Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Вирус(ы) в Windows XP,Vista,7,8,8.1,10. Проблемы. Решения.

Модерирует : KLASS, IFkO

KLASS (16-02-2017 18:32): Продолжение в Вирус(ы) в ОС Windows. Проблемы. Решения. (II)  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141

   

HDD



Platinum Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Вирусы в Windows XP, Vista, 7, 8, 8.1, 10. Проблемы. Решения.


Стандартные действия

Вариант №1

1. Скачиваем Dr.Web LiveDisk - Ссылка ведёт на страницу загрузки, записываем диск, загружаемся и проверяем системы на вирусы.  
И\или
Скачиваем Kaspersky Rescue Disk - Ссылка ведёт на страницу загрузки: на ядре Linux (вирусы под win не пройдут, а под *nix их нету по крайней мере живых), ядро от десятой версии и изменена "никсовая" оболочка. Обновление происходит раз в неделю. Записываем диск, загружаемся и проверяем системы на вирусы.
Вариант №2

1. Скачиваем загрузочный диск на базе LiveCD (Ссылки в Варезнике LiveCD/BootCD (DVD/USB) на базе OPK WinPE)
2. Скачиваем антивирусы работающие без инсталляции.
2.1 Dr.Web CureIT! - Ссылка ведёт на страницу загрузки  
2.2 Kaspersky Virus Removal Tool (AVPTool) - Ссылка ведёт на страницу загрузки  
3. Прожигаем скачанный LiveCD на болванку, перезагружаемся, выставляем в биосе загрузку с CD\DVD(Что бы зайти в биос, нужно нажимать после включения компьютера кнопки Del или F2, зависит от производителя материнской платы.) На некоторых материнских платах, возможно вызвать Boot Menu нажав F8 при загрузке и выбрать загрузку с CD\DVD не заходя в биос.  
4. Проверяем одной утилитой, перезагружаемся, проверяем второй утилитой, пытаемся загрузить систему.  
Желательно отключить систему восстановления. Свойства системы-система восстановления.

Разница между вариантом №1 и вариантом №2 заключается в следующем:
Если нет возможности скачать LiveCD, то проверяйте компьютер в безопасном режиме. При загрузке нажимать F8, выбрать верхний пункт(Safe Mode или безопасный режим). В этом случае при сохранение CureIt и AVPTool к себе на компьютер переименовывайте файлы. Ряд вирус блокирует запуск при стандартном имени файла.
Это стандартные действия, которые не гарантируют восстановление работоспособности ОС, НО! 90% проблем решается таким способом.
Если не помогает, то скачиваем AVZ, сканируем и выкладываем лог. Обязательно указываем какая версия Windows.

Полезные инструменты(утилиты)
Sysinternals (Microsoft) Process Explorer - Выдает подробнейшую информацию обо всех запущенных процессах, включая владельца, использование памяти, задействованные библиотеки и т.д.
Sysinternals (Microsoft) Autoruns - Позволяет контролировать автозагрузку запускающихся при старте операционной системы сервисов, приложений и других компонентов.
Sysinternals (Microsoft) Process Monitor - программа для мониторинга файловой системы, реестра и процессов в оперативной памяти. Filemon+Regmon
HijackThis - программа для удаления невидимых spyware
AutoLogger - автоматический сборщик логов, более подробное описание утилиты смотрите на странице скачивания.
AdwCleaner - программа для удаления тулбаров, adware и другого рекламного мусора.
MBRCheck - утилита для проверки MBR на предмет заражения современными "руткитами"
RegASSASSIN - Программа для удаления "заблокированных" веток и ключей в реестре из-за mailware
SmartFix - Эффективная программа для быстрого автоматического исправления неполадок.
Когда нужны? Когда есть работающая система, но есть подозрения, что дело "нечисто".  

Темы на форуме

Помощь при лечении компьютера от вирусов - помощь от "хелперов" с "VirusInfo". В топике строгие правила. Внимательно читаем шапку.
Антивирусы (Antivirus'ы) не требующие инсталяции - кому не хватает CureIT и AVPTool
AVZ - Anti-SpyWare, Anti-AdWare
Восстановление Windows - Как вернуть Windows к жизни без переустановки
Windows заблокирован! - отдельный топик по решению проблем с вирусом блокирующим запуск ОС и требующем выслать денег по СМС.
Обзор антивирусов(и др. средств безопасности на их основе) под Windоws 98/XP/Vista/7/8/8.1/10  
Тема посвящённая Kido, Conficker, Downadup
Полезные ссылки в интернете

Чистые системные файлы Windows, которые заражают блокеры - ссылка ведёт на страницу закачки
Поиск описания  вирусов по названию
Советы по лечению ПК от Олега Зайцева, автора Avz
Ручное лечение компьютера от вирусов - Спец.форум по проблемам с вирусамих.
Очистка Windows от вирусов - Статья от FuzzyL
Список "левых" служб, ссылающихся на svchost.exe, для WindowsXP
Страница VirusHunter`a - "Диспетчер задач\реестр\настройки рабочего стола  заблокирован(ы) .." Подборка полезных "точечных"  утилит.  
Безопасный Интернет. Универсальная защита для Windows ME - Vista - автор-составитель антивирусный эксперт, золотой бета-тестер Лаборатории Касперского Николай Головко
 
Шапка ©HDD
Вопросы по шапке здесь

Всего записей: 14819 | Зарегистр. 15-03-2003 | Отправлено: 23:20 18-09-2009 | Исправлено: KLASS, 18:48 16-02-2017
KismetT_v3



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ss661,
Эффективная защита от вирусов с помощью Software Restriction Policies.
Либо ставь HIPS, что бы на любой чих неизвестного приложения реагировал. А главное, не сиди под админом и из системных папок само ничего запускаться не будет, потому, что  ничего и прописываться не будет.


----------
Это я .... И это тоже я .... Мы из этих

Всего записей: 2471 | Зарегистр. 08-04-2016 | Отправлено: 15:25 07-08-2016
moroka33



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ss661

Цитата:
подскажите как закрыть запуск с папки Windows, я знаю как через secpol.msc сделать такое, но как исключить системные файлы


Цитата:
столкнулся с стартующими экзешниками с системной папки XP

Вообще-то старт системных приложений с расширением ехе из системной папки винды это нормальный рабочий процесс системы...)
То, что стартуют левые - несистемные вредоносные ехе_шники из системной папки указано не было.)
А как выяснили, что из системной папки и из какой?
Сам, чтобы снизить нагрузку на камень после запуска тушу некоторые системные сервисные службы в диспетчере задач...)
Обычно обращающиеся в данный топик указывают, что обнаружен непонятный левый процесс либо файл, который каким-то образом наносит вред системе, что за вред - в чем выразился - тогда это для тут.)
Когда конкретики нет, а ясно что проблемы с виндой - во флейм винды и предлагается обращаться.)
Но среди постояльцев есть, которые поняли правильно, нашли по данной мной ссылке некий
CopperField

Цитата:
при чем тут NetLimiter? Вопрос про запуск, а не про доступ к сети.

, которого по линку нет смогли выявить суть и дать адекватный сове...)
Предлагаемый вариант интересен, особенно при заражении вирусом, который может нанести вред системе и инфе.)

Цитата:
поможет настройка системы по белому списку (с помощью SRP).

Если хорошо знаете винду, сервиса администрирование недостаточно, есть время и желание поковыряться - не вопрос.)
Если присутствуе вирус распределение процессов по спискам вряд-ли его остановит - лечить надо.)
Судя по тексту запроса ситуация не авральная - есть время разобраться. Стоило бы просмотреть пару тройку страниц топика, а главное его шапку, там много полезных линков и описаний схожих ситуаций - если не помогут победить быстро, то помогут конкретизировать проблему.
С наилучшими.)

Всего записей: 4264 | Зарегистр. 31-07-2009 | Отправлено: 16:10 07-08-2016 | Исправлено: moroka33, 16:17 07-08-2016
ss661

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
А как выяснили, что из системной папки и из какой?
Ручками - C:\Windows

Цитата:
Когда конкретики нет, а ясно что проблемы с виндой - во флейм винды и предлагается обращаться.)

Как еще конкретнее - вирус стартует с C:\Windows, необходимо предотвращение этого в дальнейшем. SRP настроено на Documents settings. Работа под ограниченой учеткой не потходит

Всего записей: 813 | Зарегистр. 23-02-2007 | Отправлено: 16:15 07-08-2016
moroka33



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ss661

Цитата:
вирус стартует

Где в ваших первых постах слово вирус? Специально процитировал в своем ответе ваши запросы.

Цитата:
подскажите как закрыть запуск с папки Windows, я знаю как через secpol.msc сделать такое, но как исключить системные файлы? Как запретить запись в автозагрузку всего кроме того что уже записано?


Цитата:
Что значит не здесь - тема по борьбе с вирусами. Вчера столкнулся с стартующими экзешниками с системной папки XP

 
Добавлено:
ss661

Цитата:
Ручками - C:\Windows

Так, что мешает указать папку из которой стартовал и имя файла?

Цитата:
необходимо предотвращение этого в дальнейшем

Для этого надо вирус удалить и исключить заражение, чтобы подсказать как и чем надо знать, что за вирус, а вы как-то странно от конкретики уходите.

Всего записей: 4264 | Зарегистр. 31-07-2009 | Отправлено: 16:18 07-08-2016 | Исправлено: moroka33, 16:20 07-08-2016
ss661

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Если в SRP запретить запуск C:\Windows система не грузится. Повторю вопрос медленно еще раз, как исключить все уже имеющиеся файлы но запретить новые запускать?

Всего записей: 813 | Зарегистр. 23-02-2007 | Отправлено: 16:28 07-08-2016 | Исправлено: ss661, 16:55 07-08-2016
CopperField

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ss661
в SRP надо не исполнение из %WINDIR% запрещать, а запись в нее для "человеческих" учеток.
 
Как вариант, попробуйте софтину Patriot NG - это проактивка, которая умеет контролировать файлы в "критических папках".

Всего записей: 201 | Зарегистр. 29-03-2016 | Отправлено: 17:42 07-08-2016 | Исправлено: CopperField, 17:43 07-08-2016
ss661

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Хотелось бы средствами винды обойтись. И запись в системную папку запрещать это нонсенс

Всего записей: 813 | Зарегистр. 23-02-2007 | Отправлено: 17:46 07-08-2016
CopperField

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
И запись в системную папку запрещать это нонсенс

запрещать исполнение оттуда - еще больший нонсенс, не правда ли?
 
А запись запрещается только пользователям вплоть до админов. Система останется со всеми необходимыми правами на доступ к своей папке.  
 
Для необходимых ручных изменений используйте Run As System

Всего записей: 201 | Зарегистр. 29-03-2016 | Отправлено: 18:40 07-08-2016
ss661

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
запрещать исполнение оттуда - еще больший нонсенс, не правда ли?

не нонсенс если исключить уже имеющиеся файлы. И отфильтровать чтоб только корневую папку хотелось бы

Всего записей: 813 | Зарегистр. 23-02-2007 | Отправлено: 18:48 07-08-2016
CopperField

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ss661
ну судите сами: исключить можно, только прописав (в белый список) КАЖДЫЙ файл отдельно. Проще не позволять изменять файлы в системной папке никому, кроме системных учетных записей (именно они производят изменения при установке софтов в системную папку или, например, при обновлениях системы).
 
Соответственно, вариантов у вас два - и оба описаны:
1) установка стороннего ХИПСа, умеющего контролировать файлы в системной папке (т.е. в любом случае это создание какого-то "слепка" чистой системы)
2) используя системные средства, можно создать только ограничения на запись. Или же делать белый список вручную, а затем следить за всеми необходимыми изменениями.
 
Волшебной палочки, которая автоматом отличала бы законные системные файлы от левых, в самой системе нет.

Всего записей: 201 | Зарегистр. 29-03-2016 | Отправлено: 19:20 07-08-2016
ss661

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Не надо мне трандеть про доступ только системе, я уже одну венду прибил. Эксплорер запускается от учетки юзера. А запись туда делают все кому не лень. Собственно ручками я уже сделал, но хочется это оформить в файл реестра

Всего записей: 813 | Зарегистр. 23-02-2007 | Отправлено: 19:44 07-08-2016
CopperField

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Не надо мне трандеть

вспоминаются сразу 2 бессмертные цитаты:
"Ты, Зин, на грубость нарываешься" (с)
и  
"Отстань, свинья - сама не знаешь, чего хочешь!" (с)

Всего записей: 201 | Зарегистр. 29-03-2016 | Отправлено: 20:00 07-08-2016 | Исправлено: CopperField, 20:00 07-08-2016
ss661

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
вспоминаются сразу 2 бессмертные цитаты:  "Ты, Зин, на грубость нарываешься" (с)  и   "Отстань, свинья - сама не знаешь, чего хочешь!" (с)

Нет это вы нарываетесь на грубость, за тупость и вредные советы. Я сформулировал по руски и четко - необходимо закрыть запуск из корневой папки Windows исключив системные экзе. Ваша рекомендация закрыть в SRP доступ привела к неработоспособности

Всего записей: 813 | Зарегистр. 23-02-2007 | Отправлено: 20:09 07-08-2016
moroka33



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
CopperField

Цитата:
вспоминаются сразу 2 бессмертные цитаты:

Поддержу. Складывается впечатление, что ss661 уверен, что ему все и тут, в частности, должны по жизни... Интересно если бы к нему обращались в такой форме, как  бы он реагировал и хотел бы помочь?...)
 
 
Добавлено:
ss661

Цитата:
Ваша рекомендация закрыть в SRP доступ привела к неработоспособности

Были и другие рекомендации и вопросы насчет конкретики, которая почему-то скрывается...
Похоже, что стесняетесь признаться, что и где выхватили, т.к. не собираетесь исключать возможность повторного заражения, но хотите ограничить заразу в распространении...)
Прежде чем делать надо разобраться с тем что и как...

Всего записей: 4264 | Зарегистр. 31-07-2009 | Отправлено: 20:09 07-08-2016 | Исправлено: moroka33, 20:16 07-08-2016
ss661

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Были и другие рекомендации и вопросы насчет конкретики, которая почему-то скрывается...  Похоже, что стесняетесь признаться, что и где выхватили, т.к. не собираетесь исключать возможность повторного заражения, но хотите ограничить заразу в распространении...)  Прежде чем делать надо разобраться с тем что и как...

У вас маразм или что? Во первых не я выхватил, во вторых может вам вирусы и представлются по имени но мне предстали три экзешника xjhgkhg. Поскольку лучше подстелить соломки я хочу закрыть эту дыру

Всего записей: 813 | Зарегистр. 23-02-2007 | Отправлено: 20:22 07-08-2016
CopperField

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Ваша рекомендация закрыть в SRP доступ привела к неработоспособности

я рекомендовал закрыть запись в папку, а Вы (по Вашим собственным словам) закрыли запуск из папки. Вы разницу чувствуете или нет?
 
Дыры закрываются некоторым набором способов - Вас не устраивает ни один из них. Ну что еще с Вами делать-то?  
 
Поставьте монитор автозагрузки - неизвестные экзешники сами по себе запуститься тоже не могут. Их должно что-то запускать.

Всего записей: 201 | Зарегистр. 29-03-2016 | Отправлено: 20:36 07-08-2016
moroka33



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ss661

Цитата:
предстали три экзешника xjhgkhg

Последствия представления выявили или забыли проверить по запаре? Если да, то каковы они?
moroka33

Цитата:
Стоило бы просмотреть пару тройку страниц топика, а главное его шапку, там много полезных линков и описаний схожих ситуаций - если не помогут победить быстро, то помогут конкретизировать проблему.

Тоже небось на нервяке не покатило?
А похожие ситуации имели место и у меня:
http://forum.ru-board.com/topic.cgi?forum=62&topic=18156&start=2520#14
Чтобы поддерживать ХР3 в форме пользую следующую схему:
http://forum.ru-board.com/topic.cgi?forum=62&topic=18156&start=2560#6
По ходу топика на 5_ти 6_ти страницах назад есть много рекомендаций по поводу присечения несанкцианированной активности левых процессов от компетентных участников - смотреть надо внимательно и спокойно...
 
Добавлено:
ss661

Цитата:
У вас маразм или что

Будешь хамить - будут игнорировать - устраивает продолжай...)

Цитата:
три экзешника xjhgkhg

Схожие имена имеют файлы вируса шифровальщика - сразу бы уточнил давно бы более конкретные рекомендации получил...
И кто тебе теперь злобный Буратино?... А собственный косяк, небось, признать слабо?...

Всего записей: 4264 | Зарегистр. 31-07-2009 | Отправлено: 20:39 07-08-2016 | Исправлено: moroka33, 20:47 07-08-2016
ss661

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Схожие имена имеют файлы вируса шифровальщика - сразу бы уточнил давно бы более конкретные рекомендации получил...  И кто тебе теперь злобный Буратино?... А собственный косяк, небось, признать слабо?

На диске С:\  были три батничка, сами экзешники в Windows. Может и шифровальщик так как человек принесший чтото проговорил про "програмки которые удалил вирус". Поскольку толком не ясно я просто удалил и отдал, но осадок остался так как думал вирусы в основном в Documents settings стартуют.
Повторю снова - я хочу заткнуть эту уязвимость через SRP на ЧИСТЫХ системах, а не лечить последствия

Всего записей: 813 | Зарегистр. 23-02-2007 | Отправлено: 21:24 07-08-2016 | Исправлено: ss661, 21:28 07-08-2016
VV2015

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
На диске С:\  были три батничка
Ну что сказать, или зри в корень, или...  
Юзер-одминЪ, UAC-. Умеете. Могёте! (с)

Всего записей: 228 | Зарегистр. 07-11-2015 | Отправлено: 00:14 08-08-2016
KismetT_v3



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
UAC-.

Там ХРюша.
Бывалоча в стародавние времена использовал я с нею DropMyRights. И под админом, и приложения с правами пользователя куда им не следует не лезут. Оставшимся пользователям XP весьма рекомендую.


----------
Это я .... И это тоже я .... Мы из этих

Всего записей: 2471 | Зарегистр. 08-04-2016 | Отправлено: 00:29 08-08-2016
   

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Вирус(ы) в Windows XP,Vista,7,8,8.1,10. Проблемы. Решения.
KLASS (16-02-2017 18:32): Продолжение в Вирус(ы) в ОС Windows. Проблемы. Решения. (II)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru