Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Вирус(ы) в Windows XP,Vista,7,8,8.1,10. Проблемы. Решения.

Модерирует : KLASS, IFkO

KLASS (16-02-2017 18:32): Продолжение в Вирус(ы) в ОС Windows. Проблемы. Решения. (II)  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141

   

HDD



Platinum Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Вирусы в Windows XP, Vista, 7, 8, 8.1, 10. Проблемы. Решения.


Стандартные действия

Вариант №1

1. Скачиваем Dr.Web LiveDisk - Ссылка ведёт на страницу загрузки, записываем диск, загружаемся и проверяем системы на вирусы.  
И\или
Скачиваем Kaspersky Rescue Disk - Ссылка ведёт на страницу загрузки: на ядре Linux (вирусы под win не пройдут, а под *nix их нету по крайней мере живых), ядро от десятой версии и изменена "никсовая" оболочка. Обновление происходит раз в неделю. Записываем диск, загружаемся и проверяем системы на вирусы.
Вариант №2

1. Скачиваем загрузочный диск на базе LiveCD (Ссылки в Варезнике LiveCD/BootCD (DVD/USB) на базе OPK WinPE)
2. Скачиваем антивирусы работающие без инсталляции.
2.1 Dr.Web CureIT! - Ссылка ведёт на страницу загрузки  
2.2 Kaspersky Virus Removal Tool (AVPTool) - Ссылка ведёт на страницу загрузки  
3. Прожигаем скачанный LiveCD на болванку, перезагружаемся, выставляем в биосе загрузку с CD\DVD(Что бы зайти в биос, нужно нажимать после включения компьютера кнопки Del или F2, зависит от производителя материнской платы.) На некоторых материнских платах, возможно вызвать Boot Menu нажав F8 при загрузке и выбрать загрузку с CD\DVD не заходя в биос.  
4. Проверяем одной утилитой, перезагружаемся, проверяем второй утилитой, пытаемся загрузить систему.  
Желательно отключить систему восстановления. Свойства системы-система восстановления.

Разница между вариантом №1 и вариантом №2 заключается в следующем:
Если нет возможности скачать LiveCD, то проверяйте компьютер в безопасном режиме. При загрузке нажимать F8, выбрать верхний пункт(Safe Mode или безопасный режим). В этом случае при сохранение CureIt и AVPTool к себе на компьютер переименовывайте файлы. Ряд вирус блокирует запуск при стандартном имени файла.
Это стандартные действия, которые не гарантируют восстановление работоспособности ОС, НО! 90% проблем решается таким способом.
Если не помогает, то скачиваем AVZ, сканируем и выкладываем лог. Обязательно указываем какая версия Windows.

Полезные инструменты(утилиты)
Sysinternals (Microsoft) Process Explorer - Выдает подробнейшую информацию обо всех запущенных процессах, включая владельца, использование памяти, задействованные библиотеки и т.д.
Sysinternals (Microsoft) Autoruns - Позволяет контролировать автозагрузку запускающихся при старте операционной системы сервисов, приложений и других компонентов.
Sysinternals (Microsoft) Process Monitor - программа для мониторинга файловой системы, реестра и процессов в оперативной памяти. Filemon+Regmon
HijackThis - программа для удаления невидимых spyware
AutoLogger - автоматический сборщик логов, более подробное описание утилиты смотрите на странице скачивания.
AdwCleaner - программа для удаления тулбаров, adware и другого рекламного мусора.
MBRCheck - утилита для проверки MBR на предмет заражения современными "руткитами"
RegASSASSIN - Программа для удаления "заблокированных" веток и ключей в реестре из-за mailware
SmartFix - Эффективная программа для быстрого автоматического исправления неполадок.
Когда нужны? Когда есть работающая система, но есть подозрения, что дело "нечисто".  

Темы на форуме

Помощь при лечении компьютера от вирусов - помощь от "хелперов" с "VirusInfo". В топике строгие правила. Внимательно читаем шапку.
Антивирусы (Antivirus'ы) не требующие инсталяции - кому не хватает CureIT и AVPTool
AVZ - Anti-SpyWare, Anti-AdWare
Восстановление Windows - Как вернуть Windows к жизни без переустановки
Windows заблокирован! - отдельный топик по решению проблем с вирусом блокирующим запуск ОС и требующем выслать денег по СМС.
Обзор антивирусов(и др. средств безопасности на их основе) под Windоws 98/XP/Vista/7/8/8.1/10  
Тема посвящённая Kido, Conficker, Downadup
Полезные ссылки в интернете

Чистые системные файлы Windows, которые заражают блокеры - ссылка ведёт на страницу закачки
Поиск описания  вирусов по названию
Советы по лечению ПК от Олега Зайцева, автора Avz
Ручное лечение компьютера от вирусов - Спец.форум по проблемам с вирусамих.
Очистка Windows от вирусов - Статья от FuzzyL
Список "левых" служб, ссылающихся на svchost.exe, для WindowsXP
Страница VirusHunter`a - "Диспетчер задач\реестр\настройки рабочего стола  заблокирован(ы) .." Подборка полезных "точечных"  утилит.  
Безопасный Интернет. Универсальная защита для Windows ME - Vista - автор-составитель антивирусный эксперт, золотой бета-тестер Лаборатории Касперского Николай Головко
 
Шапка ©HDD
Вопросы по шапке здесь

Всего записей: 14819 | Зарегистр. 15-03-2003 | Отправлено: 23:20 18-09-2009 | Исправлено: KLASS, 18:48 16-02-2017
mp65

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
TheBarmaley

Цитата:
если "их список растёт", похоже не добил кого-то.. ребут с лив-сд - и с песней..

Увы, все антивирусы говорят о чистоте, как после ливня в воздухе...
Речь идёт, конечно, о проверках с LiveCD и в защищённом режиме.
 
Кроме hosts, что ещё может блокировать доступ к определённым сайтам (файерфоллы проверены)? Может быть запреты где-то ещё в реестре прописываются?
 
Ну нереально мне сейчас систему сносить, слишком много чего настроено.
 

Цитата:
имелось в виду - после установки с нуля и предварительной настройки - полный бэкап ещё чистой системы..  
всякие куки и прочая дребедень, изменившаяся потом, интересует намного меньше..

Здесь ты прав, нужно не лениться это планировать и делать регулярно, но вот задним числом не очень получается - у меня система с 2001 года живёт на обновлениях с 3 переносами на новые motherboards.
 

Всего записей: 38 | Зарегистр. 29-09-2005 | Отправлено: 12:56 02-02-2010 | Исправлено: mp65, 12:57 02-02-2010
TheBarmaley



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
mp65
Цитата:
Здесь ты прав, нужно не лениться это планировать и делать регулярно, но вот задним числом не очень получается - у меня система с 2001 года живёт на обновлениях с 3 переносами на новые motherboards.
нда.. знаешь.. а это круто - 9 лет и не найти хотя бы 15 минут на бэкап.. ниипически круто.. ;)
Цитата:
Кроме hosts, что ещё может блокировать доступ к определённым сайтам (файерфоллы проверены)? Может быть запреты где-то ещё в реестре прописываются?
поиск в самом реестре по именам "перекрытых" сайтов ничё не даёт?
настройки браузера сбрасывал в дефольт?

Всего записей: 17806 | Зарегистр. 07-06-2006 | Отправлено: 13:37 02-02-2010
mp65

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
TheBarmaley

Цитата:
нда.. знаешь.. а это круто - 9 лет и не найти хотя бы 15 минут на бэкап.. ниипически круто.. ;)

Ты неправильно понял, я делаю еженедельный бэкап: клон системного диска + важные файлы, иначе, как бы я пережил 2 падежа винтов за эти годы :). Но это не помогло, вирус проник в систему значительно раньше и затаился до поры до времени.
 
Поиск в реестре по адресам блокируемых сайтов ничего не дал. Что интересно, блокируются drweb, z-oleg.com, а вот касперский (http://www.kaspersky.ru/) нет, к чему бы это? :)
Сайты блокируются во всех используемых браузерах: Chrome, Safari, Firefox, Opera, IE.  
Сбрасывал IE в default, не помогло.

Всего записей: 38 | Зарегистр. 29-09-2005 | Отправлено: 14:43 02-02-2010
IvANANvI

Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
mp65
уберите статические маршруты. Последня галка в обновленном AVZ.
И все таки хост проверьте еще раз.

Всего записей: 762 | Зарегистр. 29-11-2007 | Отправлено: 15:59 02-02-2010
TheBarmaley



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
mp65
Цитата:
у меня система с 2001 года живёт
+
Цитата:
я делаю еженедельный бэкап
+
Цитата:
вирус проник в систему значительно раньше и затаился до поры до времени
ну.. это ваще супер-ку-у-ул!.. просто нет слов.. ж:)
я чё-т тогда совсем не пойму - выходит, што у тя вирус с 2001 года (как минимум) лежит и до сих пор ничем не продетектился, так что-ль? и што, разве в 2001 году уже были глисты, блочащие тырнет??? или ты в рабочей системе никакой "презерватив" по идейным соображениям не ставишь и лечишься только после того, как "с конца закапало"?.. ;)
 
сдаёцца мне - где-то гоните вы, батенька, ей богу.. или кто-то из нас логику обсуждения потерял, нет?
 
вопчем, IvANANvI прав, я бы на твоём месте так и сделал бы, ещё раз и повнимательнее:
Цитата:
И все таки хост проверьте еще раз.
иначе чё-то не срастается..

Всего записей: 17806 | Зарегистр. 07-06-2006 | Отправлено: 16:42 02-02-2010
mp65

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ура! До меня дошло! Посмотрел таблицы маршрутов: route print
Там оказалась туева хуча, которую прописал вирус.
Потёр маршруты: route -f
Перезагрузился. И всё стало благодатно... заработали и сайты и почта
 
TheBarmaley

Цитата:
сдаёцца мне - где-то гоните вы, батенька, ей богу.. или кто-то из нас логику обсуждения потерял, нет?  

 
Логика, как мне показалось, была очевидной.  
Ну что тут непонятного? -
1. Еженедельно делаю бэкап - клон системного диска.
2. В какой-то момент времени обнаруживаю заражение
3. Откатываю до бэкапа - около недели назад, оказывается, что ситема уже была на тот момент заражена.
Вывод: бэкап не помог мне восстановить систему в безвирусном состоянии.
Мораль: надо изменить систему бэкапа и периодически делать ревизии.
 
Повторюсь, от момента заражения до активации вируса могут пройти недели и даже месяцы.
 
Удивляет то, что антивирусы, через которые я пропустил систему после обнаружения заражения (касперский, др.веб, битдефендер, авз), не обращали внимания на наличие в системе огромного числа статических маршрутов.
 
 

Всего записей: 38 | Зарегистр. 29-09-2005 | Отправлено: 17:50 02-02-2010 | Исправлено: mp65, 18:05 02-02-2010
TheBarmaley



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
mp65
Цитата:
3. Откатываю до бэкапа - около недели назад, оказывается, что ситема уже была на тот момент заражена.
Вывод: бэкап не помог мне восстановить систему в безвирусном состоянии
а дальше - на две недели, на месяц откатить? или нету уже тех бэкапов, ты их стёр/поверх перезаписал?
где же золотой принцип - хранить как минимум 2 копии? и, в нашем случае, лучше - с хорошим разрывом?
Цитата:
от момента заражения до даты активации вируса могут пройти недели и даже месяцы
так в чём проблема - за это время можно на сто раз систему свежим (!) антиглистином прогнать..
а уж тока потом её, чистенькую (!), забэкапить..
 
впрочем, вижу, ты уже сам к этому пришёл.. ну.. судя по приведённой "морали".. :)
 
зы.
нащёт маршрутов - ценный совет оказался, и я запомню, на всякий пожарный..
IvANANvI - отдельный решпект!.. :)
 
Добавлено:
mp65
Цитата:
не обращали внимания на наличие в системе огромного числа статических маршрутов
и что? само по себе наличие любого числа маршрутов никак не доказывает их "вредности"..
другое дело, что антивирусные софтоделы могли бы проверять там хотя бы свои адреса..

Всего записей: 17806 | Зарегистр. 07-06-2006 | Отправлено: 18:19 02-02-2010
mp65

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
IvANANvI
Огромное спасибо!
А я идиот! Твой пост пропустил и потратил лишние 2 часа на размышления, поиск и чтение...

Всего записей: 38 | Зарегистр. 29-09-2005 | Отправлено: 18:42 02-02-2010
userpuser

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
IvANANvI
 
Спасибо за совет. Действительно, очевидные вещи мы в первую очередь и забываем сделать!

Всего записей: 557 | Зарегистр. 22-12-2005 | Отправлено: 20:44 02-02-2010
slay1212

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Уважаемые а есть гдето хоть что-то толковое по ekav2 (интернет секурити)? Недавно лечил на 2 компах (xp  и w2k стоит sep) долго провозился, не курит не загр диск кис со свежими базами ничего не нашел. Банер висел. Пробовал пускать с автозагрузки авз, запуск блокировщика из него - окно все равно всплывало.  В хр прибился быстрее. В 2000 дольше возился - там длл другие и запуск по app_init_dll в другом месте в реестре стоит.
В результате - в ливсд сделал список длл в систем32 и сравнил со со списком на норм машине - лишние снес. После этого банер исчез. Но в удаленных длл никто ничего не находит .
  Еще из  последствий на в2к перестала сеть работать - вирь полностью блокирнул дрова симантека  и в результате сетка вообще встала - помог снос и переустановка сеп. В хр наглухо заблокировался реестр зараженного юзера. Загрузка другим пользователем ( с предварительным сносом профиля) помогла - смог запустить авз и прибить заразу. На каспере и вебе только разблокировщики смс - которые увы не подошли.
  В общем непростой вирь

Всего записей: 336 | Зарегистр. 28-05-2008 | Отправлено: 09:44 03-02-2010
DJMC



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
столкнулся с такой проблемой, не один сайт на компьютере не могу открыть пишет ошибка, только вот как то ру-борд пропустил, что это может быть такое? стоит касперский ничего не находит(
 
перезагрузил комп, если включаешь и пока грузятся процессы, успеваешь зайти на любой сайт то он все время работает нормально, а все другие не работают, похоже вирус с процесса какой то, но пока ничего найти не могу, подскажите чем поискать? операционка windows XP sp3
 
проверил запущенные процессы в Evereste, получилось вот такое:  
Читать дальше..
 
Добавлено:
сейчас зашел через Еверест в Сеть-Интернет- Текущий прокси-Статус прокси-ЗАПРЕЩЕНО и Lan прокси тоже стоит ЗАПРЕЩЕНО, похоже причина найдена, как это исправить?

----------
игры общим банком в
футбольных тотализаторах

Всего записей: 12310 | Зарегистр. 26-09-2005 | Отправлено: 18:06 03-02-2010 | Исправлено: DJMC, 20:01 03-02-2010
hedgars

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
DJMC
Думаю, что вируса у тебя нет
Поробуй:
-Отключить Брэндмауэр.
-Отключить веб-экран в антивирусе.

Всего записей: 18 | Зарегистр. 17-09-2009 | Отправлено: 00:04 04-02-2010 | Исправлено: hedgars, 00:05 04-02-2010
mp65

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
slay1212

Цитата:
В результате - в ливсд сделал список длл в систем32 и сравнил со со списком на норм машине - лишние снес. После этого банер исчез. Но в удаленных длл никто ничего не находит .  

 
Если можно, приведи список обнаруженных "лишних" dll-ок.

Всего записей: 38 | Зарегистр. 29-09-2005 | Отправлено: 02:07 04-02-2010
hohkn



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
slay1212
Это точно. Например, Винлокер часто в dll-ках живет. Autorunner-ом искать не пробовал? Имеется ввиду до сноса лишних.

Всего записей: 232 | Зарегистр. 05-06-2009 | Отправлено: 10:47 04-02-2010
slay1212

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
hohkn
 Да не вопрос. Счас смотрел в папке гед я держал все что удалил update.exe  
kis 2009 пишет что это packed.win32.krap.ai размер 39936.
  Список для w2k:  
http://files.mail.ru/JVCPZG
 
 
Цитата:
Autorunner-ом искать не пробовал? Имеется ввиду до сноса лишних.

До сноса лишних вся работа тока в ливсд - авз с удаленной загрузкой реестра, кис курит и пр - сборка на ре. Фокус с окошка вируса не сбивается ничем, так что проги запускать бесполезно. Функционал по хр чуть отличался но там ничего   не сохранилось - вроде updates.exe там не было - был запуск через app_init_dll

Всего записей: 336 | Зарегистр. 28-05-2008 | Отправлено: 11:32 04-02-2010 | Исправлено: slay1212, 13:51 04-02-2010
DJMC



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
hedgars

Цитата:
Думаю, что вируса у тебя нет

похоже так и оказалось, почистил Cookies, выключил комп на ночь, до этого работал около 50 часов, и сегодня с утра все открывается, страный сбой какой то был...

Всего записей: 12310 | Зарегистр. 26-09-2005 | Отправлено: 12:44 04-02-2010
hohkn



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
slay1212
Скопировал себе всю инфу, посмотрю. А *.exe файлы давал запускать? На этот случай (спасибо ynbIpb за скрипт, из которого я сделал exe-шник). Позволяет записать txt-файл, в котором отражены все открытые в данный момент окна, в т.ч. и винлокер. Текстовик можно и под WinPE посмотреть.
Цитата:
Написал я для себя маленький скрипт: В ситуации, когда винлокер перекрывает всё видимое пространство, но не заблокирован запуск *.exe и не отключен Autorun с флешек, создаём на флешке Autorun.inf и кидаем скомпиленый файл скрипта.

Пробовал сейчас залить на файлообменник, но скорее всего прокси на работе не дает, он почти полметра весит. Скину ссылку из дома. Можно и без авторана запустить, например через пуск -> выполнить.

Всего записей: 232 | Зарегистр. 05-06-2009 | Отправлено: 13:15 04-02-2010
mp65

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
slay1212

Цитата:
Да не вопрос. Счас смотрел в папке гед я держал все что удалил update.exe  
kis 2009 пишет что это packed.win32.krap.ai размер 39936.  
  Список для w2k:  
http://files.mail.ru/JVCPZG  

 
ты ничего не перепутал? В C:\WINNT\system32 1875 "лишних" файлов удалил?!

Всего записей: 38 | Зарегистр. 29-09-2005 | Отправлено: 17:26 04-02-2010
hedgars

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
DJMC
Вот и отличненько

Всего записей: 18 | Зарегистр. 17-09-2009 | Отправлено: 17:38 04-02-2010
slay1212

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
mp65
 Не понял что должно быть больше файлов? Мне показалось, что список должен быть меньше. Может какие скрытые не показались? Я делал просто dir /s.  
 Удалил файлов 10-15 в итоге, после нескольких проходов антивирусами. Некоторые может и зря . Нормального списка правильных для w2k не нашел сразу, а потом уже не надо было.
  Надо как новом курите какую-нить утиль, делающую альтернативный рабочий стол. Дальше то все просто -авз - блокировка и бей гада . А куда тельце можно для анализа пульнуть на вирусинфо что-ли? Хотя они этим добром уже наверно завалены. Только толку нет пока.
 

Всего записей: 336 | Зарегистр. 28-05-2008 | Отправлено: 17:54 04-02-2010 | Исправлено: slay1212, 17:58 04-02-2010
   

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Вирус(ы) в Windows XP,Vista,7,8,8.1,10. Проблемы. Решения.
KLASS (16-02-2017 18:32): Продолжение в Вирус(ы) в ОС Windows. Проблемы. Решения. (II)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru