Если ваш антивирус нашел что то подозрительное в сборке!!! Внимание всем! Если ваш антивирус нашел что то подозрительное в сборке, прежде чем сообщить об этом, поищите в этом форуме, может вы не первый и ситуация уже обсуждалась. За "кукарекание" об уже найденных и обсужденных "вирусах" будет следовать наказание.
Публикация ключей, номеров, лицензий, всякого рода взломщиков и кряков категорически запрещена.
Стаж: 16 лет 7 месяцев и 12 дней Сообщения: 631 Благодарности: 38915/321
19.05.2009 21:33 Вирусы в инете. Autorun и др. Проявление и лечение
В этой теме обсуждаем проблемы связанные с вирусами и прочей нежелательной живностью - получение, проявление, лечение и избавление.
Архив темы Скрытый текст Скрытый текст Скрытый текстСкрытый текст Скрытый текстСкрытый текст Скрытый текстСкрытый текст Скрытый текстСкрытый текст
Внимание всем пишущим!
Прежде чем задавать вопрос, внимательно изучите материалы данной темы, а так же прочитав Скрытый текст и раздел Скрытый текст.
Квинтэссенция темы
Спойлер
Прежде чем открыть подозрительное письмо, запустить подозрительный файл или зайти на подозрительный ресурс, подумай - а оно тебе надо? А если надо, то для локализации возможных неприятностей, принял ли ты все меры: от свежей головы на плечах до достаточного количества бумаги в туалете?
ЧАВО (FAQ) по материалам этой темы
Спойлер
Вопрос: Не могу поймать вирус Ответ: Загрузитесь с Alkid SE и проверьте систему, скачав свежие базы. Или зайдите на специализированные форумы в разделы Помогите и Помощь по лечению, например: Скрытый текст или Скрытый текст
Вопрос: С liveCD работать возможности нет, cd-rom накрылся. Web находит зараженный файл, при удалении этого файла автоматически создается новый, так до бесконечности. Что можете посоветовать? Ответ: Скрытый текст на флэшку и в Безопасный режим - проверяться.
Вопрос: Система выдала следующее: Диспетчер задач отключен администратором Ответ: Это происки вирусов, попробуйте редактор реестра открыть, скорей всего тоже не получится.
Поищите в яндексе по фразе, выданной компьютером и вам выдастся гора информации по этому вопросу.
Вопрос: Стоит НОД, но как здравомыслящий человек проверяю раз в неделю свежей утилитой вэба. И постоянно вэб находит файл stub.exe в папке Local Settings\Temp. Ответ: Папки Temp желательно ручками регулярно подчищать, из этих папок ничего не должно автозапускаться. Так что если куреит сказал что троян, спокойно грохните этот файл с помощью того же куреита.
Вопрос: Как защищаться от вируса autorun? Ответ: При вставке флэшек лучше держать нажатой клавишу Shift - тогда autorun не сработает и вирус вас не заразит.
Так же, в качестве презерватива могу предложить рег файл для запрета любого автозапуска устройств (комплексный) Скрытый текст В комплексе с USBguard все прекрасно предохраняет.
Вопрос: Перестали открыватся сайты антивирусов Ответ: Была использована версия AVZ 4.32 Файл-Восстановление системы-20. Настройки TCP/IP:Удалить статистические маршруты. Перезагрузка и все прекрасно работает.
Вопрос: вылазиет сообщение: "Ошибка связи со службой ядра ESET NOD32" Ответ: ЭТо однозначно реакция на вирусню, грузился с LiveCD, убивал всю живность, чистил реестр, после этого все начинало работать нормально..
Вопрос: Как защитить флешку от вирусов?
Ответ:Скрытый текст
Наиболее характерные и частые вопросы, связанные с необычным открытием дисков из Мой компьютер, видимостью скрытых и системных файлов, а также пропаданием Диспетчера задач и строки меню Свойства папки.
Спойлер
Цитата:
Вопрос 1. На моих локальных дисках в контекстном меню пункт автозапуск стоит первым, и выделен жирным, т.е. по умолчанию. При двойном клике на иконку диска вылетает нове окно проводника, а не открывается в этом же окне.
Цитата:
Вопрос 2. Почему локальный C, и D, стали открываться в новом окне и при этом требуют подкл-е к сети
Цитата:
Вопрос 3. Не могу настроить видимость скрытых файлов. Галку в свойствах ставлю, но эффекта нет. И после повторного просмотра свойств галка стоит на прежнем месте (не показывать скрытые). Как быть? И ещё момент: из Мой компьютер окно все равно открывается новое - далее в открытом. Как сделать чтобы все открывалось в одном? Галка стоит - Открывать в одном окне.
[quote]Ответ: Всё это проявления вирусной активности на вашем компьютере. У Вас в корне каждого диска(флешки, сотового телефона, дискеты) находится куча файлов с именем Autorun и не только. Часть из них антивирус классифицирует как заразу, часть оставляет. Точно такой же набор файлов при заражении находится в папке windows/system32. Этих файлов в системе вообще не должно быть.В корне диска С по умолчанию (если ничего туда не распаковывали) должны быть следующие файлы:
AUTOEXEC.BAT, boot.ini, Bootfont.bin, CONFIG.SYS, IO.SYS, MSDOS.SYS, NTDETECT.COM, ntldr, pagefile.sys, и может быть hiberfil.sys
Все остальные файлы не из системы и, если вы их туда не ложили, можете уверенно их классифицировать, как лишние.
Для лечения понадобятся программы Anti-Autorun 2.0 и Cureit от d-r Web.
Скачать первую можно здесь: Скрытый текст а вторую - здесь: Скрытый текст
Первую программу можете запустить сразу же после скачивания. Она проверит компьютер на наличие файлов autorun.* и при их обнаружении автоматически их удалит и восстановит некоторые ключи реестра, переписываемые этим вирусом. После очистки жестких дисков сразу же можно проверить все съемные носители и пролечить. По окончании проверки потребуется перезагрузка компьютера. Загрузитесь в безопасном режиме(по F8 в начале запуска системы)и запустите вторую утилиту. Она сначала просканирует оперативную память и наиболее уязвимые папки. После окончания экстренной проверки лучше всего запустить тотальную проверку всего компьютера. По окончании проверок и удалении всех обнаруженных вирусов можно перезагружаться в обычный режим.
Вирусы, чтобы их как можно дольше не могли обнаружить и вычистить производят изменения в реестре, которые:
1. Скрывают строку Свойства папки в меню Сервис;
2. Запрещают запуск Диспетчера задач;
3. Не разрешают показ скрытых и системных файлов.
Для возвращения строки Свойства папки в меню Сервис нужно внести в реестр windows следующую корректировку:
Чтобы вновь сделать возможным запуск Диспетчера задач нажмите Пуск –> Выполнить… –> в поле Открыть: введите gpedit.msc –> OK –> откроется диалоговое окно Групповая политика –> Групповая политика –> Политика «Локальный компьютер» –> Конфигурация пользователя –> Административные шаблоны –> Система –> Возможности Ctrl+Alt+Del –> справа в окне Возможности Ctrl+Alt+Del двойным щелчком левой кнопки мыши по строке Удалить диспетчер задач (Состояние по умолчанию – Не задана) вызовите окно Свойства: Удалить Диспетчер задач –> установлен переключатель Включен –> поставьте Отключен (или Не задан) –> Применить –> OK.
Для восстановления отображения скрытых файлов в Проводнике нужно внести в реестр windows следующую корректировку:[code][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
Небольшой мануал для железной защиты системы от вирусни.( способ не лишен недостатков, но имеет право быть )
gpedit.msc>конфигурация пользователя>Система : интересуют две вкладки -"выполнять только разрешенные приложения дляWindows" и "не запускать указанные приложения Windows".
В первую вбиваем руцями : приложения из диспетчера задач и все свои екзешники также обязательно с помощью диспетчера задач (поскольку с прогами иногда запускаются другие приложения и запретив\не разрешив политикой их запуск, основные проги работать не будут).
Последний раз редактировалось: motormerc (17.09.2011 22:35), всего редактировалось 2 раз(а)
Сильно сомневаюсь, т.к. вирусне ничего не стоит отработать от имени другого пользователя или вообще системы. _________________ Advanced super bot-admin
Скрытый текст
Пишу по-русски.
Да и "Выкалки" уже конкретно достали... Учите русский, блин!
motormerc
белый список - точно не панацея. очень трудоемко, во-первых, а во-вторых, если блочить только по именам - то и вирусы часто под системные файлы маскируются
Добавлено спустя 1 минуту 45 секунд:
motormerc
а еще если вы в свой белый список забудете, например, mmc.exe внести вы потом очень повеселитесь ))
белый список - точно не панацея. очень трудоемко, во-первых, а во-вторых, если блочить только по именам - то и вирусы часто под системные файлы маскируются
Заражение исполняемого файла системы во время ее работы происходит после перезагрузки, а не на лету.
Добавлено спустя 1 минуту 47 секунд:
АрПи писал(а):
а еще если вы в свой белый список забудете, например, mmc.exe внести вы потом очень повеселитесь
Я-то не забыл. А эта инфа для тех, кто понимает...
motormerc
вы серьезно?? О_о userinit.exe можете хоть удалить на уже загруженной системе. и никто и не заметит! я молчуо записи в раздел Run и ему подобные в реестре.
Получить возможность вызвать Консоль восстановления можно и в автоматическом режиме установки - нажатием F10 вместо F6, когда попросит.
Спасибо, бум пробовать.
Добавлено спустя 4 минуты 47 секунд:
YikxX писал(а):
А для ваших целей - проще воспользоваться прогой MBRFix из алкида.
Не проще, уже лучше из-под установочного диска фиксить. Часто попадаются компы с материнкой, не поддерживающих установку винды с USB , а только загрузку с флешек и сидирома предустановленных BartPE, Алкидов, WinRE......и то - очень и очень медленно (от 5 до 15 минут, приблизительно... )
motormerc
вы серьезно?? О_о userinit.exe можете хоть удалить на уже загруженной системе. и никто и не заметит! я молчуо записи в раздел Run и ему подобные в реестре.
Ну вы же не будете собственноручно гадить своей системе ?
А в раздел Run кто будет писать каку ? Удалять юзеринит ? Чужой экзешник, скрипт, батник , cmd... ? Так они не разрешены\запрещены вроде...
Часто попадаются компы с материнкой, не поддерживающих установку винды с USB , а только загрузку с флешек и сидирома предустановленных BartPE, Алкидов, WinRE......и то - очень и очень медленно
АрПи писал(а):
plop в помощь
У самого мать с медленным усб на "БИОС-этапе" - с плопом LiveCD (SunBear) грузится за 5 секунд.
АрПи писал(а):
userinit.exe можете хоть удалить на уже загруженной системе. и никто и не заметит!
Ну во-первых, удалить его вам никто не даст. А во-вторых - заметят и еще как, когда в систему войти не смогут. Сейчас как раз локеры, так гадящие, в ходу... _________________ Advanced super bot-admin
Скрытый текст
Пишу по-русски.
Да и "Выкалки" уже конкретно достали... Учите русский, блин!
motormerc
я-то не буду. )) я это к тому, что включенный белый список вряд ли сильно помешает вирусу перезаписать/дополнить этот файл, к примеру. уж тем более белый список не предохраняет от записи в run-разделы всякого мусора))
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете голосовать в опросах Вы не можете вкладывать файлы Вы не можете скачивать файлы