Требуется лекарство.

Сообщение **Abir** » 16.03.2008, 21:38

bbbf и n4s
Спасибо за "реакцию". Завтра попробую прогнать это дело через их сканер.
В целях безопасности я эти проги инсталирую на флешку, а потом начинаю гонять. :susel:
Правда на данный момент ничего не вышло. "Погода наверное нелётная", или "скушал чего нибудь" :-k ?

n4s писал(а): Ну, на многих сайтах есть ее описание. Только еще добавляется то, как я писал ранее, что разные лабы по разному кличут...

По поводу описания точь в точь подходит с сайта каспера :

Да, Каспер молодец, уже троих ползучих выискал и отравил. А определил он их как: "рекламная программа not-a-virus:Adware.Win32.Vapsup.aap" (Vapsup.xu и Vapsup.xv) По сути черви, отключившие диспетчер задач.
Вот его отчёт: "удалено: рекламная программа not-a-virus:AdWare.Win32.Vapsup.xv

Поэтому другие названия во внимание не принимал.

Сообщение **NetSkipper** » 16.03.2008, 22:14

Abir, попбробуй этот файлик прогнать. Эта та утилитка про которую я говорил на сxодке.
Взят тут: Trend Micro™ CWShredder™

Сообщение **n4s** » 16.03.2008, 22:34

Abir писал(а):Поэтому другие названия во внимание не принимал.

Дык, и не суть. Я проста к тому, что лечиь та многие лечат, вот название запоминается то, чей сканер определил....т.е. фактически, который и используется.

И еще обязательно скачай вот это:

Скрытый текст

Для просмотра скрытого текста необходимо быть авторизованным пользователем.

Как раз портебельное для флешки.

А то уже разок такое в теме было

Пробовал всё что было предложенно. Ничего не было обнаружено, но вчера проблема исчезла как будто и не было. Последний раз применил Trojan Remover..

Мошт и у тебя потом ничего не обнаружится.... "чудесным образом"

Сообщение **Abir** » 17.03.2008, 16:33

n4s писал(а): А то уже разок такое в теме было
Пробовал всё что было предложенно. Ничего не было обнаружено, но вчера проблема исчезла как будто и не было. Последний раз применил Trojan Remover..
Мошт и у тебя потом ничего не обнаружится.... "чудесным образом"

Ага, - чудесным образом.

Бяка эта помогла. Я имею ввиду - Trojan Remover. За что низкий поклон. (Правила напоминать не надо

). Но вот не до конца.

1. При загрузке или перезагрузке вывешивается на десктопе вот такая картина

2. Ломится в инет, на сайт этой гадости. Правда после чистки перестала ломиться, через каждые пять минут.
3. Диспетчер задач до сих пор заблокирован. Создание соответствующей записи в реестре не помогло. Диспетчер не включается.

Теперь нужна помощь посерьёзнее. А именно :
1. Какой из запускаемых процессов нужно подредактировать, чтобы не было этой дряни и не ломился в инет до запуска.
2. Где нужно подкрутить реестр, чтобы запустить таскменеджер.

Сообщение **igor7** » 17.03.2008, 17:47

Abir
Сначала нужно подредактировать реестр, чтобы запустился таскменеджер, а уж потом давай список запущенных процесов в студию, будем посмотреть...
В реестре пройди по ветке:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
Создай папку System, а ней создай значение:
Name: DisableTaskMgr
Type: REG_DWORD
И дай ему значение 0. Возможно у тебя твой вирус уже создал это значение. В таком случае оно будет 1, а ты его измени на 0.
Также таскменеджер может быть запрещен через групповые политики, но этот хак реестра это дело поправит.
Ну, или вот тебе готовый файл. Скопируй его в блокнот и сохрани как DisableTaskMgr.reg и затем двойным кликом по файлу, импортируй его содержимое в реестр.
Затем перезагрузись и из строки Run запусти команду taskmgr. Длжно сработать:

Код: Выделить всё

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=dword:00000000

Сообщение **Abir** » 18.03.2008, 19:54

igor7
Спасибо большое в любом случае.

Но, когда вчера я писал об этом :

Abir писал(а):
n4s писал(а): 3. Диспетчер задач до сих пор заблокирован. Создание соответствующей записи в реестре не помогло. Диспетчер не включается.

Имелось в виду, что операцию описанную тобой постом выше я уже выполнил.
Засада была в другом. Эта "гадость" (вирь) прописал в реистре с двух местах такое дело:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"Disable Registry Tool"=dword:00000000
После удаления и перезагрузки компа всё стало на свои места. Менеджер регистров заработал.
Но

Проблемма с интерфейсом осталась.
Убил, сегодня, часа четыре на работе на чистку регистра. "Раскивирял" весь реестр, от А до Я. (Заодно подчистил хвосты от старых прог и инсталяций

). Нашёл где прописан путь к этой дряни (просто других "славов" не нахожу). Вычистил. Правда, периодически она ломилась в инет. Но в какойто момент перестала. Ну думаю, вечером будет бальшой - "ПАЛОВ"

.
Перезагрузился, а воз и ныне там. Меня чуть кандрашка не хватила, от ярости

.
Теперь сижу вот и "репу чешу" #-o .
Успел записать только первое местонахождение её:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Internet Explorer\Desktop\Components]
"C:\windows\privacy_danger\index.htm
Запись с названием сайта - "system-defender.com" - так и не нашёл

Сообщение **migORKA** » 18.03.2008, 20:41

Abir
Да уж ,гадость редкую ты нашёл.Не печалься:вот тебе линк на решение твоей беды :http://www.pchell.com/support/ultimatedefender.shtml
Правда там на английском,но ничего сложного-следуй инструкции,шаг за шагом.
Если не разберёшся-спрашивай.

Сообщение **igor7** » 18.03.2008, 20:59

Abir
Эта гадость у тебя через записи в реестре включает груповые политики. Нужно посмотреть какие именно.
По дефолту папки System в ветке HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies не существует. Она появляется только после того, как конфигурируется та или иная групповая политика. Я так понимаю у тебя заражен локальный комп, и он не в домене, так? Вобщем прогони с командной строки команду gpresult /Z и результаты давай сюда. также неплохо было бы посмотреть на список запущенных процессов. Кстати, можно использовать команду clip, для облегчения жизни, о которой я писал здесь. И еще,- какие симптомы этой гадости остались, только boot screen?

Сообщение **migORKA** » 18.03.2008, 21:02

igor7

какие симптомы этой гадости остались, только boot screen?

Да нет,у него минимум 4 процесса с этой дрянью д.б. запущены.Ради интереса пройди по моей ссылке-там его беда один в один.

Сообщение **igor7** » 18.03.2008, 21:07

Igor054
Да, я почитал уже, написано доступно. Хотя я думаю там есть и лишние шаги... Нужно запустить HijackThis, последняя версия кажется 2.0 и посмотреть на его лог.
Удалив нужные записи мы удаляем их с реестра, таким образом обезвреживая файлы, которые сылаются на эти записи во время запуска и работы.

Сообщение **migORKA** » 18.03.2008, 21:16

igor7

Хотя я думаю там есть и лишние шаги...

Согласен-есть,но в его положении,это ИМХО будет полезно для ОС:почистит капитально.

Сообщение **sys8** » 28.04.2008, 12:38

Abir писал(а):WIN32/VAPSUP

ещё ссылки на TrojanHunter с таблетками

Скрытый текст

Для просмотра скрытого текста необходимо быть авторизованным пользователем.

ISRAPDA

Требуется лекарство.

Заслуженный участник покетовки

Re: Требуется лекарство.

Участник покетовки

Даритель

Заслуженный участник покетовки

Даритель

Заслуженный участник покетовки

Re: Требуется лекарство.

Даритель

Заслуженный участник покетовки

Re: Требуется лекарство.

Участник покетовки

Даритель

Даритель

Участник покетовки

Даритель

Даритель

Участник покетовки

Даритель