HDD Platinum Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Вирусы в Windows XP, Vista, 7, 8, 8.1, 10. Проблемы. Решения. Стандартные действия Вариант №1 1. Скачиваем Dr.Web LiveDisk - Ссылка ведёт на страницу загрузки, записываем диск, загружаемся и проверяем системы на вирусы.   И\или Скачиваем Kaspersky Rescue Disk - Ссылка ведёт на страницу загрузки: на ядре Linux (вирусы под win не пройдут, а под *nix их нету по крайней мере живых), ядро от десятой версии и изменена "никсовая" оболочка. Обновление происходит раз в неделю. Записываем диск, загружаемся и проверяем системы на вирусы. Вариант №2 1. Скачиваем загрузочный диск на базе LiveCD (Ссылки в Варезнике LiveCD/BootCD (DVD/USB) на базе OPK WinPE) 2. Скачиваем антивирусы работающие без инсталляции. 2.1 Dr.Web CureIT! - Ссылка ведёт на страницу загрузки   2.2 Kaspersky Virus Removal Tool (AVPTool) - Ссылка ведёт на страницу загрузки   3. Прожигаем скачанный LiveCD на болванку, перезагружаемся, выставляем в биосе загрузку с CD\DVD(Что бы зайти в биос, нужно нажимать после включения компьютера кнопки Del или F2, зависит от производителя материнской платы.) На некоторых материнских платах, возможно вызвать Boot Menu нажав F8 при загрузке и выбрать загрузку с CD\DVD не заходя в биос.   4. Проверяем одной утилитой, перезагружаемся, проверяем второй утилитой, пытаемся загрузить систему.   Желательно отключить систему восстановления. Свойства системы-система восстановления. Разница между вариантом №1 и вариантом №2 заключается в следующем: Если нет возможности скачать LiveCD, то проверяйте компьютер в безопасном режиме. При загрузке нажимать F8, выбрать верхний пункт(Safe Mode или безопасный режим). В этом случае при сохранение CureIt и AVPTool к себе на компьютер переименовывайте файлы. Ряд вирус блокирует запуск при стандартном имени файла. Это стандартные действия, которые не гарантируют восстановление работоспособности ОС, НО! 90% проблем решается таким способом. Если не помогает, то скачиваем AVZ, сканируем и выкладываем лог. Обязательно указываем какая версия Windows. Антивирусы и вендоры Полезные инструменты(утилиты) Sysinternals (Microsoft) Process Explorer - Выдает подробнейшую информацию обо всех запущенных процессах, включая владельца, использование памяти, задействованные библиотеки и т.д. Sysinternals (Microsoft) Autoruns - Позволяет контролировать автозагрузку запускающихся при старте операционной системы сервисов, приложений и других компонентов. Sysinternals (Microsoft) Process Monitor - программа для мониторинга файловой системы, реестра и процессов в оперативной памяти. Filemon+Regmon HijackThis - программа для удаления невидимых spyware AutoLogger - автоматический сборщик логов, более подробное описание утилиты смотрите на странице скачивания. AdwCleaner - программа для удаления тулбаров, adware и другого рекламного мусора. MBRCheck - утилита для проверки MBR на предмет заражения современными "руткитами" RegASSASSIN - Программа для удаления "заблокированных" веток и ключей в реестре из-за mailware SmartFix - Эффективная программа для быстрого автоматического исправления неполадок. Когда нужны? Когда есть работающая система, но есть подозрения, что дело "нечисто".   Темы на форуме Помощь при лечении компьютера от вирусов - помощь от "хелперов" с "VirusInfo". В топике строгие правила. Внимательно читаем шапку. Антивирусы (Antivirus'ы) не требующие инсталяции - кому не хватает CureIT и AVPTool AVZ - Anti-SpyWare, Anti-AdWare Восстановление Windows - Как вернуть Windows к жизни без переустановки Windows заблокирован! - отдельный топик по решению проблем с вирусом блокирующим запуск ОС и требующем выслать денег по СМС. Обзор антивирусов(и др. средств безопасности на их основе) под Windоws 98/XP/Vista/7/8/8.1/10   Тема посвящённая Kido, Conficker, Downadup Полезные ссылки в интернете Чистые системные файлы Windows, которые заражают блокеры - ссылка ведёт на страницу закачки Поиск описания  вирусов по названию Советы по лечению ПК от Олега Зайцева, автора Avz Ручное лечение компьютера от вирусов - Спец.форум по проблемам с вирусамих. Очистка Windows от вирусов - Статья от FuzzyL Список "левых" служб, ссылающихся на svchost.exe, для WindowsXP Страница VirusHunter`a - "Диспетчер задач\реестр\настройки рабочего стола  заблокирован(ы) .." Подборка полезных "точечных"  утилит.   Безопасный Интернет. Универсальная защита для Windows ME - Vista - автор-составитель антивирусный эксперт, золотой бета-тестер Лаборатории Касперского Николай Головко   Шапка ©HDD Вопросы по шапке здесь Всего записей: 14819 | Зарегистр. 15-03-2003 | Отправлено: 23:20 18-09-2009 | Исправлено: KLASS, 18:48 16-02-2017

Vigorous Gold Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору deem73 файл "hosts" чист ?   Добавлено: вижу, что писал, но проверь ещё раз более всего похоже: остался какойто зловред (вирус) Всего записей: 5200 | Зарегистр. 23-06-2005 | Отправлено: 06:51 19-01-2010

jonvarvar Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору  deem73 Цитата: sfc отработало - но не помогло. Где еще рыть?    Возможно - подмена провайдера. Посмотри ,в частности , не просится ли кто в Украину - сейчас часто встречается; вообще - обрати внимание на непонятные IP в OUT. Пробей их через "whois" ;если что найдётся - ищи эти IP в своём реестре и отсюда уже танцуй... Особый акцент на : "чужих" провайдеров , всё ,связанное с proxy , "левыми" хостами и т.п. Лучше это делать , через файер , но уж если таковых нет , юзай любую удобную   следилку за трафом . (Объява "405 Not Allowed" с антивирьных сайтов часто указует,   что соединение идёт через какой-то прокси-сервер...)    В "Проводнике"  посмотри на дату системных файлов , ищи -в районе ,когда произошло   заражение . На что обращать особое внимание - глянь через тот же Autoruns.     Не найдёшь так - тупо запускай Process Monitor и сперва иди на любой сайт , а потом -   на проблемный, "антивирусный" , и сравнивай  , типа "найдите 10 различий"...(Особо   следи за обращениями к реестру , и уж через него копай файловую систему)    И ещё , WinSockFix порой лучше применять дважды : для восстановления соединения с   Сетью и - уже после устранения самого зловреда . Пока вирус в Системе , никакие   WinSockFix не могут гарантировать корректного восстановления сетевых протоколов.    P.S. Хотя , если был откат , и откат удачный , антивирь легко переустановился ... Я б в первую очередь копнул настройки собственного браузера. Всего записей: 532 | Зарегистр. 24-07-2009 | Отправлено: 14:09 19-01-2010

deem73 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Слушал порты CurrPorts'ом, перед этим поубивал все процессы какие система разрешила. Спецом грузил IE  с одной страничкой чтоб посмотреть что появляется? Порты новые не открываются, процессы не запускаются, всё т.к. должно быть. Пробовал и напрямую соединятся и через прокси - один хрен, всё равно не грузится картинки (а симантек целиком). Пробовал разными браузерами IE, Opera, FF, Chrome.   Дату системных файлов не смотрел, хотя после sfc /scannow, это бесполезно. Всё что попорчено она восстановила. А по датам файлов, я начинаю сразу вирус удалять. В Тотале отфильтрую все файлы которые поменялись - и уже с ними работаю. Это и было проделано еще в самом начале.   В autoruns'e ничего подозрительного перед этим разделом точно   HKLM\SOFTWARE\Classes\Protocols\Filter             а ниже... что там дальше, я уже не могу однозначно определить. Вроде ничего нет.   ProcessMonitor оставлю-ка на потом. Уж очень он много инфы выдает, и проблематично высортировать именно то что нужно.   WinsockXPFix применялся бесчисленное число раз.   Мое мнение, где-то в реестре есть зловредные исправления. Только как их найти? Поиск по словам eset.com, symantec.com ничего не дал. Ничего не дал также и поиск по айпишникам этих сайтов. Всего записей: 70 | Зарегистр. 19-11-2008 | Отправлено: 21:28 19-01-2010

jonvarvar Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Порты новые не открываются, процессы не запускаются, всё т.к. должно быть.  Забей пока на "процессы и порты" , если надо зловред и через 80-й отработает. Должно   интересовать : "Журнал HTTP" и "брандмауэр" . Не понимаю , почему не поставить файер   хотя б для этого ? Тот же фриварный COMODO , но удобнее логирует Outpost - вроде в   прошлом году даже как Pro "шёл на экспорт" бесплатно - найти в "забугорных" файлохранах наверняка несложно...     Цитата: В autoruns'e ничего подозрительного перед этим разделом точно  Не копай всю кучу , надо -NetworkProviders и Winsock Providers .В первом случае д.б.   только штатные ntlanman.dll,drprov.dll,davclnt.dll , во втором - mswsock.dll, rsvpsp. dll, winrnr.dll , обычно подменяют 5-6 "веток" с  mswsock.dll . Хотя, после WinSockFix здесь   проблем не должно быть.   Цитата: ProcessMonitor оставлю-ка на потом. Уж очень он много инфы выдает  Зря. Ты эту инфу фильтруй . Проследи только обращения к реестру (фактически - regmon ) и т.п. Иначе , действительно закопаешься...   Но так или иначе , через логироване ли файером , или мониторинг надо вычислить именно IP- шник , создающий проблемы , и именно через это уже "шерстить" реестр . То есть искать что- то типа "{бла-бла-бла-....-бла}...NNN.NNN.NNN.NNN" , где последнее -   зтот IP . (ведущий в данном случае скорее всего куда-то в .ua). "Поиск по словам"   , тем более -"eset.com, symantec.com" - абсолютно бесперспективен .    Чтоб не размазывать кашу - прще всего -_http://virusinfo.info/pravila.html - как раз сейчас на virusinfo подвалила масса народа именно с твоей проблемой .    P.S. Но что - то гложет меня сомнение , что проблема с "картинками" , возможно не   вирусная , а системная . Какая нибудь недобитая банерорезка о себе напоминает ,   конфликт браузеров и т.п. В этом смысле сайт Symantec - ещё не показатель , наследники "дедушки Нортона" (после летней атаки на серваки антивирей) несколько   перебарщивают с параноей , возможно им чем то твой провайдер не глянулся , или твой   IP , или забанили твой mac, поскольку разок хотел зайти к ним через "нехороший" проксик... Всего записей: 532 | Зарегистр. 24-07-2009 | Отправлено: 06:57 20-01-2010

deem73 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата:  Не копай всю кучу , надо -NetworkProviders и Winsock Providers .В первом случае д.б.   только штатные ntlanman.dll,drprov.dll,davclnt.dll , во втором - mswsock.dll, rsvpsp. dll, winrnr.dll , обычно подменяют 5-6 "веток" с  mswsock.dll . Хотя, после WinSockFix здесь   проблем не должно быть. Тут всё Ок!   по поводу остальных пунктов... Напишу в ВирусИнфо, может там помогут. Всего записей: 70 | Зарегистр. 19-11-2008 | Отправлено: 23:20 20-01-2010

jonvarvar Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору  deem73    По поводу "прокси" - недавно узнал "народное средство" : зайди на сайт "купи-продайки" -irr.ru ; помимо того , что сайт сам по себе "тяжелый" (хорошо показывает  праблы с графикой) , он очень качественно выявляет перенаправление, тем более наличие на трассе прокси-сервера. При наличии такового тебя на сайт однозначно   не пустят. (Поэтому на той же "Опере" не ходи - только на IE !) Зайдёшь на irr.ru на "Ишаке" - 90-95% , что через "проксик" тебя не правят - одним сомнением будет меньше.  А ребята , обслуживающие эту "барахолку" молодцы , очень профессионально защищают сайт (защита на порядок лучше иных антивирьных серверов), поэтому "народное средство", самотестирование через него, работает "как часы", поэффективнее разных утилит и антишпайных сервисов... Всего записей: 532 | Зарегистр. 24-07-2009 | Отправлено: 06:25 21-01-2010 | Исправлено: jonvarvar, 06:26 21-01-2010

champa Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Добрый день!!! Подскажите!!! есть комп: посидели в инете(возможно на порно сайтах или еще где), теперь при загрузке системы (винь ХР) при открытии любого файла/программы вылетает окно Internet Security с инфой о том, что типа файл, который пытаемся открыть, заражен и начинается процес сканирования процессов, он - этот так называемый Интернет секьюрити - находит еще неск файлов зараженных и предлагает три кнопки: лечить, удалить, отмена. При нажатии на любую из них вылетает типа активируйте программы, код получать надо через смс.   Лечил DrWeb LiveCD - кое-что нашел удалил.  Но эта проблема все равно осталась. При загрузке через безопасный режим и запуске того же AVZ, комп уходит в перезагрузку.   Че делать не знаю!!!   Хэлп ми плиз!!!!! Всего записей: 281 | Зарегистр. 05-03-2007 | Отправлено: 13:50 21-01-2010

TheBarmaley Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору champa лечи через лив-сд, самое верное.. и почитай ещё тут: Цитата: Windows заблокирован а самое главное - не нервничай и не занимайся кросспостингом.. :) Всего записей: 17291 | Зарегистр. 07-06-2006 | Отправлено: 15:11 21-01-2010

Stalker61 Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору mrdime Предотвращение использования USB-устройств хранения данных Всего записей: 3641 | Зарегистр. 22-02-2003 | Отправлено: 15:48 21-01-2010

udaffchik Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору triskach Цитата: а сетевую карту не видит И в деспетчере устройств?   Всего записей: 254 | Зарегистр. 29-11-2009 | Отправлено: 21:21 21-01-2010

deem73 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: зайди на сайт "купи-продайки" -irr.ru ; помимо того , что сайт сам по себе "тяжелый" (хорошо показывает  праблы с графикой) Загрузилась на ишаке со второй попытки. С первой, страничка недозагрузилась и повисла по таймауту, после рефреша - загрузилась. На опере сразу открылась без проблем. Всего записей: 70 | Зарегистр. 19-11-2008 | Отправлено: 21:25 21-01-2010

s0mik Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору triskach Офтопик кнопки «Сообщить модератору» вполне достаточно Всего записей: 90 | Зарегистр. 07-11-2006 | Отправлено: 22:48 22-01-2010 | Исправлено: vu1tur, 11:27 25-01-2010

1Kipovec Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору zis82 ...грохнуть в безопасном режиме.. Не факт, уже поподались 2 компа на которых и в "безопаснике" та жа фигня. Пришлось через "лайф сд" прибивать. Всего записей: 641 | Зарегистр. 24-08-2009 | Отправлено: 14:52 23-01-2010

TheBarmaley Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Focusrite Цитата: Прочитал, ссылка Бармалея, за что тебе спасибо огромное! доброе слово, каэшна, и кошке приятно.. но надо было сперва в шапке позырить - сцыла-то оттуда.. ;)) Цитата: Или она не спасёт? не спасёт, имха.. уж очень новые глисты любят в систем-рекавери залазить.. :) почисти для гарантии с лив-сд, потом пробуй Восстановление Windows (за сцылу не надо спасибок, она тоже - из шапки :) можно также попробовать после зачистки с лив-сд переустановить венду поверх, апдейтом.. так быстрее будет, чем трахаццо с восстановлением файлов и прочая.. Всего записей: 17291 | Зарегистр. 07-06-2006 | Отправлено: 15:18 23-01-2010

Focusrite Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Вообщем победил, даже проще чем пишут, народ парится ищит коды какие-то... Подключаем винт к другому компу чтобы загрузится с другого винта, либо делаем с помощью комплекта Infra CD загрузочный диск, через заливку исо образа через Неро и грузимся с него, Лив СД не подойдёт, т.к. там линукс и нет редактора не активного реестра. Получаем винды с сиди. В Инфра есть "Аваст реестр редактор", в разделе Программы. Выбираем открыть реестр на диске С: (это будет наш зараженный диск) и трём параметр АппИнит, чтобы он остался, но длл никаких или другого ничего не вызывал, у меня там был файл 3dmove.cur:и тут мусор , у всех будет разный вариант названия   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="XXXXXXXXXX.dll"   После этого,  поиском по реестру F3, ищем еще этот файл в ветках, где есть там стираем.   Запускаем Тотал Командер с ИнфраСД, и с нашего зараженного диска трём все директории TEMP. То есть Windows/Temp , Document and Setting/все юзеры/Local Settings/Temp Закрываем Аваст реестр редактор, перегружаемся уже с больного винта и всё ок   А у тех у кого остались следы(не открытие экзешников, реестра и тд), то делаем так: http://wiki.drweb.com/index.php/%D0%95%D1%81%D0%BB%D0%B8_%D1%87%D1%82%D0%BE-%D1%82%D0%BE_%D0%BE%D1%82%D0%BA%D0%BB%D1%8E%D1%87%D0%B5%D0%BD%D0%BE   В общем, главная фишка в:  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="XXXXXXXXXX.dll"     остальное даже можно не делать, всё работает Всего записей: 141 | Зарегистр. 18-03-2006 | Отправлено: 20:36 23-01-2010 | Исправлено: Focusrite, 20:38 23-01-2010

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Вирус(ы) в Windows XP,Vista,7,8,8.1,10. Проблемы. Решения.

KLASS (16-02-2017 18:32): Продолжение в Вирус(ы) в ОС Windows. Проблемы. Решения. (II)

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование