Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Вирус(ы) в ОС Windows. Проблемы. Решения. (II)

Модерирует : KLASS, IFkO

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35

Открыть новую тему     Написать ответ в эту тему

KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Предыдущие части: -I-

Вирусы в Windows XP, Vista, 7, 8, 8.1, 10.
Проблемы. Решения.


Стандартные действия

Вариант №1

1. Скачиваем Dr.Web LiveDiskСсылка ведёт на страницу загрузки, записываем диск, загружаемся и проверяем системы на вирусы.  
И\или
Скачиваем Kaspersky Rescue DiskСсылка ведёт на страницу загрузки: на ядре Linux (вирусы под win не пройдут, а под *nix их нет, по крайней мере живых), ядро от десятой версии и изменена "никсовая" оболочка. Обновление происходит раз в неделю. Записываем диск, загружаемся, обновляем базы и проверяем системы на вирусы.
Вариант №2

1. Скачиваем загрузочный диск на базе LiveCD (Ссылки в Варезнике LiveCD/BootCD (DVD/USB) на базе OPK WinPE)
2. Скачиваем антивирусы работающие без инсталляции.
2.1 Dr.Web CureIT!Ссылка ведёт на страницу загрузки  
2.2 Kaspersky Virus Removal Tool (AVPTool)Ссылка ведёт на страницу загрузки  
3. Прожигаем скачанный LiveCD на болванку, перезагружаемся, выставляем в биосе загрузку с CD\DVD(Что бы зайти в биос, нужно нажимать после включения компьютера кнопки Del или F2, зависит от производителя материнской платы.) На некоторых материнских платах, возможно вызвать Boot Menu нажав F8 при загрузке и выбрать загрузку с CD\DVD не заходя в биос.  
4. Проверяем одной утилитой, перезагружаемся, проверяем второй утилитой, пытаемся загрузить систему.  
Желательно отключить систему восстановления. Свойства системы-система восстановления.

Разница между вариантом №1 и вариантом №2 заключается в следующем:
Если нет возможности скачать LiveCD, то проверяйте компьютер в безопасном режиме. При загрузке нажимать F8, выбрать верхний пункт(Safe Mode или безопасный режим). В этом случае при сохранение CureIt и AVPTool к себе на компьютер переименовывайте файлы. Ряд вирус блокирует запуск при стандартном имени файла.
Это стандартные действия, которые не гарантируют восстановление работоспособности ОС, НО! 90% проблем решается таким способом.
Если не помогает, то скачиваем AVZ, сканируем и выкладываем лог. Обязательно указываем какая версия Windows.

Полезные инструменты(утилиты)

Sysinternals (Microsoft) Process ExplorerВыдает подробнейшую информацию обо всех запущенных процессах, включая владельца, использование памяти, задействованные библиотеки и т.д.
Sysinternals (Microsoft) AutorunsПозволяет контролировать автозагрузку запускающихся при старте операционной системы сервисов, приложений и других компонентов.
Sysinternals (Microsoft) Process Monitorпрограмма для мониторинга файловой системы, реестра и процессов в оперативной памяти. Filemon+Regmon
HijackThisпрограмма для удаления невидимых spyware
AutoLoggerавтоматический сборщик логов, более подробное описание утилиты смотрите на странице скачивания.
AdwCleanerпрограмма для удаления тулбаров, adware и другого рекламного мусора.
RegASSASSINПрограмма для удаления "заблокированных" веток и ключей в реестре из-за mailware
SOSКомплект программ  для диагностики/реанимации/оптимизации/защиты/профилактики Windows. Скачать
SmartFixЭффективная программа для быстрого автоматического исправления неполадок Оф.сайт

Темы на форуме

Обсуждение wannaCry в админском разделе..
Помощь при лечении компьютера от вирусовпомощь от "хелперов" с "VirusInfo". В топике строгие правила. Внимательно читаем шапку.
Антивирусы (Antivirus'ы) не требующие инсталяциикому не хватает CureIT и AVPTool
AVZ - Anti-SpyWare, Anti-AdWare
Восстановление WindowsКак вернуть Windows к жизни без переустановки
Windows заблокирован!отдельный топик по решению проблем с вирусом блокирующим запуск ОС и требующем выслать денег по СМС.
Обзор антивирусов (и др. средств безопасности на их основе) под Windоws 98/XP/Vista/7/8/8.1/10
Полезные ссылки в интернете

Закрываемся от вируса-шифровальщика WannaCry
VirusTotal — бесплатная служба, осуществляющая анализ подозрительных файлов и ссылок (URL) на предмет выявления вирусов, червей, троянов и всевозможных вредоносных программ.  
Чистые системные файлы Windows, которые заражают блокерыссылка ведёт на страницу закачки
Поиск описания  вирусов по названию
Советы по лечению ПК от Олега Зайцева, автора Avz
Ручное лечение компьютера от вирусовСпец.форум по проблемам с вирусамих.
Очистка Windows от вирусовСтатья от FuzzyL
Список "левых" служб, ссылающихся на svchost.exe, для WindowsXP
Страница VirusHunter`a — "Диспетчер задач\реестр\настройки рабочего стола  заблокирован(ы) .." Подборка полезных "точечных" утилит.  
Безопасный Интернет. Универсальная защита для Windows ME - Vista — автор-составитель антивирусный эксперт, золотой бета-тестер Лаборатории Касперского Николай Головко
 
Прежде чем изменять шапку спроси здесь. Не спросил-запрет на пост! KLASS

Всего записей: 10087 | Зарегистр. 12-10-2001 | Отправлено: 18:31 16-02-2017 | Исправлено: 526549, 18:38 09-01-2019
whatismyrealself

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Bersaglio
Благодарю. KRD нашёл кое-что:
Trojan.Win64.Agent.qwhvze - windows\system32\AudioStrm.exe
Trojan.Win64.Agent.qwhvze - devmgr.exe
HEUR:Trojan.Win32.Agentb.gen - grumble32.dll
 
billibons
Нет. Но на иконке файла есть маленький значёк щита UAC. Чего нет у оригинала.
и внутри файлы:
.rsrc\
.bss
.data
.idata
.itext
.rdata
.rsrc_1
.text
.tls

Всего записей: 55 | Зарегистр. 12-12-2018 | Отправлено: 11:28 04-01-2022 | Исправлено: whatismyrealself, 11:29 04-01-2022
Andrea



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Bersaglio
Ещё один "наивный" вопрос: допустим, я загружаюсь с Live CD/USB из под Bios (то есть, не из запущенной Windows), а на Live CD имеются зловреды (вирусы, черви). Могут ли они в этом случае заразить/повредить установленную систему и содержимое других дисков, если они подключены?

Всего записей: 790 | Зарегистр. 24-12-2015 | Отправлено: 22:38 27-01-2022 | Исправлено: Andrea, 22:52 27-01-2022
ipmanyak



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Andrea Даже странный вопрос, ты загружаешь зараженную систему, ответ очевиден, конечно могут.


----------
В сортире лучше быть юзером, чем админом...

Всего записей: 10993 | Зарегистр. 10-12-2003 | Отправлено: 09:40 28-01-2022
Andrea



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ipmanyak
Представлял себе так, что поскольку многие вирусы цепляются именно к запускаемым/автозапускаемым исполняемым файлам, то установленную систему они не тронут, т.к. при загрузке с Live CD никакие программы в основной системе не выполняются, а интернет как правило не работает. Но если они будут сканировать все dll/ocx/exe c целью их модификации (или шифровки всех файлов), тогда конечно. Просто существуют Live CD для пин-тестеров, на которых могут присутствовать зловреды - выходит, с таких Live CD загружаться небезопасно

Всего записей: 790 | Зарегистр. 24-12-2015 | Отправлено: 21:19 30-01-2022 | Исправлено: Andrea, 22:33 30-01-2022
Barence



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Доброго дня, знатоки компьютерной заразы. Очень прошу помощи.
 
Вчера вечером Norton Internet Security вдруг выдал предупреждение о каких-то подозрительных действиях, предложив запустить Norton Power Eraser (проверка которым ничего не дала). Самое интересное, что я нигде не лазил, разве только при включении ноутбука обновил антивирусные базы Нортона, как делаю регулярно.
 
После этого и по настоящий момент раз в несколько секунд, даже при отключенном Интернете, выдается сообщение: "Norton заблокировал атаку: System Infected: Trojan.Backdoor Activity 666."
 
Сканирование Нортоном, в т.ч. Norton Power Eraser, ничего не дает - ничего не находит, как и сканером Kaspersky Virus Removal Tool. Malwarebytes тоже ничего подозрительного не выдала.
 
Вот подробные сведения о событии из Журнала безопасности Norton:
____
Имя предупреждения IPS: System Infected: Trojan.Backdoor Activity 666
Действие по умолчанию: Действия не требуются
Предпринятое действие: Действия не требуются
Атакующий компьютер: 141.98.90.210, 8880
URL-адрес атакующего: *http://seko.vipers.pw:8880/connect
Целевой адрес: <IP-адрес>,1890
Исходный адрес: 141.98.90.210
Описание трафика: TCP, Порт 8880
 
Сетевой трафик от *http://seko.vipers.pw:8880/connect соответствует сигнатуре известной атаки. Атака исходит от DEVICE\HARDDISKVOLUME2\WINDOWS\SYSTEM32\WSCRIPT.EXE. Для отмены оповещения об этом типе трафика на панели Действия выберите Не уведомлять.
___
 
(http там без звездочки, добавил, дабы ссылки не было в сообщении)
Что это за зараза и как от нее избавиться?
 
Система Windows 7 x64.

Всего записей: 19 | Зарегистр. 05-02-2016 | Отправлено: 12:06 17-03-2022 | Исправлено: Barence, 12:09 17-03-2022
KismetT_v3



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Можно временно заблокировать с помощью групповых политик запуск WSCRIPT.EXE.
Можно попробовать сканировать другим сканером, например др.Веб-ом Куреит в безопасном режиме.


----------
Это я .... И это тоже я .... Мы из этих

Всего записей: 2228 | Зарегистр. 08-04-2016 | Отправлено: 12:22 17-03-2022
Barence



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KismetT_v3, что ж, попробую скачать CureIT - там, правда, почту требуют...
Отпишусь. Если не получится, тогда, возможно, придется

Цитата:
заблокировать с помощью групповых политик запуск WSCRIPT.EXE

месяца на три-четыре, потом все равно планировал переустановку семерки начисто, напоследок.
Кстати, не подскажете подробно, как это сделать? Я просто не разбираюсь...

Всего записей: 19 | Зарегистр. 05-02-2016 | Отправлено: 13:24 17-03-2022
KismetT_v3



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Кстати, не подскажете подробно, как это сделать? Я просто не разбираюсь

Ладно, оставим на другой раз. Попробуйте переименовать этот файл например в WSCRIPT.EXE_
Можно в безопасном режиме, если в обычном не получится.  
 
 
Добавлено:

Цитата:
что ж, попробую скачать CureIT - там, правда, почту требуют

вот ссылка без почты - https://download.geo.drweb.com/pub/drweb/cureit/cureit.exe


----------
Это я .... И это тоже я .... Мы из этих

Всего записей: 2228 | Зарегистр. 08-04-2016 | Отправлено: 13:28 17-03-2022
Barence



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KismetT_v3
Сканирую ДрВебом пока в обычном режиме, судя по полосе процесса отсканировал уже больше половины - пока ничего подозрительного не нашел, кроме двух дллок Freemake - кодеки, ставил уже давно, удалю; но это явно не то. В безопасный режим переходить страшновато - это ведь перезагрузка: а вдруг антивирус не успеет загрузиться, прежде чем зараза сделает свое черное дело? Но все равно видимо надо будет... Насколько это в данной ситуации безопасно?  
WSCRIPT.EXE не переименовывается, требует права TrustedInstaller...
И не находит ведь ничего, хотя зараза явно есть...

Всего записей: 19 | Зарегистр. 05-02-2016 | Отправлено: 16:18 17-03-2022
KismetT_v3



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
В безопасный режим переходить страшновато - это ведь перезагрузка: а вдруг антивирус не успеет загрузиться, прежде чем зараза сделает свое черное дело? Но все равно видимо надо будет... Насколько это в данной ситуации безопасно?  

В безопасном режиме автоматически не загружаются сторонние модули, так что безопасно, если сам не запустишь.


----------
Это я .... И это тоже я .... Мы из этих

Всего записей: 2228 | Зарегистр. 08-04-2016 | Отправлено: 16:36 17-03-2022
Fom64

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Barence
WSCRIPT.EXE - это не вирус) Где то у тебя, скорей всего в c:\Users\User\AppData\Roaming\ сидит скрипт <случайное имя>.js он собсно и является вирусом и должен по идее скачать и запустить майнер (а можь уже и скачал). Подробно, правда на итальянском, описано здесь
ЗЫ: На всякий случай пропиши в hosts 0.0.0.0 seko.vipers.pw

Всего записей: 254 | Зарегистр. 26-11-2010 | Отправлено: 15:48 18-03-2022 | Исправлено: Fom64, 15:55 18-03-2022
Barence



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KismetT_v3
Fom64
Всё оказалось просто... У меня была одна хитрая приблуда для одной программы - из тех, что в этом разделе не обсуждаются. В принципе, у меня есть возможность использовать эту программу и без всяких "хитростей", но она довольно громоздкая, решил приберечь "свою" до переустановки системы начисто; пока же, т.к. в системе уже сейчас довольно много всего, использую несколько урезанную и с "хитростями".
В качестве таковой, насколько смог понять, там используется скрипт *.vbs, сидящий именно по указанному в сообщении выше пути. На него мне постоянно указывал Norton Power Eraser (дополнение к Norton Internet Security для более глубокой проверки на всякие там руткиты и проч.); однако сам антивирус до недавнего времени с ним вполне уживался; я, зная, что это и для чего, игнорировал это. Так вот этот скрипт как-то там сам обновлялся, что ли, через Сеть - дата его изменения каждый раз была разная. В автозагрузке в реестре, как выяснилось, были прописаны запуск wscript.exe и этого скрипта через него, видимо как-то слинкованные друг с другом.
А так как антивирус с каждым обновлением (замечаю это) становится все строже и бескомпромисснее - и в принципе это хорошо, - скорее всего, при очередном обновлении баз он стал строже к этим процессам; выше я писал, что успел только базы обновить, и начались проблемы. А может, это сам скрипт как-то так обновился, что стал восприниматься более опасным...
Позавчера при проверке сканером от Касперского он тоже нашел этот скрипт - я согласился на его удаление, однако и после этого истерика антивируса продолжалась(!); потом сканировал DrWeb'ом, сначала в обычном, потом в безопасном режиме - ничего серьезного, кроме хорошо известных мне утилиток, любящих, к несчастью, показывать рекламу, обнаружено не было. После сканирования в безопасном режиме хотел, по совету выше, переименовать wscript.exe, однако и там требовалось изменение прав, а я в отношении системных файлов (да, я знаю, что сам по себе wscript.exe - это не вирус) стараюсь лишний раз этого не делать - нет уверенности, что потом правильно верну всё обратно.
В общем, потыкав в безопасном режиме на кнопки в окошках изменения прав, решил на свой страх и риск загружаться в обычном режиме - тем более что при этом ничего из Сети загрузиться не могло: использую 3G-модем и Сеть включаю только когда нужна. И при загрузке системы, еще до загрузки антивируса, получил окошко Windows Script Host с сообщением, что вышеозначенный "хитрый" скрипт не найден. Получается, что несмотря на его отсутствие wscript.exe пыталась его запустить! Ярлыки-то в автозагрузке оставались... Думаю, антивирус поэтому и истерил - не понимаю только, как это могло быть при уже удаленном скрипте? Разве что как-то могло повлиять то, что я не делал перезагрузки с момента возникновения сообщений от антивируса и до указанного момента? После перезагрузки, кстати, паника антивируса прекратилась...
В общем, удалил я программу и все ее "хитрости", включая ярлыки в автозагрузке на запуск wscript.exe и того *.vbs, и сейчас вроде бы ничего подозрительного не происходит... Но червячок всё же гложет - а вдруг что-то пробралось, и все изложенное никакого отношения к панике Нортона не имеет? Хотя смотрел через ProcessExplorer - валяется давно в папке в системе, - в меру своего понимания ничего подозрительного не обнаружил... И проверял тоже уже несколькими известными и рекомендуемыми в таких случаях довольно въедливыми сканерами, все со свежими базами, - последний, AVZ, сканировал почти сутки, даже файлы Нортона поначалу на карандаш взял, но проверив, сказал, что ошибся, всё в порядке. Ничего подозрительного... Паника Нортона закончилась, а сам сиди теперь и думай всякое...
Вот так. Спасибо за участие.

Всего записей: 19 | Зарегистр. 05-02-2016 | Отправлено: 17:46 19-03-2022 | Исправлено: Barence, 17:49 19-03-2022
regist123



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Barence написал(а)
Цитата:
последний, AVZ, сканировал почти сутки, даже файлы Нортона поначалу на карандаш взял, но проверив, сказал, что ошибся, всё в порядке.    Ничего подозрительного.

АВЗ это не антивирус, он сам по себе ничего не говорит (за редким исключением, да и в этом случае это обычно подозрения которые также ничего не означают), его отчёт должен смотреть человек который понимает и по нему выносить решение. Если бы с этого начали, то там бы сразу был виден этот скрипт и его запуск. А как следствие и причина проблемы, но вы предпочли долгий путь.

----------
Раздачи и акции

Всего записей: 6872 | Зарегистр. 20-03-2009 | Отправлено: 21:34 22-03-2022
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Вирус(ы) в ОС Windows. Проблемы. Решения. (II)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2020

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru