Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Вирус(ы) в ОС Windows. Проблемы. Решения. (II)

Модерирует : KLASS, IFkO

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32

Открыть новую тему     Написать ответ в эту тему

KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Предыдущие части: -I-

Вирусы в Windows XP, Vista, 7, 8, 8.1, 10.
Проблемы. Решения.


Стандартные действия

Вариант №1

1. Скачиваем Dr.Web LiveDiskСсылка ведёт на страницу загрузки, записываем диск, загружаемся и проверяем системы на вирусы.  
И\или
Скачиваем Kaspersky Rescue DiskСсылка ведёт на страницу загрузки: на ядре Linux (вирусы под win не пройдут, а под *nix их нет, по крайней мере живых), ядро от десятой версии и изменена "никсовая" оболочка. Обновление происходит раз в неделю. Записываем диск, загружаемся, обновляем базы и проверяем системы на вирусы.
Вариант №2

1. Скачиваем загрузочный диск на базе LiveCD (Ссылки в Варезнике LiveCD/BootCD (DVD/USB) на базе OPK WinPE)
2. Скачиваем антивирусы работающие без инсталляции.
2.1 Dr.Web CureIT!Ссылка ведёт на страницу загрузки  
2.2 Kaspersky Virus Removal Tool (AVPTool)Ссылка ведёт на страницу загрузки  
3. Прожигаем скачанный LiveCD на болванку, перезагружаемся, выставляем в биосе загрузку с CD\DVD(Что бы зайти в биос, нужно нажимать после включения компьютера кнопки Del или F2, зависит от производителя материнской платы.) На некоторых материнских платах, возможно вызвать Boot Menu нажав F8 при загрузке и выбрать загрузку с CD\DVD не заходя в биос.  
4. Проверяем одной утилитой, перезагружаемся, проверяем второй утилитой, пытаемся загрузить систему.  
Желательно отключить систему восстановления. Свойства системы-система восстановления.

Разница между вариантом №1 и вариантом №2 заключается в следующем:
Если нет возможности скачать LiveCD, то проверяйте компьютер в безопасном режиме. При загрузке нажимать F8, выбрать верхний пункт(Safe Mode или безопасный режим). В этом случае при сохранение CureIt и AVPTool к себе на компьютер переименовывайте файлы. Ряд вирус блокирует запуск при стандартном имени файла.
Это стандартные действия, которые не гарантируют восстановление работоспособности ОС, НО! 90% проблем решается таким способом.
Если не помогает, то скачиваем AVZ, сканируем и выкладываем лог. Обязательно указываем какая версия Windows.

Полезные инструменты(утилиты)

Sysinternals (Microsoft) Process ExplorerВыдает подробнейшую информацию обо всех запущенных процессах, включая владельца, использование памяти, задействованные библиотеки и т.д.
Sysinternals (Microsoft) AutorunsПозволяет контролировать автозагрузку запускающихся при старте операционной системы сервисов, приложений и других компонентов.
Sysinternals (Microsoft) Process Monitorпрограмма для мониторинга файловой системы, реестра и процессов в оперативной памяти. Filemon+Regmon
HijackThisпрограмма для удаления невидимых spyware
AutoLoggerавтоматический сборщик логов, более подробное описание утилиты смотрите на странице скачивания.
AdwCleanerпрограмма для удаления тулбаров, adware и другого рекламного мусора.
RegASSASSINПрограмма для удаления "заблокированных" веток и ключей в реестре из-за mailware
SOSКомплект программ  для диагностики/реанимации/оптимизации/защиты/профилактики Windows. Скачать
SmartFixЭффективная программа для быстрого автоматического исправления неполадок Оф.сайт

Темы на форуме

Обсуждение wannaCry в админском разделе..
Помощь при лечении компьютера от вирусовпомощь от "хелперов" с "VirusInfo". В топике строгие правила. Внимательно читаем шапку.
Антивирусы (Antivirus'ы) не требующие инсталяциикому не хватает CureIT и AVPTool
AVZ - Anti-SpyWare, Anti-AdWare
Восстановление WindowsКак вернуть Windows к жизни без переустановки
Windows заблокирован!отдельный топик по решению проблем с вирусом блокирующим запуск ОС и требующем выслать денег по СМС.
Обзор антивирусов (и др. средств безопасности на их основе) под Windоws 98/XP/Vista/7/8/8.1/10
Полезные ссылки в интернете

Закрываемся от вируса-шифровальщика WannaCry
VirusTotal — бесплатная служба, осуществляющая анализ подозрительных файлов и ссылок (URL) на предмет выявления вирусов, червей, троянов и всевозможных вредоносных программ.  
Чистые системные файлы Windows, которые заражают блокерыссылка ведёт на страницу закачки
Поиск описания  вирусов по названию
Советы по лечению ПК от Олега Зайцева, автора Avz
Ручное лечение компьютера от вирусовСпец.форум по проблемам с вирусамих.
Очистка Windows от вирусовСтатья от FuzzyL
Список "левых" служб, ссылающихся на svchost.exe, для WindowsXP
Страница VirusHunter`a — "Диспетчер задач\реестр\настройки рабочего стола  заблокирован(ы) .." Подборка полезных "точечных" утилит.  
Безопасный Интернет. Универсальная защита для Windows ME - Vista — автор-составитель антивирусный эксперт, золотой бета-тестер Лаборатории Касперского Николай Головко
 
Прежде чем изменять шапку спроси здесь. Не спросил-запрет на пост! KLASS

Всего записей: 9236 | Зарегистр. 12-10-2001 | Отправлено: 18:31 16-02-2017 | Исправлено: 526549, 18:38 09-01-2019
ProdifII



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Пишут это только начало, нас в июне ждет мутация инструмента Athena / Hera.
http://thehackernews.com/2017/05/athena-cia-windows-hacking.html

Всего записей: 1028 | Зарегистр. 11-05-2017 | Отправлено: 11:26 22-05-2017
aramon

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
некоторые дерьмосборки после применения MS17-010 встают на колени (например, уходят в циклический ребут). лечение тута

 
В гайде по ссылке все правильно, кроме одного нюанса:
 
1. Обновление может установиться не до конца, т.е. для окончания установки ему необходимо, чтобы ПК был перезагружен и ОС начала стартовать.
2. Старт ОС невозможен, т.к. при установке обновления побился активатор ОС. Комп уходит в циклический ребут.
3. При этом файл обновления не появится в списке dism /image:d:\ /get-packages и удалить его будет невозможно.
4. Для того, чтобы этого избежать, вместо команды dism /image:*:\ /remove-package используем команду dism /image:c:\ /ScratchDir:с: /cleanup-image /RevertPendingActions, чтобы отменить все изменения в п.1 выше.
5. Дожидаемся выполнения команды RevertPendingActions, перезагружаемся, получаем восстановленную работоспособную систему.
 
Подробнее тут.
Мне помогло именно RevertPendingActions, т.к. KB в списке get-packages не оказалось.

Всего записей: 38 | Зарегистр. 13-04-2007 | Отправлено: 14:32 22-05-2017 | Исправлено: aramon, 14:33 22-05-2017
dortmund



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
emil9

Цитата:
есть еще ссылка с многообещающим файлом ransomrecovery.exe , но по ссылке файла нет

Я успел скачать. Если интересно, могу выложить на обменник

Всего записей: 2230 | Зарегистр. 28-04-2008 | Отправлено: 15:35 22-05-2017
emil9



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
dortmund
выложить то можно, но проверить может тот у кого система инфицирована. у меня к сожалению, или к счастью таких нет

Всего записей: 2035 | Зарегистр. 16-10-2002 | Отправлено: 16:39 22-05-2017
dortmund



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
emil9

Цитата:
выложить то можно, но проверить может тот у кого система инфицирована

Выложил здесь Пароль стандартный

Всего записей: 2230 | Зарегистр. 28-04-2008 | Отправлено: 18:36 22-05-2017
DOOMXTuT1

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
исследователю информационной безопасности из Франции Адриану Гине удалось разработать утилиту, которая позволяет удалять WannaCry из системы без выплаты выкупа.
 
Примечательно, что утилита функционирует лишь, если после инфицирования пользователь не осуществил перезагрузку компьютера. Если был произведен перезапуск системы, и WannaCry зашифровал данные, то инструмент от Гине не решит проблему.
 
Утилита, разработанная Гине, ведет поиск ключа для расшифровки в памяти компьютера и может восстанавливать простые числа закрытого RSA-ключа, который применяется WannaCry. По словам эксперта, его разработка ведет поиск чисел в процессе wcry.exe, который генерирует закрытый RSA-ключ.
 
После того, как WannaCry зашифровала закрытый ключ, его незашифрованная версия стирается из памяти зараженного компьютера посредством функционала CryptReleaseContext. Однако, как отметил Гине, функции CryptDestroyKey и CryptReleaseContext удаляют лишь маркер, который указывает на ключ, но не числа, вследствие чего закрытый ключ может быть извлечен из памяти.
 
Утилита функционирует лишь на Windows XP и не проверялась на других версиях операционной системы. Инструмент опубликован на сайте GitHub.
https://github.com/gentilkiwi/wanakiwi/issues  
 
Это действительно помогает или как? Или там очередная вирусня?
На 1 из форумов пишут что там Результат проверки:
Avast Win32:WannaCry-D [Trj] 20170521
Baidu Win32.Trojan.WisdomEyes.16070401.9500.9787 20170503
TrendMicro-HouseCall Suspici.84C57BAE 20170521  
 

Всего записей: 32 | Зарегистр. 10-10-2007 | Отправлено: 11:59 23-05-2017 | Исправлено: DOOMXTuT1, 12:22 23-05-2017
VV2006

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
DOOMXTuT1, см. выше - это уже обсуждалось.

Всего записей: 2030 | Зарегистр. 10-02-2006 | Отправлено: 20:58 23-05-2017
AndreyTNT



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
2. Старт ОС невозможен, т.к. при установке обновления побился активатор ОС. Комп уходит в циклический ребут.  

Я так понимаю это относится только к домашним системам? То есть к серверам под 2003, 2008R2 с KMS активатором, БСОД и циклический ребут, не относится?

Всего записей: 55 | Зарегистр. 03-08-2006 | Отправлено: 17:55 25-05-2017
aramon

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Я так понимаю это относится только к домашним системам? То есть к серверам под 2003, 2008R2 с KMS активатором, БСОД и циклический ребут, не относится?  

 
На серверных ОС не проверял, не могу сказать.

Всего записей: 38 | Зарегистр. 13-04-2007 | Отправлено: 10:09 26-05-2017
CBuilder

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Народ а вирус WannaCry ещё работает?Если установлю виндовс 8.1 на виртуальную машину вирус прилетит или всё это страшилки для детей?

Всего записей: 315 | Зарегистр. 27-04-2005 | Отправлено: 11:34 26-05-2017
Bort_Nick



Full Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
CBuilder,
ещё как работает.
онлайн карта - https://intel.malwaretech.com/pewpew.html
 

Цитата:
Если установлю виндовс 8.1 на виртуальную машину вирус прилетит ...?
что бы сразу прилетел нужно соблюдение нескольких условий:
подключенный интернет + белый или серый IP без NAT + открытый порт + отсутствие заплатки от MS

Всего записей: 560 | Зарегистр. 26-08-2012 | Отправлено: 12:18 26-05-2017
CBuilder

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Bort_Nick Если всё по умолчанию оставить после установки на VB то прилетит или нет?

Всего записей: 315 | Зарегистр. 27-04-2005 | Отправлено: 12:44 26-05-2017
Firza

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Главное условие заряжение компьютера: отсутствие заплатки на SMBv1, прямое подключение к интернету,  включен "общий доступ к файлам и принтерам". В локальной сети, вместо  "прямое подключение к интернету" нужно наличие одного зараженного компьютере. Заражение первого компьютера будет происходит в ручном режиме путём запуска EXE или другого исполняемого файла (через NAT вирус сам сеть не войдёт - нужен инсайдер который его туда запустит).
Если человек на своем одиночном компьютере делает "общий доступ к файлам и принтерам" непонятного для кого (наверное для все мира), то заражение своего компьютера он по праву заслужил.

Всего записей: 271 | Зарегистр. 01-09-2004 | Отправлено: 12:37 27-05-2017
CBuilder

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Firza Ну всё понятно. Все эти вирусы детский сад ибо выполни то выполни это выполни пятое выполни десятое и ещё ключи от квартиры подгони.
В одной игре меня как то один чухан пугал взломом моего компа,я 2 года ждал,а он так и не сломал мне комп.

Всего записей: 315 | Зарегистр. 27-04-2005 | Отправлено: 16:07 27-05-2017
regist123



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
CBuilder 13:44 26-05-2017
Цитата:
Bort_Nick Если всё по умолчанию оставить после установки на VB то прилетит или нет?

CBuilder
по умолчанию патча ОС нету, так что по сути едиственное условие 13:18 26-05-2017
Цитата:
+ белый или серый IP без NAT + открытый порт  

Эти условия у многих также по умолчанию, как у вас мы не знаем поэтому оговарием.
 
+ Не знаю выпустили новую модификацию или нет, но предыдущие остановили через создание сайта наличие которого проверяло перед заражением. Так что сейчас может заразиться и не получиться. А вот например 12-го достачно было просто поставить ОС и подключить её к интернету. Самому ничего запускать, открывать не надо. Вирус сам залазил в комп и заражал.

Всего записей: 6703 | Зарегистр. 20-03-2009 | Отправлено: 16:20 27-05-2017
Firza

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Самому ничего запускать, открывать не надо.  

Но пользовать все ровно сам должен настроить свою "локальную сеть с остальным миром" разрешив "общий доступ к файлам и принтерам". Если это не Windows XP, то в версиях по новее открывание "общего доступа к файлам и принтерам" не происходит автоматически по умолчанию.  

Всего записей: 271 | Зарегистр. 01-09-2004 | Отправлено: 16:39 27-05-2017 | Исправлено: Firza, 16:43 27-05-2017
prmt81

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
остаётся понять, зачем в МВД, Мегафоне, Сбербанке, МЧС, РЖД на компьютерах, смотрящих в инет, была включена "Служба доступа к файлам и принтерам сетей Microsoft"? Какой бизнес-процесс в этих организациях требует её включения? Или они до сих пор Windows XP используют?

Всего записей: 244 | Зарегистр. 11-12-2009 | Отправлено: 17:32 27-05-2017
Firza

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Для заряжение корпоративных сетей ненужно чтобы "Служба доступа к файлам и принтерам сетей Microsoft" "смотрела" в интернет. Надо чтобы хотябы один из сотни, тысячи работников корпоративной сети запустил программу неизветного происхождение. Обычно, получение "программы неизветного происхождение" организуется простой спам разсылкой на почту конкретного учереждение. А дальше уже все уязвымие компютеры локальной сети будут заряжены.

Всего записей: 271 | Зарегистр. 01-09-2004 | Отправлено: 17:49 27-05-2017 | Исправлено: Firza, 17:52 27-05-2017
prmt81

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
для всех предыдущих шифровальщиков - да. Но для ВаннаКрай все антивирусные эксперты как один утверждают, что этот вирус распространялся не через почту, а именно через уязвимые сетевые интерфейсы

Всего записей: 244 | Зарегистр. 11-12-2009 | Отправлено: 18:02 27-05-2017
Firza

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
именно через уязвимые сетевые интерфейсы

Если считать чисто математически, то да - большинство заряжений компьютеров произошло через уязвимость в SMBv1, но этот вирус сам не может попасть на компьютер через NAT. Чтобы вирус попал в локальную сеть за NAT, в этой сети должен быть инсайдер который запустить самый обычный EXE файл. И хватить одной секретарши, запустившей документ nakladnaja.pdf.exe, чтобы легла сеть из 1000 компьютеров.

Всего записей: 271 | Зарегистр. 01-09-2004 | Отправлено: 18:22 27-05-2017
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Вирус(ы) в ОС Windows. Проблемы. Решения. (II)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2020

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru