Сейчас обсуждают

[TLK]

Это тема для тех кто написал новый вирус и хочет о нем рассказать?

[36geolog]

Веблог «Лаборатории Касперского»

Gpcode вернулся

Виталий Камлюк 5 июня 2008 | 15:05 MSK
комментарии (1)

Наша антивирусная лаборатория обнаружила новую версию опасного вируса, известного как Gpcode. Вирус шифрует пользовательские файлы из широкого набора расширений: DOC, TXT, PDF, XLS, JPG, PNG, CPP, H и др.

Детектирование нового вируса Virus.Win32.Gpcode.ak было добавлено в антивирусные базы вчера, 4 июня 2008 года. На данный момент расшифровать поражённые файлы не представляется возможным, поскольку вирус использует криптостойкий алгоритм шифрования RSA с длинной ключа 1024 бита.

Алгоритм RSA основан на разделении ключей шифрования на секретный и открытый. Принцип шифрования при помощи RSA гласит: для того, чтобы зашифровать сообщение достаточно иметь один лишь открытый ключ. Расшифровать зашифрованное сообщение можно только располагая секретным ключом.

На этом принципе основан вирус Gpcode. Он шифрует пользовательские файлы при помощи имеющегося у него открытого ключа, находящегося в теле вируса. Расшифровать файлы затем может лишь владелец секретного ключа, т.е. автор вредоносной программы Gpcode.

«Лаборатория Касперского» уже сталкивалась с вирусом Gpcode ранее (см. статью «Шантажист»), и нам удавалось получить секретный ключ путем детального криптоанализа имеющихся данных. До сих пор максимальная длина ключа RSA, которую нам удалось «взломать» составляла 660 бит, и взлом был возможен благодаря неосторожным допущениям автора в реализации алгоритма шифрования. Автор выждал почти 2 года прежде чем создать новую усовершенствованную версию вируса с RSA-шифрованием, и эта новая версия больше не содержит старых ошибок.

При обнаружении первых версий Gpcode на основе RSA в 2006 году мы предупреждали, что в случае аккуратного использования RSA вирусописателем, мы не сможем помочь пользователям, файлы которых окажутся зашифрованы. Шифрование файлов таким образом равносильно их несанкционированному копированию на компьютер преступника с удалением с компьютера пользователя. В таких случаях помочь могут лишь уполномоченные правоохранительные органы.

После шифрования файлов вирус оставляет текстовое сообщение рядом с зашифрованными файлами, в котором говорится:

Your files are encrypted with RSA-1024 algorithm.
To recovery your files you need to buy our decryptor.
To buy decrypting tool contact us at: ********@yahoo.com

К сожалению, пути распространения вируса пока не определены, поэтому мы рекомендуем включить все имеющиеся у вас компоненты защиты от вредоносных программ.

ВНИМАНИЕ! Если вы стали свидетелем такого сообщения на своём компьютере:
Your files are encrypted with RSA-1024 algorithm.
To recovery your files you need to buy our decryptor.
To buy decrypting tool contact us at: ********@yahoo.com
...То, скорее всего, он был атакован Gpcode.ak. В этом случае, НЕ ПЕРЕЗАГРУЖАЯ и НЕ ВЫКЛЮЧАЯ систему, постарайтесь связаться с нами, используя другой компьютер с выходом в интернет.

Напишите нам на email и сообщите о точной дате и времени заражения, а также ваших действиях на компьютере за последние 5 минут до заражения: какие программы вы запускали, на какой сайт зашли. Мы постараемся помочь вам вернуть зашифрованные данные.

Несмотря на трудность сложившейся ситуации, наши аналитики продолжат анализировать вирус и искать подходы для дешифровки файлов без секретного ключа.

Пугают

Сообщение отредактировал 36geolog - 5.6.2008, 22:51

[arhi]

Хорошо рассказывается... А прям зачитался!

Пугают

Все равно, если рассказывают, значит существует... Значит а какой то степени, есть чему волноватьсо!

[lumstis]

Друг подхватил вирус microsoft. Если не трудно раскажите каковы его действия и последствия. А также хотелось бы узнать методы его удаления.

[Serakuz]

Друг подхватил вирус microsoft. Если не трудно раскажите каковы его действия и последствия. А также хотелось бы узнать методы его удаления.

Вероятнее всего он его не подхватил, а сам установил. Разновидностей вируса microsoft много, самые известные это: microsoft окошки (в народе его ещё называют Windows), microsoft тетрадка, табличка (в народе Office) и т.д., причем каждый из них имеет кучу модификаций (например: Millenium, XP, Vista).
Действия этих вирусов опасно не столько для компьютера, сколько для человека (от мельтешения в глазах, до сумашедшего дома). О последствиях подумай сам. Но самое страшное что все антивирусы принимают его за своего, и водят с ним дружбу, так что антивирус тут не поможет.
Методы борьбы с ним довольно просты, от "format c:" до "системник под каток" , но это уже зависит от того как давно у вас завёлся этот вирус.
Пример действия вируса на человека

[darkforces]

Virus.Win32.Neshta.a
что за вирус?
весь комп заражён...

[Serakuz]

Virus.Win32.Neshta.a -- обнаружен в декабре 2005г.
Источник : http://www.goldfaq.ru/index.php?showtopic=70

» Спойлер (нажмите, чтобы прочесть) «

Вирус, который прошел нодовскую защиту (nod32), изменял размер запускаемых файлов и соответсвенно изменялась и дата их создания.
После обновления антивирусной базы Нод32 определил его как Win32.Neshta.
Итак, все что удалось узнать об этом червяке и испытать его действие на своих машинах.
Вирус, инфицируя компьютер, создет в папке с виндовс (Windows или Winnt) файл svchost.com размером 41472 байт.
Файл вируса загружается в опреативную память, при этом изменяя в системном реестре значение параметра в ветке
HKEY_CLASSES_ROOT\exefile\shell\open\command
таким образом, что все запускаемые файлы открываются только после того, как будут обратботаны svchost.com. Это отчетливо видно 98 винде, которая после удаления svchost.com не запускает ни один исполняемый файл, требуя его наличия. В "Диспетчере задач" появляется лишний svchost.exe.
После перезагрузки машины ни одна программа не запускается - это и есть один из видимых признаков работы Win32.Neshta.
Вирус увеличивает размер .exe и .dll файлов ровно на 41472 байт, т.е. инкапсулирует свое тело в эти файлы.
Легко проникает по сети на другие машины при условии контакта здоровой машины с инфицированным файлом компьютера - источником заражения.
А теперь о белорусскости этой вредины.
При внимательном рассмотрении файла svchost.com, в комментариях к коду можно найти такие строки:

"Delphi-the best. *** off all the rest. Neshta 1.0 Made in Belarus. Прывiтанне усiм ~цiкавым~ беларус_кiм дзяучатам. Аляксандр Рыгоравiч, вам таксама Восень - кепская пара... Алiварыя - лепшае пiва! Best regards 2 Tommy Salo. [Nov-2005] yours [Dziadulja Apanas]"

Neshta - транслитерация белорусского слова "нешта" (нечто).
В комментарии видно, что вирус господина "Dziadulja Apanas" появился в ноябре 2005 года и это также подтверждается сообщениями в нете за декабрь месяц.
Антивирусные программы с опозданием отреагировали на белорусского червя.
На 28.01.06 вирус видят Nod32, антивирус господина Касперского, антивирус от Symantec (Norton Antivirus), доктор Веб (dr.Web), как всегда с опозданием, но уже, по сообщениям в сети, тоже определяет.
Для восстановления запускаемости .exe файлов можно обновить вышеуказанную ветку реестра .reg файлом с такми содержанием:

REGEDIT4
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
@="\"%1\" %*"

Необходимо сохранить в блокноте этот код в файл имя_файла.reg и запустить его, согласившись на добавление информации в системный реестр.
Для запуска этого файла на инфицированной машине можно воспользоваться только Проводником или командой Выполнить. Другие файловые менеджеры, после изменения вирусом значения в реестре, не запускаются.
Далее удаляется файл svchost.com из системной папки с Виндовс.
Если антивирус не позволяет удалить инфицированный файл, загруженный в память, то для svchost.com необходимо подключить винчестер к другому компьютеру как Slave (дополнительный) или загрузиться в MS DOS.
Обычным способом svchost.com не удаляется при загруженной Виндовс, потому как запущен на выполнение.
После этого работают антивирусы.

Проверено, на 11.01.07 - инфицированные файлы не лечатся nod32, только их удаление.
dr Web и его бесплатная утилита cureit его лечит
По другим антивирусам такой информации пока нет.

Источник: http://www.viruslist.com/ru/viruses/encycl...?virusid=105045

» Спойлер (нажмите, чтобы прочесть) «

Virus.Win32.Neshta.a

Детектирование добавлено 12 дек 2005
Обновление выпущено 17 фев 2006 18:11 MSK
Описание опубликовано 10 апр 2006
Поведение Virus, компьютерный вирус

* Технические детали
* Деструктивная активность
* Рекомендации по удалению

Технические детали

Вредоносная программа, которая находит и заражает исполняемые файлы. Программа является приложением Windows (PE EXE-файл). Написана на Delphi. Размер оригинального вредоносного файла — 41 472 байта.
Инсталляция

В корневом каталоге Windows (%WINDIR%) производится поиск и удаление файла svchost.com. После этого создается новый файл svchost.com, содержащий в себе тело вируса.

В системном реестре создается следующая запись:
[HKCR\exefile\shell\open\command]
@="%WINDIR%\svchost.com \"%1\" %*"

Таким образом, все EXE-файлы в системе при запуске будут вызывать тело вируса, который и будет производить их дальнейший запуск.
Прочее

В теле вируса содержатся следующие строки:

Delphi-the best.
**** off all the rest.
Neshta 1.0
Made in Belarus.

Деструктивная активность

При запуске вирус расшифровывает текстовые строки внутри себя, проверяет, является ли его длина равной 41472 байта и, если она больше (запущен зараженный файл, а не тело вируса), то происходит вызов функции расшифровки и запуска файла.

В функции расшифровки и запуска файла вирус производит расшифровку части тела программы, которая была зашифрована после внедрения тела вируса в программу. Если по каким-то причинам вирусу не получается изменить запускаемый файл, то во временном каталоге Windows (%TEMP%) создается папка 3582_490 куда расшифровывается уже чистый исполняемый файл.

После запуска производится попытка заражения файлов перечисленных в файле %WINDIR%\directx.sys, если таковой присутствует.

После этого производится проверка количества параметров, переданных при вызове файла. Если параметры присутствуют и окончание у исполняемого файла .com, то производится запуск файла, имя которого передается в виде параметра, а его полное имя помещается в файл %WINDIR%\directx.sys для дальнейшего заражения.

Дальше происходит регистрация вируса в системе (создание и регистрация файла svchost.com).

После этого вирус создает в системе уникальный идентификатор «MutexPolesskayaGlush» для определения своего присутствия в системе.

После чего выполняются следующие действия:

* вирус получает список дисков, которые не являются FDD и CD-ROM;
* производится поиск файлов по найденным дискам, причем файлы должны соответствовать заданным критериям:
o файлы должны быть не из каталогов %Program Files% и %WINDIR%;
o не заражаются файлы на логических дисках A: и B:;
o размер фалов должен быть не меньше 41473 и не больше 10000000 байт.

Вирус правильно обрабатывает файлы с атрибутом «только чтение». После заражения он восстанавливает начальные атрибуты файла.
Рекомендации по удалению

1. В системном реестре изменить значение следующего ключа:
[HKCR\exefile\shell\open\command]
c
%WINDIR%\svchost.com "%1" %*
на
"%1" %*
2. Удалить файл %WINDIR%\svchost.com

Сообщение отредактировал Serakuz - 9.7.2008, 23:24

[darkforces]

Virus.Win32.Neshta.a -- обнаружен в декабре 2005г.
Источник : http://www.goldfaq.ru/index.php?showtopic=70

» Спойлер (нажмите, чтобы прочесть) «

Вирус, который прошел нодовскую защиту (nod32), изменял размер запускаемых файлов и соответсвенно изменялась и дата их создания.
После обновления антивирусной базы Нод32 определил его как Win32.Neshta.
Итак, все что удалось узнать об этом червяке и испытать его действие на своих машинах.
Вирус, инфицируя компьютер, создет в папке с виндовс (Windows или Winnt) файл svchost.com размером 41472 байт.
Файл вируса загружается в опреативную память, при этом изменяя в системном реестре значение параметра в ветке
HKEY_CLASSES_ROOT\exefile\shell\open\command
таким образом, что все запускаемые файлы открываются только после того, как будут обратботаны svchost.com. Это отчетливо видно 98 винде, которая после удаления svchost.com не запускает ни один исполняемый файл, требуя его наличия. В "Диспетчере задач" появляется лишний svchost.exe.
После перезагрузки машины ни одна программа не запускается - это и есть один из видимых признаков работы Win32.Neshta.
Вирус увеличивает размер .exe и .dll файлов ровно на 41472 байт, т.е. инкапсулирует свое тело в эти файлы.
Легко проникает по сети на другие машины при условии контакта здоровой машины с инфицированным файлом компьютера - источником заражения.
А теперь о белорусскости этой вредины.
При внимательном рассмотрении файла svchost.com, в комментариях к коду можно найти такие строки:

"Delphi-the best. *** off all the rest. Neshta 1.0 Made in Belarus. Прывiтанне усiм ~цiкавым~ беларус_кiм дзяучатам. Аляксандр Рыгоравiч, вам таксама Восень - кепская пара... Алiварыя - лепшае пiва! Best regards 2 Tommy Salo. [Nov-2005] yours [Dziadulja Apanas]"

Neshta - транслитерация белорусского слова "нешта" (нечто).
В комментарии видно, что вирус господина "Dziadulja Apanas" появился в ноябре 2005 года и это также подтверждается сообщениями в нете за декабрь месяц.
Антивирусные программы с опозданием отреагировали на белорусского червя.
На 28.01.06 вирус видят Nod32, антивирус господина Касперского, антивирус от Symantec (Norton Antivirus), доктор Веб (dr.Web), как всегда с опозданием, но уже, по сообщениям в сети, тоже определяет.
Для восстановления запускаемости .exe файлов можно обновить вышеуказанную ветку реестра .reg файлом с такми содержанием:

REGEDIT4
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
@="\"%1\" %*"

Необходимо сохранить в блокноте этот код в файл имя_файла.reg и запустить его, согласившись на добавление информации в системный реестр.
Для запуска этого файла на инфицированной машине можно воспользоваться только Проводником или командой Выполнить. Другие файловые менеджеры, после изменения вирусом значения в реестре, не запускаются.
Далее удаляется файл svchost.com из системной папки с Виндовс.
Если антивирус не позволяет удалить инфицированный файл, загруженный в память, то для svchost.com необходимо подключить винчестер к другому компьютеру как Slave (дополнительный) или загрузиться в MS DOS.
Обычным способом svchost.com не удаляется при загруженной Виндовс, потому как запущен на выполнение.
После этого работают антивирусы.

Проверено, на 11.01.07 - инфицированные файлы не лечатся nod32, только их удаление.
dr Web и его бесплатная утилита cureit его лечит
По другим антивирусам такой информации пока нет.

Источник: http://www.viruslist.com/ru/viruses/encycl...?virusid=105045

» Спойлер (нажмите, чтобы прочесть) «

Virus.Win32.Neshta.a

Детектирование добавлено 12 дек 2005
Обновление выпущено 17 фев 2006 18:11 MSK
Описание опубликовано 10 апр 2006
Поведение Virus, компьютерный вирус

* Технические детали
* Деструктивная активность
* Рекомендации по удалению

Технические детали

Вредоносная программа, которая находит и заражает исполняемые файлы. Программа является приложением Windows (PE EXE-файл). Написана на Delphi. Размер оригинального вредоносного файла — 41 472 байта.
Инсталляция

В корневом каталоге Windows (%WINDIR%) производится поиск и удаление файла svchost.com. После этого создается новый файл svchost.com, содержащий в себе тело вируса.

В системном реестре создается следующая запись:
[HKCR\exefile\shell\open\command]
@="%WINDIR%\svchost.com \"%1\" %*"

Таким образом, все EXE-файлы в системе при запуске будут вызывать тело вируса, который и будет производить их дальнейший запуск.
Прочее

В теле вируса содержатся следующие строки:

Delphi-the best.
**** off all the rest.
Neshta 1.0
Made in Belarus.

Деструктивная активность

При запуске вирус расшифровывает текстовые строки внутри себя, проверяет, является ли его длина равной 41472 байта и, если она больше (запущен зараженный файл, а не тело вируса), то происходит вызов функции расшифровки и запуска файла.

В функции расшифровки и запуска файла вирус производит расшифровку части тела программы, которая была зашифрована после внедрения тела вируса в программу. Если по каким-то причинам вирусу не получается изменить запускаемый файл, то во временном каталоге Windows (%TEMP%) создается папка 3582_490 куда расшифровывается уже чистый исполняемый файл.

После запуска производится попытка заражения файлов перечисленных в файле %WINDIR%\directx.sys, если таковой присутствует.

После этого производится проверка количества параметров, переданных при вызове файла. Если параметры присутствуют и окончание у исполняемого файла .com, то производится запуск файла, имя которого передается в виде параметра, а его полное имя помещается в файл %WINDIR%\directx.sys для дальнейшего заражения.

Дальше происходит регистрация вируса в системе (создание и регистрация файла svchost.com).

После этого вирус создает в системе уникальный идентификатор «MutexPolesskayaGlush» для определения своего присутствия в системе.

После чего выполняются следующие действия:

* вирус получает список дисков, которые не являются FDD и CD-ROM;
* производится поиск файлов по найденным дискам, причем файлы должны соответствовать заданным критериям:
o файлы должны быть не из каталогов %Program Files% и %WINDIR%;
o не заражаются файлы на логических дисках A: и B:;
o размер фалов должен быть не меньше 41473 и не больше 10000000 байт.

Вирус правильно обрабатывает файлы с атрибутом «только чтение». После заражения он восстанавливает начальные атрибуты файла.
Рекомендации по удалению

1. В системном реестре изменить значение следующего ключа:
[HKCR\exefile\shell\open\command]
c
%WINDIR%\svchost.com "%1" %*
на
"%1" %*
2. Удалить файл %WINDIR%\svchost.com

забыл касперского включить...дык эта дрянь по всему компу разошлась(обнаружено 1954)

[tpw]

У меня какой-то вирус. Почитайте, может знаете...
Компьютер виснет, процесс Касперского завершается, при выходе в безопасный режим один компьютер перезагружается, второй выдает темно синий экран смерти. Скрытые файлы не включаются. Очень похоже на Autorun, но ни через Total Commander, ни через Linux не видно никаких autorun.inf... Автозагрузка чиста, никаких подозрительных служб нет. Самое удивительное, что при переустановке Windows Касперский снова начинает пропадать, прячутся скрытые файлы и не заходит в безопасный режим. Захотел зайти скачать другой антивирус, зашел на soft.sibnet - страница с антивирусами не открывается (я сам в шоке был!!!), со всякими файерволами открывается а с антивирусами нет. На cn.ru/soft тоже самое. Разделы по другому софту открываются, по антивирусам - нет.
3 раза винду переставил, все тоже самое. Сейчас вышел по Линукс, скачал других антивирусов, сейчас буду пробовать. Может кто знает что это вообще такое?

Сейчас пробовал установить Avast. Комп просто перезагрузился. Пробовал Онлайн-проверку от Касперского - браузер не смог зайти на kaspersky.ru
Ради интереса попробовал avast.com и dr-web.ru - вылетиели вместе с браузером

Сообщение отредактировал tpw - 10.7.2008, 21:25

[darkforces]

У меня какой-то вирус. Почитайте, может знаете...
Компьютер виснет, процесс Касперского завершается, при выходе в безопасный режим один компьютер перезагружается, второй выдает темно синий экран смерти. Скрытые файлы не включаются. Очень похоже на Autorun, но ни через Total Commander, ни через Linux не видно никаких autorun.inf... Автозагрузка чиста, никаких подозрительных служб нет. Самое удивительное, что при переустановке Windows Касперский снова начинает пропадать, прячутся скрытые файлы и не заходит в безопасный режим. Захотел зайти скачать другой антивирус, зашел на soft.sibnet - страница с антивирусами не открывается (я сам в шоке был!!!), со всякими файерволами открывается а с антивирусами нет. На cn.ru/soft тоже самое. Разделы по другому софту открываются, по антивирусам - нет.
3 раза винду переставил, все тоже самое. Сейчас вышел по Линукс, скачал других антивирусов, сейчас буду пробовать. Может кто знает что это вообще такое?

Сейчас пробовал установить Avast. Комп просто перезагрузился. Пробовал Онлайн-проверку от Касперского - браузер не смог зайти на kaspersky.ru
Ради интереса попробовал avast.com и dr-web.ru - вылетиели вместе с браузером

круто ты папал...

[A_l_e_k_s]

Вытащи винчестер из своего компа и подключи к незаражённому, где Каспер со свежими базами стоит, и запусти проверку своего винта. И всё будет

[tpw]

Так... Вроде стало лучше. Нашел способ кажись. Через msconfig убрать из автозагрузки не только лишние процессы а ВООБЩЕ все. В том числе и драйвера на звук/видео.
После перезагрузки запустились антивирусники. Касперский ничего не нашел. Dr. Web нашел кучу зараженных файлов. Вирус именуется win32.sector.5
Список зараженных файлов включает в себя все exe файлы... Вроде лечатся

[kaa]

http://info.drweb.com/virus_description/172448 если что
.. чтото мне непонятно как это его предпологается лечить вебовской утилиткой, если заведомо Завершает приложения, окна которых содержат подстроки "dr.web" и "cureit".

[tpw]

Он не просто завершает приложения, а перезагружает комп.
Я не знаю как это делать, можно переустановить винду, и на чистой винде просканировать. Ни в коем случае не надо шариться по папкам и запускать exe файлы с другого диска. Я так сделал.

[Agent-007]

А ты уверен, что у тебя именно вирус? У меня такое было когда вентилятор от процессора отошел.

Format disk c://
Это выход самый оптимальный.

[kaa]

хех. уже разобрались что вирус.
а формат - это выход для слабаков (;

[EvilTeacher]

Так... Вроде стало лучше. Нашел способ кажись. Через msconfig убрать из автозагрузки не только лишние процессы а ВООБЩЕ все. В том числе и драйвера на звук/видео.
После перезагрузки запустились антивирусники. Касперский ничего не нашел. Dr. Web нашел кучу зараженных файлов. Вирус именуется win32.sector.5
Список зараженных файлов включает в себя все exe файлы... Вроде лечатся

Бороться с Сектор5 достаточно трудно. Я в таких случаях делаю следующее.
1. Беру диск WindowsXPE (чтобы запустить с него систему и получить доступ ко всем элементам файловой структуры винта). Самый лучший вариант ИМХО сборка Infr@CD 6.4
2. Беру защищенную флэшку (использую компактный USB- картридер SD фирмы APACER) и на карточку SD заливаю самые свежие версии DrWEB и AVZ, после чего закрываю замок SD-шки.
3. Гружусь с XPE, предварительно воткнув в USB карточку, чтобы система в процессе старта ее нашла (после - не вкатит, далеко не всегда находит носители!).
4. Unlocker-ом открываю доступ ко всем файлам и каталогам (единственный вариант - каталоги runauto... на дисках вскрыть не выходит, я их просто удаляю в консоли командой rd runauto...\/s/q переходя последовательно на каждый логический диск).
5. Дальше можно жестоко - убить папки System volume information на всех дисках. Запускаю либо AVZ на капитальное тестирование дисков, либо Вебера, а лучше одно за другим.
Дальше - по результатам... иногда проще бывает убить систему и залить ее вновь. Кстати, для сохранения пользовательских данных и расчистки харда от старого дерьма XPE идеальный инструмент.
Кстати - на флэшке обычно держу и ТоталКоммандер, предварительно настроенный на отображение скрытых файлов и папок. Это помогает видеть все файлы, даже если вирус блокировал в Винде отображение скрытых объектов. Поэтому Коммандер для меня - дополнительная антивирусная утилита

Сообщение отредактировал EvilTeacher - 20.7.2008, 15:06

[Konstaple]

Долго мучился система висла,в инет заходил криты выдавало...
раза 4 шёлкал чтоб страницу открыть=)))
аваст ничего ненаходил
установил касперского ничего нешашёл=)))
начал шариться на сибнете... качал всё подрят думаю мож что нибудь поможет=)))
прог 6 установил*нифига
И вот наткнулся на вот эту программу:
|Malwarebytes' Anti-Malware|
Которая нашла все эти вирусы которые немогли найти все остальные антиквирусы=)))
Так что если что сразу проверяю через эту программу.
потому что на касперского и аваст у меня уже надежды нет!!!
А вирусы ну или шпиоские программы хз,
вот краткий список:
Trojan.FakeAlert
Rogue.IEAntiVirus
Hijack.System.Hidden
Trojan.Agent
Heuristics.Reserved.Word.Exploit

[PIDAGOGG]

ребят такая проблема значит фаервол включен, загрузка каких либо обновлений остановлена комп несколько раз проверил последней базой нода на антивирус ы ничего не находит! Но стоит мне цепанутся в глоб и подождать опеределенное время -около минуты как начинает улетать глобальный трафик со скоростью около мегабайта в секундку как будто я что то качаю! Пробовал переустанавлитьвать винду-проблема не решается! Как то раз забылся цепанулся в глоб почитал тексты минут 5 в итоге баланс на весбтриме улетел до -170 рублей-хотя поидее при небольшом уходе в минуса инет автомочтически должен отрубатся! что мне делать? )) заранее пасибо )

[A_l_e_k_s]

ребят такая проблема значит фаервол включен, загрузка каких либо обновлений остановлена комп несколько раз проверил последней базой нода на антивирус ы ничего не находит! Но стоит мне цепанутся в глоб и подождать опеределенное время -около минуты как начинает улетать глобальный трафик со скоростью около мегабайта в секундку как будто я что то качаю! Пробовал переустанавлитьвать винду-проблема не решается! Как то раз забылся цепанулся в глоб почитал тексты минут 5 в итоге баланс на весбтриме улетел до -170 рублей-хотя поидее при небольшом уходе в минуса инет автомочтически должен отрубатся! что мне делать? )) заранее пасибо )

Это у тебя Винда обновляется, нормальное явление. Просто отключи автообновление и проблема исчезнет (Пуск - Панель управления - Центр обеспечения безопасности - Автоматическое обновление).

В который раз убеждаюсь, что главный вирус - это юзер.