Помогите справиться с вирусом[решено, всем огромное спасибо]
Очевидно, у тебя троян downloader. Есть какой-то активный процесс, который и шустрит на компе.
Запость список процессов (лучше из Process Explorer).
Обнови антивирус.
Запость список процессов (лучше из Process Explorer).
Обнови антивирус.
в безопасном режиме лечи.
cureIT и/или AVZ тебе в помощь.
cureIT и/или AVZ тебе в помощь.
Спасибо за минусы, CureIT в безопасном режиме использовал первым делом. Он ничего не нашел
Вот процессы в момент ругательства касперского:
CTSysVol.exe - регулятор громкости от креатив
lkeymain.exe - прога для функционирования горячих клавишь на клаве
Вот процессы в момент ругательства касперского:
CTSysVol.exe - регулятор громкости от креатив
lkeymain.exe - прога для функционирования горячих клавишь на клаве
Подозревается rundll32.exe. ProcessExplorer говорит, что он запускается из "C:\WINDOWS\system32\Rundll32.exe". Просто перед тем, как тереть что-то из system32, хочется спросить совета 
rundll32 - нивчем неповинный экзешник, который умеет запускать функции из различных библиотек, чем вирусы (и не только) пользуются. думаю что убив его ты ничего не решишь. проблема глубже - в автозапусках (реестр и автозагрузка левых службах или еще где-то.
по одному списку процессов далеко не всегда можно сказать кто из них вирус.
upd. мне например не нравится PnkBstrA в списке служб, но я не знаю что это такое.
по одному списку процессов далеко не всегда можно сказать кто из них вирус.
upd. мне например не нравится PnkBstrA в списке служб, но я не знаю что это такое.
Процессы pnkbstra.exe, pnkbstrb.exe и PnkBstrK.exe отвечают за работу PunkBuster - системы обнаружения нечестных игроков в онлайн-играх.
Это PunkBuster, чтоб гамать по инету
Обнаружил вот что в автозагрузке
Раньше там была галочка; сейчас снял и посмотрим что будет. Видимо, это и есть строка автозапуска вируса. А как по ней понять, где его подлое тельце?
В "С:\WINDOWS\system32\p17.dll" касперский не видит ничего криминального, он ошибается? Базы свежие
Обнаружил вот что в автозагрузке
Раньше там была галочка; сейчас снял и посмотрим что будет. Видимо, это и есть строка автозапуска вируса. А как по ней понять, где его подлое тельце?
В "С:\WINDOWS\system32\p17.dll" касперский не видит ничего криминального, он ошибается? Базы свежие
там слева указан ключ в реестре, в этом ключе будет записан путь для запуска rundll с параметрами где есть библиотека, в которой и будет вирус. это при условии что этот ключ и есть вирус.
далее, вирусы обычно палят, что их вырубили в автозагрузке и включают себя опять. некоторые при каждом запуске пихают себя в новое место под другим именем и в другой ключ реестра пишут ссылку на свой запуск. мне встречался вирь (brontok какойтотам который оперативно завершал работу виндовс стоило только запустить cmd.
а как у тебя обстоят дела с лицензионностью касперского и свежестью баз? может проще предоставить лечение антивирусу, а не пытаться самому с риском ничего не вылечить или даже что-то запороть?
далее, вирусы обычно палят, что их вырубили в автозагрузке и включают себя опять. некоторые при каждом запуске пихают себя в новое место под другим именем и в другой ключ реестра пишут ссылку на свой запуск. мне встречался вирь (brontok какойтотам который оперативно завершал работу виндовс стоило только запустить cmd.
а как у тебя обстоят дела с лицензионностью касперского и свежестью баз? может проще предоставить лечение антивирусу, а не пытаться самому с риском ничего не вылечить или даже что-то запороть?
службы еще посмотри.
А так реально в сейф моде просканься
А так реально в сейф моде просканься
еще попробуй http://forum.kaspersky.com/index.php?showtopic=82540
Щас всё было пучком, пока не запустил квип. В момент, когда залогинился - сразу же ругнулся касперский. Мог вирус внедриться в qip.exe?
Кста, квип использует подозрительно много 20 мб памяти
ща буду выполнять советы, спасибо
Кста, квип использует подозрительно много 20 мб памяти
ща буду выполнять советы, спасибо
Квип стал занимать положенные 3 мб, проблема не исчезла. Ботаю сцылко
гугл выдал вот что http://www.247fixes.com/forums/index.php?s=d63dd3bf9767abf02...
там вроде кто-то вылечился от этого, но я не вчитывался
там вроде кто-то вылечился от этого, но я не вчитывался
жесть 
почитам, вся ночь впереди
почитам, вся ночь впереди
еще полезная вещь - http://virustotal.com - сайт для проверки подозрительных файлов несколькими антивирусами. я обычно смотрю что скажут каспер и нод и делаю выводы.
использую чтоб проверить что-то скачанное перед запуском, но можно и длл которую ты проверял туда же аплоаднуть и посмотреть. там правда есть параноидальные антивирусы, которые ругаются на невинные прожки на Delphi и на упакованные файлы, так что надо в конечном итоге самому решать, кому верить.
использую чтоб проверить что-то скачанное перед запуском, но можно и длл которую ты проверял туда же аплоаднуть и посмотреть. там правда есть параноидальные антивирусы, которые ругаются на невинные прожки на Delphi и на упакованные файлы, так что надо в конечном итоге самому решать, кому верить.
кстатии можешь добавить этот сайт в hosts и повесить на локалхост, чтоб вирусняк он не смог попасть куда нужно
Оставить комментарий
nemec2707
Периодически вылазит следующее сообщение:После нажатия "запретить" такое:
Удвление sdsdsdsd.exe не помогает никак - создается вновь