rechi Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Всем привет. Решил поделиться мыслями по поводу злодя виря csrcs.exe который создает в сети, в расшаренных папках нулевой вайл khq or khs и экзешник с рамдоным именем (например xdejni.exe Win32/Packed.Autoit.Gen). Надеюсь эти советы кому-нибудь помогут, может и отметитесь здесь вобщем откуда появляются эти два файла? а создает их вердный процесс на зараженной машине в расшаренных папках. А зараженная машина та, на которой имеется процесс csrcs.exe , запущенный (если я не ошибасюь от имени пользователя). Проблема существвала достаточно долго, просто не мог понять какая же из машин в сети заражена (а обходить все компьтеры конечно же не хочеться )) . кто то пользовался программой под названием WireShark и она помогла, но нужно ждать момента рассылки... А нашёл я зловреданую машину пользуясь средствами windows , а  имеено с помощью "АУДИТА входа в систему" (в оснастке "Групповая политика"). Включил аудит "успех" "отказ"... Затем просто посмотрел после очередного зловредного сеанса дату и время создания нулевого файла и в журнале событий увдел что чуть раньше времени создания на эту машину был осуществлён удачный вход анонимного пользователя с ЗАРАЖЕНОЙ МАШИНЫ (её имя указана как "рабочая станция). вот и попался зловред. на этой машине конечно же оказался процесс с именим csrcs.exe. методы его удаления я думаю вы найдете! И ещё один интересный момент... Файлы создаются от имени "Гостя" а на тех машинах где гость отключен вирь получал отказ. Вот и всё.   Просьба прокоментить кому был полезен или не полезен этот совет! Всего записей: 23 | Зарегистр. 24-10-2008 | Отправлено: 14:10 09-02-2009

Oldst Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Привет всем! Прочитал кучу форумов и советов как уничтожить тот или иной вирус. Я заметил много обращенинй типа: поймал вирус он сделал то-то помогите его удалить. Такому человеку высылают в лучшем случае скрипт который его удаляет в худшем дают советы, порой бессмысленные. Я считаю что львиную долю вирусов юзер способен удалить сам без посторонней помощи. Я сам уже давно не пользуюсь антивирусными программами ибо они не очень то эффективны. Хочу поделиться своим скромным опытом по борьбе с этими тварями. Во-первых многие вирусы используют возможность автозапуска и передаются через флешки и иные съемные носители. Выход простой: используйте, например Total Commander или его аналог, выставите в его настройках "показывать скрытые и системные файлы и папки" и открывайте съемные носители им. Total Commander_у наплевать на этот файлик Autorun.inf. Вы можете спокойно посмотреть блокнотом какой файл он хочет запустить и удаляйте себе спокойно этот авторан и все что связано с ним. И еще: вам не кажется странным наличие скрытых файлов(или системных) на вашей флешке? Вот вам и пища для размышлений... Если я кого то заинтересовал то могу объяснить как удалять вирусы уже заразившие компьютер примерно мин. за 15 пишите... Всего записей: 7 | Зарегистр. 24-03-2009 | Отправлено: 23:39 24-03-2009

vova49 Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Oldst Цитата: Если я кого то заинтересовал   Одного точно, пишите. Всего записей: 365 | Зарегистр. 03-02-2003 | Отправлено: 02:50 25-03-2009

Oldst Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Итак, продолжаю. Допустим у вас не установлен на компьютере антивирус и есть подозрение о наличии вируса(ов). Первым делом запустите Total Commander и вставте какой нибудь съемный носитель, флэшку например. Откройте флэшку проводником и т.е. средствами Windows и подождите несколько секунд, затем открываем ту же флешку Total Сommander(ом) и смотрим. Если вирус имеет свойство "размножаться" через съемные носитетели (а таких много) то мы увидим файл Autorun.inf как правило скрытый. Пробуем его удалить. Если при удалении ошибка используем программу Unlocker. Через несколько секунд удаленный файл снова появился это подтверждает что ваш компьютер заражен. Далее проверяем автозагрузку: Пуск - Выполнить - msconfig. Проверяем все приложения находящиеся во вкладке "Автозагрузка" Если находим что то подозрительное то смотрим откуда оно запускается. (на моем опыте чаще всего это C:\Windows\system32\). Важно понимать, что вирус надо убивать с "головы" а уж потом удалять "хвосты" а не наоборот. Допустим, если мы нашли вирус в системной папке не спешите его с гневом в серце удалять. Сперва воспользуйтесь поиском и поищите его копию в др. местах. Затем запускаем диспетчер задач, хотя я настоятельно рекомендую программу Process Explorer (она бесплатная) и пытаемся выяснить к какому процессу этот вирус привязан. Я часто использую способ определения нужного процесса, который вам может показаться смешным, но тем не менее он работает. Для эксперимента попробуйте открыть диспетчер задач ту вкладку где список процессов и внимательно наблюдая за процессом explorer.exe открыть проводник. В момент открытия проводника explorer на короткий промежуток времени загрузит процессор и это будет видно. А что мешает вам удалить файлы вируса с флешки и наблюдать за процессами в момент их восстановления на съемном носителе?  Пост получился длинный но я еще не закончил. Допишу чуть попозже. Всего записей: 7 | Зарегистр. 24-03-2009 | Отправлено: 13:07 25-03-2009

01pump Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Oldst Не морочь людЯм голову   Я посмотрю как ты без антивиря в автозагрузке будешь ловить Sality или Sector Всего записей: 500 | Зарегистр. 27-06-2008 | Отправлено: 15:00 25-03-2009

Oldst Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Продолжаю. Еще один момент, который может помочь в поиске заразы. Зайдите в системную папку и сделайте "упорядочить по дате". Перед вашим взором сразу будут видны файлы которые недавно изменены или скопированы. Например, если вы зайдете в C:\Windows\ и обнаружите , что файл "explorer.exe" ,был недавно изменен, то это явно наводит на подозрение. Мне попадалось уже много вирусов, которые внедрялись в explorer. Когда вы собрали некоторую информацию о файлах вируса, не мешало бы просканировать реестр посредством поиска ища те названия файлов которые вы сочли подозрительными. Наконец, когда информация собрана, пожалуй стоит приступить к удалению. Я объясню как это делать на примере того случая, если вирус сидит внутри файла explorer.exe (т.к. подобные вирусы нередкость). Итак, прежде всего нам нужен "здоровый" explorer т.е. незараженный. Я держу его копию в другом месте на подобные случаи. Но если его нет, можно скопировать с другого компьютера с условием что там та же операционка. Запускаем Total Commander, заходим в диспетчер задач и "убиваем" процесс explorer.exe. У вас исчезнет рабочий стол. Если вирус копировался на флэшку то удаляем его с нее и смотрим не восстановится ли он как раньше. Если он восстановился то вирус сидит не в explorere, искать надо в другом месте. Если же файлы не восстановились на съемный носитель, то мы получили железное подтверждение, что заражен действительно он. Ну а дальше все просто: удаляем все что мы "накопали" на этот вирус, чистим корзину, реестр, зараженный explorer заменяем на нормальный путем простого копирования и все готово.   И чтобы проделать подобное всего то нужно иметь некоторые знания (не сильно глубокие) об операционной системе и умение логически мыслить. Я уже давно убедился что своя голова - лучший антивирус! Спасибо за внимание, если есть вопросы то задавайте.     Добавлено: Цитата: Не морочь людЯм голову     Я посмотрю как ты без антивиря в автозагрузке будешь ловить Sality или Sector   Во первых, я и не утверждал в автозагрузке можно увидеть все вирусы а во вторых я и не утверждал, что обычный юзер (кем являюсь и я) способен обнаружить и удалить абсолютно все вирусы, я лишь говорил что можно самостоятельно удалить их БОЛЬШУЮ ЧАСТЬ. Все что я изложил выше использовал лично и мне это помогало, поэтому объясни пожалуйста конкретнее почему я морочу людям голову. Всегда готов выслушать. Всего записей: 7 | Зарегистр. 24-03-2009 | Отправлено: 18:23 25-03-2009

vova49 Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору 01pump Цитата: Не морочь людЯм голову   Зачем же так резко? Вы ещё бы помянули Win95.CIH (тьфу...тьфу). Просто один из способов контроля диска С: не более. От себя добавил бы папку ТЕМР, любят её всякие гадости. Ни один антивирь, недаёт 100% гарантию от проникновения на Ваш комп. заразы. Сколько пользователей с установленным антивирусом обращаются к   Вам за помощью? то-то.   P.S. Машина в сети 24/7 без антивируса живу не страдаю. Всего записей: 365 | Зарегистр. 03-02-2003 | Отправлено: 17:44 31-03-2009

Vigorous Gold Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Oldst vova49 темой немного ошиблись, самое место: Флейм для подобной беседы. Всего записей: 5200 | Зарегистр. 23-06-2005 | Отправлено: 17:59 31-03-2009

vova49 Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору rechi Цитата: а как ты без него?, как "предохраняешься?"   Много лет одно и то же: 1.ShadowUser. 2.Agnitum Outpost.   P.S. Но, когда притащат на флехе гадость-тады cureit+AVZ. (AVZ-ну, очень мощная утиль. О. Зайцеву спасибо) Правда в кармане  Dr.Web LiveCD, на своей не пользовался, на чужих, пару раз. Всего записей: 365 | Зарегистр. 03-02-2003 | Отправлено: 23:53 01-04-2009

Olegbsss Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Ещё инфа по теме: http://html-coder.org.ru/remove-autorun/ http://web-notes.ru/2008/07/no_autorun  У самого была на работе такая хрень - удалил кидо-киллером (ссылка есть в предлагаемой статье). Всего записей: 437 | Зарегистр. 28-09-2008 | Отправлено: 23:55 05-04-2009 | Исправлено: Olegbsss, 23:57 05-04-2009

Страницы: 1 2

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Помогите удалить вирус!

vu1tur (16-03-2010 15:21): нет названия, дубль

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование