Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Вирус(ы) в ОС Windows. Проблемы. Решения. (II)

Модерирует : KLASS, IFkO

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32

Открыть новую тему     Написать ответ в эту тему

KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Предыдущие части: -I-

Вирусы в Windows XP, Vista, 7, 8, 8.1, 10.
Проблемы. Решения.


Стандартные действия

Вариант №1

1. Скачиваем Dr.Web LiveDiskСсылка ведёт на страницу загрузки, записываем диск, загружаемся и проверяем системы на вирусы.  
И\или
Скачиваем Kaspersky Rescue DiskСсылка ведёт на страницу загрузки: на ядре Linux (вирусы под win не пройдут, а под *nix их нет, по крайней мере живых), ядро от десятой версии и изменена "никсовая" оболочка. Обновление происходит раз в неделю. Записываем диск, загружаемся, обновляем базы и проверяем системы на вирусы.
Вариант №2

1. Скачиваем загрузочный диск на базе LiveCD (Ссылки в Варезнике LiveCD/BootCD (DVD/USB) на базе OPK WinPE)
2. Скачиваем антивирусы работающие без инсталляции.
2.1 Dr.Web CureIT!Ссылка ведёт на страницу загрузки  
2.2 Kaspersky Virus Removal Tool (AVPTool)Ссылка ведёт на страницу загрузки  
3. Прожигаем скачанный LiveCD на болванку, перезагружаемся, выставляем в биосе загрузку с CD\DVD(Что бы зайти в биос, нужно нажимать после включения компьютера кнопки Del или F2, зависит от производителя материнской платы.) На некоторых материнских платах, возможно вызвать Boot Menu нажав F8 при загрузке и выбрать загрузку с CD\DVD не заходя в биос.  
4. Проверяем одной утилитой, перезагружаемся, проверяем второй утилитой, пытаемся загрузить систему.  
Желательно отключить систему восстановления. Свойства системы-система восстановления.

Разница между вариантом №1 и вариантом №2 заключается в следующем:
Если нет возможности скачать LiveCD, то проверяйте компьютер в безопасном режиме. При загрузке нажимать F8, выбрать верхний пункт(Safe Mode или безопасный режим). В этом случае при сохранение CureIt и AVPTool к себе на компьютер переименовывайте файлы. Ряд вирус блокирует запуск при стандартном имени файла.
Это стандартные действия, которые не гарантируют восстановление работоспособности ОС, НО! 90% проблем решается таким способом.
Если не помогает, то скачиваем AVZ, сканируем и выкладываем лог. Обязательно указываем какая версия Windows.

Полезные инструменты(утилиты)

Sysinternals (Microsoft) Process ExplorerВыдает подробнейшую информацию обо всех запущенных процессах, включая владельца, использование памяти, задействованные библиотеки и т.д.
Sysinternals (Microsoft) AutorunsПозволяет контролировать автозагрузку запускающихся при старте операционной системы сервисов, приложений и других компонентов.
Sysinternals (Microsoft) Process Monitorпрограмма для мониторинга файловой системы, реестра и процессов в оперативной памяти. Filemon+Regmon
HijackThisпрограмма для удаления невидимых spyware
AutoLoggerавтоматический сборщик логов, более подробное описание утилиты смотрите на странице скачивания.
AdwCleanerпрограмма для удаления тулбаров, adware и другого рекламного мусора.
RegASSASSINПрограмма для удаления "заблокированных" веток и ключей в реестре из-за mailware
SOSКомплект программ  для диагностики/реанимации/оптимизации/защиты/профилактики Windows. Скачать
SmartFixЭффективная программа для быстрого автоматического исправления неполадок Оф.сайт

Темы на форуме

Обсуждение wannaCry в админском разделе..
Помощь при лечении компьютера от вирусовпомощь от "хелперов" с "VirusInfo". В топике строгие правила. Внимательно читаем шапку.
Антивирусы (Antivirus'ы) не требующие инсталяциикому не хватает CureIT и AVPTool
AVZ - Anti-SpyWare, Anti-AdWare
Восстановление WindowsКак вернуть Windows к жизни без переустановки
Windows заблокирован!отдельный топик по решению проблем с вирусом блокирующим запуск ОС и требующем выслать денег по СМС.
Обзор антивирусов (и др. средств безопасности на их основе) под Windоws 98/XP/Vista/7/8/8.1/10
Полезные ссылки в интернете

Закрываемся от вируса-шифровальщика WannaCry
VirusTotal — бесплатная служба, осуществляющая анализ подозрительных файлов и ссылок (URL) на предмет выявления вирусов, червей, троянов и всевозможных вредоносных программ.  
Чистые системные файлы Windows, которые заражают блокерыссылка ведёт на страницу закачки
Поиск описания  вирусов по названию
Советы по лечению ПК от Олега Зайцева, автора Avz
Ручное лечение компьютера от вирусовСпец.форум по проблемам с вирусамих.
Очистка Windows от вирусовСтатья от FuzzyL
Список "левых" служб, ссылающихся на svchost.exe, для WindowsXP
Страница VirusHunter`a — "Диспетчер задач\реестр\настройки рабочего стола  заблокирован(ы) .." Подборка полезных "точечных" утилит.  
Безопасный Интернет. Универсальная защита для Windows ME - Vista — автор-составитель антивирусный эксперт, золотой бета-тестер Лаборатории Касперского Николай Головко
 
Прежде чем изменять шапку спроси здесь. Не спросил-запрет на пост! KLASS

Всего записей: 9236 | Зарегистр. 12-10-2001 | Отправлено: 18:31 16-02-2017 | Исправлено: 526549, 18:38 09-01-2019
emil9



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
maksoff
мне помогло просто восстановление загрузки в меню которое появляется после ребута, оно минут 5 думает , потом показывает окно с выбором восстановления загрузки.

Всего записей: 2035 | Зарегистр. 16-10-2002 | Отправлено: 19:58 17-05-2017
irsemi

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Вопрос к специалистам (может не в ту тему...)
Как DoublePulsar сохраняется при перезагрузке? Если он "бесфайловый"?  
Встраивается в какую-то программу/драйвер?
Просто у меня все эти дни поработал подключенным к Инету компьютер с Windows 7 x64 БЕЗ установленного sp1 (!), и без патча  
(файл %windir%\system32\drivers\srv.sys имел дату от 2011 года)
Сейчас поставил все обновления и патч, все прошло успешно (лицензия), но теперь остались сомнения по поводу какой-нибудь затаившийся заразы.
Кстати, после установки патча файлы srv.sys и *smb*.sys в количестве штук 5-6 получили новую дату изменения - февраль 2017 года.
 
На диске 260 ГБ занято 92%, резервных копий нет, потерять жалко. А может вирус с таким захламленным диском не захочет связываться?
 
Инет через 3G, смартфон в качестве точки доступа.

Всего записей: 89 | Зарегистр. 28-11-2016 | Отправлено: 02:35 18-05-2017
Firza

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Если компьютер находится в большой локальной сети, то после перезагрузки компьютер будет званого инфицирован другими инфицированными компьютерами локальной сети.
Если отдельно стоящий компьютер подключен  к интернету напрямую без роутера, и на этом компьютере включен "общий доступ к файлам и принтерам", то после перезагрузки компьютер будет заново инфицирован другими инфицированными компьютерами "всемирной локальной сети".
Вирус который сейчас использует уязвимость SMBv1 вполне себе "файловый" вирус, и автоматически запускается обычными путями автозапуска.        

Всего записей: 271 | Зарегистр. 01-09-2004 | Отправлено: 06:42 18-05-2017
DreaMax



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Если у вас пиратская версия Windows с кривым активатором, модифицирующим ядро, то обновление безопасности приводит к краху системы. Пишут, что можно восстановлить оригинальное ядро.
Запустить командный файл от имени администратора, система перезагрузится. Скорее всего, слетит пиратская активация, можно использовать альтернативный активатор, не затрагивающий ядро, например, лоадер.
 
DEL "%windir%\system32\drivers\oem-drv64.sys"
DEL "%windir%\system32\xNtKrnl.exe"
DEL "%windir%\system32\xOsLoad.exe"
DEL "%windir%\System32\ru-RU\xOsLoad.exe.mui"
DEL "%windir%\System32\en-US\xOsLoad.exe.mui"
%windir%\System32\BCDEDIT.exe /set {current} path \Windows\system32\winload.exe
%windir%\System32\BCDEDIT.exe /deletevalue {current} kernel
%windir%\System32\BCDEDIT.exe /deletevalue {current} nointegritychecks
%windir%\System32\BCDEDIT.exe /deletevalue {current} custom:26000027
REG DELETE HKLM\SYSTEM\CurrentControlSet\services\oem-drv64 /va /f
shutdown -r -t 0

Всего записей: 146 | Зарегистр. 28-05-2004 | Отправлено: 12:26 18-05-2017
regist123



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
DreaMax
темой промахнулись и с постом опоздали где-то на год ))).

Всего записей: 6703 | Зарегистр. 20-03-2009 | Отправлено: 12:43 18-05-2017
FMD

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
А кто-то пробовал  бесплатную утилиту Kaspersky Anti-Ransomware? Какие впечатления?

Всего записей: 41 | Зарегистр. 29-09-2006 | Отправлено: 13:21 18-05-2017
kvark484kvark484

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Или эту: Malwarebytes Anti-Ransomware 0.9.17.661 Beta 8

Всего записей: 368 | Зарегистр. 26-03-2016 | Отправлено: 15:22 18-05-2017
Living things



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Скажите, а под Android тоже пишутся вирусы - вымогатели?  
http://i92.fastpic.ru/big/2017/0518/7c/d534557aff333b9afd8d03a2fc68837c.png

Всего записей: 2407 | Зарегистр. 12-07-2012 | Отправлено: 21:51 18-05-2017
regist123



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Living things 22:51 18-05-2017
Цитата:
Скажите, а под Android тоже пишутся вирусы - вымогатели?  

да, при чём под эту мобильную платформу в виду её популярности вирусов больше пишется, чем под остальные.

Всего записей: 6703 | Зарегистр. 20-03-2009 | Отправлено: 00:12 19-05-2017
Firza

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Не последнюю роль тут играет относительная демократичность в распространении программ. Есть больше одного магазина программ, и есть возможность устанавливать программу напрямую из APK файла.
И на Windows не последнюю роль (если не главную)  в распространённости вредоносных программ играет невероятная простота запуска исполняемых файлов - чтобы запустить программу которая уничижит все файлы пользователя ее даже не надо инсталлировать.

Всего записей: 271 | Зарегистр. 01-09-2004 | Отправлено: 00:48 19-05-2017
dortmund



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Зашифрованные WannaCry файлы на Windows XP можно вернуть бесплатно

Всего записей: 2230 | Зарегистр. 28-04-2008 | Отправлено: 09:20 19-05-2017
TheBarmaley



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
..и об этом же по-русски..
ссылка на сам инструмент на гитхабе в статье есть..

----------
..the one of.. ··· ..sam-&-pol..

Всего записей: 11904 | Зарегистр. 07-06-2006 | Отправлено: 11:01 19-05-2017
emil9



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
А кто-то пробовал  бесплатную утилиту Kaspersky Anti-Ransomware? Какие впечатления?

пробовал, работает , только надо убирать галку трейсера, иначе загадит весь диск. Из минусов еще то что выскакивают новости из мира ренсомваре, причем на английском в правом нижнем углу, ну и в конце новости ремарка "а вот наш касперский такого не допустил бы" )))  , некоторых раздражает, в том числе и меня
есть много утилит типа антиренсомваре, беда в том что пока они в бете - они бесплатны, а потом будьте любезны заплатить, что впрочем понятно.

Всего записей: 2035 | Зарегистр. 16-10-2002 | Отправлено: 11:39 19-05-2017 | Исправлено: emil9, 11:40 19-05-2017
VV2006

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
TheBarmaley, там же по ссылке немного далее: оказывается, авторы WCry не только козлы, а ещё и бракоделы!
Цитата:
в код WannaCry закрался баг, который провоцирует состояние гонки (race condition) и не дает шифровальщику генерировать уникальный биткоин-адрес для каждой отдельной жертвы. Из-за этого вымогатель оперирует только тремя известными специалистам кошельками и не имеет возможности проследить платежи, поступившие от конкретных пользователей.  
Скорее всего, именно этим объясняется тот факт, что пока никто не сообщал о пользователях, которые благополучно расшифровали бы свои файлы после выплаты выкупа.  
Потом, вроде, код поправили... но кто ж им теперь поверит! )

Всего записей: 2030 | Зарегистр. 10-02-2006 | Отправлено: 12:05 19-05-2017
prmt81

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Зашифрованные WannaCry файлы на Windows XP можно вернуть бесплатно  

 
тут какая-то непонятка у меня возникает. если приватный ключ шифруется - то каким ключом? вторым приватным?, который не надо отсылать в платный "сервис" расшифровки злоумышленникам, и который, скажем так, один на всех и хранится в "сервисе". почему таким же способом на ХР-стэнде нельзя отловить именно этот второй приватный ключ? вроде очевидно, что он должен быть один на всех, и единожды сгенирён авторами WannaCry до начала атаки.

Всего записей: 244 | Зарегистр. 11-12-2009 | Отправлено: 12:09 19-05-2017 | Исправлено: prmt81, 12:13 19-05-2017
kvark484kvark484

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Народ, а если есть 1 файл зашифрованный, а 2-й (точно такой же) - нешифрованный.
Можно как-то - сравнивая их - вытащить ключ шифрования?
У кого какие мысли?
Есть тут спецы по крипотграфии?

Всего записей: 368 | Зарегистр. 26-03-2016 | Отправлено: 15:28 19-05-2017 | Исправлено: kvark484kvark484, 15:33 19-05-2017
Inoz2000



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

kvark484kvark484
есть мысль: с чего бы им быть именно «тут»?

----------
Мы все умрём. (-:

Всего записей: 3301 | Зарегистр. 23-04-2009 | Отправлено: 16:21 19-05-2017
kvark484kvark484

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
А почему бы и нет?
Ху из ху, как говорится (или как там...).
Кстати, с Мегафоном проблемы - похоже пендосы хотят показать, что они могут (при желании) с нами сделать с помощью вирусов в разных ОС (включая и Windows) - как версия?

Всего записей: 368 | Зарегистр. 26-03-2016 | Отправлено: 16:53 19-05-2017
MSSIGN



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
При выкл\вкл сетевого адаптера открывается ссылка в браузере по умолчанию. И, конечно, при включении компьютера происходит тоже самое.
Cureit ничего не нашел, кроме записи в hosts не имеющей отношения к проблеме.
https://yadi.sk/i/TtBnk2ZW3JLGww  - hijackthis.log

Всего записей: 607 | Зарегистр. 11-08-2006 | Отправлено: 17:51 19-05-2017
Firza

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
похоже пендосы хотят показать, что они могут (при желании) с нами сделать с помощью вирусов в разных ОС
Осталось только найти работника Мегафоном - по совместительству  агента Гседепа, который саботировал установку заплатки на использованную уязвимость. А тот кто первый запустил этот вирус на своем рабочем компьютере точно должен быть шпион иностранной разведке (сам по себе этот вирус не может проникнуть в локальную сеть - в организации должен быть инсайдер который своими руками запускает вирус).  

Всего записей: 271 | Зарегистр. 01-09-2004 | Отправлено: 18:21 19-05-2017
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Вирус(ы) в ОС Windows. Проблемы. Решения. (II)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2020

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru