Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Вирус(ы) в Windows XP,Vista,7,8,8.1,10. Проблемы. Решения.

Модерирует : KLASS, IFkO

KLASS (16-02-2017 18:32): Продолжение в Вирус(ы) в ОС Windows. Проблемы. Решения. (II)  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141

   

HDD



Platinum Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Вирусы в Windows XP, Vista, 7, 8, 8.1, 10. Проблемы. Решения.


Стандартные действия

Вариант №1

1. Скачиваем Dr.Web LiveDisk - Ссылка ведёт на страницу загрузки, записываем диск, загружаемся и проверяем системы на вирусы.  
И\или
Скачиваем Kaspersky Rescue Disk - Ссылка ведёт на страницу загрузки: на ядре Linux (вирусы под win не пройдут, а под *nix их нету по крайней мере живых), ядро от десятой версии и изменена "никсовая" оболочка. Обновление происходит раз в неделю. Записываем диск, загружаемся и проверяем системы на вирусы.
Вариант №2

1. Скачиваем загрузочный диск на базе LiveCD (Ссылки в Варезнике LiveCD/BootCD (DVD/USB) на базе OPK WinPE)
2. Скачиваем антивирусы работающие без инсталляции.
2.1 Dr.Web CureIT! - Ссылка ведёт на страницу загрузки  
2.2 Kaspersky Virus Removal Tool (AVPTool) - Ссылка ведёт на страницу загрузки  
3. Прожигаем скачанный LiveCD на болванку, перезагружаемся, выставляем в биосе загрузку с CD\DVD(Что бы зайти в биос, нужно нажимать после включения компьютера кнопки Del или F2, зависит от производителя материнской платы.) На некоторых материнских платах, возможно вызвать Boot Menu нажав F8 при загрузке и выбрать загрузку с CD\DVD не заходя в биос.  
4. Проверяем одной утилитой, перезагружаемся, проверяем второй утилитой, пытаемся загрузить систему.  
Желательно отключить систему восстановления. Свойства системы-система восстановления.

Разница между вариантом №1 и вариантом №2 заключается в следующем:
Если нет возможности скачать LiveCD, то проверяйте компьютер в безопасном режиме. При загрузке нажимать F8, выбрать верхний пункт(Safe Mode или безопасный режим). В этом случае при сохранение CureIt и AVPTool к себе на компьютер переименовывайте файлы. Ряд вирус блокирует запуск при стандартном имени файла.
Это стандартные действия, которые не гарантируют восстановление работоспособности ОС, НО! 90% проблем решается таким способом.
Если не помогает, то скачиваем AVZ, сканируем и выкладываем лог. Обязательно указываем какая версия Windows.

Полезные инструменты(утилиты)
Sysinternals (Microsoft) Process Explorer - Выдает подробнейшую информацию обо всех запущенных процессах, включая владельца, использование памяти, задействованные библиотеки и т.д.
Sysinternals (Microsoft) Autoruns - Позволяет контролировать автозагрузку запускающихся при старте операционной системы сервисов, приложений и других компонентов.
Sysinternals (Microsoft) Process Monitor - программа для мониторинга файловой системы, реестра и процессов в оперативной памяти. Filemon+Regmon
HijackThis - программа для удаления невидимых spyware
AutoLogger - автоматический сборщик логов, более подробное описание утилиты смотрите на странице скачивания.
AdwCleaner - программа для удаления тулбаров, adware и другого рекламного мусора.
MBRCheck - утилита для проверки MBR на предмет заражения современными "руткитами"
RegASSASSIN - Программа для удаления "заблокированных" веток и ключей в реестре из-за mailware
SmartFix - Эффективная программа для быстрого автоматического исправления неполадок.
Когда нужны? Когда есть работающая система, но есть подозрения, что дело "нечисто".  

Темы на форуме

Помощь при лечении компьютера от вирусов - помощь от "хелперов" с "VirusInfo". В топике строгие правила. Внимательно читаем шапку.
Антивирусы (Antivirus'ы) не требующие инсталяции - кому не хватает CureIT и AVPTool
AVZ - Anti-SpyWare, Anti-AdWare
Восстановление Windows - Как вернуть Windows к жизни без переустановки
Windows заблокирован! - отдельный топик по решению проблем с вирусом блокирующим запуск ОС и требующем выслать денег по СМС.
Обзор антивирусов(и др. средств безопасности на их основе) под Windоws 98/XP/Vista/7/8/8.1/10  
Тема посвящённая Kido, Conficker, Downadup
Полезные ссылки в интернете

Чистые системные файлы Windows, которые заражают блокеры - ссылка ведёт на страницу закачки
Поиск описания  вирусов по названию
Советы по лечению ПК от Олега Зайцева, автора Avz
Ручное лечение компьютера от вирусов - Спец.форум по проблемам с вирусамих.
Очистка Windows от вирусов - Статья от FuzzyL
Список "левых" служб, ссылающихся на svchost.exe, для WindowsXP
Страница VirusHunter`a - "Диспетчер задач\реестр\настройки рабочего стола  заблокирован(ы) .." Подборка полезных "точечных"  утилит.  
Безопасный Интернет. Универсальная защита для Windows ME - Vista - автор-составитель антивирусный эксперт, золотой бета-тестер Лаборатории Касперского Николай Головко
 
Шапка ©HDD
Вопросы по шапке здесь

Всего записей: 14819 | Зарегистр. 15-03-2003 | Отправлено: 23:20 18-09-2009 | Исправлено: KLASS, 18:48 16-02-2017
vallyol

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
SandraRich

Цитата:
Такие файлы можно смело удалять или же они нужны системе?

Удалять можно... Особого вреда удаление записи в реестре о несуществующем модуле системе не нанесёт. Плюс к этому, может попутно удалите записи о недолеченных вирусах, не до конца удаленных приложениях etc... ИМХО

Всего записей: 392 | Зарегистр. 17-02-2005 | Отправлено: 00:07 07-10-2010 | Исправлено: vallyol, 00:08 07-10-2010
SandraRich



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vallyol, а если вот такого типа записи? - Файл не найден: C:\WINDOWS\System32\Drivers\Changer.sys  
Там какие-то драйверы обозначены. Не получится ли так, что если я удалю их, система недополучит нужных драйверов?

Всего записей: 291 | Зарегистр. 11-05-2008 | Отправлено: 01:24 07-10-2010
vallyol

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
SandraRich
По поводу имеющихся мОкрософтовских записей, таких как Changer.sys, i2omgmt.sys, PCIDump.sys, PDCOMP.sys, PDFRAME.sys, PDRELI.sys, PDRFRAME.sys, WDICA.sys, Контекстное меню шифрования, Расширение CPL панорамирования дисплея и т.п., наверное будет лучше посоветовать посмотреть здесь... Там про авторан и его баги 66 страниц тем...  Лично я конкретно эти записи не трогаю...  
(ИМХО - вот появится какой-нить троянчик с именем Changer.sys, наверное веселуха начнется) Но это уже
 

Всего записей: 392 | Зарегистр. 17-02-2005 | Отправлено: 08:15 07-10-2010
Alukardd



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Всем привет!
У меня засада(
Имеется комп с XP Prof SP2.
Проверялся в активном режиме KAV6, грузился и проверял с DrWeb LiveCD, и докучи KK пробежался... - что поудаляли по мелочи, но ситуация не изменилась. В процессах вроде чисто.
Симптомы:
 - не открывается меню Пуск->Все программы (если изменить на классическое меню, то Программы открывается, но там пусто)
 - при попытке открыть офисные докумнты начинается якобы инсталяция офиса и просит диск (офис 2003)
 - флешки тоже работают не адекватно, некоторые открываются тоько через адресную строку (F:\)
 - невозможно сменить оформление в системе на класическое, сейчас активно XP, но по факту в списке доступных есть только класическое, а активна пустая строка(типа XP)
 
думаю по мелочи там еще наберется косяков...
 
Переустанавливать систему я бы рад, но в данном случае это большая Ж. Тут установленно слишком много разного специфического софта, который к томуже требует настройки...
 
Жду ваших спасительных советов!
Если нужны логи или листинги могу все выложить, главное просите что надо...

----------
Microsoft gives you windows, linuх gives you the whole house...
I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

Всего записей: 6571 | Зарегистр. 28-08-2008 | Отправлено: 12:24 07-10-2010
IvANANvI

Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Попробовать создать другого пользователя и загрузится в него. Проверить жесткий диск на ошибки.

Всего записей: 762 | Зарегистр. 29-11-2007 | Отправлено: 17:53 07-10-2010
Alukardd



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
на другого пользователя забил - хотя в инете видел такие советы.
 
проблему решил копированием целиком папки WINDOWS с другого(аналогичного) ПК и подцепкой нужных программ и профилей, не совсем гладко зато работа не стоит...
 
вопрос снят ибо дальнейшие предположения я проверить не смогу.

----------
Microsoft gives you windows, linuх gives you the whole house...
I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

Всего записей: 6571 | Зарегистр. 28-08-2008 | Отправлено: 20:28 07-10-2010
SandraRich



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vallyol, я просто подумала, что это могли бы быть те самые недолеченные вирусы или, скорее, не до конца удаленные приложения, о которых вы писали.  
Потому как, вышеприведенный мною пример не есть само название приложения (файла), который не найден. Он вообще без названия, но, видимо, когда-то прописался в C:\WINDOWS\System32\Drivers\Changer.sys  
Сейчас от него осталось пустое, белое окно, в виде EXE, но в отличие от действующих EXE, оно без названия. Вот я и не знаю, что с ними делать…  
 

Всего записей: 291 | Зарегистр. 11-05-2008 | Отправлено: 00:58 08-10-2010 | Исправлено: SandraRich, 01:00 08-10-2010
vallyol

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
SandraRich
В общем случае, Changer.sys - вроде как SCSI CD-ROM Driver..
В то же самое время тут его обзывают руткитом (???)...
В вашем случае...  удалите, проблем не будет. (ИМХО)
Если дважды щелкнуть по выбранной строке - автоматически попадете в ту часть реестра, откуда авторан вытащил инфу... У Changer.sys присутствует только информация о способе запуска и контроль ошибок (вот так). Если есть отличия - удалить обязательно, если нет и в обозримом будущем подключать SCSI CD-ROM не будете - по желанию...

Всего записей: 392 | Зарегистр. 17-02-2005 | Отправлено: 08:32 08-10-2010 | Исправлено: vallyol, 08:44 08-10-2010
SandraRich



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vallyol, и всё же я решила пока ничего такого не удалять, а то мало ли какими могут быть последствия. И CD-ROM мне нужен.  
 
 
Просто у меня осталось предположение, что сам вирус удалён, но в реестре от него сохранилась запись, остаточное явление так сказать. То есть, вирус и был этим файлом, а после удаления сохранилась его оболочка, где он сидел всё это время. Вот эта оболочка и есть ненайденный файл. Во всяком случае, так было с другими вирусами. Но всё равно, пока трогать не буду. То что для меня было важно удалить, я удалила с помощью этой программы. И с вашей помощью тоже. Спасибо за терпеливое объяснение.

Всего записей: 291 | Зарегистр. 11-05-2008 | Отправлено: 05:31 09-10-2010
volgograd131

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Alukardd
".. Имеется комп с XP Prof SP2..."
Спокойствие, самое главное-спокойствие. Решение проверенное временем и личным опытом. Скорее всего злобные вирусы покуцали систему.  
Восстанавливал давно, у меня XP VL с любимого форума, детали в памяти немного стерлись. Грузимся с установочного  ХР. Наша задача ВОССТАНОВИТЬ, а не установить , чтобы сохранились работоспособными все установленные программы. Первое предложение -восстановить с консоли пропускаем, ВТОРОЕ восстановить ( вроде R надо нажать) принимаем. Внимательно и не спеша читаем на экране, все ясно и понятно. В разделе с Windows не установить, а !ВОССТАНОВИТЬ!. Пожует мин 20, итого имеем восстановленную рабочую систему с установленными программами, с некоторыми параметрами по умолчанию (обновление, брандмауэр, ..) .
Удачи,
Тоже прошу совета - на ноутбуке Toshiba с предустановленной лицензионной Vista Home можно восстановить Vista, без потери установленных программ, или как? Что-то работать стала как-то не так. И чистил, и дефрагментировал, но ...
Спасибо,

Всего записей: 1220 | Зарегистр. 06-06-2006 | Отправлено: 20:05 11-10-2010
vallyol

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
volgograd131

Цитата:
 на ноутбуке Toshiba с предустановленной лицензионной Vista Home можно восстановить Vista, без потери установленных программ, или как?

Если откатится на дату через восстановление системы - да, если "восстановить систему полностью" - нет

Всего записей: 392 | Зарегистр. 17-02-2005 | Отправлено: 22:41 11-10-2010
volgograd131

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vallyol
Спасибо, "..восстановление системы .." отключено. На днях посмотрю, что за диск приложен к ноутбуку, и что ~ 700Mb в скрытом от Toshiba лежит. Vista никогда не ставил (там же еще и активировать надо, серийник где-то искать). У жены года 4 жужит- почта, шарики, рецепты, в сетку со своим объединил для удобства и интернета. Игрульки туда-сюда ставились. Уже и explorer(рабочий стол) подвисать начинает, мда ...

Всего записей: 1220 | Зарегистр. 06-06-2006 | Отправлено: 23:37 11-10-2010 | Исправлено: volgograd131, 23:43 11-10-2010
vallyol

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
volgograd131
В скрытом разделе лежит Тошибовский WinRE, который позволит проверить память и переустановить винду (если восстановление отключено). Даже если найдешь диск с "правильным" дистром (не от производителя), вариантов не прибавится: это ХР можно было "накатить поверху", на висте такого сделать не получится...
Может есть смысл обратить свое внимание в сторону очиски реестра и его дефрагментации? Автозапуск почистить?
Хотя, ИМХО, vista home это зло!

Всего записей: 392 | Зарегистр. 17-02-2005 | Отправлено: 08:46 12-10-2010
kvn0

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
После ручной чистки вирусов, случайно наткнулся на 2 левые записи в
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
1. VGAResolution =C:\RECYCLER\S-.....\syscr.exe - это вирус который я удалил
2. Driversys32= C:\WINDOWS.0\yevbj.exe - есть подозрение, что от вируса осталось
 
Что посоветуете: мне эти записи удалить или выставить к-л разумные значения ?

Всего записей: 59 | Зарегистр. 16-06-2005 | Отправлено: 11:29 13-10-2010
HDD



Platinum Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Цитата:
Что посоветуете: мне эти записи удалить или выставить к-л разумные значения ?

Я всегда удалял.  

Цитата:
2. Driversys32= C:\WINDOWS.0\yevbj.exe - есть подозрение, что от вируса осталось

Не просто подозрение, а уверенность

----------
Мир есть Текст
The Show Must Go On
Карта раздела «Microsoft Windows»

Всего записей: 14819 | Зарегистр. 15-03-2003 | Отправлено: 19:15 13-10-2010
VETER82

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Прогнал AVZ на ноутбуке у матери... обнаружилась вязанка троянов и руткитов. Со вторыми думаю для начала разберусь - начал проверять систему AVPTool. Удалили несколько зверей и ноут пошёл на перезагрузку. Думаю мож чего утилите надо, после перезагрузки продолжил проверку... После третьего рестарта появилось окно с пользователем Админа. Поле для ввода нету. При попытке так войти в систему ноут перезагружается... Безопасный режим также не прокатывает. Записал загрузочный диск с антивирусами при загрузке с него синий экран. Что ещё можно по-пробовать для входа в систему? Просто есть некоторые данные, которые бы хотелось сохранить..

Всего записей: 201 | Зарегистр. 07-05-2008 | Отправлено: 19:55 13-10-2010
vallyol

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
VETER82

Цитата:
Записал загрузочный диск с антивирусами при загрузке с него синий экран

Загрузочный диск на основе чего: WinPE или Linux?  
Вообще, оптимально - ERD (!). Если просто данные сохранить - любой linux (c midnight commander`ом, к примеру DrWeb Live Cd).
 

Всего записей: 392 | Зарегистр. 17-02-2005 | Отправлено: 20:23 13-10-2010 | Исправлено: vallyol, 20:24 13-10-2010
VETER82

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
DrWeb Live загрузился... при проверке отловил пару троянов и вирусов. Midnight commander для меня тёмный лес..
 
Добавлено:
Да загрузочный на WinPE был

Всего записей: 201 | Зарегистр. 07-05-2008 | Отправлено: 20:42 13-10-2010
vallyol

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
VETER82
Воспользуйся ERD, почитай шапку (в плане какой грузить, под какую систему и как пользоваться). Удачи!
А midnight освоишь, если когда-нибудь far`ом пользовался

Всего записей: 392 | Зарегистр. 17-02-2005 | Отправлено: 21:12 13-10-2010 | Исправлено: vallyol, 21:15 13-10-2010
W126



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Приветствую всех форумчан! И прошу помощи и совета)
Есть комп, ОС WinXp Sp3 с последними апдейтами. Стал работать неадекватно, был прогнан KAV с LiveCD, после этого обнаружилось следующее:
 
Backdoor.Win32.Shiz.arc
Backdoor.Win32.Shiz.aas
Backdoor.Win32.Shiz.acw
Backdoor.Win32.Shiz.aav
Trojan.Win32.Jorik.Shiz.en
Trojan-Downloader.Win32.Agent.erra
Net-Worm.Win32.Kido.ih
 
Прибил всё, после этого после залогинивания в систему пытается запустить шелл, после идёт выход из сеанса и просит залогиниться снова. Думал проблема в профиле - снёс, не помогло. Все exe и dll в %WinDir% и Sys32 переписал с рабочей машины (с такой же ОС) - так же не помогло. Теперь не знаю куда копать.. Гуглить пробовал, так же безрезультатно. Мысли закончились. Помогите чем могите..

Всего записей: 15 | Зарегистр. 09-09-2008 | Отправлено: 13:08 16-10-2010
   

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Вирус(ы) в Windows XP,Vista,7,8,8.1,10. Проблемы. Решения.
KLASS (16-02-2017 18:32): Продолжение в Вирус(ы) в ОС Windows. Проблемы. Решения. (II)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru