Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Активные темы » Вирус(ы) в ОС Windows. Проблемы. Решения. (II)

Модерирует : KLASS, IFkO

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24

Открыть новую тему     Написать ответ в эту тему

KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Предыдущие части: -I-

Вирусы в Windows XP, Vista, 7, 8, 8.1, 10.
Проблемы. Решения.


Стандартные действия

Вариант №1

1. Скачиваем Dr.Web LiveDiskСсылка ведёт на страницу загрузки, записываем диск, загружаемся и проверяем системы на вирусы.  
И\или
Скачиваем Kaspersky Rescue DiskСсылка ведёт на страницу загрузки: на ядре Linux (вирусы под win не пройдут, а под *nix их нет, по крайней мере живых), ядро от десятой версии и изменена "никсовая" оболочка. Обновление происходит раз в неделю. Записываем диск, загружаемся, обновляем базы и проверяем системы на вирусы.
Вариант №2

1. Скачиваем загрузочный диск на базе LiveCD (Ссылки в Варезнике LiveCD/BootCD (DVD/USB) на базе OPK WinPE)
2. Скачиваем антивирусы работающие без инсталляции.
2.1 Dr.Web CureIT!Ссылка ведёт на страницу загрузки  
2.2 Kaspersky Virus Removal Tool (AVPTool)Ссылка ведёт на страницу загрузки  
3. Прожигаем скачанный LiveCD на болванку, перезагружаемся, выставляем в биосе загрузку с CD\DVD(Что бы зайти в биос, нужно нажимать после включения компьютера кнопки Del или F2, зависит от производителя материнской платы.) На некоторых материнских платах, возможно вызвать Boot Menu нажав F8 при загрузке и выбрать загрузку с CD\DVD не заходя в биос.  
4. Проверяем одной утилитой, перезагружаемся, проверяем второй утилитой, пытаемся загрузить систему.  
Желательно отключить систему восстановления. Свойства системы-система восстановления.

Разница между вариантом №1 и вариантом №2 заключается в следующем:
Если нет возможности скачать LiveCD, то проверяйте компьютер в безопасном режиме. При загрузке нажимать F8, выбрать верхний пункт(Safe Mode или безопасный режим). В этом случае при сохранение CureIt и AVPTool к себе на компьютер переименовывайте файлы. Ряд вирус блокирует запуск при стандартном имени файла.
Это стандартные действия, которые не гарантируют восстановление работоспособности ОС, НО! 90% проблем решается таким способом.
Если не помогает, то скачиваем AVZ, сканируем и выкладываем лог. Обязательно указываем какая версия Windows.

Полезные инструменты(утилиты)

Sysinternals (Microsoft) Process ExplorerВыдает подробнейшую информацию обо всех запущенных процессах, включая владельца, использование памяти, задействованные библиотеки и т.д.
Sysinternals (Microsoft) AutorunsПозволяет контролировать автозагрузку запускающихся при старте операционной системы сервисов, приложений и других компонентов.
Sysinternals (Microsoft) Process Monitorпрограмма для мониторинга файловой системы, реестра и процессов в оперативной памяти. Filemon+Regmon
HijackThisпрограмма для удаления невидимых spyware
AutoLoggerавтоматический сборщик логов, более подробное описание утилиты смотрите на странице скачивания.
AdwCleanerпрограмма для удаления тулбаров, adware и другого рекламного мусора.
RegASSASSINПрограмма для удаления "заблокированных" веток и ключей в реестре из-за mailware
SOSКомплект программ  для диагностики/реанимации/оптимизации/защиты/профилактики Windows. Скачать

Темы на форуме

Обсуждение wannaCry в админском разделе..
Помощь при лечении компьютера от вирусовпомощь от "хелперов" с "VirusInfo". В топике строгие правила. Внимательно читаем шапку.
Антивирусы (Antivirus'ы) не требующие инсталяциикому не хватает CureIT и AVPTool
AVZ - Anti-SpyWare, Anti-AdWare
Восстановление WindowsКак вернуть Windows к жизни без переустановки
Windows заблокирован!отдельный топик по решению проблем с вирусом блокирующим запуск ОС и требующем выслать денег по СМС.
Обзор антивирусов (и др. средств безопасности на их основе) под Windоws 98/XP/Vista/7/8/8.1/10
Полезные ссылки в интернете

Закрываемся от вируса-шифровальщика WannaCry
VirusTotal — бесплатная служба, осуществляющая анализ подозрительных файлов и ссылок (URL) на предмет выявления вирусов, червей, троянов и всевозможных вредоносных программ.  
Чистые системные файлы Windows, которые заражают блокерыссылка ведёт на страницу закачки
Поиск описания  вирусов по названию
Советы по лечению ПК от Олега Зайцева, автора Avz
Ручное лечение компьютера от вирусовСпец.форум по проблемам с вирусамих.
Очистка Windows от вирусовСтатья от FuzzyL
Список "левых" служб, ссылающихся на svchost.exe, для WindowsXP
Страница VirusHunter`a — "Диспетчер задач\реестр\настройки рабочего стола  заблокирован(ы) .." Подборка полезных "точечных" утилит.  
Безопасный Интернет. Универсальная защита для Windows ME - Vista — автор-составитель антивирусный эксперт, золотой бета-тестер Лаборатории Касперского Николай Головко
 
Прежде чем изменять шапку спроси здесь. Не спросил-запрет на пост! KLASS

Всего записей: 7420 | Зарегистр. 12-10-2001 | Отправлено: 18:31 16-02-2017 | Исправлено: KLASS, 17:01 07-06-2017
regist123



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
markusMj эта зараза запускается через WMIC. Пока оттуда его запуск не удалите всё будет по кругу. Без логов подробней подсказать трудно и лучше бы обратились на профильный форум.


----------
Раздачи и акции

Всего записей: 5977 | Зарегистр. 20-03-2009 | Отправлено: 15:50 07-02-2018
markusMj

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
emil9
Просканировал FRST:
 
FRST.txt
Подробнее...
 
Addition.txt:
 
Подробнее...
 
 
Shortcut.txt
 
 
Подробнее...
 
 
При сканировании понажимал на все галки.
 
 
 
Добавлено:

Цитата:
regist123

Я вот выше логи прилепил после сканирования Фирстом. Или еще другие какие нужны?

Всего записей: 74 | Зарегистр. 14-03-2011 | Отправлено: 17:25 07-02-2018 | Исправлено: markusMj, 17:31 07-02-2018
decu2007



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Чем проверить я найду, откуда он мог взяться DiaboloMiner.exe, ? Ничего нового не устанавливала. Файлы никакие не открывала. Почту не открываю. Откуда?

----------
никто не может мне дать больше, чем я могу взять...
- - - - - - - - - - - - -_ - - - - - - - - - - - -
Software is like sex: it's better when it's free. © Linus Torvalds.

Всего записей: 1430 | Зарегистр. 23-05-2007 | Отправлено: 19:08 07-02-2018
Valeria10

BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
*




Спам

Всего записей: 1 | Зарегистр. 07-02-2018 | Отправлено: 19:27 07-02-2018 | Исправлено: KLASS, 19:39 07-02-2018
emil9



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
markusMj
У вас в логах WMI_ActiveScriptEventConsumer_fuckyoumm2_consumer
 
Вбейте в гугл, ))
 
Вот на этой страничке , сделайте то что написал пользователь Sandor
 
https://forum.kasperskyclub.ru/index.php?showtopic=56569&page=1
 
Отключите до перезагрузки антивирус.
Выделите следующий код:
Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{e5e7254b-308b-4d02-bdbf-c380695284e4} <==== ATTENTION (Restriction - IP)
WMI_ActiveScriptEventConsumer_fuckyoumm2_consumer: <==== ATTENTION
EmptyTemp:
Reboot:
End::
Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).  
Добавлено:
 
decu2007
Уязвимости и открытые порты, открывать и запускать ничего не надо, все сделают за вас, как бы это печально не звучало.  
 

