Ужасный вирусняк %)
 

Собственно сталкнулся с таким вирусом:
На половину трой - на половину не пойми что)) Поймал неизвестно где, стоит фаер обычный + аваст, как находит, жму удалить, вроде удаляет, но после перезагрузки опять...
Собственно что делает вирус, отсылает меня каким то образом на трояны, аваст начинает ругаться, жму прирвать соединение... Так же начинает с моего компа посылать письма на мыло. Мыла видать с какойто базы берёт... Устал бароться с ним, форматнул винду сегодня, вроде всё установил, ништяк... Проверил антивирем всё, тоже ништяк... Тут такая тема, щас сижу и опять он :) На рабочем столе было пару файлов a.jpg и т.к., так же spool.exe, на диске С нашёл тоже пару каких то файликов. В system32 находит пару зараженных файлов.

Так собственно чего я пишу, хотелось бы узнать откуда и чё за вирусня... Может мне его кто-то заливает? Впринцепи нереально ибо ip у меня динамический, да и некуда я щас не лазил по инету) Надеюсь ногами бить не будете, а поможете ;)

Как называецца вирь?

_Sniper_ собственно я это тоже не отказался бы узнать)
ЗЫ, в моей папке, док-ов был файл bin2.exe + пару файлов a.jpg но на самом деле .dat. Щас почту отсылает, антивирем просканил - удалил, не помогло.
В процессах убиваю spool.exe и spoolsv.exe + bin2.exe 2 шт., почту как отсылал так и отсылает, больше никаких подозрительных процессов ненашёл. (Узнал я что он почту отсылает из-за того что аваст сканит исходящию почту)

Кажется вспомнил с чего всё началось... Вообщем сделал я систре давно сайт, т.к. у неё питомник морских свинок, она долго упрашивала, в конце концов сделал, двига + тема, всё как пологается. Дали нормальных хост бесплатно. Вообщем тут недавно мне подруга её сообщает что на нашем сайте трой висит. Я захожу, у меня аваст ругается. Я захожу на фтп, копирую пару файлов php, открываю и вижу тупо переадресация на несколько троев. Собственно написал в тех. поддержку, ответили что незнают ничего. Больше на сайт и фтп не лазил. Комп форматнул не весь ибо другую харду форматировать я не перенесу т.к. недавно и так сгорела харда со всем добром. Вирусов на том диске не находит... Могу впринцепи удалить апач + все мои наработки в html, php и т.д., оставить только тупо инсталлеры нужные с прогами. Но поможет ли?

Не уверен, что аваст то что тебе надо. Скачай с drweb.ru cureit, проверься в безопасном режиме

выложи тело виря, если есть...

просканируй ботом при загрузке,он его удалит

Вам как, в Hex виде или дизассемблерный код? :d
Говоришь постоянно создается!? скорее всего там либо библиотека присобаченна к текущей задаче из-за этого нельзя завершить работу вируса или тупо в реестре запись стоит, а по вопросу с кокого Ip, надо лог смотреть

да балин поставь себе каспера 6 да и всё, понаставят уйни а потом думаю чо у меня вирусов полно и нече неработает, + выкладывай тело вируса + название, а то неясно даже чо у тебя

Аваст фтопку. Каспер щас хз какой, а вот НОД32 рулит реально.

А может у тебя тупо на другом диске лежит тело виря и через авторан грузится?

Сваренный всмятку, екзе

Вирусняк в REGISTRY поместился!!! Мой совет - установи Kaspersky Anti-Virus 7.0, ZoneAlarm Security Suite и Spybot - Search & Destroy 1.5.... Обязательно просканируй REGISTRY с Spybot - Search & Destroy 1.5 так как он сканирует REGISTRY, а вот Kaspersky и NOD32 REGISTRY не сканируют!!!!!

Зачем так много?
В реестре посмотри: \\Software\\Microsoft\\Windows\\CurrentVersion\\Ru n(для HKEY_CURRENT_USER и HKEY_LOCAL_MACHINE). И лично я юзаю AntiVir. =\

молодой человек вы, простите, хоть чем-то думаете прежде чем говорите?

Все они сканируют.... внимательно исследуй эти ав

Если вирус у тя находит твоим антивирем, то ничего себе не устонавливай. Зайди просто в безопасный режим, запусти свой антивир на наличие вирусов. Зайди в msconfig, посмотри что твориться у тебя в автозагрузке. (все это в безопасном режиме)
а что у тя за браузер стоит ? Может ты полез на какой нить сайт и к те он влез через уязвимость ? Иль может его нашел на каком нить диске.

Вообщем пришлось опять фсё форматнуть. Антивирь щас поставлю каспера 7 и spybot. Позже напишу чего вышло.
ЗЫ, вирус прописывается в реестре 100% ибо все файлы которые он создает я удалял + все зараженные тоже.

мамачки как страшно :((

а) spoolsv.exe – отвечает за обработку процессов печати на локальном компьютере в операционных системах Microsoft Windows. В случае завершения процесса spoolsv.exe, локальный пользователь не сможет распечатывать задания на локальном принтере.

Файл spoolsv.exe всегда расположен в %systemroot%\System32 директории(возможно так же присутствие в папке %systemroot%\System32\dllcashe) . В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. В настоящее время известно несколько вирусов (например Backdoor.Ciadoor.B, VBS.Masscal.Worm, Hacktool.Privshell и другие), использующих имя spoolsv.exe для сокрытия своего присутствия в системе.

б) Возможно проблема даже не в вирусе или в черве, а некорректно установленном когда-то сетевом принтере, а после также некорректно удаленном...
Проверь для начала - что там у тебя с принтерами...

Пуск-"Настройка"-"Принтеры и факсы"-выдели все принтеры и нажми кнопку Del на клаве (или правой кнопкой - удалить).
Перезагрузись.
Установи заново нужные принтеры.

Чушь.

Ky3bMu4
Это я ради полной безопасности.... :)

Y.Dmitriy
Думал я думал, а вот позволтье меня попросить вас чтоб вы меня исправили... Где я промахнулся?

_SploiT_
Я 100% уверен что не сканируют так как у меня была проблема с каким-то вирусом и Kaspersky и NOD32 его не находили, а ищё и читал по инету что не сканируют...... Так что я думаю что вы ошыбаетесь ребята...

Грузить кароче в безопасный режим без использования сети и ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe тебе в помощь.

Интересно как вы се представляете сканирование вирусов по реестру? НОД32 при глубоком анализе сканирует оперативную память, но многие зададутся вопросом - "что будет если вирус загружается раньше НОДа?" и будут правы... но для сего существует резидентный модуль защиты который в паре с (ИМХО) самой лучшей эвристикой способен предупредить заражение на ранней стадии... точно также и работает Каспер... а то что вы указали как средства которые проверяют реестр то замечу(вместе с их производителем)что они просто проверяют определенные ветки реестра на сомнительные или незарегестрированые записи.... (та же др-ч только с боку)... про руткиты спорить не буду ибо они осуществляют перехват на нулевом кольце и подменяют таблицы реестра и запущенных программ... но это другая история и поймать руткит зачастую можно(простым антивирусником) только когда он неактивен.... тесть снимаем хард идем к другу и сканим...

Такс.... Согласен с вами Y.Dmitriy.... Извиняюсь за мой "бред".... :)

народ думаю проблемка у меня похожая с топикстартером - мне както над было удалённо поюзать комп сестры, и я закинул ей первый попавшийся бэкдор (Prorat 1.9 se) теперь управление мне не нужно, но проблема такая - как только я вхожу в раб стол у мну выскакивает ошибка http://img227.imageshack.us/img227/3...7195la1.th.jpg и если нажимать "не отправлять" то рабочий стол пропадает и какбы начинает перезагружаться, затем всё та же табличка (проблемма в том что бэкдор вшивается в процесс services.exe и завершить его через alt+ctrl+del нельзя....) подскажите как избавиться от этого

ZavodiJIo удалить бэкдор через сейф мод

гыы... у меня такой же троян был, завершал процесс сервис!
может это он http://www.viruslist.com/ru/viruses/encyclopedia?virusid=100239

В случае если експлорер(рабочий стол) не появляется даже в безопасном режиме жмем вечное ctr+alt+del и в диспетчере задач вызываем експлорер вручную если не запускается то regedit и убираем все с автозагрузки из реестра...

spoolsv.exe - у меня такой процессик есть... других нету.