Впервые за почти 5 лет с тех пор, как мне поставили эту винду, поймали троян - Injector.KZ trojan.
= Неравная борьба, которая все-таки завела меня в тупикАнтивирусник - NOD32 3.0.560.0. Троян, судя по всему, был нацелен на поражение Internet Explorer - через несколько минут после запуска VPN антивирусник выдавал три сообщения о блокировке атак, а еще через несколько минут блокировался доступ в Инет, причем даже при выключенном антивируснике Инет не появлялся - ни одна страничка не грузилась, при перезапуске VPN вылетала ошибка 800. Спасала только перезагрузка, и то ненадолго. Ну, поскольку в НОДовском журнале по поводу этих трех заблокированных атак выдавалось следующее:
20.03.2009 22:05:37 HTTP filter file http : //66.11.114.38/~gamegone/c1234.exe Win32/Injector.KZ trojan connection terminated - quarantined NT AUTHORITY\SYSTEM Threat was detected upon access to web by the application: C:\WINDOWS\system32\drivers\DelSrv.exe.
20.03.2009 22:05:40 Real-time file system protection file C:\k8m1l3e9f4n7.exe Win32/Injector.KZ trojan cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\WINDOWS\system32\drivers\DelSrv.exe.
20.03.2009 22:05:41 Real-time file system protection file C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\O1QLRFNA\c1234[1].exe Win32/Injector.KZ trojan cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\WINDOWS\system32\drivers\DelSrv.exe.
я тупо через msconfig остановила автозапуск этой долбанной службы DelSrv (да, оно прописалось у меня в процессах, спокойно находилось в C:\WINDOWS\system32\drivers\, но так просто удаляться не хотело, разумеется), перезагрузила комп и чисто удалили экзешник из вышеназванной папки). Однако теперь после перезагрузки вылетает сообщение об ошибке типа "Windows не может обнаружить файл DelSrv.exe, попробуйте найти его вручную" (скриншот будет чуть позже)... значит, какие-то остатки вируса живы? И вот как бы еще выяснить, IE у меня все еще заражен или нет? (Так-то я пользуюсь Оперой... но иногда по старой памяти и IE)...
Полностью просканировать комп на вирусы не удается - намертво виснет (я еще писала об этой проблеме тут, но никто, увы, не отозвался. Максимум до 39% доходило, а потом все то же - пропадает курсор мыши, останавливается время на часах на панели задач, комп перестает подавать признаки жизни. Хотела прогнать через CureIt... так тут новая проблема - не могу зайти в безопасный режим по своей же дурости. Дело в том, что сижу я под учеткой... пятый год уже, и паролей ни от админа, ни от безопасного режима не помню, и вообще не найти уже... Вроде можно было как-то выковырять, нет? (Или на безопасный режим есть "стандартный" пароль?)Помогите, очень прошу =(((
-
-
21.03.2009 в 10:44можно войти в безопасный режим с вашей учеткой - пароли одинаковые, от режима не зависят.
Попробуйте под вашей учеткой проверить компьютер AVZ , malwarebytes.
-
-
21.03.2009 в 11:52через несколько минут после запуска VPN антивирусник выдавал три сообщения о блокировке атак
эти два события скорее всего не связаны. И такой вопрос - у там выключен файрволл чтоль?
и всё-таки "антивирус"
-
-
21.03.2009 в 12:39Правой кнопкой на "мой компьютер" -> "управление" -> "Локальные пользователи и группы" -> "пользователи" -> выбираем нужного пользователя, правая кнопка мыши -> "задать пароль".
Хотя, есть большое подозрение что пароли там пустые
значит, какие-то остатки вируса живы
Жива ссылка на загрузку.
Пуск -> выполнить -> regedit
Там жмем F3 и вводим DelSrv.exe Удаляем все найденное. Перегружаемся - должно полегчать.
WARNING! Если DelSrv.exe встречается в строке параметра с чем-то еще, то удаляем ТОЛЬКО DelSrv.exe T.e. если параметр выглядит как
То после удаления параметр должен выглядеть
В противном случае - хирургическое вмешательство гуру будет необходимо. Ну или тупо переустановка системы
Попробуйте под вашей учеткой проверить компьютер AVZ , malwarebytes.
+1. Причем malwarebytes рекомендую в безопаске сделать ПОЛНОЕ сканирование.
-
-
21.03.2009 в 17:26Моя английская винда - это все-таки очень жестоко Х((Попробовала Reset Password для Администратора. Буду пробовать зайти в безопасный режимЖива ссылка на загрузку.
Вообще - при отсутствии "опасного" экзешника (который я удалила) оно еще может причинить вред? Это так, на всякий случай вопрос
Про regedit.
Сначала помимо прочих экзешников (надеюсь, это было только из-за того, что я не выбрала "точный зарос" - по крайней мере, нигде более "DelSrv.exe" замечено не было) нашлась та же строка C:\WINDOWS\system32\drivers\DelSrv.exe. Удалила. Перезагрузилась. Сообщение типа "Windows не может обнаружить файл DelSrv.exe, попробуйте найти его вручную" осталось. Снова в regedit, забила в поиск DelSrv (черт, опять забыла сделать скриншот, вот дура!)... нашлась служба DelSrv в msconfig. Перезагрузилась. Сообщение осталось (зато из списка Сервисов в msconfig исчезла служба DelSrv %). Снова в regedit, снова поиск по DelSrv. И вот что нашлось: s57.radikal.ru/i158/0903/77/3075b1766ddd.png
(после завершения поиска была выделена строка Shell, я сделала: правой клавишей мыши на Shell => Modify. Пробежалась по другим найденным объектам - вроде нигде больше этого DelSrv нет). Что с этим сделать? =(((
Скачала AVZ и malwarebytes. Буду пробовать
Большое спасибо за помощь
-
-
21.03.2009 в 18:45-
-
21.03.2009 в 20:16Нет, только раздражать появлением при включении. Если нет где-то дополнительных частей, которые тихо гадят.
вроде нигде больше этого DelSrv нет. Что с этим сделать? =(((
Продолжает после перезагрузки напрягать?
А они с NODом не конфликтуют?
Нет, это не постоянно висящие в системе процессы, а однократного действия.
лучше установить, прогнать на вирусы и оставить.
Периодически (раз в месяц) можно будет запускать, обновлять базы и делать быструю проверку - в 95% случаев ничего не найдет, но варианты возможны.
сразу не сообразила, где еще мог прописаться вирус
А это сообразит только автор вируса - все остальные просто ищут где может быть.
С реестром я на данный момент на "Вы"
Тогда советую пока malwarebytes будет делать быструю проверку почитать внимательно документацию по AVZ. Инструмент чудесный, но требует умения пользоваться.
+1 к Enkryptor. Что там с фаером?
-
-
21.03.2009 в 20:36Насчет файрволла - отдельного (типа Outpost Firewall) нету и не было. Windows Firewall с установки винды отключен.
wagner
Продолжает после перезагрузки напрягать?
Потерла в строке, показанной на моем скриншоте все, что было после Explorer.exe - больше не напрягает %)
Спасибо за советы по AVZ и malwarebytes
-
-
21.03.2009 в 20:45Даже не двойка по пению. Кол по рисованию! Еще и антивирус снесите, чтоб уж совсем ничего не мешало.
Бегом включаем виндовый фаер или ставим Outpost, Comodo или что другое нравится!
А потом "аааа, меня вирусы заели....."
-
-
21.03.2009 в 20:49потом уже начинать что-то лечить
-
-
21.03.2009 в 23:02специальных паролей "на безопасный режим" не существует, в этом режиме можно зайти любым пользователем, принадлежащим к группе Администраторы