Здравствуйте, гость ( Вход | Регистрация )

Форум судебных медиков России
3 страниц V  1 2 3 >  
>

Зловредный вирус, Нужна помощь вирусологов

>
Рубеж
сообщение 19.10.2009 - 09:22
Сообщение #1


Продвинутый участник

Группа: СМЭ
Регистрация: 5.10.2006
Из: Украина
Пользователь №: 3 007


Таки вот в чем проблема. Может кто сталкивался и подскажет как выйти из данной ситуации.
На домашнем компе и на рабочем у меня стоит одна и та же винда, добросовестно скачанная из Интернета Win XP SP3 Chip за январь 2009 года. Работает бес проблем, устанавливается сразу с драйверами, так же устанавливается без проблем и на ноутбуки без каких либо дополнительных драйверов. Так вот неделю назад, на домашнем компе появился шайтан в виде вируса или тояна под неказистым названием (nssm.exe). Появляется от в папке: C:\WINDOWS\system32 (Даже страшно его имя писать, вдруг оживет, пишу то с рабочего компа где его нет.) Та вот сначала комп стал тормозить несильно, стала выскакивать на экран ошибка (непонятного содержания) и перестал работать Интернет. А именно как перестал: он включается, но страницы ни в опере ни в экспл. не открываются. НО несмотря на это шкала DUMeter показывает, что мой комп что то энергично качает с интернета, и что то энергично отдает, причем исходящий трафик превышает входящий. Я три раза переустанавливал систему, ничего не помогало, то есть через пару часов Интернет снова глючил и комп тормозил. В процессе неравной борьбы с вирусом я заметил, что в автозагрузке появился этот шайтан (nssm.exe), чьё имя в слух называть нельзя, и когда он есть все работает плохо, когда его нет, все окей. Тогда на работе скачал с Интернета: новый аваст, нод, доктор веб (сканер). Проверил домашний комп полностью каждым борцом с вирусами и все сказали что вирусов нет. Проверил это мягко сказано, на компе два винчестера по 360 гб, два дня проверял. После этого в моем лексиконе остались только одни ругательства. Пользуясь случаем пока вышеупомянутый шайтан спал, я залез в Интернет, и набрал в Гугле: nssm.exe, просто так вдруг что нибудь есть. Так вот я увидел, что я не ошибся, не я один так сказать потерпевший в этом мире, открылось немеряное количество страниц, форумов, в том числе иностранных, где у людей та же проблема, причем один в один. Для интереса наберите в поисковике nssm.exe и увидите. На наших сайтах хоть что то пытаются сделать, а на иностранных (перевел страницы в гугле, так как владею только украинским, русским, цыганским и туркменским), так вот на иностранных только слезы и сопли. Тогда я схватил этот вирус, заломил ему руки за спину, упаковал в архив и отправил на сайт Касперского, а в сопроводительном письме сказал что думаю об их антивируснике. На удивление вечером пришел ответ, мол дескать спасибо вам, низкий поклон, ваш файл оказался на просто шайтан эксе, а (цитата: nssm.exe - Trojan.Win32.Buzus.cifm Детектирование файла будет добавлено в следующее обновление.) На утро обновился Касперским и он стал кричать на nssm.exe, как положено, я поставил удалять всегда, что он и делает. НО гад этот сын шакала, появляется с периодичностью раз в час, касперский его убивает но все равно не приятно, когда выскакивает сообщение что что он появился и сразу убит. Значит у него где то есть гнездо, причем не разделе диска С, так система неоднократно переустанавливалась и раздел естественно форматировался. Так вот чего хотел сказать, может кто сталкивался с данной проблемой и знает где у этого шайтана гнездо? А то придется облить системник бензином и сжечь, что бы зараза не распространилась, как раньше боролись с чумой. Жду ответов
Аллах Акбар.
Пользователь offline
К началу страницы
+Ответить с цитированием
Дмитрий
сообщение 19.10.2009 - 09:31
Сообщение #2



Group Icon
Группа: Администраторы
Регистрация: 9.07.2004
Пользователь №: 96


Если
Цитата
у него где то есть гнездо, причем не разделе диска С, так система неоднократно переустанавливалась и раздел естественно форматировался.

и
Цитата
винда, добросовестно скачанная из Интернета Win XP SP3 Chip

то, очевидно, вирус предустановлен в эту самопальную сборку Windows.
А для чего же еще, кроме создания бот-сети, делают эти сборки? Других причин лично я не знаю. Пользуйтесь лицензионным программным обеспечением или переходите на Linux.
Пользователь offline
К началу страницы
+Ответить с цитированием
Krim
сообщение 19.10.2009 - 18:23
Сообщение #3


Авторитетный участник

Группа: Участники
Регистрация: 14.02.2004
Пользователь №: 46


попробуйте бесплатный WEB
http://www.freedrweb.com/cureit/ неплохая штучка.
Пользователь offline
К началу страницы
+Ответить с цитированием
Рубеж
сообщение 19.10.2009 - 20:37
Сообщение #4


Продвинутый участник

Группа: СМЭ
Регистрация: 5.10.2006
Из: Украина
Пользователь №: 3 007


Цитата(Дмитрий @ 19.10.2009 - 09:31)
очевидно, вирус предустановлен в эту самопальную сборку Windows.

Нет я думаю что там вируса не было, ведь я 8 месяцев этой сборкой пользуюсь на двух компах (дома и на работе) и у 5-ти человек она стоит и все рады. Нет я думаю что что то я зацепил. Дело в том что мои детишки стали на порно сайты шнырять в мое отсутствие, этот факт я легко установил по ИСТОРИИ в ОПЕРЕ. Може там зацепили, но ведь не признаются - пионеры -герои.
Пользователь offline
К началу страницы
+Ответить с цитированием
Дмитрий
сообщение 19.10.2009 - 22:03
Сообщение #5



Group Icon
Группа: Администраторы
Регистрация: 9.07.2004
Пользователь №: 96


Ну не было, так не было. Значит дети каждый раз после форматирования диска и чистой установки винды посещали те же самые порносайты с вирусами и реинфицировали компьютер.
Ссылку на утилиту Dr.Web CureIt! уже дали, а я бы еще посоветовал Dr.Web LiveCD.
Пользователь offline
К началу страницы
+Ответить с цитированием
kroling
сообщение 22.10.2009 - 18:29
Сообщение #6


Вновь прибывший

Группа: Пользователи
Регистрация: 22.10.2009
Пользователь №: 17 559


Та же проблема !!! KIS постоянно выдает сообщения что файл cmd.exe или ftp.exe обратились к файлу nssm.exe содержащий трояна. Достало уже Curent weba ничего не дал. Даже не знаю как побороть этого злодея.
Пользователь offline
К началу страницы
+Ответить с цитированием
Дмитрий
сообщение 22.10.2009 - 18:35
Сообщение #7



Group Icon
Группа: Администраторы
Регистрация: 9.07.2004
Пользователь №: 96


kroling, не смогли удержаться и специально зарегистрировались на форуме судмедэкспертов, чтобы написать о компьютерном вирусе?
Пользователь offline
К началу страницы
+Ответить с цитированием
kroling
сообщение 22.10.2009 - 18:51
Сообщение #8


Вновь прибывший

Группа: Пользователи
Регистрация: 22.10.2009
Пользователь №: 17 559


Цитата(Дмитрий @ 22.10.2009 - 18:35)
kroling, не смогли удержаться и специально зарегистрировались на форуме судмедэкспертов, чтобы написать о компьютерном вирусе?

А что это запрещено?
Мне както все равно чей это форум судмедэкспертов, паталогоанатомов или еще чей, просто наткнулся на интересующую меня тему !!!
Пользователь offline
К началу страницы
+Ответить с цитированием
Дмитрий
сообщение 22.10.2009 - 18:56
Сообщение #9



Group Icon
Группа: Администраторы
Регистрация: 9.07.2004
Пользователь №: 96


Раз ответ с раздражением, значит не бот. Это и хотелось уточнить.
Полезного изучения форума!
Пользователь offline
К началу страницы
+Ответить с цитированием
Рубеж
сообщение 23.10.2009 - 08:23
Сообщение #10


Продвинутый участник

Группа: СМЭ
Регистрация: 5.10.2006
Из: Украина
Пользователь №: 3 007


Цитата(kroling @ 22.10.2009 - 18:51)
просто наткнулся на интересующую меня тему !!!

Я пять раз переустанавливал систему но он появляется. Наверное гнездо у него расположено не на диске (С), а в других разделах, которые мы не форматируем при переустановке системы. Думаю это факт. НО вот где. Думаю попробовать методом исключения. Установлю систему без дополнительных программ, а затем начну программы устанавливать по одной в день, и после какой вирус этот появиться та прога и виновата. НО это предположение и не более. Если у вас получится его победить то сообщите личным сообщением.

С уважением, потерпеший от вирусов Рубеж.
Пользователь offline
К началу страницы
+Ответить с цитированием
kroling
сообщение 24.10.2009 - 18:00
Сообщение #11


Вновь прибывший

Группа: Пользователи
Регистрация: 22.10.2009
Пользователь №: 17 559


Сегодня отметил новое в поведении виря. KIS перестал на него реагировать (или прижился или вирь доканал Каспера), nssm.exe появился в процессах( бывает даже по 2 штуки) и файл по адресу (до этого как тока он появлялся каспер его убивал, а так же прихлопывал его процесс). А сейчас напрямую даешь задание касперу проверить этот файл пишет что все зашибись - вирусов нет, хотя при этом инет не просто тормазит -его вообще нет!!!

Пока сделал так : удалил из автозагрузки все ссылки на него а так же все подозрительное , удалил сам файл из C:\WINDOWS\system32\nssm.exe , а так же в сетевом экране KIS присвоил nssm.exe статус - недоверенные

Пока ситуация в норме ни файл ни процес не появляется (периодически проверяю) , инет работает. Поживем посмотрим что будет дальше.
Пользователь offline
К началу страницы
+Ответить с цитированием
Рубеж
сообщение 26.10.2009 - 08:41
Сообщение #12


Продвинутый участник

Группа: СМЭ
Регистрация: 5.10.2006
Из: Украина
Пользователь №: 3 007


Цитата(kroling @ 24.10.2009 - 19:00)
А сейчас напрямую даешь задание касперу проверить этот файл пишет что все зашибись - вирусов нет, хотя при этом инет не просто тормазит -его вообще нет!!!
Поживем посмотрим что будет дальше.


Это не вирус это демон какой то, у меня тоже гад приручил Касперского и Dr/Web/ , они его уже не видят. Напрямую антивирусники направляю на него а они пишут - все нормально. Ну где же все нормально, на прошлой неделе орали, а сегодня дружба. Ужас какой то. Прийдеться новый комп покупать. Жалко информации на двух винчестерах. Сколько фото, книг, и т.д. А перебрасывать на новые винчестеры страшно. Прийдеться сжигать.
Пользователь offline
К началу страницы
+Ответить с цитированием
kroling
сообщение 26.10.2009 - 20:05
Сообщение #13


Вновь прибывший

Группа: Пользователи
Регистрация: 22.10.2009
Пользователь №: 17 559


Цитата(Рубеж @ 26.10.2009 - 08:41)
Это не вирус это демон какой то, у меня тоже гад приручил Касперского и Dr/Web/ , они его уже не видят. Напрямую антивирусники направляю на него а они пишут - все нормально. Ну где же все нормально, на прошлой неделе орали, а сегодня дружба. Ужас какой то. Прийдеться новый комп покупать. Жалко информации на двух винчестерах. Сколько фото, книг, и т.д. А перебрасывать на новые винчестеры страшно. Прийдеться сжигать.


Зло легко не сдается mad.gif
После полудневного затишья атаки снова начались, уж незнаю что с ним делать (каспер орет на него через раз). если рассадник зла не на С диске , то найти его при моих данных будет проблемматично (3винта, 8 логич. дисков)
Мож на комп святой воды полить ???
Пользователь offline
К началу страницы
+Ответить с цитированием
Рубеж
сообщение 26.10.2009 - 20:30
Сообщение #14


Продвинутый участник

Группа: СМЭ
Регистрация: 5.10.2006
Из: Украина
Пользователь №: 3 007


Цитата(kroling @ 26.10.2009 - 21:05)
Мож на комп святой воды полить ???


Нет только огонь. Или в микроволновке винчестеры простерилизовать.
Пользователь offline
К началу страницы
+Ответить с цитированием
Elena-1989
сообщение 29.10.2009 - 22:18
Сообщение #15


Вновь прибывший

Группа:
Регистрация: 28.10.2009
Пользователь №: 17 698


http://www.virustotal.com/ru/
Проверьте файл здесь.
Зайдите в безопасный режим и запустите оттуда CureIT.

В САМОМ КРАЙНЕМ случае загрузитесь с LiveCD, смонтируйте разделы и скопируйте данные.
Пользователь offline
К началу страницы
+Ответить с цитированием

3 страниц V  1 2 3 >



- Обратная связь Сейчас: 28.03.2024 - 21:08