Всего записей: 1931 | Зарегистр. 16-10-2002 | Отправлено: 16:46 08-02-2018 | Исправлено: emil9, 16:55 08-02-2018
markusMj

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
emil9
Просто скопировать и никуда его не нужно вводить? При нажатии Fix, програма подхватит этот скрипт из буфера обмена, правильно я понимаю? Просто там в програме есть графа Search и я засомневался, может туда нужно было вводить этот скопированный скрипт? Ну, что-то типа сервис функции какой-нибудь, для отладки, если типа в поиск ввести специальный скрипт, то он его и выполнит вместо поиска. Прошу прощения за возможное вопиющее нубство, но всё-решил уточнить такую деталь...
Всё-же я сделал в точности по тектсу, скопировал текст, запустил FRST, никуда там ничего не вводил, а просто нажал Fix. Создался лог, я прикреплю его сюда, если Вас не затруднит, глянте, исчезла ли проблемма. Или может еще что нужно сделать или чем просканить?
 
Fixlog.txt

Всего записей: 74 | Зарегистр. 14-03-2011 | Отправлено: 18:22 08-02-2018
emil9



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
markusMj
Вроде все получилось, только машину перезагрузите ну и наблюдайте будут ли еще сообщения антивируса выскакивать

Всего записей: 1931 | Зарегистр. 16-10-2002 | Отправлено: 18:39 08-02-2018
markusMj

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
emil9
Большое Вам Спасибо!  
Я только вот не пойму,scrcons.exе, на который ссылался алерт ялвяется ли инфицированным? Или же этот майнер, внедрившись в систему, просто использовал нормальный системный файл scrcons.exе для своих нужд, не ифицируя его? Не знаете случайно? Нужно ли его как-то проверить?

Всего записей: 74 | Зарегистр. 14-03-2011 | Отправлено: 19:16 08-02-2018
emil9



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
можете выложить его на обменник и прислать мне ссылку в личку. можно также проверить на вирустотале, а лучше оба варианта))

Всего записей: 1931 | Зарегистр. 16-10-2002 | Отправлено: 19:29 08-02-2018
regist123



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
markusMj 18:25 07-02-2018
Цитата:
Я вот выше логи прилепил после сканирования Фирстом. Или еще другие какие нужны?

1) Логи надо было куда-нибудь загрузить. Смотреть их в посте и неудобно, и на ру-борде они искажаются.
2) Раз uVS качали, то его лог был бы конечно удобней.
 
3) В чём у вас проблема я без логов уже написал - выше у вас прописан вирусный скрипт во WMI. Лог FRST это только подтвердил.
Цитата:
Вот на этой страничке , сделайте то что написал пользователь Sandor    https://forum.kasperskyclub.ru/index.php?showtopic=56569&page=1

emil9 17:46 08-02-2018
Цитата:
Вот на этой страничке , сделайте то что написал пользователь Sandor  
  
 https://forum.kasperskyclub.ru/index.php?showtopic=56569&page=1

emil9, прежде чем давать такие вредные советы хотя бы правила почитайте. Если по вашему совету пользователь убьёт систему, кто будет виноват? Все скрипты пишутся индивидуально, выполнять скрипты написанные для других нельзя!
 
markusMj, раз не знаете, что и как делать, то создайте тему хотя бы на том же фан-клубе, только перед этим в обязательном порядке выполните и прикрепите логи по правилам Порядок оформления запроса о помощи.
Там нормально пролечим.

----------
Раздачи и акции

Всего записей: 5977 | Зарегистр. 20-03-2009 | Отправлено: 23:04 08-02-2018
markusMj

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
regist123
Да я просто думал что там только пользователям Касперского помогают. И только с лицензионной Виндой. А у меня нет ни того ни другого. Поэтому и написал Хелп сюда...

Цитата:
 раз не знаете, что и как делать, то создайте тему хотя бы на том же фан-клубе

Создам конечно, завтра,я там не зареген.В разделе - Уничтожение Вирусов, я правильно понял? Вроде как у меня система не убилась(Слава Богу!) и даже ни на что не ругнулась, долго грузилась просто после резета и в браузерах  пароли послетали других глюков я пока не наблюдаю. Хотя теперь, после Вашего поста я конечно "очень напрягся". Я подумал что это просто универсальный скрипт, чистящий стандартные скрытые и тд. дирректории, которые есть на любой Винде. Но, вроде как пронесло... И да, пока аваст ничего не сигналит, х.з как конечно будет потом...

Всего записей: 74 | Зарегистр. 14-03-2011 | Отправлено: 00:31 09-02-2018
emil9



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
regisr123 покажите что в данном скрипте не так именно для этого юзера.create restore point или empty temp убьет систему? Единственное что там я неверно указал это ветку юзера 5218e2d6-9bb8-4649-a7d0-aaa085b1e5bc , да, моя ошибка признаю, но во первых юзеру об этом сообщил, во вторых точка восстановления не зря делается.
Совет использовать чужой скрипт абсолютно вредный, если в скрипте есть критические действия могущие привести к краху системы. Скрипт  без указания источника не вызвал бы вопросов?

Всего записей: 1931 | Зарегистр. 16-10-2002 | Отправлено: 05:25 09-02-2018 | Исправлено: emil9, 06:01 09-02-2018
regist123



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
markusMj 01:31 09-02-2018
Цитата:
Да я просто думал что там только пользователям Касперского помогают. И только с лицензионной Виндой.

нет, там очень много юзеров с разными антивирусами, либо вообще без антивируса. Лицензионность виндоус никакого значения не имеет (если только не спрашивать там как активировать, ибо обсуждение вареза запрещено).
emil9 06:25 09-02-2018
Цитата:
покажите что в данном скрипте не так именно для этого юзера.create restore point или empty temp убьет систему?

Я не про ваш скрипт FRST который как понимаю вы написали специально для markusMj (насколько скрипт корректен обсуждать не буду) и правильней было предупредить, что этот скрипт предназначен только для него! А про совет пойти в другую тему и выполнять скрипты написанные для другого пользователя. Даже простое удаление файла вируса (именно вирусных, а не легальных) может спровоцировать циклический BSOD, либо отвалиться работа интернета. Такое уже не раз было, если удалить не все запчасти вируса. Поэтому выполнять скрипты написанные для других строго настрого запрещено.
Цитата:
во вторых точка восстановления не зря делается.
Создание точки восстановление в FRST очень часто не срабатывает, Фарбар об этом в курсе и его рекомендация, создавать её вручную, а не через скрипт.

Цитата:
крипт  без указания источника не вызвал бы вопросов?

Вопросы были бы только к ру-борду и к вам. Но на ру-борде никто не гарантирует, что вовремя лечения систему не убьют или не залечат до такого состояния, что потом будет единственный выход перестановка. И уже давно висит предупреждение по лечению вирусов gjf 18:34 18-03-2010
Цитата:
КВАЛИФИЦИРОВАННАЯ ПОМОЩЬ БОЛЕЕ НЕ ОКАЗЫВАЕТСЯ!!!

PS. собственно насчёт ответственности там и так висит предупреждение https://forum.kasperskyclub.ru/index.php?showtopic=31550

Цитата:
! | Не принимайте поддержку в решении вашей проблемы от пользователей, которые не являются консультантами, иначе ответственность за выполнение советов и просьб несёте исключительно вы.

Но когда пользователь сам игнорирует эту предупреждение, то виноват он сам. А когда ему другой человек не являющийся хелпером даёт прямую ссылку и говорит, что выполняй, то пользователь даже не догадывается об опасности, то виноваты по сути только Вы.

----------
Раздачи и акции

Всего записей: 5977 | Зарегистр. 20-03-2009 | Отправлено: 13:09 09-02-2018 | Исправлено: regist123, 13:24 09-02-2018
regist123



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Просто оставлю ссылку на аналогичное предупреждение от разработчика утилиты Убило винду, если бы не точка восстановления...
В частности обратить внимание на
Цитата:
что куда опаснее, выполнять на своем ПК некие скрипты AVZ или рекомендации, выданные на форумах по лечению для других ПК (даже если "симптомы" в тех случаях похожи), то результаты могут быть непредсказуемы.


----------
Раздачи и акции

Всего записей: 5977 | Зарегистр. 20-03-2009 | Отправлено: 10:42 13-02-2018
kvark484kvark484

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Доброго времени суток.
Последнее время МВАМ стал часто выдавать такого рода предупреждения (IP-адреса могут различаться):
   
При сканировании штатный антивирус и MBAM вирусов не находят.
Обязательно ли такие сообщения свидетельствуют о наличии на компе вирусов?

Всего записей: 174 | Зарегистр. 26-03-2016 | Отправлено: 06:27 26-02-2018
TheBarmaley



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
kvark484kvark484
Цитата:
Обязательно ли такие сообщения свидетельствуют о наличии на компе вирусов?
каким боком здесь комп? в алерте же явно указано, шо малварь на удалённом сайте..
и второе - "рейтинг опасности" может зависеть не только от её реального наличия, "маркетинг" тоже имеет место..)
 
хинт - для самоуспокоения и вынесения "окончательного диагноза" можно использовать хотя бы тот же вирустотал..
к примеру - рескан для адреса с твоей картинки..

----------
..the one of.. ··· ..sam-&-pol..

Всего записей: 8343 | Зарегистр. 07-06-2006 | Отправлено: 07:25 26-02-2018
kvark484kvark484

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
каким боком здесь комп?

К примеру, таким - вредоносная программа успешно выходит в Сеть, сигнализируя своему "хозяину" о готовности компа к внешнему управлению (воздействию), а попытка внешнего проникновения блокируется MBAM-ом.
"Зверь", тем не менее, остается сидеть на компе и не факт, что не найдет какой-то иной лазейки для двустороннего контакта со своим "хозяином".
 

Всего записей: 174 | Зарегистр. 26-03-2016 | Отправлено: 09:45 26-02-2018 | Исправлено: kvark484kvark484, 09:48 26-02-2018
docNemo



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
kvark484kvark484
Попробуйте отработать SmartFix,
а потом полное сканирование МВАМ.

----------
Cпасательный Kомплект

Всего записей: 363 | Зарегистр. 09-10-2016 | Отправлено: 09:51 26-02-2018
kvark484kvark484

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
на удалённом сайте

Сайт тут вообще не при чем.
Это просто перевод интерфейса МВАМ-а такой (имеется ввиду не сайт, как таковой, а попытка вредоносного соединения с процессом svchost.exe с определенного IP-адреса).
 
 
Добавлено:

Цитата:
Попробуйте отработать SmartFix

Благодарю за рекомендацию.
Программа для меня новая - поищу о ней информацию - перед тем, как запускать ее на компе.

Всего записей: 174 | Зарегистр. 26-03-2016 | Отправлено: 09:55 26-02-2018 | Исправлено: kvark484kvark484, 09:58 26-02-2018
KismetT_v3



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Странно, зачем нужно системному процессу входящее соединение с чебоксарским ip по непривилегированному порту. Каким образом малварь на сайте может пытаться соединиться с системным процессом по порту, на котором он не работает (насколько я помню svchost работает либо на привилегированных портах, либо на динамических)?

----------
Это я .... И это тоже я .... Мы из этих

Всего записей: 1229 | Зарегистр. 08-04-2016 | Отправлено: 11:06 26-02-2018
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Активные темы » Вирус(ы) в ОС Windows. Проблемы. Решения. (II)

Имя:
Пароль:
Сообщение

Для вставки имени, кликните на нем.

Опции сообщенияДобавить свою подпись
Подписаться на получение ответов по e-mail
Добавить тему в личные закладки
Разрешить смайлики?
Запретить коды


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2018

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru