finnik

...вполз в мой комп! И чем я только не травил эту гадость, чем только не убивал...
Ан нет... Живёт и здравствует змей ползучий, дракон у которого сколько не руби, а голова вновь отростает...
Завут его hotoffers. И открывает он порносайт с одноимённым названием с расширением info Но не советую эксперементировать... Ибо единыжды открыв, он будет открывать internet explorer каждые пару минут на этой странице, даже если вы и закрываете explorer совсем..!
Прописался он в папке system32 под именем systr.dll и ни чем его от туда не выгнать.
На форуме Dr. Web нашёл сообщение что кто-то с ним справился, удалив из реестра 2 ключа, но я попробовал и не чего не вышло. Один из ключей сразу востонавливается...
А вот что тот юзер написал:
"Lavasoft Ad-Aware видит его как IEHIJACKER.HOTOFFERS, делает вид, что удаляет но... ни к чему это не приводит - троян как
сидел так и сидит - трудно боротся с трояном под его же
руководством ) - Ad-Aware пускается из-под Explorer.exe, а
троян уже сидит в нем как sheduled task..."
Пробовал переставить explorer, а потом и сам Виндоус (кстате у меня 98-ой секэнд эдишн)_ но воз и ныне там... Вероятно придётся сносить всё нафиг, а "в лом"...

     

Spetsnaz

Первое надо отключить system restore в виндоузе, потом запустить виндоуз в safe mode и прогнать Ad-aware в нём. Можно в ручную файлы поудалять, но это обычно не очень эффективно.

-----------------
www.scandicpharma.com

     

~Aurora~

Лучше провести операцию под названием "А ну все нафиг" и снести все. Меньше головной боли по выискиванию способа удаления этого негодяя.
Случай произошел с другом моего мужа. Поставили инет, а он обрадовался и пока жена на работе была. Он открыл порносайт и тут началось святопредставление с голыми телесами. Потом получил по шее от супруги. Что своего мяса не хватает. Мой потом ему чистил комп.
Ну может кто-то посоветует получше.

-----------------
Через тернии к звездам.

     

Ralphie

Для начала, избався от Эксплорера и проблем таких не будет. Например есть Оpera, Firefox, Netscape 8.0.. все прекрасные браузеры.

Самый верный способ убрать эту гадость: тебе надо скачать маленькую программку под названием HijackThis и выставить потом logi например сюда.
Там уже эксперты тебе подскажут что убрать. Бесплатно. Так все мои друзья убрали гадости с Эксплорера.

HijackThis ohjeet ja lataus

-----------------
» The Ralph Wiggum Soundboard ♫

     

Habiiba

этот зверь cкорее имеет первичную прописку у тебя в реестре. и оттуда каждый раз запускается. почисть реестр специальной прогой ( например Spybot Search and Destroy) это займет 5 минут. а лучше действиетельно сменить IE на мозиллу или оперу. мозилла по крайней мере не загружает никакие файлы из Сети самовольно.

     

Spetsnaz

Про это и говорим, но сейчас эти зверьки стали умнее и как правило они в обыкновенном режиме не удаляются. Так что safe mode и вперёд.

-----------------
www.scandicpharma.com

     

Roman28

советую вам заити на сайт www.webroot.com и попробовать их программы-бесплатно 30 дней,в момент уничтожит всю заразу очень быстро-быстрее чем другие антивирусные проги+ находот то что другие игнорирует,Попробуйте не пожалеете!

     

inferno

finnik
windows 98, насколько я знаю, уже давно не поддерживается микрософт, тоесть залатать дыры в твоей системе не представляется возможным. В будущем, ты будешь подцеплять всё больше всякой заразы.

     

Habiiba

ну а как же радость от победы над компутерным злом?

     

~Aurora~

Боролась, я боролась. Потом с радостью снесла все нафиг ! Но к порносайтами не прикасалась, просто дочка через установку нового мэсэнгера подцепила что-то. Которое требовало заплатить денег и тогда оно уйдет. Потом выяснили, что на самом деле где-то лежал код этой заразы. Но мне легче было почистить. Дышать легче компик стал.

-----------------
Через тернии к звездам.

     

zaq

У меня тот же самый гад hotoffers. Тоже как только не пробовал этого гада убрать, 5 программ типа adware не помогли. В итоге стер explorer, но всеравно вылезает фигня типа "error #317...", я её просто запихиваю подальше в угол чтобы она мне не мешалась. Вот.

     

Ralphie

Spysweeper действительно неплохая прога, но... у Майкрософта есть AntiSpyware, которая ничем не хуже и бесплатная.

Как я уже писал этот Hot Offers (heh..) хайджэком уйдёт..

-----------------
» The Ralph Wiggum Soundboard ♫

     

.Кыся

ага, стиль "лучшее средство от головы - топор". ((=
кстати, просветите, можно ли как ещё снести IE в ХР, кроме как потереть всё ручками?.. (=

-----------------
Savvy?


... чтобы всё было ништяк!
(с) Кошки Jam
#17473

     

Spetsnaz

Add/remove programs, там Windows components. Там можно удалить explorer. Не знаю правда, на сколько полностью, но по крайнее мере его не где не видно после этого.

-----------------
www.scandicpharma.com

     

~Aurora~

Потереть все ручками ?

Время потраченное на снос системы и ее установление, будет меньше, чем на уничтожение непрошенного гостя. Для нас было так.

-----------------
Через тернии к звездам.

     

finnik

Мда, наверное так... Вот и ещё один день «коню под хвост»... Бился я бился, но безуспешно... Ни как не побежу (или не победю...) этого монстра... но уж очн хочтся ...
Да и прежде чем топором махать, много чего надо переписать, и много чего потом ставить (часть с крэками, найду ли всё...)

так и не нашёл где отключить system restore...
А вот в Ad-aware даже новую утилиту поставил, вроде как раз против этой дряни, но ни в обычном режиме, не в safe mode, он её даже не видит, не говаоря уже чтобы удалить...
Также не видят все AntiSpyware, Spybot, SpywareBlaster как и чистилки типа CCleaner ...
Прога HijackThis у меня стоит, и именно через неё я засёк процесс hotoffers, но после того как убил его в режиме safe mode он теперь и там не виден... Однако удалить его так и не удалил. По-прежнему выскакивают таблички, типа: Your Wind- is corrupted with spyware virus... Ну и дальше приглашение скачать какой-то «спайвер»... Сайт в эксплорере теперь не открывается автоматом, после сноса оного... хотя и есть после переустановки Винды.

     

Spetsnaz

system restore: правый клик на мой компьютер ---> properties ---> System restore ---> turn off system restore

-----------------
www.scandicpharma.com

     

.Кыся

ну, умеючи надо.. (= по крайней мере, в 98 виндах эта операция проходила успешно. (=


а, блин.. не посмотрел. спасиб. (=

-----------------
Savvy?


... чтобы всё было ништяк!
(с) Кошки Jam
#17473

     

inferno

finnik
Отключи system restore.
Попробуй переименовать свои systr.dll, popup_bl.dll и searchdll.dll и удалить.
И вообще, лог hijack в студию.

     

Santeri

Здесь про твоего зверя.
http://forum.drweb.ru/view/97928

     

finnik

а можно по-фински...
если я правильно понимаю, надо отключить систему от перезаписи в памяти, или что-то типо того... Но что именно...
Правильно ли я иду:Ominasuudet J?rjestelm? > Suorituskyky > Tiedostoj?rjestelm? >Vianm??ritys > а вот дальше 6 вариантов что отключить, а что именно...?
To: inferno
Переименовать, так же как и перенести в другое место, не говоря что удалить - невозможно.
То:Santeri
Я об этой страничке и писал в первом посте... Ключи нашёл, но удалить нельзя, они сразу записываются вновь... Кстате он там что-то и пишет о том, что в Винд 9* незнает как поступать...

     

inferno

finnik
Переименовать, так же как и перенести в другое место, не говоря что удалить - невозможно
У тебя 98-ой, следовательно fat. Грузишься в ДОС и удаляешь. Никаких проблем.

Spetsnaz
В 98-ом есть system restore?

     

GET

Но при этом некоторые проги все равно запусткаю его. Например, если из меню помощи Акробата пойти на их веб, то запускается эксплорер, хоть его нигде и не видно.

2 finnik:

В качестве временной меры могу предложить в файл c:\windows\system32\drivers\etc\hos ts добавить строчку вида:

127.0.0.1 hostname

где hostname это имя того хоста, который открывается. Этот файл имеет приоритет на ДНС. После перезагрузки компа вирус будет пытаться открыть страницу, но реально пойдет на твой же комп, где наверняка ничего нет. То есть вместо той страницы будет открыта обычная страница эксполера с сообщением о неправильном адресе.

Так удается подрезать очень многие баннеры и другие плохие сайты.
Если есть файрвол, который содержит в себе компоненты управления доступом к веб-содержимому, то можно проделать аналогичную операцию в нем, то есть запретить доступ к этому сайту.

Однажды у меня со spyware была проблема. Открывался сайт www.casinopalazzo.com.
Боролся с этим с неделю, перерыл кучу форумов. Помог компот из 3 компонент: Касперский с расширенными базами (триальный), ad-aware, spybot s&d. Все три прогонялись, потом машина перезагружалась и снова все три. Так, пока не избавился полностью. Как тут уже сказали, надо отключить систем рестор, можно загрузиться в безопасный режим.

     

AlinaR

У меня тоже Троянский сидел в компе, так я его удалила без очистки компа, хотя Ф-Секур не смог от него избавиться.
Надо знать имя Трояна и удалить, войдя в нужное русло.
Финник, если у тебя есть Мессенгер, можем провести сессию по очистке вируса.... пока память свежая у меня...
ps у меня правда XP

     

tosik

..а я кокуюто прогу установил по отлову щпиков..так она совместно с антивирусом обнаружела несколько зараженных файлов..среди них и "тройной" присутствовал..хотя до этого сканировал антивирусом...ноль эмоций..

     

KA3AHOBA

современные антивирусы хафняненкие пошли, что каспер, что веб, что секура. Они, разумеется, работают, но ведь надо перед входом настроить всё так, чтобы он сразу без разговоров всё коцал. Иначе, если пролезет дрянь - хрен уберёте...Экспериментаторам советую ловить вручную. А ещё проще -не ставьте никаких антивирусов и не пользуйтесь Outlook Express.

     

Listt

А как ты хотел, воткнул и поехали ? Легко жить хочешь .

А таких советчиков вообще к компу подпускать Нельзя !

-----------------
Путешествие в тысячу миль начинается с одного шага
(c)Лао Цзы

     

Listt

finnik
Если ни чем не сможешь вывести заразу, то можешь просто запретить её запуск, поставив прогу контролирующую процессы, например брендмауэр Kerio, или AnVir Task Manager эта к тому же еще и контролирует автозапуск, русская версия бесплатная.

-----------------
Путешествие в тысячу миль начинается с одного шага
(c)Лао Цзы

     

mard

Можно отнести в мастерскую. Там почистят и всё приведут в порядок. Если есть лишние 10 - 30 евро, проблема решается легко. Ещё посмотрите тут
www.mozilla.org
www.opera.com
www.giantcompany.com
Это нормальные чистые финские пока ещё бесплатные сайты, используя их можно бороться а этой заразой.

     

Ralphie

Финские Giant Миккисофта купила..

-----------------
» The Ralph Wiggum Soundboard ♫

     

Opri4nik

Уж больно подозрительно часто ты советуешь Касперского и обязательно с расширенными базами Внештатный работник? Сикока максуют?

-----------------
Вечная слава героям павшим в Великой Отечественной Войне

     

zaq

Кстати попробуйте сделать System Restore, мне только что это помогло!

     

finnik

ВСЁ! Убил зверя!!!
Сидел до сих пор. Эксплорер я удалил и работал через Оперу. А вирус только окошко выкидывал: у тебя вирус...бла-бла-бла...скачай софт...бла-бла-бла...
А я тут действительно новую прогу поставил - Registry Mechanic, почистил реестр и...
Убил гада ползучего!!! Уррааа!!!

     

AlinaR

Надо отметить!

     

Zieselmaus

А у меня окошечко вылазиет серое, что-то подобное,что комп инфицирован spyware и тырым-пырым, зайди туда-то - почистим.
Это тоже самое ?
И как мне это хотябы опознать ?

     

finnik

Всем спасибо за участие

     

Ralphie

finnik, поздравляю искренно тебя! Победа над гадом взята!

Что это за прога такая?

-----------------
» The Ralph Wiggum Soundboard ♫

     

finnik

Прогу можно скачать ЗДЕСЬ

     

AlinaR

сижу и думаю: стоит -не стоит скачивать...вроде Ad-Aware есть...тоже самое как буд-то.....или я не права?

     

finnik

Ad-Aware как и десяток других программ типа Spy мне не помогли, но это не значит, что Registry Mechanic лучше их всех. Просто в данном конкретном случае, они даже не видели моего зверя, которого я засёк как процесс прогой HijackThis, но никак не мог избавится от бяки, файл которого я видел и в папке System32 и ключи в реестре.
Думайте сами, решайте сами...

     

Napalm

1.берёшь дискетку ,.. 2 .делаешь её системной, 3. загружаешся с неё,. 4. после того как загрузился пишешь format C: и когда появиться некая форма на мониторе ,.. просто нажми букву (Y) и все твои проблемы будут решены!

     

inferno

finnik
Ты вообще посты читаешь? Лог hijack в студию.

     

finnik

А ты...? Думаешь я себе копию где-нибудь оставил на память, в баночке заспиртовал...?

     

_doctor

Так это, если у тебя Win98 и ты точно знаешь, которая DLL с вирусом, можно же загрузиться в режиме DOS и удалить этот файл, так?

     

GET

5 копеек за показ. Как говорится, 20 старушек - рубль. Расширенные базы содержат в себе сигнатуры против адваре, порнваре и прочей аналогичной гадости. В стандартных базах их нет. Правда, одну адварю и Касперский не отловил, но я вычислил ее ДЛЛку, послал им, они включили в следующий апдейт.

     

GET

А не похоже ли это на окошко эксплорера? Похоже, что это и есть адваре, которое рекламирует программу от самой себя. Забавный способ зарабатывать деньги