Внимание! Вирус!

Создаю тему в этом разделе, так как он наиболее читаемый. Прошу модераторов пару дней не переносить ее отсюда.

Последнее время постоянно хватаю вирус SpyEye. Сначала никак не мог понять - откуда. Возникло подозрение, что с форума CGM, так как иногда появляется странное окошко с вопросом: "вы действительно хотите уйти с этой страницы", при попытке уйти с главной страницы. Решил проверить. Вылечил комп в очередной раз и сегодня в 11.14 открыл цгм. В это же время вирус опять появился (время создания 11.14).

Просьба к технической поддержке: проверить сайт на наличие этой заразы.

Теперь для пользователей - как найти и как лечить.
Признак заражения:
Появляется папка в корневом каталоге c:\systemhost. Ее не всегда видно, даже если у вас отображаются скрытые папки. Проверка на ее наличие:
Пуск-Выполнить-c:\systemhost-Ок
Если она открылась после этого - у вас вирус SpyEye.

Лечение:
Скачиваем утилиту GMER ([Зарегистрироваться?]), запускаем ее.
Сверху выбираем закладку >>, потом Files. Слева в GMERe появляется проводник файлов. Выбираем папку systemhost, в ней лежит 1 или 2 файла. Выбираем их, нажимааем сначала Kill, потом Delete.
Перезагружаем комп. Теперь нужно убить вирус из автозагрузки. Можно вручную, можно с помощью разных утилит.
Вручную так: Пуск-Выполнить-regedit
Откроется редактор реестра. Открываем ветку
HKEY_CURRENT_USER
Software-Microsoft-Windows-CurrentVersion-Run
Там надо убить ключ со ссылкой на файл из папки c:\systemhost
Чистим папку C:\Documents and Settings\-USER-\Local Settings\Temp
Все.

P.S. Описанный метод применим для Windows XP, что делать с семеркой и вистой - я не знаю.
P.P.S. Не нужно играться с GMER - это довольно опасно, использовать его только для лечения этой заразы!

А антивирус есть на компе? Тот же касперский или нод32 думаю поможет. Плюс не сидеть под админской учеткой.

В твоем случае, может не до конца вылечил, вот он и восстанавливает себя каждый раз заново.

А на форуме вирусов нет - проверено!

PS: Твой способ лечение подходит, скорее всего к одной или нескольким модификациям вируса - а разновидностей очень много. Лучше удалить все и поставить заново систему.

Я работаю без антивирусов. И сижу именно под админкой) Но дело не в этом. Я не прошу помощи для себя - опыт борьбы с вирями большой, не боюсь особо ничего.
Просто странно этот вирь себя восстанавливает - в то самое время, когда открываю форум, причем далеко не каждый раз. И это на двух компах независимо. Я не утверждаю, что на форуме вирусы. Просто вероятность этого немаленькая, вот и прошу вас проверить. Хакеров-то много. Да и вирус нехороший - банковсий шпион - такие, как раз, на покерных ресурсах и размещают. Плюс, если кто-нибудь еще зацепил, даже не отсюда, выложил способ детектирования и лечения именно для этой разновидности.

P.S. Прикрепляю картинку, глянь, плиз, это нормально? (вирь цепляется только когда пояляется это окошко)

Вложения

cgm.rar (150.0 Кб, 26 просмотров)

Кстати, да. Касперский в последнее время регулярно ругается при посещении форума.

Да даже аваст ругается про вирусы на форуме (а последнее время очень часто), а в описании пишет что такой вирус злоумышленники запускают путём влома сайта... Я уже не говорю про антивирусы получше, так что не надо вводить в заблуждение форумчан что на форуме нету вирусов (сейчас может быть и нету, а потом могут появиться)! Конкретно сейчас всё спокойно, аваст сегодня не ругается....

у меня таже хрень, окошки leave page выскакивают постоянно, папку не обнаружил. Антивирус nod32 не ругается.

Перенес тему в более подходящий для нее раздел форума.

regetx вы чем проверяете? У меня аваст тоже иногда ругается, зачастую во вшитом баннере какая то зараза, при этом нод и каспер молчат. Кстати именно вирусы на цгме побудили меня перейти на аваст.
Вероятно в баннерах располагается полукод, и антивирь не видит в этом вируса. Другая половина зачастую находиться во временных файлах(темп) или забирается глубже, а скипт собирающий два полукода во едино на ходится вообще в др месте, возможно даже не на компе, а на стороннем сайте.

__________________
инвестирую в форекс

Уважаемые. Без паники, только без паники.
Действительно выявлена проблема на некоторых версиях браузеров. Сейчас разберемся, чем может быть вызвана данная проблема.

У меня KIS последний стоит. Опера брозер. Пока тихо.
Вирь теоритически может подгружатся со сторонего сайта, куда ведут тысячи линков с форума.

Дааа, тоже словил этот вирус с цгма, но не был уверен и промолчал.

__________________
Ну почему я такой тупой?

Находит такую папку. Кто нибудь лечил как написано в 1м посте?

всю ночь промучался, так и не смог воспроизвести твою проблему. дай побольше информации о конфигурации системы (версия ХР, браузер и т.п.), можно в ЛС

проверь, пожалуйста, что написано в файле хостов:
c:\windows\system32\drivers\etc\hosts

был забавный случай, когда один троян прописал себя в файл хостов и при обращении к гугл, яндекс и прочим поп. поисковикам направлял на "левый" сайт, от туда качалась гадость и потом шел редирект на поисковый сайт.

Да я и сам воспроизвести не могу. Получается - иногда ловится, реже, чем раз в день даже. Не факт, что с ЦГМ. Но очень вероятно, так как ловится с двух компов, а со второго особо никуда не захожу, кроме ЦГМ и мэйл-яндексов. И еще - вчера утром я открывал только ЦГМ, и тут же появилась папка systemhost...

Стоит XP Professional SP3 со всеми обновлениями, браузер IE8, еще Google Chrome стоит. hosts проверял в первую очередь - чистый.

Вообще, есть ощущение, что зараза в каком-то редком баннере, или ее кто-то размещает и сразу убирает, так как специально зацепить не получается, хоть 100 раз открывай страницу.

Кстати, если надо, я эту гадость сохранил - могу выслать архив.

есть такая папка))все сделал как в первом посте, вот только в автозагрузке его небыло. касперсикий 11 ноль эмоций даже когда в него этот файлик закидываю.

сархивируй и поставь пароль 1 (единичку) на архив. высылай на support@cgm.ru

Грызун, а поставить антивирус религия не позволяет?
Да и под админкой сидеть зачем?

Кстати, по статистике засвидетельствовано меньшее число зараженных компьютеров работающих на 64-битной системе.

А еще лучше, взять MacBook Pro с дисплеем Retina

отправил

Платить за антивирусы религия не позволяет А бесплатные плохо защищают в реальном времени. Зато теперь могу любую заразу извести

Удобно.

Опять-таки, религия не позволяет покупать винду, а бесплатной хорошей 64-бит не видел.

А с этого места поподробнее, плиз. Уже антивирусные дисплеи придумали?