сен 2009
    Сообщения:
    87
    Симпатии:
    11
    Провайдер:
    Мультинекс
    Скажи что за вирус говарит avast, судя по твоему описанию вирус сам сидитв папки system32 или system32/drivers опиши поподробнее может помогу чем-нибудь
     
  4. serg155 Участник

    Регистрация:
    10 окт 2008
    Сообщения:
    234
    Симпатии:
    23
    Провайдер:
    Мультинекс
    Я ж написал,что он пишет,ну это путь он указывает! А так пишет что вирус/червь и всё! Спрашивает удалить,жму лечить-не лечит,а удаляет!
     
  5. Spirit[root] Участник

    Регистрация:
    3 сен 2009
    Сообщения:
    87
    Симпатии:
    11
    Провайдер:
    Мультинекс
    проверь весь ситемный диск
     
  6. serg155 Участник

    Регистрация:
    10 окт 2008
    Сообщения:
    234
    Симпатии:
    23
    Провайдер:
    Мультинекс
    Проверял вчера два раза,первый раз нашёл 5 штук,удалил,через 4 часа ещё проверил-чисто!!!
     
  7. serg155 Участник

    Регистрация:
    10 окт 2008
    Сообщения:
    234
    Симпатии:
    23
    Провайдер:
    Мультинекс
    Вот скрин [​IMG]
     
  8. georg Супер-Модератор Команда форума

    Регистрация:
    7 июл 2007
    Сообщения:
    1.734
    Симпатии:
    981
    Провайдер:
    Мультинекс
  9. romul Супер-Модератор Команда форума

    Регистрация:
    20 янв 2008
    Сообщения:
    4.235
    Симпатии:
    1.085
    Провайдер:
    Другой
    serg155, содержимое папки Temporary Internet Files можешь смело удалять (сразу Shift+Delete). Это даже очень полезно делать и чем чаще, тем лучше. Здесь вся зараза в 1 очередь собирается. Пока она находится в этой папке, твоему компьютеру ничего не угрожает. А вот потом зловреды из этого места начинают распространяться. Вот тогда уже начинаются проблемы с ОС.
     
  10. Spirit[root] Участник

    Регистрация:
    3 сен 2009
    Сообщения:
    87
    Симпатии:
    11
    Провайдер:
    Мультинекс
    Краткое описание семейства Net-Worm.Win32.Kido
    Создает на съемных носителях (иногда на сетевых дисках общего пользования) файл autorun.inf и файл RECYCLED\{SID<....>}\RANDOM_NAME.vmx
    В системе червь хранится в виде dll-файла со случайным именем, состоящим из латинских букв, например c:\windows\system32\zorizr.dll
    Прописывает себя в сервисах - так же со случайным именем, состоящим из латинских букв, например knqdgsm.
    Пытается атаковать компьютеры сети по 445 или 139 TCP порту, используя уязвимость в ОС Windows MS08-067.
    Обращается к следующим сайтам для получения внешнего IP-адреса зараженного компьютера (рекомендуем настроить на сетевом брандмауэре правило мониторинга обращения к ним):
    http://www.getmyip.org
    http://getmyip.co.uk
    What's My IP Address
    http://www.whatismyip.org
    Current IP Check


    Способы удаления

    Удаление сетевого червя производится с помощью специальной утилиты KK.exe. Операционные системы MS Windows 95/MS Windows 98/MS Windows Me не подвержены заражению данным сетевым червем.

    С целью предохранения от заражения на всех рабочих станциях и серверах сети необходимо провести следующий комплекс мер:
    Установить патчи, закрывающие уязвимости MS08-067, MS08-068, MS09-001 (на данных страницах вам необходимо выбрать операционную систему, которая установлена на зараженном компьютере, скачать нужный патч и установить его).

    Удостовериться, что пароль учетной записи локального администратора устойчив ко взлому - пароль должен содержать не менее шести символов, с использованием разных регистров и/или цифр. Либо сменить ранее установленный пароль локального администратора.

    Отключить автозапуск исполняемых файлов со съемных носителей, запустив утилиту KK.exe с ключом -a:

    Для ОС Windows XP/Server: Пуск - Выполнить - наберите команду kk.exe -a - после ввода команды нажмите Enter.
    Для OC Windows Vista: Пуск - Все программы - Стандартные - Выполнить - наберите команду kk.exe -a - после ввода команды нажмите Enter.
    Заблокировать доступ к TCP-портам: 445 и 139 с помощью сетевого экрана.

    Блокировать TCP-порты 445 и 139 необходимо только на время лечения. Как только будет пролечена вся сеть, можно разблокировать эти порты.

    Программа

    P.S. Совсем молодёжь обленилась(
     
  11. JaM Администратор Команда форума

    Регистрация:
    30 янв 2007
    Сообщения:
    3.600
    Симпатии:
    877
    Провайдер:
    Спарк
    Нашел на домашнем ноуте сотрудницы новый (для меня) вид.
    Скрин пункта "автозагрузка" из msconfig
    [​IMG]
    Наглая ничем не прекрытая подмена файла hosts.
     
  12. FIL Местный

    Регистрация:
    30 июн 2007
    Сообщения:
    290
    Симпатии:
    305
    Провайдер:
    Мультинекс
    Буквально позавчера такую же фигню нашел у одной знакомой на ноуте.
    У нее еще параллельно постоянно при интернет серфинге окно "Антиштраф" вылазило. Не знаю, правда, - это две разных бяки или они взаимосвязаны :unknw:
     
  13. yes Местный

    Регистрация:
    21 дек 2010
    Сообщения:
    731
    Симпатии:
    267
    Провайдер:
    Дом.ru
    а как побороть подскажите? Знакомый где-то наковырял, просто систему переустановили...
     
  14. kvanT Заблокирован

    Регистрация:
    22 окт 2012
    Сообщения:
    65
    Симпатии:
    6
    Провайдер:
    SkyLink
    пуск-выполнить-regedit-HKCU-Microsost-Windows-Current Version-Run
    или
    пуск-выполнить-regedit-HKLM-Microsost-Windows-Current Version-Run
    Находишь строку с дрянью,жмешь правой кнопкой мыши-удалить, соглашаешься.Затем удаляешь с компьютера.Можно и заранее с компьютера удалить.
     
  15. Grand Father удаляю вирусы

    Регистрация:
    3 мар 2007
    Сообщения:
    1.171
    Симпатии:
    174
    Провайдер:
    Другой
    А другие пару десятков путей автозагрузки проверять теперь не обязательно?
     
  16. kvanT Заблокирован

    Регистрация:
    22 окт 2012
    Сообщения:
    65
    Симпатии:
    6
    Провайдер:
    SkyLink
    жду пару десятков в студию.
     
  17. Grand Father удаляю вирусы

    Регистрация:
    3 мар 2007
    Сообщения:
    1.171
    Симпатии:
    174
    Провайдер:
    Другой
    Ну, выпиши себе хотя бы из программы autoruns из пакета Windows SysInternals.
     
  18. kvanT Заблокирован

    Регистрация:
    22 окт 2012
    Сообщения:
    65
    Симпатии:
    6
    Провайдер:
    SkyLink
    Windows-утилиты Sysinternals: AutoRuns

    зачем мне себе что то выписывать если я несколько сотен раз удалял подобное и все прекрасно работало без остаточных путей в реестре?
    просто попрошу вас не начитавшись "интернетов" писать,а из вашего собственного опыта
     
  19. Grand Father удаляю вирусы

    Регистрация:
    3 мар 2007
    Сообщения:
    1.171
    Симпатии:
    174
    Провайдер:
    Другой
    А! Вот оно как! Боюсь, что мои "несколько сотен раз" закончились несколько лет назад. А "читать в интернетах" ко мне ходят ~2К уникальных ежедневно.

    И что за странная ссылка? Надеюсь не из-за этого абзаца:
    А то складывается впечатление, что больше-то и мест нету...

    Может, тогда уже надо дать официальную? Программа AutoRuns для Windows
     
  20. kvanT Заблокирован

    Регистрация:
    22 окт 2012
    Сообщения:
    65
    Симпатии:
    6
    Провайдер:
    SkyLink
    Вы дали тоже самое,что и написал я.Даже если сильно захотеть 20 ну там никак не найдешь.Основные я написал.А для вируса,который указал ТС-это они и есть.Те 2 пути.
     

Пользователи просматривающие тему (Пользователей: 0, Гостей: 0)