Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Вирус(ы) в Windows XP,Vista,7,8,8.1,10. Проблемы. Решения.

Модерирует : KLASS, IFkO

KLASS (16-02-2017 18:32): Продолжение в Вирус(ы) в ОС Windows. Проблемы. Решения. (II)  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141

   

HDD



Platinum Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Вирусы в Windows XP, Vista, 7, 8, 8.1, 10. Проблемы. Решения.


Стандартные действия

Вариант №1

1. Скачиваем Dr.Web LiveDisk - Ссылка ведёт на страницу загрузки, записываем диск, загружаемся и проверяем системы на вирусы.  
И\или
Скачиваем Kaspersky Rescue Disk - Ссылка ведёт на страницу загрузки: на ядре Linux (вирусы под win не пройдут, а под *nix их нету по крайней мере живых), ядро от десятой версии и изменена "никсовая" оболочка. Обновление происходит раз в неделю. Записываем диск, загружаемся и проверяем системы на вирусы.
Вариант №2

1. Скачиваем загрузочный диск на базе LiveCD (Ссылки в Варезнике LiveCD/BootCD (DVD/USB) на базе OPK WinPE)
2. Скачиваем антивирусы работающие без инсталляции.
2.1 Dr.Web CureIT! - Ссылка ведёт на страницу загрузки  
2.2 Kaspersky Virus Removal Tool (AVPTool) - Ссылка ведёт на страницу загрузки  
3. Прожигаем скачанный LiveCD на болванку, перезагружаемся, выставляем в биосе загрузку с CD\DVD(Что бы зайти в биос, нужно нажимать после включения компьютера кнопки Del или F2, зависит от производителя материнской платы.) На некоторых материнских платах, возможно вызвать Boot Menu нажав F8 при загрузке и выбрать загрузку с CD\DVD не заходя в биос.  
4. Проверяем одной утилитой, перезагружаемся, проверяем второй утилитой, пытаемся загрузить систему.  
Желательно отключить систему восстановления. Свойства системы-система восстановления.

Разница между вариантом №1 и вариантом №2 заключается в следующем:
Если нет возможности скачать LiveCD, то проверяйте компьютер в безопасном режиме. При загрузке нажимать F8, выбрать верхний пункт(Safe Mode или безопасный режим). В этом случае при сохранение CureIt и AVPTool к себе на компьютер переименовывайте файлы. Ряд вирус блокирует запуск при стандартном имени файла.
Это стандартные действия, которые не гарантируют восстановление работоспособности ОС, НО! 90% проблем решается таким способом.
Если не помогает, то скачиваем AVZ, сканируем и выкладываем лог. Обязательно указываем какая версия Windows.

Полезные инструменты(утилиты)
Sysinternals (Microsoft) Process Explorer - Выдает подробнейшую информацию обо всех запущенных процессах, включая владельца, использование памяти, задействованные библиотеки и т.д.
Sysinternals (Microsoft) Autoruns - Позволяет контролировать автозагрузку запускающихся при старте операционной системы сервисов, приложений и других компонентов.
Sysinternals (Microsoft) Process Monitor - программа для мониторинга файловой системы, реестра и процессов в оперативной памяти. Filemon+Regmon
HijackThis - программа для удаления невидимых spyware
AutoLogger - автоматический сборщик логов, более подробное описание утилиты смотрите на странице скачивания.
AdwCleaner - программа для удаления тулбаров, adware и другого рекламного мусора.
MBRCheck - утилита для проверки MBR на предмет заражения современными "руткитами"
RegASSASSIN - Программа для удаления "заблокированных" веток и ключей в реестре из-за mailware
SmartFix - Эффективная программа для быстрого автоматического исправления неполадок.
Когда нужны? Когда есть работающая система, но есть подозрения, что дело "нечисто".  

Темы на форуме

Помощь при лечении компьютера от вирусов - помощь от "хелперов" с "VirusInfo". В топике строгие правила. Внимательно читаем шапку.
Антивирусы (Antivirus'ы) не требующие инсталяции - кому не хватает CureIT и AVPTool
AVZ - Anti-SpyWare, Anti-AdWare
Восстановление Windows - Как вернуть Windows к жизни без переустановки
Windows заблокирован! - отдельный топик по решению проблем с вирусом блокирующим запуск ОС и требующем выслать денег по СМС.
Обзор антивирусов(и др. средств безопасности на их основе) под Windоws 98/XP/Vista/7/8/8.1/10  
Тема посвящённая Kido, Conficker, Downadup
Полезные ссылки в интернете

Чистые системные файлы Windows, которые заражают блокеры - ссылка ведёт на страницу закачки
Поиск описания  вирусов по названию
Советы по лечению ПК от Олега Зайцева, автора Avz
Ручное лечение компьютера от вирусов - Спец.форум по проблемам с вирусамих.
Очистка Windows от вирусов - Статья от FuzzyL
Список "левых" служб, ссылающихся на svchost.exe, для WindowsXP
Страница VirusHunter`a - "Диспетчер задач\реестр\настройки рабочего стола  заблокирован(ы) .." Подборка полезных "точечных"  утилит.  
Безопасный Интернет. Универсальная защита для Windows ME - Vista - автор-составитель антивирусный эксперт, золотой бета-тестер Лаборатории Касперского Николай Головко
 
Шапка ©HDD
Вопросы по шапке здесь

Всего записей: 14819 | Зарегистр. 15-03-2003 | Отправлено: 23:20 18-09-2009 | Исправлено: KLASS, 18:48 16-02-2017
IvANANvI

Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Похоже господину DJMC надо было сразу посоветовать переустановить винду. Мы не ищем легких путей.  
GJF имел ввиду:
Не. Поможет точно - всё равно потом настраивать ....

Всего записей: 762 | Зарегистр. 29-11-2007 | Отправлено: 12:24 18-09-2010
gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
DJMC
route -f сбрасывает статмаршруты, поэтому сеть VPN слетит тоже. Если для доступа на 192.168.1.1 нужен был статмаршрут - то неудивительно, что его не было.
 
Странно, что провайдер не приводит подробных инструкций на эту тему.
 
Но всё хорошо, что хорошо кончается!

----------
Тут могла бы быть Ваша реклама... или эпитафия

Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 18:49 18-09-2010
DJMC



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
gjf

Цитата:
Если для доступа на 192.168.1.1 нужен был статмаршрут - то неудивительно, что его не было.

на будущее вдруг пригодится, как мне нужно было поступить?

Всего записей: 12236 | Зарегистр. 26-09-2005 | Отправлено: 20:56 18-09-2010
gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
DJMC
Ну опять же - если есть опыт и желание, то можно о чём-то говорить. Если нет - то лучше кого-то позвать
 
Мне трудно дать совет, потому что я не знаю специфики вашего провайдера. В классике, помогало удаление существующего сетевого подключения, route -f, перезагрузка и создание сетевого подключения заново. Если нужно добавить статмаршруты вручную - на сайте прова обычно это есть. Если же они делают из этого сверхтайну - можно после того, как их специалист выполнит эту сверхсекретную процедуру набрать

Код:
route PRINT > c:/netsettings.txt

и в итого у вас на диске С появляется файл netsettings.txt со всеми настройками.
Как их потом вбивать и что делать - набирайте команду route без параметров и читайте. Да и в нете мануалы есть, если сходу не разобраться.
 
Но опять же - это если есть хоть какой-то опыт и желание разбираться.

----------
Тут могла бы быть Ваша реклама... или эпитафия

Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 21:16 18-09-2010
ali1977



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
как пролечить вирус который все равно пролазит через обновленный каспер
вирус заставляет компьютер постоянно обращаться к 3.5 диску
я вроде всю сеть пролечит утилитой доктор веба (показывает какой то бекдур вирус) но после лечения - кто нить приносить зараженную флешку и опять все компы начинают тарахтеть приводами 3.5)))

Всего записей: 606 | Зарегистр. 15-07-2006 | Отправлено: 21:39 22-09-2010
SandraRich



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Прошу помощи. Произошла следующая ситуация:  
Открывая страничку http://keep4u.ru/full/cbfe49ba81a8416800a3f7fb5999e53c.html , сбрасывается какая-то вредоносная программа, но антивирусом она не обнаруживается. Программа, как я понимаю, устанавливается куда-то под Windows или прописывается в реестре, т.к. в списке установленных программ, она не значится, а значит её не видно, и просто так не удалишь.  
Открыв страницу и ожидая загрузку картинки, появилось сообщение от Agnitum Outpost, что какая-то программа, в формате EXE, пытается изменить записи в реестре. И, поскольку, Outpost у меня находится в режиме обучения, он дал мне команду "Разрешить это действие", чему я и последовала.  
Сначала, я не предала этому особого значения, т.к. подумалось, что это какая-то моя программа отреагировала так на открытую страницу, и только потом, когда Internet Explorer заблокировал загрузку информации на компьютер, я поняла, что я разрешила проникнуть в мой компьютер чему-то вредоносному.  
 
Пожалуйста, протестируйте кто-нибудь эту страничку, и скажите, в чём там причина, и как удалить эту сброшенную на мой компьютер EXE - программку, название которой начинается на Cureit?  

Всего записей: 291 | Зарегистр. 11-05-2008 | Отправлено: 04:48 23-09-2010
HDD



Platinum Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
SandraRich

Цитата:
которой начинается на Cureit?  

? CureIt это лечебная утилита от DrWeb.

Цитата:
Открывая страничку

Зачем?  
ali1977
Обновления Windows установлены?

----------
Мир есть Текст
The Show Must Go On
Карта раздела «Microsoft Windows»

Всего записей: 14819 | Зарегистр. 15-03-2003 | Отправлено: 08:19 23-09-2010
alvad

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
как пролечить вирус который все равно пролазит через обновленный каспер

Настройте Каспера чтобы он лечил потенциально опасное ПО (Riskware)
 

Всего записей: 8 | Зарегистр. 29-09-2005 | Отправлено: 08:50 23-09-2010
gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
SandraRich
У меня ничего не установилось и не пролезло.
Какие ещё симптомы заражения? На кого ругался Outpost - какое имя программы? Вы можете этот файл, на который ругался, залить куда-нибудь, а здесь опубликовать ссылку на него?

----------
Тут могла бы быть Ваша реклама... или эпитафия

Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 11:38 23-09-2010
opt_step



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
SandraRich
страничка чистая http://www.virustotal.com/url-scan/report.html?id=e7b1a83c57def231dfad58f68499ae99-1285225895

Всего записей: 11230 | Зарегистр. 10-09-2008 | Отправлено: 13:12 23-09-2010
slavka850

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
описываю этап заражения:
зашел на сайт imageban.ru с IE6 (к сайту ранее притензей не было, видимо рекламный модуль заражен), запустилась Java 6 update 16, по всей видимости она скачала *.exe с желто-зеленой иконкой (а возможно и не только его). Касперский 2009 начал эвристический анализ этой проги (сразу двух ее экземпляров), но даже максимальные настройки безопасности не предотвратили то что случилось далее. по очередно начали вылетать все проги, что были запущены в данный момент (возможно от переполнения буфера), в том числе и все службы от чего комп вскоре сообщил о неминуемом перезапуске.
 
как лечил и что находил:
командой shutdown -a мне удалось избежать перезапуска и возможных серьезных последствий. удалось запустить Process Explorer (почти все проги не могли запуститься из-за ошибки "память не может быть read", что косвенно подтверждает идею о переполнении буфера), Проводник (после того как я вырубил все что можно) и к великой радости самого Касперского (который, как вы догадались, тоже вылетел, однако его службы осталась в памяти). Каспер обнаружил абсолютно скрытую папку C:\systemhost.exe\ (зайти в нее можно было только непосредственно введя путь) и пару файлов вируса в этой папке (systemhost.exe Ydy zjDp иконка от MS Access и еще какой-то *.bin, обозвав их Hidden.Object), но не нашел файла копирующего этот вирус (в папке Documents and Settings netprotocol.exe Ydy zjDp иконка от MS Access) и два файла что проверялись эвристическим методом (в папке system32). после их обнаружения он просил перезагрузки. однако я, пользуясь рабочим Проводником стал искать новые файлы (удалил каких-то два скрытых файла в папке drivers, почистил куки и кэш IE6), однако пока не нашел саму папку C:\systemhost.exe\ . далее я наконец перезагрузился, вирус было захотел запуститься, но пострадал от ошибки "память не может быть read". потом с помощью WinRAR я наконец-то нашел скрытую папку и удалил ее. так же поудалял другие подозрительные новые файлы. и после следующей перезагрузки остался лишь один след заражения.
 
проблема:
теперь каждый раз explorer.exe запускает дочерний процесс svchost.exe (который не является службой). этот процесс каждые 5 минут посылает исходящий TCP пакет на адрес 209.159.153.138 и порт 8888, который блокируется моим фаерволом. при подключении сети svchost.exe начинает посылать еще и dns запросы, пытаясь выйти в сеть. если вырубить этот дочерний процесс, то пакеты более не посылаются.
 
вопрос:
нет 100% уверенности, но я считаю что explorer.exe и svchost.exe остались оригинальными. оттого мне не понятно как explorer.exe запускает дочерний процесс (скорее всего как расширение оболочки и если воспользоваться прогой Autorun от Марка Руссовича, то вероятно я найду это расширение и смогу отключить его, однако ж настройки на посыл пакетов сохраняться, а мне хотелось бы полностью избавиться от вируса) и как мне это устранить. возможно есть еще какие-то последствия которых я просто не заметил - желаю устранить и их тоже.

Всего записей: 54 | Зарегистр. 28-10-2007 | Отправлено: 16:39 03-10-2010
gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
slavka850
Скорее всего где-то валяется библиотека, зареганная как служба под svchost - она и лезет в сеть. Такая фигня популярна.
 
Давайте в тему с моей подписи, делайте логи - посмотрим. Хотя возможно без Gmer'a не обойтись будет....

----------
Тут могла бы быть Ваша реклама... или эпитафия

Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 19:53 03-10-2010
1Kipovec



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
slavka850 ,он же
Цитата:
tpmOCHKA
,он же ....
 

Цитата:
запустилась Java 6 update 16

файлик syscron.exe за "подписью" лаборатории кошмарского "попытался" прописаться (у меня) примитивно в папку автозагрузка.
pыs Сайтик правда другой (компьютерного маркета) и не update 16, а 6.

----------
"ГрОмАтеям" нефиг поучать. Мои ошибки, ЭТО МОИ ошибки. Т.Е. Эксклюзив. Следите луче за своим трёпом.
nick-name.ru

Всего записей: 641 | Зарегистр. 24-08-2009 | Отправлено: 09:29 04-10-2010 | Исправлено: 1Kipovec, 09:37 04-10-2010
SandraRich



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
И всё-таки то, о чём я писала выше, оказалось вирусом, подхваченным с той странички.  
После его удаления, что-то осталось, и при включении (запуске) компьютера, появляется окно с сообщением:
RUNDLL wqrm.cto  Ошибка при запуске. Не найден указательный модуль.  
Как найти и удалить этот файл?  

Всего записей: 291 | Зарегистр. 11-05-2008 | Отправлено: 05:05 05-10-2010
pav



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
SandraRich
Ищите в реестре. Обычно в  
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run];
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run];
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell";
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit";
и в аналогичных ветках раздела HKCU.

Всего записей: 1856 | Зарегистр. 27-01-2002 | Отправлено: 08:58 05-10-2010
vzar



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
SandraRich
Воспользуйтесь бесплатной утилитой Autoruns она всё покажет.

Всего записей: 7616 | Зарегистр. 31-07-2009 | Отправлено: 09:04 05-10-2010
gab1967



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
после загрузки хр  при наведении курсор  на папку или ярлык курсор начинает моргать и открывает их много раз, минуты через 2-3 все проходит и полет нормальный до следующего включения компа вопрос это вирус или проблема софта

Всего записей: 201 | Зарегистр. 18-10-2008 | Отправлено: 19:45 05-10-2010
SandraRich



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vzar, я её скачала, устанавливать программу, я так понимаю, не нужно. Далее, она быстро просканировала и показала результат. А дальше-то что мне делать? Ну, допустим, вижу я этот файл, который нужно удалить, и как мне это сделать? А также, что мне делать с другими найденными и отмеченными файлами?  

Всего записей: 291 | Зарегистр. 11-05-2008 | Отправлено: 07:02 06-10-2010
vallyol

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
SandraRich
Правая кнопка мыши по найденному Вами файлу - Delete

Всего записей: 392 | Зарегистр. 17-02-2005 | Отправлено: 09:24 06-10-2010
SandraRich



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vallyol, спасибо. А что если с найденным файлом, который отмечен галочкой, далее идёт пояснение, что такой файл не найден. Такие файлы можно смело удалять или же они нужны системе?  

Всего записей: 291 | Зарегистр. 11-05-2008 | Отправлено: 22:20 06-10-2010
   

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Вирус(ы) в Windows XP,Vista,7,8,8.1,10. Проблемы. Решения.
KLASS (16-02-2017 18:32): Продолжение в Вирус(ы) в ОС Windows. Проблемы. Решения. (II)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru