Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Вирус(ы) в ОС Windows. Проблемы. Решения. (II)

Модерирует : KLASS, IFkO

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32

Открыть новую тему     Написать ответ в эту тему

KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Предыдущие части: -I-

Вирусы в Windows XP, Vista, 7, 8, 8.1, 10.
Проблемы. Решения.


Стандартные действия

Вариант №1

1. Скачиваем Dr.Web LiveDiskСсылка ведёт на страницу загрузки, записываем диск, загружаемся и проверяем системы на вирусы.  
И\или
Скачиваем Kaspersky Rescue DiskСсылка ведёт на страницу загрузки: на ядре Linux (вирусы под win не пройдут, а под *nix их нет, по крайней мере живых), ядро от десятой версии и изменена "никсовая" оболочка. Обновление происходит раз в неделю. Записываем диск, загружаемся, обновляем базы и проверяем системы на вирусы.
Вариант №2

1. Скачиваем загрузочный диск на базе LiveCD (Ссылки в Варезнике LiveCD/BootCD (DVD/USB) на базе OPK WinPE)
2. Скачиваем антивирусы работающие без инсталляции.
2.1 Dr.Web CureIT!Ссылка ведёт на страницу загрузки  
2.2 Kaspersky Virus Removal Tool (AVPTool)Ссылка ведёт на страницу загрузки  
3. Прожигаем скачанный LiveCD на болванку, перезагружаемся, выставляем в биосе загрузку с CD\DVD(Что бы зайти в биос, нужно нажимать после включения компьютера кнопки Del или F2, зависит от производителя материнской платы.) На некоторых материнских платах, возможно вызвать Boot Menu нажав F8 при загрузке и выбрать загрузку с CD\DVD не заходя в биос.  
4. Проверяем одной утилитой, перезагружаемся, проверяем второй утилитой, пытаемся загрузить систему.  
Желательно отключить систему восстановления. Свойства системы-система восстановления.

Разница между вариантом №1 и вариантом №2 заключается в следующем:
Если нет возможности скачать LiveCD, то проверяйте компьютер в безопасном режиме. При загрузке нажимать F8, выбрать верхний пункт(Safe Mode или безопасный режим). В этом случае при сохранение CureIt и AVPTool к себе на компьютер переименовывайте файлы. Ряд вирус блокирует запуск при стандартном имени файла.
Это стандартные действия, которые не гарантируют восстановление работоспособности ОС, НО! 90% проблем решается таким способом.
Если не помогает, то скачиваем AVZ, сканируем и выкладываем лог. Обязательно указываем какая версия Windows.

Полезные инструменты(утилиты)

Sysinternals (Microsoft) Process ExplorerВыдает подробнейшую информацию обо всех запущенных процессах, включая владельца, использование памяти, задействованные библиотеки и т.д.
Sysinternals (Microsoft) AutorunsПозволяет контролировать автозагрузку запускающихся при старте операционной системы сервисов, приложений и других компонентов.
Sysinternals (Microsoft) Process Monitorпрограмма для мониторинга файловой системы, реестра и процессов в оперативной памяти. Filemon+Regmon
HijackThisпрограмма для удаления невидимых spyware
AutoLoggerавтоматический сборщик логов, более подробное описание утилиты смотрите на странице скачивания.
AdwCleanerпрограмма для удаления тулбаров, adware и другого рекламного мусора.
RegASSASSINПрограмма для удаления "заблокированных" веток и ключей в реестре из-за mailware
SOSКомплект программ  для диагностики/реанимации/оптимизации/защиты/профилактики Windows. Скачать
SmartFixЭффективная программа для быстрого автоматического исправления неполадок Оф.сайт

Темы на форуме

Обсуждение wannaCry в админском разделе..
Помощь при лечении компьютера от вирусовпомощь от "хелперов" с "VirusInfo". В топике строгие правила. Внимательно читаем шапку.
Антивирусы (Antivirus'ы) не требующие инсталяциикому не хватает CureIT и AVPTool
AVZ - Anti-SpyWare, Anti-AdWare
Восстановление WindowsКак вернуть Windows к жизни без переустановки
Windows заблокирован!отдельный топик по решению проблем с вирусом блокирующим запуск ОС и требующем выслать денег по СМС.
Обзор антивирусов (и др. средств безопасности на их основе) под Windоws 98/XP/Vista/7/8/8.1/10
Полезные ссылки в интернете

Закрываемся от вируса-шифровальщика WannaCry
VirusTotal — бесплатная служба, осуществляющая анализ подозрительных файлов и ссылок (URL) на предмет выявления вирусов, червей, троянов и всевозможных вредоносных программ.  
Чистые системные файлы Windows, которые заражают блокерыссылка ведёт на страницу закачки
Поиск описания  вирусов по названию
Советы по лечению ПК от Олега Зайцева, автора Avz
Ручное лечение компьютера от вирусовСпец.форум по проблемам с вирусамих.
Очистка Windows от вирусовСтатья от FuzzyL
Список "левых" служб, ссылающихся на svchost.exe, для WindowsXP
Страница VirusHunter`a — "Диспетчер задач\реестр\настройки рабочего стола  заблокирован(ы) .." Подборка полезных "точечных" утилит.  
Безопасный Интернет. Универсальная защита для Windows ME - Vista — автор-составитель антивирусный эксперт, золотой бета-тестер Лаборатории Касперского Николай Головко
 
Прежде чем изменять шапку спроси здесь. Не спросил-запрет на пост! KLASS

Всего записей: 9219 | Зарегистр. 12-10-2001 | Отправлено: 18:31 16-02-2017 | Исправлено: 526549, 18:38 09-01-2019
emil9



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
del. прошу прощения у всех за оффтоп.

Всего записей: 2035 | Зарегистр. 16-10-2002 | Отправлено: 12:39 08-06-2017 | Исправлено: emil9, 15:59 08-06-2017
sanitar2k

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
emil9
prmt81
Коллеги, предлагаю здесь "политику не хавать" (Довлатов). Не о том топик.

Всего записей: 947 | Зарегистр. 26-12-2005 | Отправлено: 12:45 08-06-2017
VV2006

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Новая инкарнация вымогателя-шифровальщика, знакомьтесь - зовут Петя.

Всего записей: 2030 | Зарегистр. 10-02-2006 | Отправлено: 00:15 28-06-2017
docNemo



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Петя и Миша - лучшие друзья!
Обратите внимание на дату поста.
А вот про Петю вчерашняя статья в Википедии

Всего записей: 812 | Зарегистр. 09-10-2016 | Отправлено: 08:34 28-06-2017
Living things



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Когда загружаешь с Android файлы на http://rgho.st/, вместе со ссылкой для скачивания открывается ещё одна страница которую блокирует антивирус.  
http://i95.fastpic.ru/big/2017/0628/0c/b28cfbf88b340ab7b9b421f5b154bd0c.png
Браузер Firefox.

Всего записей: 2396 | Зарегистр. 12-07-2012 | Отправлено: 11:41 28-06-2017
ZSZ

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Скопирую сюда своё сообщение из другого малопосещаемого раздела:
 
Блин, а как его запустить-то???
 

 
Это может сделать каждый.
 
Но вот отключил я эту политику, Винда теперь ругается, что этот файл не является приложением win32. Испытывал на Windows XP32b-sp3 без обновлений с 2006...2007 года.
 
Раздули шумиху из-за ничего...

Всего записей: 5323 | Зарегистр. 15-01-2012 | Отправлено: 11:50 28-06-2017
Bort_Nick



Full Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
ZSZ,

Код:
rundll32.exe ”C:\PathToFile\perfc.dat”,#1 30
и будет вам "счастье"...
 
вот только что на виртуалке запустил - сразу же пошел всю /24 подсеть сканировать 139 и 445 порты
 
 
а после перезагрузки вот -
 
 
подключаю VHD к другой машине и имеем -
в MBR прописана зараза с красным текстом,
раздел на месте, но вся файловая система зашифрована.
прошелся по нему TestDisk'ом v.7.1 и Quick Search и Deep Search - сигнатур файловых систем не нашел  
DMDE тоже ничего не видит...
(это и не удивительно. после шифровальщика там каша)
     

Всего записей: 560 | Зарегистр. 26-08-2012 | Отправлено: 19:04 28-06-2017 | Исправлено: Bort_Nick, 22:26 28-06-2017
ZSZ

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Bort_Nick

Цитата:
и будет вам "счастье"...

 
Запустил,  
В каталоге винды создались файлы dllhost размером 381816 и perfc. До перезагрузки вирус испортил архивы. Архивы, на которые в правах доступа стоит запрет на запись, вирус не тронул. После перезагрузки не дождался пока он там всё "зашифрует", диск 6 ГБ.
 
Якобы chkdsk ни капли не похож на то, что должна выводить Windows XP.
 
Частично испорчена MBR - Парагон не видит, Акронис видит. Сейчас гляну на файлы.
 Не то зашифровано, не то мусор - без имён, нереальные размеры. Некоторые файлы живые, может потому, что процесс оборвал.
 
Запускал perfc.dat с правами администратора. Уже поднадоело экспериментировать, кто пробовал, из под гостевой/ограниченной учётной записи работает?

Всего записей: 5323 | Зарегистр. 15-01-2012 | Отправлено: 00:13 29-06-2017
Bort_Nick



Full Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
ZSZ,
Под ограниченной записью шифрует только пользовательские файлы до которых может дотянуться.
Системные остаются нетронутыми, винда работоспособна.
 
У него несколько алгоритмов поведения - в зависимости от обстоятельств

Всего записей: 560 | Зарегистр. 26-08-2012 | Отправлено: 00:23 29-06-2017
ZSZ

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Bort_Nick

Цитата:
Под ограниченной записью шифрует только пользовательские файлы до которых может дотянуться. Системные остаются нетронутыми, винда работоспособна.

 
А после перезагрузки система живая?

Всего записей: 5323 | Зарегистр. 15-01-2012 | Отправлено: 00:32 29-06-2017
Bort_Nick



Full Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
ZSZ, живая. чтоб перезаписать MBR нужны привилегии админа

Всего записей: 560 | Зарегистр. 26-08-2012 | Отправлено: 00:33 29-06-2017
ZSZ

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Bort_Nick

Цитата:
живая. чтоб перезаписать MBR нужны привилегии админа

 
Ну мало ли, может он права себе поднимает.
 
Писали вчера в интернетах, что при заражении по локалке вирус с правами System работает через уязвимость и ограниченные права не мешают. Может и так.
 
Тем не менее, те, кто заразился через почту, наверняка были с админскими правами. Сами себе злобные Буратины.  

Всего записей: 5323 | Зарегистр. 15-01-2012 | Отправлено: 00:41 29-06-2017 | Исправлено: ZSZ, 00:46 29-06-2017
Augustin

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
https://www.ptsecurity.com/ru-ru/about/news/283092/
...............................................................................................
 
создание пустого файла "perfc"
..............................................................
 
https://www.bleepingcomputer.com/news/security/vaccine-not-killswitch-found-for-petya-notpetya-ransomware-outbreak/
 
Once you have enabled the viewing of extensions, which you should always have enabled, open up the C:\Windows folder. Once the folder is open, scroll down till you see the notepad.exe program.  
 
 
Once you see the notepad.exe program, left-click on it once so it is highlighted. Then press the Ctrl+C ( Ctrl+C Button) to copy and then Ctrl+V ( Ctrl+V Button) to paste it. When you paste it, you will receive a prompt asking you to grant permission to copy the file.
 
Grant Permission
 
Press the Continue button and the file will be created as notepad - Copy.exe. Left click on this file and press the F2 key on your keyboard and now erase the notepad - Copy.exe file name and type perfc as shown below.
 
Rename file
 
Once the filename has been changed to perfc, press Enter on your keyboard. You will now receive a prompt asking if you are sure you wish to rename it.
 
Confirmation
 
Click on the Yes button. Windows will once again ask for permission to rename a file in that folder. Click on the Continue button.
 
Now that the perfc file has been created, we now need to make it read only. To do that, right-click on the file and select Properties as shown below.
 
Properties
 
The properties menu for this file will now open. At the bottom will be a checkbox labeled Read-only. Put a checkmark in it as shown in the image below.
 
Read-only
 
Now click on the Apply button and then the OK button. The properties Window should now close. While in my tests, the C:\windows\perfc file is all I needed to vaccinate my computer, it has also been suggested that you create C:\Windows\perfc.dat and C:\Windows\perfc.dll to be thorough. You can redo these steps for those vaccination files as well.
 
Your computer should now be vaccinated against the NotPetya/SortaPetya/Petya Ransomware.
 
Additional reporting by Lawrence Abrams.
 


Всего записей: 8 | Зарегистр. 16-05-2016 | Отправлено: 09:43 29-06-2017
Taurus2208



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
MBR Filter для защиты MBR от несанкционированных изменений: https://www.talosintelligence.com/mbrfilter

Всего записей: 122 | Зарегистр. 04-09-2007 | Отправлено: 15:30 29-06-2017
ZSZ

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Немного позлорадствую. Появились сообщения, что вирус Петя уже в Газпроме.
 
Таких вирусов надо как можно больше!
Поясняю.
 
"Системные администраторы" должны заниматься делом, а не в потолок плевать, -"У меня всё работает". Если же в той или иной компании экономят на компьютерной безопасности, на грамотных специалистах, ну так поделом.
 
Всё нужно делать как следует, а не кое как. Ну и если та же Windows позволяет перезаписывать MBR первому встречному, что это за система. Она должна была прокричать десяток раз: "Вы действительно хотите изменить MBR?.."  
 
А по сути, везде, во всём наблюдаем повальное разгильдяйство. Что создатели ОС работают кое как, что антивирусники больше занимаются саморекламой, а не исследованиями, что it сотрудники яйца вялят, а не занимаются своими прямыми обязанностями.
 
Там, где люди работают, эти пары последних эпидемий даже не заметили.
 

Всего записей: 5323 | Зарегистр. 15-01-2012 | Отправлено: 16:05 29-06-2017
Abs62



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ZSZ

Цитата:
Ну и если та же Windows позволяет перезаписывать MBR первому встречному, что это за система.

Строго говоря, не первому встречному, а админу. А админу в любой системе позволено очень многое.

----------
0 программистов ругал сердитый шеф
Потом уволил одного, и стало их FF

Всего записей: 5938 | Зарегистр. 22-10-2005 | Отправлено: 16:20 29-06-2017
AK470



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
MBR Filter для защиты MBR от несанкционированных изменений: https://www.talosintelligence.com/mbrfilter

А на win10 где hdd GPT и UEFI c включ. Secure Boot , эта зараза действует ?  

Всего записей: 741 | Зарегистр. 07-11-2009 | Отправлено: 19:33 29-06-2017
vladimir_ko

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
А на win10 где hdd GPT и UEFI c включ. Secure Boot , эта зараза действует ?

Вчера видел 10 хомяк с GPT UEFI - по результату RAW диск, после восстановления разделов и создания нового EFI система кривовато (без конфигов некоторых) стартует, perfc - присутствует, документы - мусор. Дальше разбираться не было желания...

Всего записей: 47 | Зарегистр. 27-09-2006 | Отправлено: 22:32 29-06-2017
sasherb



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Bort_Nick
Не удается запустить вирус


----------
Intel Core i3-4130/ASRock H81M-VG4 R2.0/ATI HD7750/8GB/SSD 240GB/FSP 550 80GLN/BenQ GW2260

Всего записей: 4066 | Зарегистр. 11-09-2009 | Отправлено: 18:35 01-07-2017
Bort_Nick



Full Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
sasherb, ну ответ системы однозначный, и по русски же написано. Не найден. Значит его у Вас нет...

Всего записей: 560 | Зарегистр. 26-08-2012 | Отправлено: 19:25 01-07-2017
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Вирус(ы) в ОС Windows. Проблемы. Решения. (II)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2020

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru