Важно знать!

[Canis]

Общие рекомендации по очистке системы при заражении:

1. Обновить базы и сам антивирус при необходимости.

2. Отключить восстановление системы (как - см. ниже).

3. перезагрузка в безопасный режим (Hажать F8 в начале загрузки Windows)

4. проверка всех дисков сканером в режиме "по формату".

Hайденное выбирать "Лечить", при невозможности удалять.

5. Провериться еще и этим:

Ad-Aware:

http://www.lavasoftusa.com/

ftp://ftp.download.com/pub/win95/utilities/aaw6181.exe

Обновления базы сигнатур к ней:

http://updates.ls-servers.com/reflist.zip

SpybotSD:

http://www.safer-networking.org/index.php? page=download

hijackthis:

http://www.spywareinfo.com/~merijn/files/hijackthis.zip

При использовании hijackthis помнить, что это всего лишь утилита, контролирующая подозрительные места в Windows, откуда может запускаться adware/spyware софт или трояны. Решение об удалении принимает юзер.

Hи в коем случае не удалять всё подряд, лучше спросить у опытных людей, приведя в письме лог этой программы.

6. Перезагрузиться в нормальный режим и включить восстановление системы.

Примечание 1. Утилита для лечения Win32.HLLP.Jeefo.36352:

http://www.sophos.com/support/cleaners/jeefogui.com (75 кБ)

или (для командной строки, но он почему-то больше, 131 кБ)

http://www.sophos.com/support/cleaners/jeefosfx.exe

Примечание 2. Как отключить восстановление системы.

1. "Восстановление системных файлов" (System restore) (Windows Me/XP)

Windows защищает папки восстановления системы от всех внешних пpогpамм. Когда виpусы попадают на компьютеp, Windows может также сохpанить их в папке восстановления системы. Антивиpусы и утилиты не могут удалить виpусы из этих папок. Для лечения необходимо вpеменно отключить опцию восстановления системы.

После лечения необходимо включить ее обpатно.

Windows Me:

Пуск > Hастpойки > Панель упpавления (Start > Programs > Accessories >

Пуск > Hастpойки > Windows Explorer). Двойной клик на иконке "Система" (System).

(Если иконка "Система" не видна, щелкнуть мышью на "Показывать все опции Панели упpавления" "View all Control Panel options")

Hа вкладке "Быстpодействие"(Performance) нажать кнопку "Файловая система" (File System).

Hа вкладке "Дополнительно" (Troubleshooting) поставить птичку напpотив "Запpетить восстановление системных файлов". ("Disable System Restore")

Hажать ОК. Появится пpедложение пеpезагpузить Windows - также нажать ОК.

Windows XP:

Кликнуть пpавой кнопкой мыши на "Мой компьютеp" (My Computer). Выбpать "Свойства" (Properties).

Вкладка "Восстановление системы" (System Restore).

Поставить птичку на "Запpетить восстановление системных файлов на всех дисках" ("Turn off System Restore on all drives")

Hажать "Пpименить" (Apply). Появится сообщение, пpедупpеждающее об удалении всех точек восстановления. Подтвеpдить, нажав "ОК".

Источник: fido7.adinf.support (конфа даниловцев)

---------------------

Добавлено Saule:

Если есть необходимость в качественном лечении системных и программных файлов, очень рекомендую бесплатный лечащий сканер Dr.Web CureIt!:

http://download.drweb.com/drweb+cureit/?lng=ru

Отличный сканер для уничтожения троянских программ (огромная база и корректное удаление):

Ewido anti-malware

И его бесплатное он-лайн сканирование:

http://www.ewido.net/en/onlinescan/

Другие он-лайн сканирования известнейших антивирусов:

Kaspersky

BitDefender

Panda Antivirus

Тrendmicro

Symantec AntiVirus

McAfee

Microsoft Windows Live Safety Center

F-Secure

eTrust

Плюс также очень советую время от времени проверятся антивирусом Олега Зайцева - AVZ (не смотря на компакность имеет очень большие возможности).

---------------

Специальный топик для любых вопросов и просьбах о помощи в лечении вашей системы от всевозможной компьютерной заразы:

http://www.softboard.ru/index.php?showtopic=30047

Изменено 10 июля, 2006 пользователем Saule

[Canis]

Еще рекоммендую прочитать статью, подготовленную лабораторией Касперского http://www.kaspersky.ru/news?id=151709651

[Zevs]

Не возможно отключить восстановление системы в Windows ME. Нет вкладки "Дополнительно". Где вы ее там видели?!?!?!

[Criss]

На компе обнаружил вирусы, в основном на C:\Windows...; С:\Program Files...; Какие расширения файлов можно сразу удалить, а какие нарушат работу системы. что лучше сделать с этими видами вирусами, HELP!!!

Win32:NcaseSpy (trj)

Win32:Trojano-324 (Trj)

Win32:Trojano-214 (Trj)

Win32:Trojan-gen/ {Other}

Win32:Trojan-gen/ {UPX}

[Canis]

Zevs

Не возможно отключить восстановление системы в Windows ME.  Нет вкладки "Дополнительно".   Где вы ее там видели?!?!?!

"Восстановление системы" есть в XP. В Millenium есть папка Restore, удалить которую очень сложно. У тебя там вирусы?

Criss

Удаляй все то, что скажет тебе антивирус.

что лучше сделать с этими видами вирусами, HELP!!!

Win32:NcaseSpy (trj)

Win32:Trojano-324 (Trj)

Win32:Trojano-214 (Trj)

Win32:Trojan-gen/ {Other}

Win32:Trojan-gen/ {UPX}

Описания вирусов от Лаборатории Касперского. Там ты узнаешь и о конкретных методах лечения :)

Часто возникает необходимость удаления spyware. Подробно как это делать написано здесь

Изменено 6 января, 2005 пользователем Canis

[CrLelik]

Неоднократно замечала в миллениуме такую ерунду:KAV находит в папке Restoreирус, но не может ни вылечить ни удалить их. К папке и файлам в ней нет доступа и атрибуты не меняются.Что можно сделать с этим?Оставлят вирус нехочется на клиентской машине.

[Stolik]

Отключить restore (восстановление системы), как уже говорилось. Содержимое сотрется.

[Сара]

Canis

Большое спасибо, но если можно не могли бы Вы более подробно - в какой именно момент нажимать Ф8, как потом запускать антивирус и т.д, в общем пошагово, вплоть до перезагрузки. (ХР)

Зараннее сенкс

[Stolik]

F8 надо нажимать сразу после слов Verifying DMI Pool Data, а антивирус потом запускать как и обычно. Из контекстного меню или из проводника.

[Сара]

Stolik

Спасибо, но когда эти слова появляются?

У меня после включения, на фоне черного экрана пишется что-то вроде Ф11 старт ап...дальше прочитать не успеваю :D , потом какая-то таблица, ну а дальше уже заставка и т.д.

Кстати, с днем рожденья

[Stolik]

Вот сразу-сразу после таблицы. Можно нажать несколько раз для надежности :-), пока еще видна таблица.

[Canis]

Сара

Большое спасибо, но если можно не могли бы Вы более подробно - в какой именно момент нажимать Ф8

Пуск - Выключение - Перезагрузка. Когда экран станет чёрным, удерживай F8 до характерного писка. После этого появится меню на чёрном экране. Там выбери Безопасный режим (Safe Mode).

как потом запускать антивирус

Обычным образом. :)

[Сара]

Canis- спасибочки, но "меня терзают смутные..." (с), имею в виду совет-пояснение Stolik.

Или можно и так и так? :)

[Canis]

Хм, а в чём противоречие? :)

В любом случае хуже не будет. Правда у тебя в меню возможно вход и не по F8. Точно написано в инструкции к материнской плате

[Canis]

В связи с частыми вопросами... :)

Вопрос: Как избавиться от программ, меняющих стартовую страницу в интер-

нет-браузере, показывающих нежелательную рекламу и т.п. ?

Ответ: Для этого существуют программы, позволяющие обнаруживать и удалять

рекламные и шпионские модули (AdWare, SpyWare):

1. Ad-aware - "Лидер отрасли"

http://www.lavasoftusa.com/

Программа бесплатна, при желании использовать резидентный монитор защиты

реестра нужно платить денежку (доступен в платной версии Pro).

Ссылки:

http://www.lavasoftusa.com/

ftp://ftp.download.com/pub/win95/utilities/aaw6181.exe - v.6.181

ftp://ftp.download.com/pub/win95/utilities/aawsepersonal.exe -v. SE

Updates:

http://updates.ls-servers.com/reflist.zip - к версии 6.181

http://download.lavasoft.de.edgesuite.net/public/defs.zip (к SE 1.03)

Ad-aware 6 Plug-ins

http://www.lavasoftusa.com/software/plugins

2. Spybot-Search&Destroy - freeware

Hедостаток один - обновляется не так часто, как мутирует та дрянь, ко-

торую SpyBot призван ловить. Зато имеет в своём составе очень полезный

набор инструментов. Сильная сторона Спайбота - умеет выделять адверт

dll, которые необходимы для работы бесплатного ПО, предусматривающего

показ рекламы пользователю.

Официальный сайт программы - http://www.safer-networking.org/

Есть русский интерфейс

Скачать и прочитать подробности на русском можно и здесь:

http://www.softodrom.ru/win/p3039.shtml

hijackthis:

http://www.spywareinfo.com/~merijn/files/hijackthis.zip

При использовании hijackthis помнить, что это всего лишь утилита,

контролирующая подозрительные места в Windows, откуда может запускаться

adware/spyware софт или трояны. Решение об удалении принимает юзер.

Ни в коем случае не удалять всё подряд, лучше спросить у опытных людей,

приведя в письме лог этой программы.

Список стандартных процессов Windows XP (для сравнения):

http://oszone.net/windows/winxp/services/allservices.shtml

3. Ещё есть масса программ подобных программ - System Mechanic, Win-

Patrol, TDS, Spy Remover, Spy Guard, Ad Killer, AntiHacker и т.д. и

т.п. У всех есть достоинства и недостатки.

Вся эта "дрянь-варе" залазит на комп или через "дырки" в IE, или через

ActiveX в IE и OE, или при установке ПО (как правило из всяких хац-

керских keygen-ов и patch-ей). Таким образом, лучший способ защиты от

заражения "дрянь-варью" - пропатчить IE, отключить (лучше отключение +

блокировка активного содержимого файерволлом) ActiveX в IE при сурфин-

ге по "определённым" ресурсам.

Hа сайте http://www.spywarewarrior.com/ публикуется список программ, активно и

агрессивно рекламируемых как anti-spyware, которые на самом деле являются

откровенным жульничеством либо сами устанавливают шпионские модули.

Вот этот список по состоянию на 28.08.2004:

1 Click Spy Clean (clickspyclean.com clicksuite.net)

2 2004 Adware/Spyware (adware.storesbiz.com)

Remover & Blocker

3 Ad-Eliminator (ad-eliminator.com adwareindanger.com

realspyerase.biz)

4 AdProtector (adprotector.com protectorsuite.com redv.net)

5 Ads Alert (pcprivacysoftware.com)

6 ADS Adware Remover (adware-remover.net)

7 Adware Agent (killersoftware.com)

8 Adware Hitman (adwarehitman.com)

9 AdwareHunter (adwarehunter.com browser-page.com)

10 AdwareSpy (adwarespy.com)

Изменено 3 января, 2005 пользователем Canis

[CrLelik]

Criss

Удаляй все то, что скажет тебе антивирус.

что лучше сделать с этими видами вирусами, HELP!!!

Win32:NcaseSpy (trj)

Win32:Trojano-324 (Trj)

Win32:Trojano-214 (Trj)

Win32:Trojan-gen/ {Other}

Win32:Trojan-gen/ {UPX}

Описания вирусов от Лаборатории Касперского. Там ты узнаешь и о конкретных методах лечения :smiles20(10):

Да, я тоже как-то удалила все, что сказал KAV.....результат был очень плачевный-убитая насмерть ХР

Изменено 22 апреля, 2005 пользователем Shurr

[Canis]

Лучше всего подозрительные объекты отправлять в карантин. А дальше следовать письменным указания Лаборатории Касперского. Ссылку уже давал :D

PS Сочувствую на счёт винды

[Kart]

После долгой, но плодотворной (тема Что за вирус? постоянно ломится в инет) борьбы с вирями получился довольно интересный результат. Двое оказались неубиваемыми. В конечном итоге обоих, конечно, к стенке. Назывались они Dso Exploit и CleverIEHooker.jeired. Интересно, собственно, даже не это, а то, что в поисках по форуму НИГДЕ не нашел, как лечить. Одни отсылки. Неправильно, как-то, тем более что ни в одной ссылке не нашел точного ответа (все, ессно опробовал, а результата нет). Лечение-то довольно простое.

Все это в safe mode.

Dso Exploit: в ключах реестра, которые находит SpyBot значение параметра выставляется в dword:00000003 (еще раз спасибо Geser). И хотя, по-моему, это какой-то финт, но результат на лицо. Он перестает быть.

CleverIEHooker.jeired: после чистки реестра SpyBot-ом удаляется директория TV media из Program Files.

Да. И еще. Есть, конечно, в ссылках конкретные решения, но это - приобретение программ.

[Canis]

Kart

В конечном итоге обоих, конечно, к стенке. Назывались они Dso Exploit и CleverIEHooker.jeired. Интересно, собственно, даже не это, а то, что в поисках по форуму НИГДЕ не нашел, как лечить.

Ну как ты себе это представляешь? Существует более 100 тысяч компьютерных вирусов. И что, здесь будет описание и методы лечения всех вирусов? :D Представь сколько потребуется страниц! Здесь даны основные рекомендации.

Одни отсылки.

Естественно. Я здесь выложить должен описание лечения сотни тысяч вирусов? Я дал ссылки, где сказано подробно как лечить конкретный вирус. Тебе остаётся пройтись по ним и выполнить рекомендации. Рекомендации не мои, а ведущих антивирусных экспертов мира.

Все это в safe mode.

Dso Exploit: в ключах реестра, которые находит SpyBot значение параметра выставляется в dword:00000003 (еще раз спасибо Geser). И хотя, по-моему, это какой-то финт, но результат на лицо. Он перестает быть.

CleverIEHooker.jeired: после чистки реестра SpyBot-ом удаляется директория TV media из Program Files.

Да. И еще. Есть, конечно, в ссылках конкретные решения, но это - приобретение программ.

Подведём итог. Лечение свелось к использованию программы Spybot-Search&Destroy. Где же тут твои методы? Не об этой ли программе я уже говорил? :) И где речь идёт о приобретении? Я дал ссылки на бесплатные программы.

Да, за качественный антивирус надо платить. Но если человек ловит такие тупые вирусы как CleverIEHooker.jeired (ещё раз и для всех - не пользуйтесь Эксплорером при просмотре порнухи!), то ему нужен антивирус.

Я хочу сказать одну простую прописную истину: если не пользоваться IE, MS OE, не открывать приходящие вложения к письмам и проверять кряки и серийники (для этого не обязательно иметь антивирус - можно пройти on-line тест), то заразить ПК вирусом маловероятно.

[Canis]

Вот я решил не полениться и потратил 10 секунд на поиск инфы по твоему "вирусу". И вот что нашел:

CleverIEHooker.Jeired

Известен также как clever, IEHooker, Jeired, Jeired.dll

Дата появления: January, 2004

Распространение:

[*]CleverIEHooker: 0.0%

[*]CleverIEHooker.Jeired: < 0.00005%

Размер: 77 KB

Рапространяется только в Internet Explorer

Возможные проблемы: сбои в работе Windows XP, сообщения об ошибках.

Автоматическое удаление:[/color] средствами PestPatrol и Spybot-Search&Destroy

Ручное удаление:

Здесь сложнее.

Необходимо очистить реестр:

HKEY_CLASSES_ROOT\interface\{707e6f76-9ffb-4920-a976-ea101271bc25}

HKEY_CLASSES_ROOT\software\microsoft\windows\currentversion\explorer\browser helper objects\{707e6f76-9ffb-4920-a976-ea101271bc25}

HKEY_CLASSES_ROOT\typelib\{707e6f76-9ffb-4920-a976-ea101271bc25}

HKEY_LOCAL_MACHINE\software\classes\clsid\{707e6f76-9ffb-4920-a976-ea101271bc25}

HKEY_LOCAL_MACHINE\software\classes\typelib\{707e6f76-9ffb-4920-a976-ea101271bc25}

HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{707e6f76-9ffb-4920-a976-ea101271bc25}

Необходимо удалить следующие файлы:

systemroot+\jeired.dll

systemroot+\system\jeired.dll

systemroot+\system\tvmbho.dll

systemroot+\system32\jeired.dll

systemroot+\system32\tvmbho.dll

Ты спросишь, откуда инфа? Отвечу - первая ссылка в гуггл :D

Да, не забывайте делать бэкап! :)

Изменено 6 января, 2005 пользователем Canis

[Kart]

Canis! Это не было выпадом ни в чей адрес.

Вполне согласен, что рецептов на все вирусы не напасешься. Что IE - сплошная дырка.

Комп-то ведь не мой был. Просто попросили подлечить. Если уж словил - лечиться все равно приходится.

Возможно, что ссылки - оптимальное решение, но я сижу на модеме, на все ссылки просто денег не хватит и такие простые решения ручного лечения мб имеет смысл выкладывать в форуме.

По гугглу, естественно, тоже лазил и эту ссылку нашел. Но она не сработала. Сейчас даже не могу точно сказать, что именно было в директории (о ней в ссылке, кстати, ни слова; просто когда наконец-то ее вычислил, грохнул со злости), но там было три файла: две библиотеки и ехе-шник. Ну неужели одна строчка, сохраненная в форуме, стоила двух дней мучений?

SpyBot у меня бесплатный и он прекрасно находит эти вири, но вылечить не может. Именно поэтому пришлось после его действий и ручками поработать.

Если я не прав - лепи минус за настырность.

[Canis]

SpyBot у меня бесплатный

Он не только у тебя бесплатный :(

он прекрасно находит эти вири, но вылечить не может.

Лечатся зараженные файлы. В твоём случае речь только о теле adware или spyware. Там лечить нечего.

Если я не прав - лепи минус за настырность.

Не в моих правилах. Я репу понижаю только за фашизм во взглядах

[Kart]

Вопрос снимается. Спасибо.

[Jeborson]

Я общался в чате, тут мне прислали ссылку (зайди, не пожелеешь!). Я туда зашел. Большими буквами было написано "Взломан чат bizarre", и если скачать прогу, котороя там была, можно было бы стать типа админом. Я её скачал, запустил - вроде ничего не происходит. Сидел дальше в нете. Хотел закрыть окно с этой ссылкой - не закрывается, остальные также. Заходишь в "мой компьютер" -пусто. Но всей "прелести" я сначала не увидел. У меня установлены две оболочки - Explorer и Aston. В astonе выкидывает только такие ошибки. В Explorerе вобще пустой рабочий стол, в пуске два меню - сетевое подключение и интернет. При загрузке винды выводится собщение, типа чтобы восстановить работу компа пришлите код на пополнение моб. оператора. ЧТО ДЕЛАТЬ!!!???? ПОДСКАЖИТЕ ПОЖАЙЛУСТА!

[Father]

Я общался в чате, тут мне прислали ссылку (зайди, не пожелеешь!). Я туда зашел. Большими буквами было написано "Взломан чат bizarre", и если скачать прогу, котороя там была, можно было бы стать типа админом. Я её скачал, запустил - вроде ничего не происходит. Сидел дальше в нете. Хотел закрыть окно с этой ссылкой - не закрывается, остальные также. Заходишь в "мой компьютер" -пусто. Но всей "прелести" я сначала не увидел. У меня установлены две оболочки - Explorer и Aston. В astonе выкидывает только такие ошибки. В Explorerе вобще пустой рабочий стол, в пуске два меню - сетевое подключение и интернет. При загрузке винды выводится собщение, типа чтобы восстановить работу компа пришлите код на пополнение моб. оператора. ЧТО ДЕЛАТЬ!!!???? ПОДСКАЖИТЕ ПОЖАЙЛУСТА!

204854[/snapback]

Головой думать, прежде чем глупостями заниматься! Это как же нужно любить халяву, чтобы на такие лохотроны попадать!!! А что Файервола и антивируса у тебя нет, любопытнер ты бедный? По существу: чистить Ad-aware, антивирусом (лучше KAV Personal Pro последним релизом), если не поможет -- сохранять то, что можно, проверять назваными программами, затем дефрагментировать диск и ставить все заново. И делать вывод на будущее, ведь давно изветсно, где бывает бесплатный сыр!