Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Вирус(ы) в Windows XP,Vista,7,8,8.1,10. Проблемы. Решения.

Модерирует : KLASS, IFkO

KLASS (16-02-2017 18:32): Продолжение в Вирус(ы) в ОС Windows. Проблемы. Решения. (II)  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141

   

HDD



Platinum Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Вирусы в Windows XP, Vista, 7, 8, 8.1, 10. Проблемы. Решения.


Стандартные действия

Вариант №1

1. Скачиваем Dr.Web LiveDisk - Ссылка ведёт на страницу загрузки, записываем диск, загружаемся и проверяем системы на вирусы.  
И\или
Скачиваем Kaspersky Rescue Disk - Ссылка ведёт на страницу загрузки: на ядре Linux (вирусы под win не пройдут, а под *nix их нету по крайней мере живых), ядро от десятой версии и изменена "никсовая" оболочка. Обновление происходит раз в неделю. Записываем диск, загружаемся и проверяем системы на вирусы.
Вариант №2

1. Скачиваем загрузочный диск на базе LiveCD (Ссылки в Варезнике LiveCD/BootCD (DVD/USB) на базе OPK WinPE)
2. Скачиваем антивирусы работающие без инсталляции.
2.1 Dr.Web CureIT! - Ссылка ведёт на страницу загрузки  
2.2 Kaspersky Virus Removal Tool (AVPTool) - Ссылка ведёт на страницу загрузки  
3. Прожигаем скачанный LiveCD на болванку, перезагружаемся, выставляем в биосе загрузку с CD\DVD(Что бы зайти в биос, нужно нажимать после включения компьютера кнопки Del или F2, зависит от производителя материнской платы.) На некоторых материнских платах, возможно вызвать Boot Menu нажав F8 при загрузке и выбрать загрузку с CD\DVD не заходя в биос.  
4. Проверяем одной утилитой, перезагружаемся, проверяем второй утилитой, пытаемся загрузить систему.  
Желательно отключить систему восстановления. Свойства системы-система восстановления.

Разница между вариантом №1 и вариантом №2 заключается в следующем:
Если нет возможности скачать LiveCD, то проверяйте компьютер в безопасном режиме. При загрузке нажимать F8, выбрать верхний пункт(Safe Mode или безопасный режим). В этом случае при сохранение CureIt и AVPTool к себе на компьютер переименовывайте файлы. Ряд вирус блокирует запуск при стандартном имени файла.
Это стандартные действия, которые не гарантируют восстановление работоспособности ОС, НО! 90% проблем решается таким способом.
Если не помогает, то скачиваем AVZ, сканируем и выкладываем лог. Обязательно указываем какая версия Windows.

Полезные инструменты(утилиты)
Sysinternals (Microsoft) Process Explorer - Выдает подробнейшую информацию обо всех запущенных процессах, включая владельца, использование памяти, задействованные библиотеки и т.д.
Sysinternals (Microsoft) Autoruns - Позволяет контролировать автозагрузку запускающихся при старте операционной системы сервисов, приложений и других компонентов.
Sysinternals (Microsoft) Process Monitor - программа для мониторинга файловой системы, реестра и процессов в оперативной памяти. Filemon+Regmon
HijackThis - программа для удаления невидимых spyware
AutoLogger - автоматический сборщик логов, более подробное описание утилиты смотрите на странице скачивания.
AdwCleaner - программа для удаления тулбаров, adware и другого рекламного мусора.
MBRCheck - утилита для проверки MBR на предмет заражения современными "руткитами"
RegASSASSIN - Программа для удаления "заблокированных" веток и ключей в реестре из-за mailware
SmartFix - Эффективная программа для быстрого автоматического исправления неполадок.
Когда нужны? Когда есть работающая система, но есть подозрения, что дело "нечисто".  

Темы на форуме

Помощь при лечении компьютера от вирусов - помощь от "хелперов" с "VirusInfo". В топике строгие правила. Внимательно читаем шапку.
Антивирусы (Antivirus'ы) не требующие инсталяции - кому не хватает CureIT и AVPTool
AVZ - Anti-SpyWare, Anti-AdWare
Восстановление Windows - Как вернуть Windows к жизни без переустановки
Windows заблокирован! - отдельный топик по решению проблем с вирусом блокирующим запуск ОС и требующем выслать денег по СМС.
Обзор антивирусов(и др. средств безопасности на их основе) под Windоws 98/XP/Vista/7/8/8.1/10  
Тема посвящённая Kido, Conficker, Downadup
Полезные ссылки в интернете

Чистые системные файлы Windows, которые заражают блокеры - ссылка ведёт на страницу закачки
Поиск описания  вирусов по названию
Советы по лечению ПК от Олега Зайцева, автора Avz
Ручное лечение компьютера от вирусов - Спец.форум по проблемам с вирусамих.
Очистка Windows от вирусов - Статья от FuzzyL
Список "левых" служб, ссылающихся на svchost.exe, для WindowsXP
Страница VirusHunter`a - "Диспетчер задач\реестр\настройки рабочего стола  заблокирован(ы) .." Подборка полезных "точечных"  утилит.  
Безопасный Интернет. Универсальная защита для Windows ME - Vista - автор-составитель антивирусный эксперт, золотой бета-тестер Лаборатории Касперского Николай Головко
 
Шапка ©HDD
Вопросы по шапке здесь

Всего записей: 14819 | Зарегистр. 15-03-2003 | Отправлено: 23:20 18-09-2009 | Исправлено: KLASS, 18:48 16-02-2017
vasydass



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
У меня часто высвечивается вирус с порнографией, решаю его с помощью Доктов Веб генератора! Помогает не сразу, ну зато стабильно!

Всего записей: 7 | Зарегистр. 19-05-2010 | Отправлено: 19:16 19-05-2010
HDD



Platinum Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
angelin88

Цитата:
Просьба к модератору: включите пож., в шапку 3-Й ВАРИАНТ с  Aronis Disk Director Suite!  
Ибо самый лучший способ борьбы с вирусом - форматирование диска С:

Шапкой занимаюсь я. Я так понимаю это шутка?

----------
Мир есть Текст
The Show Must Go On
Карта раздела «Microsoft Windows»

Всего записей: 14819 | Зарегистр. 15-03-2003 | Отправлено: 19:30 19-05-2010
Sish



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
gjf
Вопрос к Вам, как к весьма грамотному спецу по борьбя со всякой гадостью.
 
WinXP SP2 Home Rus, IE6, OE6 с обновами примерно прошлого года, Avira Free 8.0
 
Позавчера юзерь словил поронобаннер, который удалось без проблем деактивировать через Radmin, используя сервис деактивации вымогателей-блокеров, прокатило.
 
А вчера он словил уже другой баннер, полупрозрачный, который через Radmin был просто не виден. Сам юзерь попробовал через тот же сервис деактивировать баннер, ноль на массу.
 
Virus Removal Tool просто не запускался.
 
Пришлось пиликать в офис.  
 
Загрузил с LiveCD KAV7 со свежими базами, просканил, нашёл какого-то троя, прибил. Напрягло то, что при попытке из-под LiveCD через ERD Сommander 2005 посмотреть системный автозапуск Commander просто закрывался. То же самое происходило при потыке восстановить MBR Акронисом из образа из-под LiveCD. Восстановил MBR из-под BootCD ATIES.
 
Загружаю винду, отключив сеть, здрасьте, я ваша тётя, - вот он, родной, как ни в чём не бывало, прям наваждение какое-то, с таким вперые столкнулся...
 
Откатил прошлогодний образ, поставил Avira Free 9.0.
 
Теперь несколько вопросов:
 
1. Что, по Вашему предположению, это могло быть?
 
2. Что я делал не так?
 
3. Спасёт ли установленный антивирь от повторения случившегося?
 
Заранее спасибо!
 
Добавлено:
Маленькое уточнение: с LiveCD был загружен BartPE.

Всего записей: 25349 | Зарегистр. 09-06-2004 | Отправлено: 09:20 20-05-2010
gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Sish
0.
Цитата:
WinXP SP2 Home Rus, IE6

- это уже очень плохо. Начните с обновлений.
 
1. Понятия не имею Порнобаннеров много, MBR мог быть модифицирован легитимным софтом. А зачем MBR вообще было восстанавливать?
Никто не сможет сформулировать универсального пути лечения, равно как никто не скажет рекомендаций, пока не увидит логи исследования системы. Иначе можно не только не вылечить, но и просто завалить систему.
Кстати, через удалённый доступ никто не лечит, слишком много заразы в терминале не видно.
 
2. Если я не знаю, что там было - то не знаю, что и делали не так
 
3. Он повысит вероятность, что такое не случится. Обновления - повысят ещё больше. Файервол+хипс - ещё. Ну и так далее На 100% не спасает ничего, но приблизиться к этой цифре можно.
 
Если проблема всё ещё актуальна - ссылка в моей подписи. делайте логи, попробуем решить Вашу проблему. Но опять же: логи делать под админом с локальной системы.

----------
Тут могла бы быть Ваша реклама... или эпитафия

Всего записей: 11444 | Зарегистр. 14-03-2007 | Отправлено: 11:50 20-05-2010
Sish



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
gjf
Спасибо. Обновления планирую накатить уже сегодня.
 
Понятное дело, что факт личного пристутсвия уже устрашает многие вири, но... увеличивает километраж
 
Проблема была решена расктываением образа системы, о чём я уже писал выше, хотя, честно признаться, когда раскатывал, был даже не совсем уверен в успехе сего действа... Почему? да потому, что этот зверь ухитрился даже виндой, загруженной с LiveCD (BartPE), частично управлять (см. мой пространный пост выше).
 
MBR восстанавливал лишь с той целью, чтоб прибить заразу, которая, как я думал, засела примерно там.

Всего записей: 25349 | Зарегистр. 09-06-2004 | Отправлено: 12:26 20-05-2010
gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Sish

Цитата:
да потому, что этот зверь ухитрился даже виндой, загруженной с LiveCD (BartPE), частично управлять (см. мой пространный пост выше).  

Это технически невозможно. Даже в случае заражения файловым вирусом, чтобы зараза перекинулась на выполняемые файлы LiveCD в памяти нужно было что-либо запустить с заражённой системы.
 
MBR прибивать сразу не нужно, сначала её надо сдампить и потом лишь оценивать. И реально в таких случаях чаще всего достаточно fixmbr.

----------
Тут могла бы быть Ваша реклама... или эпитафия

Всего записей: 11444 | Зарегистр. 14-03-2007 | Отправлено: 12:33 20-05-2010
Sish



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
gjf

Цитата:
Это технически невозможно.  

Полностью согласен, и тем не менее, факт, как говорят, на лицо.
 
Ведь не мог же вирь перекинуться с зараженной системы из-за того, что я из-под BartPE прибил RECYCLER и "System Volume Information" на системном разделе?
 
Ну да ладно, спасибо за внимание: сейчас (и, надеюсь, в дальнейшем) эту ситуацию уже не воспроизведёшь...

Всего записей: 25349 | Зарегистр. 09-06-2004 | Отправлено: 13:04 20-05-2010
gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Sish
Перекинуться при удалении не мог. А вот баги и повреждения реестра могли быть запросто. При открытии которых ERD зависал
 
Я в таких случаях пробую другие LiveCD и подключаю реестр.

----------
Тут могла бы быть Ваша реклама... или эпитафия

Всего записей: 11444 | Зарегистр. 14-03-2007 | Отправлено: 13:08 20-05-2010
Sish



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
gjf
Так в том-то и фишка, что реестр через ERD Commander открылся без проблем, а вот системный авторан, который я пытался открыть через управлением компьютером ERD "схлопывался", что навело мысль о страшном и ужасном рутките...
 
Самым первым делом, грузанув BartPE я сделал чекдиск, который ошибок FS не обнаружил.

Всего записей: 25349 | Зарегистр. 09-06-2004 | Отправлено: 13:15 20-05-2010
gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Sish
Ну не может быть такого руткита - не-мо-жет! Да Вы ж сами это понимаете, верно ведь?
Может ERD проглючил. Вон вроде OSAM может автозапуск удалённо проверять (или только это планируется?), я лично не тестил.
 
Для меня важно запустить систему и сделать логи. Если по каким-то причинам не удаётся - лезу в безопасный, ковыряю там. Нет - LiveCD. Целью "ковыряний" не является вылечить всё, а просто получить возможность взять логи. И уже по логам - лечим всё
 
А потому в LiveCD обычно удаляю записи в реестре руками, там не так много мест нужно проверить, чтобы это сделать.

----------
Тут могла бы быть Ваша реклама... или эпитафия

Всего записей: 11444 | Зарегистр. 14-03-2007 | Отправлено: 13:41 20-05-2010 | Исправлено: gjf, 13:42 20-05-2010
IvANANvI

Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Sish
ERD Commander на закладке Автозапуска "скопытывается" регулярно (но не постоянно) ничего удивительного в этом нет.

Всего записей: 762 | Зарегистр. 29-11-2007 | Отправлено: 15:25 20-05-2010
Sish



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
IvANANvI

Цитата:
ERD Commander на закладке Автозапуска "скопытывается" регулярно (но не постоянно) ничего удивительного в этом нет.

У меня такое было впервые. Сегодня ещё раз проверил на другом компе - работает, как часики.
 
Плагин брал отсюда.
 
Добавлено:
И ещё, к слову: по непонятным причинам споткнулся и ATIES при развёртывании MBR из-под BartPE, что за ним (ATIES) ранее никогда не замечалось. Я об этом писал здесь.
 
Прямо-таки какая-то цепь странно совпавших обстоятельств

Всего записей: 25349 | Зарегистр. 09-06-2004 | Отправлено: 08:56 21-05-2010
Stalker61



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
gjf
Я в личку забросил ссылку на файлик. Если необходимо сделать какие-либо логи с машинки, то сделаем.

Всего записей: 3641 | Зарегистр. 22-02-2003 | Отправлено: 14:41 24-05-2010
devis177

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Всем доброго времени суток! Знающих решения проблем с вирусами, а в особенности вируса Net-Worm.Win32.Kido, огромная просьба откликнуться!!!
Имеется две машины (ноуты Dell Inspiron 1501 и Aser Aspire 5110, на обоих стоит система Win XP Prof SP2) с признаками заражения данным вирусом, а именно:
- на одной машине (Aser) невозможно обновить базы антивируса (Nod32) и зайти на офсайты известных антивирусных программ (с любого браузера);
- на второй (Dell) активный сетевой экран Каспера сообщает об атаке Intrusion.Win.NETAPI.buffer-overflow.exploit. и блокирует. При этом обновляется и заходит на офсайты антивиров без проблем.
Что я сделал:
Скачал с офсайта Каспера утилиту для удаления данного вируса KidoKiller.exe. Запустил, она просканировала систему и действительно нашла и удалила несколько вирусов на одном и втором компе. Перезагружаюсь, не помогло... Сканирую ещё раз, найдено и вылечено ноль. Перезагружаюсь, результат тот же...На всякий случай скачиваю ДоктораВеба и Касперский ремувит туул, Сканирую и тем и тем в безопастном режиме, находит на одном (Aser) пару троянов и вылечивает. Перезагружаюсь, не помогло... Скачиваю Доктор Веб Лайф сиди, прожигаю на болванку, сканирую обе машины, вирусов ноль. Опять перезагрузка, не помогло...
Подскажите, каким ещё способом можно его достать и убить? А так же как обезопаситься от данного вируса в дальнейшем?
Заранее чрезмерно благодарен откликнувшимся!!!

Всего записей: 10 | Зарегистр. 14-12-2009 | Отправлено: 15:23 24-05-2010
Neon2

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
devis177, скачиваете AVZ, распаковываете и запускаете, меню Файл - Восстановление системы, отметить пункт 15, применить и перезагрузить компьютер. Также не мешает посмотреть-почитать за что отвечают другие пункты.

Всего записей: 9720 | Зарегистр. 21-10-2005 | Отправлено: 15:29 24-05-2010 | Исправлено: Neon2, 15:30 24-05-2010
vzar



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
devis177
+ ещё обязательные заплатки на винду поставить необходимо от кидо: WindowsXP-KB957097-x86-RUS.exe, WindowsXP-KB958644-x86-RUS.exe, WindowsXP-KB958687-x86-RUS.exe

Всего записей: 7759 | Зарегистр. 31-07-2009 | Отправлено: 15:34 24-05-2010
armid

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
devis177
"Не помогло" в чем выражается? В невозможности обновить базы и зайти на сайты антивирусных вендоров?
 
Если да, тогда вам нужно почистить файл hosts. Находится в c:\windows\system32\drivers\etc
Удалите от туда записи вида
127.0.0.1 kaspersky.ru
и т.д.
 
Насчет обезапасить, читайте литературу, если вкратце то:
1. Работать под учеткой пользователя а не админа
2. Обновлять windows всегда по мере вызода заплаток
3. Держать антивирус обновленным и не отключать его на время (поиграть в игрушку, а то комп тормозит и т.д.)
Думаю этого хватит, что б жить спокойно

Всего записей: 364 | Зарегистр. 15-01-2009 | Отправлено: 15:35 24-05-2010 | Исправлено: armid, 15:35 24-05-2010
Stalker61



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
devis177
Лечение ПК от Kido/Conficker/Shadow.based и Sality
(C) Annymann
Подробнее...
 
Добавлено:

Цитата:
ВАЖНО: скачивайте файлы и записывайте на cd только на заведомо чистой машине.  
Во время сканирования, не запускайте НИЧЕГО на проверяемой машине.  

Всего записей: 3641 | Зарегистр. 22-02-2003 | Отправлено: 16:01 24-05-2010 | Исправлено: Stalker61, 16:06 24-05-2010
gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
devis177
1. Вырубаете машину от сети.
2. Запускаете Kido Killer.
3. Ставите (обязательно!!!) SP3. До этого момента в сеть машину не включать!!!
4. Включаете в сеть, ставите последние обновления.
 
Если есть подозрения, что засела зараза ещё - делать логи и выкладывать в теме в моей подписи.

----------
Тут могла бы быть Ваша реклама... или эпитафия

Всего записей: 11444 | Зарегистр. 14-03-2007 | Отправлено: 18:26 24-05-2010
Bolenic



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Stalker61
07:01 26-05-2010
Цитата:
 
Bolenic  
XRANITELNICA
 
 
Цитата:Ну, можете перед этим попробовать вот что.  
Скачайте Dr.Web 5 portable - отсюда  
 
Ну уж тогда предпочтительней будет вариант с Dr.Web CureIt! и запускать его в безопасном режиме предварительно отключив восстановление системы.  

Stalker61!
А не предложить ли XRANITELNICA какой-то из Live CD,  
чтобы  загрузилась с него?
 
P.S.
Хотя, судя по этому сообщению -
 
XRANITELNICA
09:29 26-05-2010
Цитата:
Stalker61  
скачала...просканировала ..быстрая проверка....обнаружил ...Trojan.AdultBan.26...наверное это и был след того бана..что просил смс..

 дело уже сдвинулось.

Всего записей: 2678 | Зарегистр. 30-03-2006 | Отправлено: 09:33 26-05-2010 | Исправлено: Bolenic, 09:45 26-05-2010
   

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Вирус(ы) в Windows XP,Vista,7,8,8.1,10. Проблемы. Решения.
KLASS (16-02-2017 18:32): Продолжение в Вирус(ы) в ОС Windows. Проблемы. Решения. (II)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru