Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Вирус(ы) в Windows XP,Vista,7,8,8.1,10. Проблемы. Решения.

Модерирует : KLASS, IFkO

KLASS (16-02-2017 18:32): Продолжение в Вирус(ы) в ОС Windows. Проблемы. Решения. (II)  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141

   

HDD



Platinum Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Вирусы в Windows XP, Vista, 7, 8, 8.1, 10. Проблемы. Решения.


Стандартные действия

Вариант №1

1. Скачиваем Dr.Web LiveDisk - Ссылка ведёт на страницу загрузки, записываем диск, загружаемся и проверяем системы на вирусы.  
И\или
Скачиваем Kaspersky Rescue Disk - Ссылка ведёт на страницу загрузки: на ядре Linux (вирусы под win не пройдут, а под *nix их нету по крайней мере живых), ядро от десятой версии и изменена "никсовая" оболочка. Обновление происходит раз в неделю. Записываем диск, загружаемся и проверяем системы на вирусы.
Вариант №2

1. Скачиваем загрузочный диск на базе LiveCD (Ссылки в Варезнике LiveCD/BootCD (DVD/USB) на базе OPK WinPE)
2. Скачиваем антивирусы работающие без инсталляции.
2.1 Dr.Web CureIT! - Ссылка ведёт на страницу загрузки  
2.2 Kaspersky Virus Removal Tool (AVPTool) - Ссылка ведёт на страницу загрузки  
3. Прожигаем скачанный LiveCD на болванку, перезагружаемся, выставляем в биосе загрузку с CD\DVD(Что бы зайти в биос, нужно нажимать после включения компьютера кнопки Del или F2, зависит от производителя материнской платы.) На некоторых материнских платах, возможно вызвать Boot Menu нажав F8 при загрузке и выбрать загрузку с CD\DVD не заходя в биос.  
4. Проверяем одной утилитой, перезагружаемся, проверяем второй утилитой, пытаемся загрузить систему.  
Желательно отключить систему восстановления. Свойства системы-система восстановления.

Разница между вариантом №1 и вариантом №2 заключается в следующем:
Если нет возможности скачать LiveCD, то проверяйте компьютер в безопасном режиме. При загрузке нажимать F8, выбрать верхний пункт(Safe Mode или безопасный режим). В этом случае при сохранение CureIt и AVPTool к себе на компьютер переименовывайте файлы. Ряд вирус блокирует запуск при стандартном имени файла.
Это стандартные действия, которые не гарантируют восстановление работоспособности ОС, НО! 90% проблем решается таким способом.
Если не помогает, то скачиваем AVZ, сканируем и выкладываем лог. Обязательно указываем какая версия Windows.

Полезные инструменты(утилиты)
Sysinternals (Microsoft) Process Explorer - Выдает подробнейшую информацию обо всех запущенных процессах, включая владельца, использование памяти, задействованные библиотеки и т.д.
Sysinternals (Microsoft) Autoruns - Позволяет контролировать автозагрузку запускающихся при старте операционной системы сервисов, приложений и других компонентов.
Sysinternals (Microsoft) Process Monitor - программа для мониторинга файловой системы, реестра и процессов в оперативной памяти. Filemon+Regmon
HijackThis - программа для удаления невидимых spyware
AutoLogger - автоматический сборщик логов, более подробное описание утилиты смотрите на странице скачивания.
AdwCleaner - программа для удаления тулбаров, adware и другого рекламного мусора.
MBRCheck - утилита для проверки MBR на предмет заражения современными "руткитами"
RegASSASSIN - Программа для удаления "заблокированных" веток и ключей в реестре из-за mailware
SmartFix - Эффективная программа для быстрого автоматического исправления неполадок.
Когда нужны? Когда есть работающая система, но есть подозрения, что дело "нечисто".  

Темы на форуме

Помощь при лечении компьютера от вирусов - помощь от "хелперов" с "VirusInfo". В топике строгие правила. Внимательно читаем шапку.
Антивирусы (Antivirus'ы) не требующие инсталяции - кому не хватает CureIT и AVPTool
AVZ - Anti-SpyWare, Anti-AdWare
Восстановление Windows - Как вернуть Windows к жизни без переустановки
Windows заблокирован! - отдельный топик по решению проблем с вирусом блокирующим запуск ОС и требующем выслать денег по СМС.
Обзор антивирусов(и др. средств безопасности на их основе) под Windоws 98/XP/Vista/7/8/8.1/10  
Тема посвящённая Kido, Conficker, Downadup
Полезные ссылки в интернете

Чистые системные файлы Windows, которые заражают блокеры - ссылка ведёт на страницу закачки
Поиск описания  вирусов по названию
Советы по лечению ПК от Олега Зайцева, автора Avz
Ручное лечение компьютера от вирусов - Спец.форум по проблемам с вирусамих.
Очистка Windows от вирусов - Статья от FuzzyL
Список "левых" служб, ссылающихся на svchost.exe, для WindowsXP
Страница VirusHunter`a - "Диспетчер задач\реестр\настройки рабочего стола  заблокирован(ы) .." Подборка полезных "точечных"  утилит.  
Безопасный Интернет. Универсальная защита для Windows ME - Vista - автор-составитель антивирусный эксперт, золотой бета-тестер Лаборатории Касперского Николай Головко
 
Шапка ©HDD
Вопросы по шапке здесь

Всего записей: 14819 | Зарегистр. 15-03-2003 | Отправлено: 23:20 18-09-2009 | Исправлено: KLASS, 18:48 16-02-2017
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Есть доступ на запись-шифруем и по барабану где.
Нет доступа на запись-нет работы для шифровальщика.

Всего записей: 11062 | Зарегистр. 12-10-2001 | Отправлено: 15:20 28-02-2015
Gomerr



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
А вы уверены, что в созданной вами копии файлы уже не зашифрованы?  
Уверены, на бэкап пароль ставится.

Всего записей: 4 | Зарегистр. 20-02-2015 | Отправлено: 15:58 28-02-2015
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
...на бэкап пароль ставится


Цитата:
А вы уверены, что в созданной вами копии файлы уже не зашифрованы?

На колу мочало...

Всего записей: 11062 | Зарегистр. 12-10-2001 | Отправлено: 16:11 28-02-2015
IvANANvI

Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Последние из шифровальщиков также не шифруют сетевые ресурсы открытые на полный доступ, это также спасло кучу данных в одной фирме которая работает с сетевым хранилищем, локальные данные были зашифрованы.
Две самые работоспособные Девушки этой фирмы проверяя почту, запустили из архива вложения файл с раширением .SCR (скринсэйвер виндов, голимый EXE). Письмо было адресовано от конкретного человека и только на ихи две корпоративные почты, с названием темы содержаним слово договор и Название ихней фирмы, архив также имел название договор для фирмы. Девушки просто не посмотрели на расширение запускаемого файла и процесс шифрования скрытно пошел.
Очень интересно потом посмотреть время создания шифрованных файлов по всему диску, ох и шустро у него это получается.
PS Время компиляции вируса было 8 часов вечера предыдущего дня, разослан ночью этого дня. Антивирус Аваст на обоих машинах не сказал видимо ни слова. Хотя его проверка новых файлов по 30 секунд иногда задалбливает, чего интересно он в этот раз не обнаружил, не понятно.

Всего записей: 762 | Зарегистр. 29-11-2007 | Отправлено: 16:24 28-02-2015 | Исправлено: IvANANvI, 16:56 28-02-2015
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Последние из шифровальщиков также не шифруют сетевые ресурсы открытые на полный доступ

Смотря, что реализовано в нем (шифровальщике), а последний он или первый не суть.
 
PS Уверенный Gomerr уже забанен, я еще пост не успел набрать. )
 
 
Добавлено:

Цитата:
чего интересно он в этот раз не обнаружил, не понятно

вы сами себе ответили

Цитата:
Время компиляции вируса было 20 часов предыдущего дня


Всего записей: 11062 | Зарегистр. 12-10-2001 | Отправлено: 16:37 28-02-2015
Craker



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
PS Уверенный Gomerr уже забанен, я еще пост не успел набрать.  

Примерно так же работает и шифровальщик.
Так. Подведем итог.
Есть возможность безопасно хранить нужные файлы на внешнем носителе.
Как уберечь эти файлы, если прописан путь сохранения  на этот носитель?
А если его не прописать, то юзер не будет заморачиваться этим вопросом, и будет все сохранять к себе на стол. ИМХО! Его хрен заставишь. Если у шефа всегда он прав, а ты виноват, не обеспечил защиту.
Ну и что делать?
 

Всего записей: 127 | Зарегистр. 03-09-2007 | Отправлено: 18:24 28-02-2015
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Ну и что делать?  

Вешаться, если ЮЗЕР-шЕФ под админом...

Цитата:
то юзер не будет заморачиваться этим вопросом

Ему за это (заморачиваться) никто не платит.

Цитата:
и будет все сохранять к себе на стол

Его (юзера) дело мышкой в пасьянсе щелкать, а не думать что-то там сохранять. Читайте предыдущую страницу... пропишите правила в Applocker, да мало ли чего в голову... например, в гугле порыться.

Всего записей: 11062 | Зарегистр. 12-10-2001 | Отправлено: 19:06 28-02-2015
Tridentifer



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KLASS

Цитата:
пропишите правила в Applocker

Мелочь, но в той же Win7 AppLocker есть только в редакциях Enterprise и Ultimate.
 
Craker
 
Как ещё один вариант - та же HIPS-защита.

Всего записей: 2226 | Зарегистр. 23-10-2009 | Отправлено: 19:54 28-02-2015
Craker



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Applocker  

Не вариант!

Цитата:
HIPS-защита.

По большей части не работает против шифровальщиков.
Как показывает практика.  
Сколько уже каспер пропустил. Поведенчиский анализ, при действиях шифровальщика, не показывает не чего, так сказать, противозаконного.
А если так, то пока уповаем на сознательность моих юзеров. Тем более что мои девочки такими и являются.
Просто хотелось чуть чуть облегчить работу.

Всего записей: 127 | Зарегистр. 03-09-2007 | Отправлено: 20:41 28-02-2015
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Craker
"Убегайте" от шЕФА-админа на другой комп, например
История файлов 8.1 (если 7-Bittorrent Sync)=>другой_комп, где обязательно включена Защита системы для раздела.
 
Добавлено:
и место под защиту на всю катушку
 
Добавлено:
Можно и Robocopy использовать, по расписанию, не важно, лишь бы смотаться по дальше.
Bittorrent Sync, кстати, в разы быстрее синхронит, чем по сети через Robocopy или Историю файлов. У мну домашний комп с рабочим так синхронятся, инфа всегда актуальна.

Всего записей: 11062 | Зарегистр. 12-10-2001 | Отправлено: 21:09 28-02-2015
Vanfear

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
В NTFS есть возможность запретить дозапись данных, не совсем ясно что это, но если это запрет на изменение уже записанного файла - это то что вам нужно.
 
ред.
 
Да, проверил. Это можно использовать как защиту от шифровальщиков.
https://yadi.sk/d/n9nFzt0rewwx7
В такую папку можно копировать\удалять файлы. Изменить файлы в ней невозможно.
 
Создать папку внутри тоже невозможно, нужно добавить необходимые папки перед изменением прав доступа.
Файлы для редактирования можно открывать прямо из такой папки, а сохранять уже с новым именем.
 
Проверял через Hex Editor Neo и через hex R-Studio - редактированию файлы не поддаются.
 
Лучше чем хипсы и подобные чудеса. Я полагаю
 
Craker
Пропиши путь на такую папку на носителе.

Всего записей: 554 | Зарегистр. 24-03-2010 | Отправлено: 08:01 01-03-2015 | Исправлено: Vanfear, 09:27 01-03-2015
Craker



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Vanfear
Спасибо!  
Завтра же это сделаю!!!

Всего записей: 127 | Зарегистр. 03-09-2007 | Отправлено: 13:05 01-03-2015
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Craker
У вас шеф под админом?

Всего записей: 11062 | Зарегистр. 12-10-2001 | Отправлено: 13:24 01-03-2015
Craker



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
У вас шеф под админом?

То то и беда.

Всего записей: 127 | Зарегистр. 03-09-2007 | Отправлено: 14:03 01-03-2015
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
То то и беда.

Вирь, запущенный из под админа, всегда может поднять права на запись в мгновение ока и зашифровать все.
Это вы понимаете или нет?
а) вы не понимаете, тогда говорить дальше бесполезно.
б) вы понимаете, тогда что вы: "завтра же это сделаю". Смысла в этом нет никакого.
Либо вы объясняете (а лучше показать на примере, в той же виртуалке) шефу почему не надо сидеть под админом и чем это чревато, либо, копируйте данные на другой комп с защитой раздела. Вирь и туда доберется и шифронет все, но не убьет Предыдущие версии файлов, откуда в последствии вы и восстановите данные.

Всего записей: 11062 | Зарегистр. 12-10-2001 | Отправлено: 14:29 01-03-2015
Craker



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Либо вы объясняете  

Именно с этого я и собираюсь начать. Шеф единственный, кто сидит под админом. И пока не давал не чего менять на своем компе. Если будет упираться, попробую наглядно показать. Вообще то он у нас адекватный.
Огромное спасибо за помощь.

Всего записей: 127 | Зарегистр. 03-09-2007 | Отправлено: 14:46 01-03-2015
Vanfear

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Cracker
Если вы считаете что назначения прав средствами ФС будет недостаточно для защиты данных, можно взамен этому способу всё же рассмотреть вариант с использованием хипса от комодо.
Он мощный и лёгкий. А после настройки нескольких правил его присутствие в системе вообще будет незаметно. Я помогу с его настройкой если будут сложности.
 
Принцип там таков: выбираете какие папки с файлами защищать, создаёте группу правил и добавляете несколько приложений которым разрешено выполнять операции с данными в этой папке, это explorer.exe, word.exe и антивирус - пусть будет drweb.exe; затем хипс переводится в тихий режим и любые потуги приложений не вошедших в созданный список будут тотально блокироваться без уведомлений. Он бесплатный, и не придётся ничего объяснять упёртому босу, только поставить программу на его пк.

Всего записей: 554 | Зарегистр. 24-03-2010 | Отправлено: 15:40 01-03-2015
Craker



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Vanfear
Если бы еще знать в какие папки Шеф запихнет свои файлы. И какие папки и где будут созданы.
Но все равно, огромное спасибо. Это очень интересно и обязательно рассмотрю этот вариант для себя.
А вообще надо мне отказаться от этого дела. Пусть берет сисадмина на работу. А то повесил все на чайника.
Наладил ему сеть. А теперь он считает что я все могу. А я обычный чайник, просто любопытный.
Ну вот поплакался и легче стало.
Извините за флуд.

Всего записей: 127 | Зарегистр. 03-09-2007 | Отправлено: 16:06 01-03-2015
Vanfear

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ты же писал что какую-то папку выделил для сохранения файлов. Что девушки умные у вас.
И пишешь что бос там файлами рулит и вообще первый по тазикам.
Один комп на весь офис?)
 
Ты ему на пальцах так покажи: просишь помочь - делай что говорю, не хочешь - нанимай сисадмина.
 
Добавлено:
Кстати есть тонкость при настройке хипса.
При добавлении папки, надо указывать две ссылки: на её содержимое, и на саму папку.
Иначе её можно будет переименовать и удалить.

Всего записей: 554 | Зарегистр. 24-03-2010 | Отправлено: 16:17 01-03-2015
Craker



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Ты же писал что какую-то папку выделил для сохранения файлов

А шеф сам с усам! Его доки на его компе хранятся.

Всего записей: 127 | Зарегистр. 03-09-2007 | Отправлено: 16:30 01-03-2015
   

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Вирус(ы) в Windows XP,Vista,7,8,8.1,10. Проблемы. Решения.
KLASS (16-02-2017 18:32): Продолжение в Вирус(ы) в ОС Windows. Проблемы. Решения. (II)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru