Если ваш антивирус нашел что то подозрительное в сборке!!! Внимание всем! Если ваш антивирус нашел что то подозрительное в сборке, прежде чем сообщить об этом, поищите в этом форуме, может вы не первый и ситуация уже обсуждалась. За "кукарекание" об уже найденных и обсужденных "вирусах" будет следовать наказание.
Публикация ключей, номеров, лицензий, всякого рода взломщиков и кряков категорически запрещена.
Стаж: 16 лет 7 месяцев и 12 дней Сообщения: 631 Благодарности: 38915/321
19.05.2009 21:33 Вирусы в инете. Autorun и др. Проявление и лечение
В этой теме обсуждаем проблемы связанные с вирусами и прочей нежелательной живностью - получение, проявление, лечение и избавление.
Архив темы Скрытый текст Скрытый текст Скрытый текстСкрытый текст Скрытый текстСкрытый текст Скрытый текстСкрытый текст Скрытый текстСкрытый текст
Внимание всем пишущим!
Прежде чем задавать вопрос, внимательно изучите материалы данной темы, а так же прочитав Скрытый текст и раздел Скрытый текст.
Квинтэссенция темы
Спойлер
Прежде чем открыть подозрительное письмо, запустить подозрительный файл или зайти на подозрительный ресурс, подумай - а оно тебе надо? А если надо, то для локализации возможных неприятностей, принял ли ты все меры: от свежей головы на плечах до достаточного количества бумаги в туалете?
ЧАВО (FAQ) по материалам этой темы
Спойлер
Вопрос: Не могу поймать вирус Ответ: Загрузитесь с Alkid SE и проверьте систему, скачав свежие базы. Или зайдите на специализированные форумы в разделы Помогите и Помощь по лечению, например: Скрытый текст или Скрытый текст
Вопрос: С liveCD работать возможности нет, cd-rom накрылся. Web находит зараженный файл, при удалении этого файла автоматически создается новый, так до бесконечности. Что можете посоветовать? Ответ: Скрытый текст на флэшку и в Безопасный режим - проверяться.
Вопрос: Система выдала следующее: Диспетчер задач отключен администратором Ответ: Это происки вирусов, попробуйте редактор реестра открыть, скорей всего тоже не получится.
Поищите в яндексе по фразе, выданной компьютером и вам выдастся гора информации по этому вопросу.
Вопрос: Стоит НОД, но как здравомыслящий человек проверяю раз в неделю свежей утилитой вэба. И постоянно вэб находит файл stub.exe в папке Local Settings\Temp. Ответ: Папки Temp желательно ручками регулярно подчищать, из этих папок ничего не должно автозапускаться. Так что если куреит сказал что троян, спокойно грохните этот файл с помощью того же куреита.
Вопрос: Как защищаться от вируса autorun? Ответ: При вставке флэшек лучше держать нажатой клавишу Shift - тогда autorun не сработает и вирус вас не заразит.
Так же, в качестве презерватива могу предложить рег файл для запрета любого автозапуска устройств (комплексный) Скрытый текст В комплексе с USBguard все прекрасно предохраняет.
Вопрос: Перестали открыватся сайты антивирусов Ответ: Была использована версия AVZ 4.32 Файл-Восстановление системы-20. Настройки TCP/IP:Удалить статистические маршруты. Перезагрузка и все прекрасно работает.
Вопрос: вылазиет сообщение: "Ошибка связи со службой ядра ESET NOD32" Ответ: ЭТо однозначно реакция на вирусню, грузился с LiveCD, убивал всю живность, чистил реестр, после этого все начинало работать нормально..
Вопрос: Как защитить флешку от вирусов?
Ответ:Скрытый текст
Наиболее характерные и частые вопросы, связанные с необычным открытием дисков из Мой компьютер, видимостью скрытых и системных файлов, а также пропаданием Диспетчера задач и строки меню Свойства папки.
Спойлер
Цитата:
Вопрос 1. На моих локальных дисках в контекстном меню пункт автозапуск стоит первым, и выделен жирным, т.е. по умолчанию. При двойном клике на иконку диска вылетает нове окно проводника, а не открывается в этом же окне.
Цитата:
Вопрос 2. Почему локальный C, и D, стали открываться в новом окне и при этом требуют подкл-е к сети
Цитата:
Вопрос 3. Не могу настроить видимость скрытых файлов. Галку в свойствах ставлю, но эффекта нет. И после повторного просмотра свойств галка стоит на прежнем месте (не показывать скрытые). Как быть? И ещё момент: из Мой компьютер окно все равно открывается новое - далее в открытом. Как сделать чтобы все открывалось в одном? Галка стоит - Открывать в одном окне.
[quote]Ответ: Всё это проявления вирусной активности на вашем компьютере. У Вас в корне каждого диска(флешки, сотового телефона, дискеты) находится куча файлов с именем Autorun и не только. Часть из них антивирус классифицирует как заразу, часть оставляет. Точно такой же набор файлов при заражении находится в папке windows/system32. Этих файлов в системе вообще не должно быть.В корне диска С по умолчанию (если ничего туда не распаковывали) должны быть следующие файлы:
AUTOEXEC.BAT, boot.ini, Bootfont.bin, CONFIG.SYS, IO.SYS, MSDOS.SYS, NTDETECT.COM, ntldr, pagefile.sys, и может быть hiberfil.sys
Все остальные файлы не из системы и, если вы их туда не ложили, можете уверенно их классифицировать, как лишние.
Для лечения понадобятся программы Anti-Autorun 2.0 и Cureit от d-r Web.
Скачать первую можно здесь: Скрытый текст а вторую - здесь: Скрытый текст
Первую программу можете запустить сразу же после скачивания. Она проверит компьютер на наличие файлов autorun.* и при их обнаружении автоматически их удалит и восстановит некоторые ключи реестра, переписываемые этим вирусом. После очистки жестких дисков сразу же можно проверить все съемные носители и пролечить. По окончании проверки потребуется перезагрузка компьютера. Загрузитесь в безопасном режиме(по F8 в начале запуска системы)и запустите вторую утилиту. Она сначала просканирует оперативную память и наиболее уязвимые папки. После окончания экстренной проверки лучше всего запустить тотальную проверку всего компьютера. По окончании проверок и удалении всех обнаруженных вирусов можно перезагружаться в обычный режим.
Вирусы, чтобы их как можно дольше не могли обнаружить и вычистить производят изменения в реестре, которые:
1. Скрывают строку Свойства папки в меню Сервис;
2. Запрещают запуск Диспетчера задач;
3. Не разрешают показ скрытых и системных файлов.
Для возвращения строки Свойства папки в меню Сервис нужно внести в реестр windows следующую корректировку:
Чтобы вновь сделать возможным запуск Диспетчера задач нажмите Пуск –> Выполнить… –> в поле Открыть: введите gpedit.msc –> OK –> откроется диалоговое окно Групповая политика –> Групповая политика –> Политика «Локальный компьютер» –> Конфигурация пользователя –> Административные шаблоны –> Система –> Возможности Ctrl+Alt+Del –> справа в окне Возможности Ctrl+Alt+Del двойным щелчком левой кнопки мыши по строке Удалить диспетчер задач (Состояние по умолчанию – Не задана) вызовите окно Свойства: Удалить Диспетчер задач –> установлен переключатель Включен –> поставьте Отключен (или Не задан) –> Применить –> OK.
Для восстановления отображения скрытых файлов в Проводнике нужно внести в реестр windows следующую корректировку:[code][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
LohNess
Совет на будущее: скачайте и запишите на Cd образ какого нибудь live Cd? чтобы все предустановочные операции можно было произвести с заведомо незараженной и незаражаемой системы.
Ребята, выручайте. Я уже всю голову сломал... Короче, ситуация такая - знакомая подхватила какую-то фигню, комп в обычном режиме не грузится, выдавая ошибку 7B, причем не сразу, а после нескольких пробегов ползунка. В безопасном загружается. Я уже и fixboot/fixmbr делал и с DrWeb LiveCD вирусню вылечил и винт на бэды проверил и после этого chkdsk /r проделал. Даже винду снова в режиме восстановления поставил - не грузится и все. Что за зараза такая, куда прописалась? Может устройство какое снести из Диспетчера (виртуальник например)? _________________ Advanced super bot-admin
Скрытый текст
Пишу по-русски.
Да и "Выкалки" уже конкретно достали... Учите русский, блин!
YikxX
Погляди разделы реестра
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
На предмет излишеств. Возможно в секции RUN застрял какой нибудь dumpprep.
Не исключена аппаратная проблема, попередергивай все что вставлено в разъемы.
Погляди, не появились ли в авторежиме какие нибудь непонятные службы.
Попробуй снести контроллеры жестких дисков и все виртуалки в диспетчере устройств.
Да, еще погляди автозагрузку в профиле ALLUSERS на предмет файла ŷŷŷŷŷŷ.exe
В общем, виновником был какой-то xmasscsi, который сидел в устройствах не Plug-n-Play. Снес его в безопасном режиме - и все загрузилось. Ко всему прочему этот вирь прописал в реестр запреты на запуск всех антивирусников и аутпоста, причем по другому, не через раздел HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options - пришлось тоже вычищать. Раздел куда это было прописано счас не помню, надо смотреть. Потом отпишу. Экзешник вроде nissan.exe назывался. Или kawasaki.exe Залез как авторан с переносного жесткого. _________________ Advanced super bot-admin
Скрытый текст
Пишу по-русски.
Да и "Выкалки" уже конкретно достали... Учите русский, блин!
Коллега порекомендовал создать в корне переносного устройства папку с именем autorun.inf для профилактики подобных инцидентов, к сожалению ни одного экземпляра заразы под рукой нет, чтоб хотябы на виртуалке потестить правдивость совета. _________________ Если с проблемой не переспать, то решение не родится.
______________________________________________
Продам личное время, дорого!
karavan750 USBGuard как раз это и делает. Если при вставленном переносном устройстве, через контекстное меню USBGuard, отключить автозапуск USB устройств, то утилита создаст скрытые папки autorun.inf в корне кождого диска, в том числе и на переносном устройстве. Созданные папки будут содержать в себе текстовый файл и пустую папку с неправильным именем. Тоесть обычным способом такую папку удалить нельзя. В результате вирус(autorun) пытающийся прописаться на этот носитель, сделать этого не может. Потому что: файл с таким именем уже существует, а удалить его(подменить собой) - он не может. То что это работает - проверено. _________________ Хотелось бы в настоящем всё делать так , чтобы в будущем не возникало желание вернуться и переделать!!!
C благодарностью выслушаю советы по созданию данной папки с хитрыми атрибутами, такими, чтоб ее можно было увидеть только с помощью бубна, но при этом с сохранением ее функции - предотвращение создания одноименного файла. Скрытая, системная не подходит, ищу другие варианты.
Объясню причины: у меня зубная боль при виде буквосочетания "autorun.inf", но при этом всегда включено отображение скрытых и системных папок. _________________ Если с проблемой не переспать, то решение не родится.
______________________________________________
Продам личное время, дорого!
supelwik А что происходит со значком жесткого диска в случае применения такого метода?
По предыдущему посту:
Раздел, куда прописывался запрет на запуск был такой HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths
Плюс ко всему вирь прицепился к оболочке, вот здесь HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon к ключу Shell
Имя исполняемого файла в ключе Shell: nissan.exe C переносного жесткого запускался файл kawasaki.exe _________________ Advanced super bot-admin
Скрытый текст
Пишу по-русски.
Да и "Выкалки" уже конкретно достали... Учите русский, блин!
YikxX
Со значком ничего не происходит, т.к. пути на иконки не прописываются... _________________ Заклинания и молитвы работают только у тех, кто живет лицензионную версию жизни.
Иногда пятая нога добавляет собаке скорости...
15-ти летний капитан - это вымысел, а 14-ти летний майор - это реальность.
C благодарностью выслушаю советы по созданию данной папки с хитрыми атрибутами, такими, чтоб ее можно было увидеть только с помощью бубна,
Для скрытия этих папок можно использовать такую не хитрую программку как Lock Folder XP. Только что проверил. И папка с названием : AUTORUN.INF вам глаза не мозолит, и создать другую папку или файл с таким же названием не возможно.
Скрытый текст _________________ Хотелось бы в настоящем всё делать так , чтобы в будущем не возникало желание вернуться и переделать!!!
Всем привет!!! Читал темы... что-то не нашел на свой вопрос и по этому пишу. Есть такой файл ekrn.exe и у меня такие подозрения что это не вирусли какой не будь. Не могли сказать что это такое?
IaN4iK
не трогай, это ядро нода EsetKeRNel
А на счет "читал темы, не нашел" - достаточно было спросить у яндекса. _________________ Если с проблемой не переспать, то решение не родится.
______________________________________________
Продам личное время, дорого!
Последний раз редактировалось: karavan (13.08.2009 9:33), всего редактировалось 1 раз
IaN4iK
вот один из ответов нигмы
ekrn.exe - служба антивируса Nod32. При определенных условиях (медленный компьютер, загрузка больших файлов) может использовать значительные ресурсы центрального процесса компьютера
Некоторые троянские программы скрывают свое присутствие в системе, используя имя ekrn.exe.
IaN4iK
Чтобы проверить, вирус это или действительно ядро антивируса, достаточно поиском по системному диску найти местоположение этого файла и найдя посмотреть его свойства. Если файл не сертифицирован ESET, значит это не антивирусный файл а маскирующийся вирус. Кроме того, истинный файл запускается из Program Files\ESET\ESET NOD32 Antivirus\. Если местоположение другое, значит это зловред.
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете голосовать в опросах Вы не можете вкладывать файлы Вы не можете скачивать файлы