Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Вирус(ы) в ОС Windows. Проблемы. Решения. (II)

Модерирует : KLASS, IFkO

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32

Открыть новую тему     Написать ответ в эту тему

KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Предыдущие части: -I-

Вирусы в Windows XP, Vista, 7, 8, 8.1, 10.
Проблемы. Решения.


Стандартные действия

Вариант №1

1. Скачиваем Dr.Web LiveDiskСсылка ведёт на страницу загрузки, записываем диск, загружаемся и проверяем системы на вирусы.  
И\или
Скачиваем Kaspersky Rescue DiskСсылка ведёт на страницу загрузки: на ядре Linux (вирусы под win не пройдут, а под *nix их нет, по крайней мере живых), ядро от десятой версии и изменена "никсовая" оболочка. Обновление происходит раз в неделю. Записываем диск, загружаемся, обновляем базы и проверяем системы на вирусы.
Вариант №2

1. Скачиваем загрузочный диск на базе LiveCD (Ссылки в Варезнике LiveCD/BootCD (DVD/USB) на базе OPK WinPE)
2. Скачиваем антивирусы работающие без инсталляции.
2.1 Dr.Web CureIT!Ссылка ведёт на страницу загрузки  
2.2 Kaspersky Virus Removal Tool (AVPTool)Ссылка ведёт на страницу загрузки  
3. Прожигаем скачанный LiveCD на болванку, перезагружаемся, выставляем в биосе загрузку с CD\DVD(Что бы зайти в биос, нужно нажимать после включения компьютера кнопки Del или F2, зависит от производителя материнской платы.) На некоторых материнских платах, возможно вызвать Boot Menu нажав F8 при загрузке и выбрать загрузку с CD\DVD не заходя в биос.  
4. Проверяем одной утилитой, перезагружаемся, проверяем второй утилитой, пытаемся загрузить систему.  
Желательно отключить систему восстановления. Свойства системы-система восстановления.

Разница между вариантом №1 и вариантом №2 заключается в следующем:
Если нет возможности скачать LiveCD, то проверяйте компьютер в безопасном режиме. При загрузке нажимать F8, выбрать верхний пункт(Safe Mode или безопасный режим). В этом случае при сохранение CureIt и AVPTool к себе на компьютер переименовывайте файлы. Ряд вирус блокирует запуск при стандартном имени файла.
Это стандартные действия, которые не гарантируют восстановление работоспособности ОС, НО! 90% проблем решается таким способом.
Если не помогает, то скачиваем AVZ, сканируем и выкладываем лог. Обязательно указываем какая версия Windows.

Полезные инструменты(утилиты)

Sysinternals (Microsoft) Process ExplorerВыдает подробнейшую информацию обо всех запущенных процессах, включая владельца, использование памяти, задействованные библиотеки и т.д.
Sysinternals (Microsoft) AutorunsПозволяет контролировать автозагрузку запускающихся при старте операционной системы сервисов, приложений и других компонентов.
Sysinternals (Microsoft) Process Monitorпрограмма для мониторинга файловой системы, реестра и процессов в оперативной памяти. Filemon+Regmon
HijackThisпрограмма для удаления невидимых spyware
AutoLoggerавтоматический сборщик логов, более подробное описание утилиты смотрите на странице скачивания.
AdwCleanerпрограмма для удаления тулбаров, adware и другого рекламного мусора.
RegASSASSINПрограмма для удаления "заблокированных" веток и ключей в реестре из-за mailware
SOSКомплект программ  для диагностики/реанимации/оптимизации/защиты/профилактики Windows. Скачать
SmartFixЭффективная программа для быстрого автоматического исправления неполадок Оф.сайт

Темы на форуме

Обсуждение wannaCry в админском разделе..
Помощь при лечении компьютера от вирусовпомощь от "хелперов" с "VirusInfo". В топике строгие правила. Внимательно читаем шапку.
Антивирусы (Antivirus'ы) не требующие инсталяциикому не хватает CureIT и AVPTool
AVZ - Anti-SpyWare, Anti-AdWare
Восстановление WindowsКак вернуть Windows к жизни без переустановки
Windows заблокирован!отдельный топик по решению проблем с вирусом блокирующим запуск ОС и требующем выслать денег по СМС.
Обзор антивирусов (и др. средств безопасности на их основе) под Windоws 98/XP/Vista/7/8/8.1/10
Полезные ссылки в интернете

Закрываемся от вируса-шифровальщика WannaCry
VirusTotal — бесплатная служба, осуществляющая анализ подозрительных файлов и ссылок (URL) на предмет выявления вирусов, червей, троянов и всевозможных вредоносных программ.  
Чистые системные файлы Windows, которые заражают блокерыссылка ведёт на страницу закачки
Поиск описания  вирусов по названию
Советы по лечению ПК от Олега Зайцева, автора Avz
Ручное лечение компьютера от вирусовСпец.форум по проблемам с вирусамих.
Очистка Windows от вирусовСтатья от FuzzyL
Список "левых" служб, ссылающихся на svchost.exe, для WindowsXP
Страница VirusHunter`a — "Диспетчер задач\реестр\настройки рабочего стола  заблокирован(ы) .." Подборка полезных "точечных" утилит.  
Безопасный Интернет. Универсальная защита для Windows ME - Vista — автор-составитель антивирусный эксперт, золотой бета-тестер Лаборатории Касперского Николай Головко
 
Прежде чем изменять шапку спроси здесь. Не спросил-запрет на пост! KLASS

Всего записей: 9241 | Зарегистр. 12-10-2001 | Отправлено: 18:31 16-02-2017 | Исправлено: 526549, 18:38 09-01-2019
Gourmet

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
скриншот хотя бы показали как выглядит это сообщение

Не могу. Пользователь, у которого эта пакость, не умеет делать скриншоты. Но судя по его словам - это малварь, да и упоминается она как малварь Kzmus.site. Похоже именно эта пакость обзывает себя wizardclick.site.

Всего записей: 1651 | Зарегистр. 26-06-2003 | Отправлено: 21:25 15-11-2020
Mavrikii

Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Gourmet

Цитата:
это малварь, да и упоминается она как малварь Kzmus.site

это не малварь, а сайт который добавляет подписки по клику пользователя.
поэтому и везде показывается как подчистить уведомления в браузере и только
https://malwaretips.com/blogs/remove-kzmus-site/
вот и прошу показать как выглядит, потому что думаю что это именно уведомление, а не вирус или малварь.

Всего записей: 11089 | Зарегистр. 20-09-2014 | Отправлено: 21:27 15-11-2020
Dadhi1

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Коллеги!!
уже третью неделю каждое воскресенье ближе к вечеру страдаю от how_to_decrypt !
(бекапы есть. восстанавливать данные не нужно)
 
эта  радость поселяется на серваке в расшаренных папках и калечит в них файлы (консультант плюс)
а так же лезет в аккаунты пользователей. но  ничего там не калеча (???) ... (ну и на том спасибо)..
и кстати есть ещё одна расшара с базами 1С, но там он не поселяется и ничего не делает (там у меня права чисто на бухсостав)
 
понедельник начинается с тупого удаления how_to_decrypt из этих папок ( Кстати на диске "С"  он тоже появляется но вреда не приносит)
 
 
Вопрос.. откуда он может лесть? и почему строго по воскресеньям? (в планировщике он может быть?)
как его грохнуть раз и навсегда?

Всего записей: 283 | Зарегистр. 31-01-2013 | Отправлено: 12:27 23-02-2021 | Исправлено: Dadhi1, 12:31 23-02-2021
MihailM

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Dadhi1, если это так то ищите в планировщике , особенно на предмет левых служб и программ, так же советую прошерстить автозагрузку вдруг там чего. Если где еще , я просто не спец , то и там где может быть такое. Так же в диспечере задач, тоже посмотрите, вдруг там что висит.
Ну и антивирусником каким нибудь пройдитесь , типа dr. web cure it . в гугле  думаю ссылку на оффсайт найдете без проблем.  
Добавлено:
я как бы особо не спец. но это делаю иногда. когда чувствую что ОС как то робит не стабильно.

Всего записей: 2011 | Зарегистр. 19-10-2003 | Отправлено: 12:40 23-02-2021 | Исправлено: MihailM, 12:49 23-02-2021
uzeerpc

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
how_to_decrypt  

https://www.avast.com/ransomware-decryption-tools
 
Ну и HitmanPro и UnHackMe попробуйте.  
 
Подсвечивает ли AutoRuns какие-нибудь процессы?

Всего записей: 701 | Зарегистр. 09-01-2016 | Отправлено: 12:45 23-02-2021 | Исправлено: uzeerpc, 12:49 23-02-2021
Dadhi1

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Тdr. web cure it разумеется прошёлся аж два раза..
Но после того как я грохаю его из папок dr. web cure it ничего более не находит
 
попробую прогнать утилитами от каспера в следующий понедельник. если опять файлы зашифруются ..
 
ни в планировщике, ни в реестре ни в автозапуске пока ничего криминального пока  не нахожу. оно и понятно... не надо ожидать что там будет что то типа "вирус прописан тут"
буду искать...  

Всего записей: 283 | Зарегистр. 31-01-2013 | Отправлено: 14:25 23-02-2021
MihailM

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Dadhi1
Да кстати про службы еще забыл .. Мож там что .. Вроде бы если не ошибаюсь ,то некоторые вирусы могут под службы "косить" ..

Всего записей: 2011 | Зарегистр. 19-10-2003 | Отправлено: 14:34 23-02-2021 | Исправлено: MihailM, 15:06 23-02-2021
Bersaglio



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Dadhi1
Качайте Rescue Disk, загружайтесь с него и проверяйте все компьютеры в сети поряд, включая сервера. И проверьте, чтобы все обновления безопасности были установлены на все системы, наверняка лезет через уязвимости.

Всего записей: 2171 | Зарегистр. 21-08-2006 | Отправлено: 14:45 23-02-2021
regist123



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
uzeerpc написал(а)
Цитата:
Ну и HitmanPro [?] и UnHackMe [?] попробуйте.  

Этим вообще лучше не пользоваться.
Dadhi1 написал(а)
Цитата:
попробую прогнать утилитами от каспера в следующий понедельник.

А для чего ждать понедельника? Что-то сразу "Ирония судьбы" вспомнилась: "на следующий новый год обязательно пойду в баню".
И раз самостоятельно разобраться не получается, то идёте в специализированный раздел и проверяетеь на вирусы.
Раз уж выбрали касперского, то сюда: Помощь в удалении вирусов.

----------
Раздачи и акции

Всего записей: 6703 | Зарегистр. 20-03-2009 | Отправлено: 23:19 23-02-2021 | Исправлено: regist123, 13:57 24-02-2021
Dadhi1

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
А для чего ждать понедельника?

 
Ну просто сервак пока опять чистый, .. вроде как .. по крайней мере ни доктор ни каспер ничего не находят .. (доктор нашёл ами админ  ) ..
 
а клиентские комы - другое дело... их надо шерстить

Всего записей: 283 | Зарегистр. 31-01-2013 | Отправлено: 00:50 24-02-2021
regist123



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Dadhi1 написал(а)
Цитата:
Ну просто сервак пока опять чистый

Если бы он был чистый, то это не повторялось бы каждую неделю.

Цитата:
по крайней мере ни доктор ни каспер ничего не находят

Утилиты которые используются на этих форумах как раз предназначены для нахождения заразы, которую не видят антивирусы.  
Ну, а в крайнем случае повисит открытая тема до понедельника .

----------
Раздачи и акции

Всего записей: 6703 | Зарегистр. 20-03-2009 | Отправлено: 13:56 24-02-2021
vzar



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Dadhi1, настроить аудит расшаренных папок не вариант?

Всего записей: 6590 | Зарегистр. 31-07-2009 | Отправлено: 14:05 24-02-2021
regist123



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Dadhi1, кстати, да. Если вирус орудует только в рассшаренных папках, то значит заражена одна из машин которая имеет к ним доступ. Если это происходит по понедельникам, то возможно её включают только в этот день.
И если будете создавать тему в разделе лечения (по моему совету выше), то логи надо собирать именно с этой машины. С другой очевидно, что они ничего не покажут ибо машина чистая.

----------
Раздачи и акции

Всего записей: 6703 | Зарегистр. 20-03-2009 | Отправлено: 16:37 24-02-2021
uzeerpc

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Этим вообще лучше не пользоваться.

Ну как бы если голову включать, то норм. Я заочно уверен, что ТС понимает что делает))

Всего записей: 701 | Зарегистр. 09-01-2016 | Отправлено: 13:13 25-02-2021 | Исправлено: uzeerpc, 13:13 25-02-2021
emil9



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Dadhi1
Поставь простенький фаер , например simplewall , и если атака идет по сети,  увидишь атакующий хост. Или APS http://z-oleg.com/secur/aps/

Всего записей: 2035 | Зарегистр. 16-10-2002 | Отправлено: 04:14 26-02-2021
Dadhi1

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
это как то связано с RDP.. кто то оттуда заражает!!..
Но почему раз в неделю?? ))
 
Кстати калечения файлов больше не происходит. всё заканчивается на уровне блокировки защитником windows нескольких видов троянов  
 
в подробностях указан объект типа file: \\tsclient\E\.cr_honey.exe
 
у меня есть локальный пользователь SCAN, используется для сканирования по протоколу SMB (всякие куосеры, каноны и прочие МФУ) .. на той неделе обнаружил левые аккаунты типа scan.имя домена, scan.имя домена00, scan.имя домена000 ...
аккаунты естественно грохнул, ни в "пользователях домена", в локальных таких не обнаружил...

Всего записей: 283 | Зарегистр. 31-01-2013 | Отправлено: 12:44 08-03-2021 | Исправлено: Dadhi1, 12:58 08-03-2021
Bersaglio



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Dadhi1
В RDP туева куча уязвимостей, одно из них даже на Windows XP и Windows Server 2003 затыкалось аж в мае 2019г. - при помощи KB4500331. Если у вас не закрыты дыры в RDP, например, не установлен февральский месячный накопительный пакет на систему (KB4601347 для Windows 7, для более поздних систем свои) - эти шифровальщики будут лезть до бесконечности.

Всего записей: 2171 | Зарегистр. 21-08-2006 | Отправлено: 17:24 08-03-2021 | Исправлено: Bersaglio, 17:24 08-03-2021
docNemo



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Dadhi1
Защитите хост RDS-Knight
 
 
Добавлено:
Но сперва пролечите Smartfix+
CureIt - это несерьезно.

Всего записей: 812 | Зарегистр. 09-10-2016 | Отправлено: 18:47 08-03-2021
regist123



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
docNemo написал(а)
Цитата:
Но сперва пролечите Smartfix+

Чем автоматическая утилита лучше ручного персонального анализа логов?  
И в своё время тестировали эту утилиту для лечения Baidu (если помните, была эпидемия, когда он вирусами массово устанавливался Smartfix показал плохие результаты ). Потом конечно автор специально под тот семп на котором тестировали заточил (он был в курсе тестирования).

----------
Раздачи и акции

Всего записей: 6703 | Зарегистр. 20-03-2009 | Отправлено: 17:27 14-03-2021
kvark484kvark484

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Результаты проверки моего explorer.exe из Windows 7 х64 Ultimate (по пути C:\Windows) на вирустотал:
https://www.virustotal.com/gui/file/d5bc504277172be5c54b60ad5c13209dc1f729131def084de3ec8c72e54c58ef/detection
Подскажите, есть повод для беспокойства или нет (цифровой подписи почему-то нет)? Или так и должно быть (он в норме не имеет цифровой подписи)?

Всего записей: 369 | Зарегистр. 26-03-2016 | Отправлено: 07:08 25-03-2021 | Исправлено: kvark484kvark484, 08:35 25-03-2021
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Вирус(ы) в ОС Windows. Проблемы. Решения. (II)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2020

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru