Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Вирус(ы) в Windows XP,Vista,7,8,8.1,10. Проблемы. Решения.

Модерирует : KLASS, IFkO

KLASS (16-02-2017 18:32): Продолжение в Вирус(ы) в ОС Windows. Проблемы. Решения. (II)  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141

   

HDD



Platinum Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Вирусы в Windows XP, Vista, 7, 8, 8.1, 10. Проблемы. Решения.


Стандартные действия

Вариант №1

1. Скачиваем Dr.Web LiveDisk - Ссылка ведёт на страницу загрузки, записываем диск, загружаемся и проверяем системы на вирусы.  
И\или
Скачиваем Kaspersky Rescue Disk - Ссылка ведёт на страницу загрузки: на ядре Linux (вирусы под win не пройдут, а под *nix их нету по крайней мере живых), ядро от десятой версии и изменена "никсовая" оболочка. Обновление происходит раз в неделю. Записываем диск, загружаемся и проверяем системы на вирусы.
Вариант №2

1. Скачиваем загрузочный диск на базе LiveCD (Ссылки в Варезнике LiveCD/BootCD (DVD/USB) на базе OPK WinPE)
2. Скачиваем антивирусы работающие без инсталляции.
2.1 Dr.Web CureIT! - Ссылка ведёт на страницу загрузки  
2.2 Kaspersky Virus Removal Tool (AVPTool) - Ссылка ведёт на страницу загрузки  
3. Прожигаем скачанный LiveCD на болванку, перезагружаемся, выставляем в биосе загрузку с CD\DVD(Что бы зайти в биос, нужно нажимать после включения компьютера кнопки Del или F2, зависит от производителя материнской платы.) На некоторых материнских платах, возможно вызвать Boot Menu нажав F8 при загрузке и выбрать загрузку с CD\DVD не заходя в биос.  
4. Проверяем одной утилитой, перезагружаемся, проверяем второй утилитой, пытаемся загрузить систему.  
Желательно отключить систему восстановления. Свойства системы-система восстановления.

Разница между вариантом №1 и вариантом №2 заключается в следующем:
Если нет возможности скачать LiveCD, то проверяйте компьютер в безопасном режиме. При загрузке нажимать F8, выбрать верхний пункт(Safe Mode или безопасный режим). В этом случае при сохранение CureIt и AVPTool к себе на компьютер переименовывайте файлы. Ряд вирус блокирует запуск при стандартном имени файла.
Это стандартные действия, которые не гарантируют восстановление работоспособности ОС, НО! 90% проблем решается таким способом.
Если не помогает, то скачиваем AVZ, сканируем и выкладываем лог. Обязательно указываем какая версия Windows.

Полезные инструменты(утилиты)
Sysinternals (Microsoft) Process Explorer - Выдает подробнейшую информацию обо всех запущенных процессах, включая владельца, использование памяти, задействованные библиотеки и т.д.
Sysinternals (Microsoft) Autoruns - Позволяет контролировать автозагрузку запускающихся при старте операционной системы сервисов, приложений и других компонентов.
Sysinternals (Microsoft) Process Monitor - программа для мониторинга файловой системы, реестра и процессов в оперативной памяти. Filemon+Regmon
HijackThis - программа для удаления невидимых spyware
AutoLogger - автоматический сборщик логов, более подробное описание утилиты смотрите на странице скачивания.
AdwCleaner - программа для удаления тулбаров, adware и другого рекламного мусора.
MBRCheck - утилита для проверки MBR на предмет заражения современными "руткитами"
RegASSASSIN - Программа для удаления "заблокированных" веток и ключей в реестре из-за mailware
SmartFix - Эффективная программа для быстрого автоматического исправления неполадок.
Когда нужны? Когда есть работающая система, но есть подозрения, что дело "нечисто".  

Темы на форуме

Помощь при лечении компьютера от вирусов - помощь от "хелперов" с "VirusInfo". В топике строгие правила. Внимательно читаем шапку.
Антивирусы (Antivirus'ы) не требующие инсталяции - кому не хватает CureIT и AVPTool
AVZ - Anti-SpyWare, Anti-AdWare
Восстановление Windows - Как вернуть Windows к жизни без переустановки
Windows заблокирован! - отдельный топик по решению проблем с вирусом блокирующим запуск ОС и требующем выслать денег по СМС.
Обзор антивирусов(и др. средств безопасности на их основе) под Windоws 98/XP/Vista/7/8/8.1/10  
Тема посвящённая Kido, Conficker, Downadup
Полезные ссылки в интернете

Чистые системные файлы Windows, которые заражают блокеры - ссылка ведёт на страницу закачки
Поиск описания  вирусов по названию
Советы по лечению ПК от Олега Зайцева, автора Avz
Ручное лечение компьютера от вирусов - Спец.форум по проблемам с вирусамих.
Очистка Windows от вирусов - Статья от FuzzyL
Список "левых" служб, ссылающихся на svchost.exe, для WindowsXP
Страница VirusHunter`a - "Диспетчер задач\реестр\настройки рабочего стола  заблокирован(ы) .." Подборка полезных "точечных"  утилит.  
Безопасный Интернет. Универсальная защита для Windows ME - Vista - автор-составитель антивирусный эксперт, золотой бета-тестер Лаборатории Касперского Николай Головко
 
Шапка ©HDD
Вопросы по шапке здесь

Всего записей: 14819 | Зарегистр. 15-03-2003 | Отправлено: 23:20 18-09-2009 | Исправлено: KLASS, 18:48 16-02-2017
DeadAnarchist

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Решил сюда написать!
Не один год борюсь с вирусами, порно баннерами, все успешно было до 27-11-2009. Пришел я к человеку. У него два порно-информера, не в браузере, а в  <strong>Windows</strong>.
Один убрал легко, сразу запустил AnVirTaskManager он показал два процесса dap10.tmp, их убиваю баннер исчезает, перезагружаюсь в безопасном режиме иду по поти этого файла dap10 (он сидел в мамке Temp в каталоге AppData/../Temp), чищу папку Temp, перезагружаюсь, все ок.
Но блин есть еще второй http://family.dveit.ru/wp-content/uploads/2009/11/200911300024_28112009042.jpg который появляется примерно через минуту после запуска Windows. Сканировал AVZ, сканировал Kaspersky, чисто, ни чего не видят. В процессах этот проклятый банер не виден. Промучился минут 40, результат нулевой. Нашел всего один выход, написал батник
taskkill /f /im explorer.exe
explorer.exe
После перезапуска Explorera баннер исчезает и больше не появляется, до следующей перезагрузке компа.
 
Кто что может посоветовать?! Кто чем пользуется для удаления этой порнухи?! Я обычно руками числил, а тут что то прям в тупике.
 
P.S. Когда люди уйдут с это XP? 100% моих клиентов цепляют эту гадость на XP, ни один комп с Vista и 7 заражены подобной хренью небыли!

Всего записей: 53 | Зарегистр. 13-09-2008 | Отправлено: 17:35 29-11-2009 | Исправлено: DeadAnarchist, 17:37 29-11-2009
krserv



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
не встречался никто нет такого вируса, который бы выводил экран под Microsoft предупреждение - вы пользуетесь нелегальной версией - а то у меня появился такой экран, на лицензионный ХР. Правда на другом разделе стоит 7 крэкнутая, и я установил на еще один раздел Windows 2008 R2 сервер, еще не крэкнутый, возможно из-за них как-то и на хр влияет, т.к в 7 тоже такой же экран появился. А может это просто вирус?

Всего записей: 3728 | Зарегистр. 21-11-2006 | Отправлено: 18:19 29-11-2009
01pump

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
krserv
Так может просто слетела активация у XP ? В этом уведомлении есть упоминания об отправке sms ?

Всего записей: 500 | Зарегистр. 27-06-2008 | Отправлено: 18:48 29-11-2009
krserv



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
01pump
нет, натуральный экран Microsoft, что возможно вы пользуетесь нелицензионной копией и черный экран, вообщем как всегда.
 
Добавлено:
а если бы активация слетела, то она бы написала, что система не активирована, а тут она это не пишет. Но в принципе хрен с ней, у меня этот ноут стал на работе использоваться, верну к лицензионным ОС, а то гости вдруг придут, и на работе объясни им что этот ноут личный.

Всего записей: 3728 | Зарегистр. 21-11-2006 | Отправлено: 18:52 29-11-2009
mihei284



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
test

Всего записей: 1 | Зарегистр. 20-04-2009 | Отправлено: 19:42 29-11-2009
IgorUser

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Короче говоря, ждать не могу, снес я ХP и все дела.

Всего записей: 4 | Зарегистр. 26-11-2009 | Отправлено: 21:50 29-11-2009
toxavich

Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Вопрос, как можно отследить откуда лезут вирусы, установлен был сервер, айпишка 192.168.0.1, и вот только на него лезут...
Сетка из 50 машин, может кто подскажет чем можно отследить что создает эти файлы?
Вот некоторые из них:
tdijbr.exe    Win32/Packed.Autoit.Gen
Безлимитный Интернет\Internet Explorer Unlimited\IExplore.exe    Win32/Delf.MZ
Пароли.exe    Win32/Autoit.NFB

Всего записей: 38 | Зарегистр. 28-08-2007 | Отправлено: 15:01 03-12-2009 | Исправлено: toxavich, 15:04 03-12-2009
IvANANvI

Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Думаю пик развития такого рода вирусов придется на следующий 2010 год.  
Начаналось всё с банальных надстроек автоматически добавляемых к дырявому IE6. Которые вычислялись на раз -два и легко удалялись. (Проявление только в конкретном браузере)
Затем появились такие же модификации для браузеров сторонних - в опере через пользовательские скрипты (*.js), а в мозилле через теже дополнения, что и в эксплорере.  
Также легко вычисляются и довольно легко удаляются поскольку проявляются только в конкретном браузере). Однако в мозилле встречался информер (правда не во весь экран, а только по низу браузера), который не был дополнением, а скрывался в папке "C:\Program Files\Common Files" с названием папки и большого количества букв. (Информацию о удалении нашел в интернете (запрос информер+мозилла). Уже как видим более изочренное вымогательство).
 
Далее мною были замечены СМС вымогатели проявляющиеся в любом браузере при подключенном интернете, при заходе многие на популярные сайты. Здесь антивирусами ничего не находилось на компе, дело оказалось в банальной модификации файла HOSTS (drivers\etc\host). В котром обнаружилось около 1500 дорполнительных строчек перенаправления популярных сайтов на один внешний IP сайта Украины вымогателя. Вымогательство было подкреплено информацией о тяжелой болезни ребенка.
Далее встречалось более изощеренное исправление файла хоста добавлением перенаправлений после около 100 пустых строк (список перенаправлений меньше). Будьте внимальны при просмотре HOSTS, бывает полезно перейти сразу в конец файла.  
 
Ну и наконец это настоящие вирусы, запускающиеся с загрузкой винды и Информер появляется сразу при появлении рабочего стола. По первому времени лекго отлавливались, поскольку встраивались ввиде запускаемых фалов в обычные ключи автозапуска.(вплоть до меню автозагрузка). Легко отлавливались антивирусами правда иногда с задержкой в 2-3 дня. Сам не раз отправлял в лабораторию касперского для занесения в базу. Самостоятельно находятся либо msconfig либо autoruns от SysInternals.
В последнее время способы автозагрузки куда более изощренные: dll файлы, стартуемые через rundll, либо службы, либо драйверы sys. (Get accelerator) Самостоятельно найти уже сложнее, поскольку поиск среди большого числа нужных. (опыт) Могут детектироваться только свежими антивирусами Российского производства (Поскольку импорным это нифиг не нать- да и не на их кошельки они направлены.)
Удаляться и детектироваться могут с помощью AVZ или KAVRemovtools? DrWeb CureIt.
P.S. Забытый (с 98 винды) полноэкранный режим  
FAR (ALT+ENTER) лучший вариант от любых окон поверх всего.

Всего записей: 762 | Зарегистр. 29-11-2007 | Отправлено: 17:21 03-12-2009
HDD



Platinum Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
toxavich
Попробуй поставить на него Фаер. Только настрой правильно

----------
Мир есть Текст
The Show Must Go On
Карта раздела «Microsoft Windows»

Всего записей: 14819 | Зарегистр. 15-03-2003 | Отправлено: 03:50 04-12-2009
IvANANvI

Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Снова порно-банер почти во весь экран с запросом СМС. Теперь уже даже и в безопасном режиме, при этом не дает запускаться исполняемым EXE файлам, запуская себя. Заблокирован диспетчер задач и редактор реестра. Запустить можно волков коммандер .  
Я поступил другим способом: загрузился с флехи и поискал в системе руками подозрительные файлы.  Лекго разыскиваются поскольку как правило скрытые и это их выдает и названия рандомные. Эх если бы в фаре была сортировка по скрытым файлам.
Убрал следующие аваст сюда попал потму, что беспомощен (все равно потом удалить хотел):
aavmker4.sys
aswBoot.exe
aswFsBlk.sys
aswmon.sys
aswmon2.sys
aswRdr.sys
aswSP.sys
aswTdi.sys
AvastSS.scr
CONFIG.TMP
KGyGaAvL.sys
PSFSF.dll
webfldrs.msi
Скрытая папка lowsec:
с файлами  
local.ds
user.ds
user.ds.lll
После этого загрузка в нормальном режиме без порно-информера и сканирование на вирусы касперским , который обнаружил остатки либо пропущенные авастом трояны. AVZ восстановление системы.

Всего записей: 762 | Зарегистр. 29-11-2007 | Отправлено: 15:51 04-12-2009 | Исправлено: IvANANvI, 15:54 04-12-2009
AlexIva



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Снова порно-банер почти во весь экран с запросом СМС.

Еще просмотреть
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit %WINDIR%\System32\userinit.exe,  
Все что после userinit.exe, - удалить. Например
%WINDIR%\System32\sdra64.exe


----------
"Чем больше я узнаю, тем больше понимаю как мало я знаю."
А.Эйнштейн

Всего записей: 2346 | Зарегистр. 25-04-2006 | Отправлено: 23:24 04-12-2009
IvANANvI

Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
AlexIva
Угу только подправить можно загрузивший с другого носителя и подгрузив реестр зараженного компа.

Всего записей: 762 | Зарегистр. 29-11-2007 | Отправлено: 15:18 05-12-2009
AlexIva



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
IvANANvI

Цитата:
Угу только подправить можно загрузивший с другого носителя и подгрузив реестр зараженного компа.

А вот это под вопросом. Была ситуация,грузился под одним из вариантов LiveCD, так РР в этой записи ссылался вместо
 %WINDIR%\System32\userinit.exe,
на  
X:\LiveCD

----------
"Чем больше я узнаю, тем больше понимаю как мало я знаю."
А.Эйнштейн

Всего записей: 2346 | Зарегистр. 25-04-2006 | Отправлено: 15:41 05-12-2009
regkz



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
сталкивался почти с таким же явлением, но без баннера, просто закрывались все админские права. а кто-нибудь знает как их после лечения вернуть назад?

Всего записей: 1172 | Зарегистр. 16-01-2007 | Отправлено: 19:56 07-12-2009
ChaVeS

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Поймал ЭТО - Get Accelerator (для глубокомыслящих - на порно не лазил). На рабочем столе красивая надпись, на которой сообщается, что интернет заблокирован ну и соответственно просят денег. Стоит EZET NOD32. Попробовал это - Dr.Web CureIT! Нашел 3 одинаковые бяки в разных местах ну и соответственно лечить. После как обычно перезагрузился, но по ходу надо было (это мои мысли) отключить восстановление системы. В итоге бяка снова вылезла теперь ее никто не видет и вопрос: есть варианты... или винду переустанавливать? СПАСИБО!
 
Добавлено:
IvANANvI
Так может научишь как эту заразу уничтожить, а то винду переустанавливать времени нет. Конец года много работы. Спасибо.

Всего записей: 174 | Зарегистр. 26-03-2008 | Отправлено: 11:11 08-12-2009
DeadAnarchist

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ChaVeS, а винда XP?
Заметил тенденцию, все клиенты ловят такую заразу на виндовсе XP, с Вистой и тем более 7 еще ни кто не обратился!

Всего записей: 53 | Зарегистр. 13-09-2008 | Отправлено: 15:40 08-12-2009
HDD



Platinum Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
ChaVeS
А скачать LiveCD, почистить систему восстановления и ещё раз пройтись CureIt и AVPTool. Т.е. вариант №2 из шапки.

----------
Мир есть Текст
The Show Must Go On
Карта раздела «Microsoft Windows»

Всего записей: 14819 | Зарегистр. 15-03-2003 | Отправлено: 19:52 08-12-2009
Donatello



Silver Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
ChaVeS

Цитата:
 Поймал ЭТО - Get Accelerator (для глубокомыслящих - на порно не лазил).

 
Да можно любой сайт заразить. Я вчера на сайте игрушек rutoy... словил. Да, штука знатная - реальный мозг написал. Почти час "приятного" времяпровождения на узнавание и обезвреживание. Позабавило, что увидел впервые как IE7 "пробивают" и не мог сначала понять как он загружается. Названия файлов писать бесполезно (не видя отчёта), т.к. они могут отличаться/модификации разные могут быть. В общих словах, в моём случае, он подменил драйвер atapi.sys (он загружается при старте) - >>>, ну и у меня были файлы, типо:
\Автозагрузка\siszyd32.exe
C:\WINDOWS\TEMP\~TM2B0.tmp
C:\WINDOWS\system32\av_md.exe
C:\WINDOWS\system32\config\systemprofile\av_md.exe
C:\WINDOWS\system32\winsrv.exe
Ну и ветка реестра. Я воспользовался AVZ, потом по F8 ещё откатился к пред. состоянию и потом восстановил драйвер. Если не получится у тебя, то тебе без проблем помогут на http://virusinfo.info - там много тем, посвященных Get Accelerator, в разделе Помогите! запости по правилам.

----------
Манифест
Правда24
Лучше быть хорошим человеком, «ругающимся матом», чем тихой, воспитанной тварью. Ф.Г. Раневская

Всего записей: 4309 | Зарегистр. 17-08-2003 | Отправлено: 08:42 09-12-2009 | Исправлено: Donatello, 11:12 09-12-2009
tutmas



Newbie
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Доброго времени суток. история такая: в нете на ноут знакомого человека на какомто из сайтов был пойман троян  
 
C:\Users\кламас\AppData\Roaming\Microsoft\Windows\Cookies\userlib.dll
Win32/LockScreen.DB троян
 
Все бы ничего, нод его нашел, но что то пошло не так, в общем машина заражена. Лекарство для нода от этой заразы появилось только на следущий день.  
 
Сейчас твариться такая штука. подключение к нету есть, но по именам никого не видит. могу пропинговать по ip кого угодно, но не более того. как исправить такую засаду?
 
ах да, стоит виста. ненавижу висту потому и спрашиваю что делать то с ней?

Всего записей: 28 | Зарегистр. 14-12-2005 | Отправлено: 10:19 09-12-2009
HDD



Platinum Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Цитата:
ах да, стоит виста. ненавижу висту потому и спрашиваю что делать то с ней?

И что? Такое впечатление, что вы с прокажённым поздоровались за руку или у неё какое-то принципиальное отличии от ХР?  Ладно.  
Вариант №2 из шапки. Проверяйте комп для начала.

----------
Мир есть Текст
The Show Must Go On
Карта раздела «Microsoft Windows»

Всего записей: 14819 | Зарегистр. 15-03-2003 | Отправлено: 08:35 10-12-2009
   

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Вирус(ы) в Windows XP,Vista,7,8,8.1,10. Проблемы. Решения.
KLASS (16-02-2017 18:32): Продолжение в Вирус(ы) в ОС Windows. Проблемы. Решения. (II)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru