Зловредный вирус

Полная версия: Зловредный вирус


Форум судебных медиков России > О жизни... и смерти > Скорая компьютерная помощь
Рубеж
Таки вот в чем проблема. Может кто сталкивался и подскажет как выйти из данной ситуации.
На домашнем компе и на рабочем у меня стоит одна и та же винда, добросовестно скачанная из Интернета Win XP SP3 Chip за январь 2009 года. Работает бес проблем, устанавливается сразу с драйверами, так же устанавливается без проблем и на ноутбуки без каких либо дополнительных драйверов. Так вот неделю назад, на домашнем компе появился шайтан в виде вируса или тояна под неказистым названием (nssm.exe). Появляется от в папке: C:\WINDOWS\system32 (Даже страшно его имя писать, вдруг оживет, пишу то с рабочего компа где его нет.) Та вот сначала комп стал тормозить несильно, стала выскакивать на экран ошибка (непонятного содержания) и перестал работать Интернет. А именно как перестал: он включается, но страницы ни в опере ни в экспл. не открываются. НО несмотря на это шкала DUMeter показывает, что мой комп что то энергично качает с интернета, и что то энергично отдает, причем исходящий трафик превышает входящий. Я три раза переустанавливал систему, ничего не помогало, то есть через пару часов Интернет снова глючил и комп тормозил. В процессе неравной борьбы с вирусом я заметил, что в автозагрузке появился этот шайтан (nssm.exe), чьё имя в слух называть нельзя, и когда он есть все работает плохо, когда его нет, все окей. Тогда на работе скачал с Интернета: новый аваст, нод, доктор веб (сканер). Проверил домашний комп полностью каждым борцом с вирусами и все сказали что вирусов нет. Проверил это мягко сказано, на компе два винчестера по 360 гб, два дня проверял. После этого в моем лексиконе остались только одни ругательства. Пользуясь случаем пока вышеупомянутый шайтан спал, я залез в Интернет, и набрал в Гугле: nssm.exe, просто так вдруг что нибудь есть. Так вот я увидел, что я не ошибся, не я один так сказать потерпевший в этом мире, открылось немеряное количество страниц, форумов, в том числе иностранных, где у людей та же проблема, причем один в один. Для интереса наберите в поисковике nssm.exe и увидите. На наших сайтах хоть что то пытаются сделать, а на иностранных (перевел страницы в гугле, так как владею только украинским, русским, цыганским и туркменским), так вот на иностранных только слезы и сопли. Тогда я схватил этот вирус, заломил ему руки за спину, упаковал в архив и отправил на сайт Касперского, а в сопроводительном письме сказал что думаю об их антивируснике. На удивление вечером пришел ответ, мол дескать спасибо вам, низкий поклон, ваш файл оказался на просто шайтан эксе, а (цитата: nssm.exe - Trojan.Win32.Buzus.cifm Детектирование файла будет добавлено в следующее обновление.) На утро обновился Касперским и он стал кричать на nssm.exe, как положено, я поставил удалять всегда, что он и делает. НО гад этот сын шакала, появляется с периодичностью раз в час, касперский его убивает но все равно не приятно, когда выскакивает сообщение что что он появился и сразу убит. Значит у него где то есть гнездо, причем не разделе диска С, так система неоднократно переустанавливалась и раздел естественно форматировался. Так вот чего хотел сказать, может кто сталкивался с данной проблемой и знает где у этого шайтана гнездо? А то придется облить системник бензином и сжечь, что бы зараза не распространилась, как раньше боролись с чумой. Жду ответов
Аллах Акбар.


Дмитрий
Если
Цитата
у него где то есть гнездо, причем не разделе диска С, так система неоднократно переустанавливалась и раздел естественно форматировался.

и
Цитата
винда, добросовестно скачанная из Интернета Win XP SP3 Chip

то, очевидно, вирус предустановлен в эту самопальную сборку Windows.
А для чего же еще, кроме создания бот-сети, делают эти сборки? Других причин лично я не знаю. Пользуйтесь лицензионным программным обеспечением или переходите на Linux.


Krim
попробуйте бесплатный WEB
http://www.freedrweb.com/cureit/ неплохая штучка.


Рубеж
Цитата(Дмитрий @ 19.10.2009 - 09:31)
очевидно, вирус предустановлен в эту самопальную сборку Windows.

Нет я думаю что там вируса не было, ведь я 8 месяцев этой сборкой пользуюсь на двух компах (дома и на работе) и у 5-ти человек она стоит и все рады. Нет я думаю что что то я зацепил. Дело в том что мои детишки стали на порно сайты шнырять в мое отсутствие, этот факт я легко установил по ИСТОРИИ в ОПЕРЕ. Може там зацепили, но ведь не признаются - пионеры -герои.


Дмитрий
Ну не было, так не было. Значит дети каждый раз после форматирования диска и чистой установки винды посещали те же самые порносайты с вирусами и реинфицировали компьютер.
Ссылку на утилиту Dr.Web CureIt! уже дали, а я бы еще посоветовал Dr.Web LiveCD .


kroling
Та же проблема !!! KIS постоянно выдает сообщения что файл cmd.exe или ftp.exe обратились к файлу nssm.exe содержащий трояна. Достало уже Curent weba ничего не дал. Даже не знаю как побороть этого злодея.


Дмитрий
kroling, не смогли удержаться и специально зарегистрировались на форуме судмедэкспертов, чтобы написать о компьютерном вирусе?


kroling
Цитата(Дмитрий @ 22.10.2009 - 18:35)
kroling, не смогли удержаться и специально зарегистрировались на форуме судмедэкспертов, чтобы написать о компьютерном вирусе?

А что это запрещено?
Мне както все равно чей это форум судмедэкспертов, паталогоанатомов или еще чей, просто наткнулся на интересующую меня тему !!!


Дмитрий
Раз ответ с раздражением, значит не бот. Это и хотелось уточнить.
Полезного изучения форума!


Рубеж
Цитата(kroling @ 22.10.2009 - 18:51)
просто наткнулся на интересующую меня тему !!!

Я пять раз переустанавливал систему но он появляется. Наверное гнездо у него расположено не на диске (С), а в других разделах, которые мы не форматируем при переустановке системы. Думаю это факт. НО вот где. Думаю попробовать методом исключения. Установлю систему без дополнительных программ, а затем начну программы устанавливать по одной в день, и после какой вирус этот появиться та прога и виновата. НО это предположение и не более. Если у вас получится его победить то сообщите личным сообщением.

С уважением, потерпеший от вирусов Рубеж.


kroling
Сегодня отметил новое в поведении виря. KIS перестал на него реагировать (или прижился или вирь доканал Каспера), nssm.exe появился в процессах( бывает даже по 2 штуки) и файл по адресу (до этого как тока он появлялся каспер его убивал, а так же прихлопывал его процесс). А сейчас напрямую даешь задание касперу проверить этот файл пишет что все зашибись - вирусов нет, хотя при этом инет не просто тормазит -его вообще нет!!!

Пока сделал так : удалил из автозагрузки все ссылки на него а так же все подозрительное , удалил сам файл из C:\WINDOWS\system32\nssm.exe , а так же в сетевом экране KIS присвоил nssm.exe статус - недоверенные

Пока ситуация в норме ни файл ни процес не появляется (периодически проверяю) , инет работает. Поживем посмотрим что будет дальше.


Рубеж
Цитата(kroling @ 24.10.2009 - 19:00)
А сейчас напрямую даешь задание касперу проверить этот файл пишет что все зашибись - вирусов нет, хотя при этом инет не просто тормазит -его вообще нет!!!
Поживем посмотрим что будет дальше.


Это не вирус это демон какой то, у меня тоже гад приручил Касперского и Dr/Web/ , они его уже не видят. Напрямую антивирусники направляю на него а они пишут - все нормально. Ну где же все нормально, на прошлой неделе орали, а сегодня дружба. Ужас какой то. Прийдеться новый комп покупать. Жалко информации на двух винчестерах. Сколько фото, книг, и т.д. А перебрасывать на новые винчестеры страшно. Прийдеться сжигать.


kroling
Цитата(Рубеж @ 26.10.2009 - 08:41)
Это не вирус это демон какой то, у меня тоже гад приручил Касперского и Dr/Web/ , они его уже не видят. Напрямую антивирусники направляю на него а они пишут - все нормально. Ну где же все нормально, на прошлой неделе орали, а сегодня дружба. Ужас какой то. Прийдеться новый комп покупать. Жалко информации на двух винчестерах. Сколько фото, книг, и т.д. А перебрасывать на новые винчестеры страшно. Прийдеться сжигать.


Зло легко не сдается mad.gif
После полудневного затишья атаки снова начались, уж незнаю что с ним делать (каспер орет на него через раз). если рассадник зла не на С диске , то найти его при моих данных будет проблемматично (3винта, 8 логич. дисков)
Мож на комп святой воды полить ???


Рубеж
Цитата(kroling @ 26.10.2009 - 21:05)
Мож на комп святой воды полить ???


Нет только огонь. Или в микроволновке винчестеры простерилизовать.


Elena-1989
http://www.virustotal.com/ru/
Проверьте файл здесь.
Зайдите в безопасный режим и запустите оттуда CureIT .

В САМОМ КРАЙНЕМ случае загрузитесь с LiveCD, смонтируйте разделы и скопируйте данные.


Рубеж
Цитата(Elena-1989 @ 29.10.2009 - 23:18)
CureIT .

В САМОМ КРАЙНЕМ случае загрузитесь с LiveCD, смонтируйте разделы и скопируйте данные.

Спасибо за совет, попробую, а вообще вчера по это поводу запил, жаль компа, сколько инфы, и все прийдется тики сжечь. ритуальный костей будет большим.


Толстый
Цитата(Рубеж @ 29.10.2009 - 20:20)
а вообще вчера по это поводу запил

А вот это зря, дорогой коллега. Себя ценить надо больше, чем комп.
Мне даже мой личный комп не так дорог, как ваша, постороннего человека, жизнь.
Берегите себя. wink.gif


Elena-1989
У вас данные на одном диске, а винда на другом?
Или как?
В любом случае данные Вы сохраните. Поищите Windows Live CD, запишите его. Вставьте в привод и загрузитесь. Он должен автоматически смонтировать диски. Подключаете еще один диск и копируете данные.
Если нет еще одного носителя, сделайте загрузочную флешку, загрузитесь и записывайте данные на DVD-болванки. Они сейчас недорогие.
Можете использовать LiveCD Linux, только проверьте, чтобы была поддержка NTFS (или какая у Вас ФС?).
Диск можно взять на время, потом вы отформатируете свои диски и поставите заново винду, а данные перенесете.


kroling
Так вот вся проблема в том что возможно сам исходный вирус прячется где-то в этих файлах. И когда после формата дисков и постановки новой системы перенести данные с другого диска или болванок обратно на комп, то вместе с данными перенесем назад и исходняк виря , и пошло поехало все снова....


Elena-1989
Да вряд ли. Но можно поискать.


Рубеж
Просто по человечески обидно - но ничего не могу сделать, попробую винду переставить другую, а там посмотрим. Сжигать конечно не буду, но достало то такой степени что немогу передать, только маты остались.

На днях пригласил к себе (платно) двух самых опытных компютерщиков в нашем городе. Сидели у меня дома больше суток. Выпили всю водку (все запасы), все кофе, три раза в магазин ходил, и ничего не могли сделать. Еле выпровоил бригаду, до сих пор отхожу. Ну по части компьютеров конечно они демоны. Я таких не видел. Но водку глушат как алкаши, и ругаются между собой на компютерных терминах. Ужас. Я в шоке. Всяких видел, но эти типы....


Elena-1989
Когда поставите Windows и все программы - сделайте образ диска, чтобы потом ставить из него и не возиться с установкой программ вручную.
Данные храните на отдельном разделе.
P.S. Простая переустановка без форматирования вряд ли поможет.


kroling
Вчера придумал такую штуку : Создал в папке C:\WINDOWS\system32\ ПАПКУ с названием nssm.exe, перед этим соответственно удалив файл оттуда, и с находящимся в ней каким нибудь текстовым файлом (чтоб вирь не смог ее удалить). И представляете - эта сволочь заткнулась (возможно пока), дня 2 сижу в тишене и спокойствии.... (правда в постоянном страхе что вот-вот эта ..... опять появиться)


Рубеж
[Попробую скажу. денег нет, водки нет. ВСЕ ВЫПИТО


Рубеж
Приходил еще один компютерный гений и сделал так: с его слов он не стал его удалять, а просто покалечил, и он вроде бы есть но ничему не мешает, и другой не лезет, видит что его место занято. Прошло 3 дня пока нормально.


kroling
неделя..... Полет нормальный.
Тишина..... smile.gif


Рубеж
Цитата(kroling @ 6.11.2009 - 11:19)
неделя..... Полет нормальный.
Тишина..... smile.gif


Подробней напиши свой метод (Создал в папке C:\WINDOWS\system32\ ПАПКУ с названием nssm.exe, перед этим соответственно удалив файл оттуда, и с находящимся в ней каким нибудь текстовым файлом (чтоб вирь не смог ее удалить). Я не совсем понял, ты создал папку удалив оттуда файл? НО сначала его надо было поместить туда, и какой текстовый файл. С ув. Рубеж rotate.gif


kroling
Цитата(Рубеж @ 6.11.2009 - 11:37)
Подробней напиши свой метод (Создал в папке C:\WINDOWS\system32\ ПАПКУ с названием nssm.exe, перед этим соответственно удалив файл оттуда, и с находящимся в ней каким нибудь текстовым файлом (чтоб вирь не смог ее удалить). Я не совсем понял, ты создал папку удалив оттуда файл? НО сначала его надо было поместить туда, и какой текстовый файл. С ув. Рубеж rotate.gif


Сначала удаляешь файл nssm.exe, из C:\WINDOWS\system32\. Затем создаешь в этом каталоге ПАПКУ под названием nssm.exe , и помещаешь в нее текстовай файл (любой ), это делается для того чтобы папка была не пустая и вирус не смог ее удалить
Работает это так: вирус не может создать свой файл и следовательно запустить процесс так как файл с таким названием уже существует (созданная тобой папка)


Рубеж
Все!!!! Победил гада. И вот как, коМУ НУЖНО ЧИТАЙТЕ. " Скачал свежий сканер с доктор веб, (не антивирус, а сканер), и проверил весь комп. На диске С в папке систем и систем 32 сканер обнаружил 2 подозрительных файла, (забыл записать какие), я их смело удалил. Но через время этот гад под названием nssm.exe снова слал ломиться. Тогда я просканировал диск С но только в безопасном режиме, как рекомендовали мне выше на форуме, и в безопасном режиме, сканер в папке виндоуз нашел какойто с виду невзрачный файлик, никого и ник чему не обязывающий, я его удалил и вот уже 3 месяца все чисто, я счастлив, трезв и т.д. ТО есть уточняю, что нужно проверить комп ТОЛЬКО В БЕЗОПАСНОМ РЕЖИМЕ , можно НЕ весь, а только диск С, сканером доктора веба, он скачивается с сайта бесплатно И ВСЕ.


Толстый
Включаю компьютер - всё нормально. Можно печатать, слушать музыку...
Как только кликаю на ярлычок интернет-браузера, происходит следующее:
появившееся окошко как бы только-только начиная загружать стартовую страницу, внезапно "моргает" на какую-то долю секунды - и всё - после этого ни мышкой, ни клавиатурой до компьютера не достучаться. Ни закрыть окошко, ни даже отключить комп...Только потом остается из розетки вырубать его...
Сам нашёл способ так сказать "симптоматического" лечения - прежде чем кликнуть на ярлычок браузера, произвожу чистку реестра программой "C Cleaner", после чего сразу же перезагружаю комп.
После такой процедуры можно без проблем выходить в интернет.
Но хотелось бы понять, в чем "корень зла"...Бесит каждый раз чистить и перезагружать...
Антивирусная программа молчит. Глубокое полное сканирование ничего не даёт...
Может, кто-то с подобным сталкивался, помогите, плиз. unsure.gif


Рубеж
Я не уверен, но вышеперечисленным симптомам, имеется запуск какого то процесса в момент запуска интернет браузера. И это процесс тормозит все.
Есть несколько вариантов:
1. В режиме нормальной работы (когда все окей работает) зафиксируйте в диспетчере задат все работающие процессы. А имено, перепишите все процесы ручкой (запомнить их трудно), или сделайте снимок с экрана с открытым диспетчером и распечатайте. Затем снова перезагрузите комп, сначала включите диспетчер с открытыми процессами (он всегда остается поверх всех окон) а затем запускайте интрнет браузер, который выпендривается, и когда комп мягко говоря повиснет, сравните все запущенные процессы, с теми были при нормальном состоянии компа. Я не уверен, но мне кажется можно будет увидеть, кто из процессов пропал вообще (что может быть) или что появилось и что на себя забрало все ресурсы.
2. Второй вариант банальный - переустановить браузер.
3. Вариант переустановить систему.
4. Может еще кто то подскажет


Толстый
Спасибо. Поколдую пока с первым вариантом.
Второй вариант не дает эффекта. К тому же, проблема наблюдалась не с одним, с тремя браузерами - с IE, Mozilla, Google Chrome. Видимо, дело не в них, а в чем-то, что их блокирует, тормозит...Только бы найти, что это...Найду - убью. fire1.gif


ElenaS89
Толстый, с помощью CureIT проверяли?


Русская версия Invision Power Board © 2001-2017 Invision Power Services, Inc.

© 2002-2015 Форум судебных медиков
При копировании материалов сайта размещение активной ссылки на источник обязательно!