ZverDVD - Лучшая сборка во всем Рунете!
 http://forum.zverdvd.org/viewtopic.php?p=1179Правила конференции 
 ТемыТемы   FAQFAQ   ПоискПоиск   ГруппыГруппы   РегистрацияРегистрация 

Вирусы в инете. Autorun и др. Проявление и лечение
На страницу Пред.  
1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11
Если ваш антивирус нашел что то подозрительное в сборке!!!
 
Внимание всем! Если ваш антивирус нашел что то подозрительное в сборке, прежде чем сообщить об этом, поищите в этом форуме, может вы не первый и ситуация уже обсуждалась. За "кукарекание" об уже найденных и обсужденных "вирусах" будет следовать наказание.
Публикация ключей, номеров, лицензий, всякого рода взломщиков и кряков категорически запрещена.
 
Начать новую тему   Ответить на тему    Список форумов ZverDVD - Конференция -> О вирусах, антивирусах, безопасности и чистоплотности
Предыдущая тема :: Следующая тема  
Автор Сообщение
Zver
Супер Админ



Стаж: 16 лет 6 месяцев и 15 дней
Сообщения: 630
Благодарности: 38904/321



Сообщение19.05.2009 21:33  Вирусы в инете. Autorun и др. Проявление и лечение Ответить с цитатой

В этой теме обсуждаем проблемы связанные с вирусами и прочей нежелательной живностью - получение, проявление, лечение и избавление.
Архив темы
 Скрытый текст 

 Скрытый текст 
 Скрытый текст   Скрытый текст 
 Скрытый текст   Скрытый текст 
 Скрытый текст   Скрытый текст 
 Скрытый текст   Скрытый текст 

Внимание всем пишущим!
Прежде чем задавать вопрос, внимательно изучите материалы данной темы, а так же прочитав
 Скрытый текст  и раздел  Скрытый текст  .

Квинтэссенция темы
 Спойлер

Прежде чем открыть подозрительное письмо, запустить подозрительный файл или зайти на подозрительный ресурс, подумай - а оно тебе надо? А если надо, то для локализации возможных неприятностей, принял ли ты все меры: от свежей головы на плечах до достаточного количества бумаги в туалете?

ЧАВО (FAQ) по материалам этой темы
 Спойлер

Вопрос: Не могу поймать вирус
Ответ: Загрузитесь с Alkid SE и проверьте систему, скачав свежие базы. Или зайдите на специализированные форумы в разделы Помогите и Помощь по лечению, например:  Скрытый текст  или  Скрытый текст 

Вопрос: С liveCD работать возможности нет, cd-rom накрылся. Web находит зараженный файл, при удалении этого файла автоматически создается новый, так до бесконечности. Что можете посоветовать?
Ответ:  Скрытый текст  на флэшку и в Безопасный режим - проверяться.

Вопрос: Система выдала следующее: Диспетчер задач отключен администратором
Ответ: Это происки вирусов, попробуйте редактор реестра открыть, скорей всего тоже не получится.
Поищите в яндексе по фразе, выданной компьютером и вам выдастся гора информации по этому вопросу.


Вопрос: Стоит НОД, но как здравомыслящий человек проверяю раз в неделю свежей утилитой вэба. И постоянно вэб находит файл stub.exe в папке Local Settings\Temp.
Ответ: Папки Temp желательно ручками регулярно подчищать, из этих папок ничего не должно автозапускаться. Так что если куреит сказал что троян, спокойно грохните этот файл с помощью того же куреита.

Вопрос: Как защищаться от вируса autorun?
Ответ: При вставке флэшек лучше держать нажатой клавишу Shift - тогда autorun не сработает и вирус вас не заразит.
Так же, в качестве презерватива могу предложить рег файл для запрета любого автозапуска устройств (комплексный)
 Скрытый текст  В комплексе с USBguard все прекрасно предохраняет.

Вопрос: Перестали открыватся сайты антивирусов
Ответ: Была использована версия AVZ 4.32 Файл-Восстановление системы-20. Настройки TCP/IP:Удалить статистические маршруты. Перезагрузка и все прекрасно работает.

Вопрос: вылазиет сообщение: "Ошибка связи со службой ядра ESET NOD32"
Ответ: ЭТо однозначно реакция на вирусню, грузился с LiveCD, убивал всю живность, чистил реестр, после этого все начинало работать нормально..

Вопрос: Как защитить флешку от вирусов?
Ответ:  Скрытый текст 


Наиболее характерные и частые вопросы, связанные с необычным открытием дисков из Мой компьютер, видимостью скрытых и системных файлов, а также пропаданием Диспетчера задач и строки меню Свойства папки.

 Спойлер

Цитата:

Вопрос 1. На моих локальных дисках в контекстном меню пункт автозапуск стоит первым, и выделен жирным, т.е. по умолчанию. При двойном клике на иконку диска вылетает нове окно проводника, а не открывается в этом же окне.
Цитата:
Вопрос 2. Почему локальный C, и D, стали открываться в новом окне и при этом требуют подкл-е к сети
Цитата:
Вопрос 3. Не могу настроить видимость скрытых файлов. Галку в свойствах ставлю, но эффекта нет. И после повторного просмотра свойств галка стоит на прежнем месте (не показывать скрытые). Как быть? И ещё момент: из Мой компьютер окно все равно открывается новое - далее в открытом. Как сделать чтобы все открывалось в одном? Галка стоит - Открывать в одном окне.
[quote]Ответ: Всё это проявления вирусной активности на вашем компьютере. У Вас в корне каждого диска(флешки, сотового телефона, дискеты) находится куча файлов с именем Autorun и не только. Часть из них антивирус классифицирует как заразу, часть оставляет. Точно такой же набор файлов при заражении находится в папке windows/system32. Этих файлов в системе вообще не должно быть.В корне диска С по умолчанию (если ничего туда не распаковывали) должны быть следующие файлы:
AUTOEXEC.BAT, boot.ini, Bootfont.bin, CONFIG.SYS, IO.SYS, MSDOS.SYS, NTDETECT.COM, ntldr, pagefile.sys, и может быть hiberfil.sys
Все остальные файлы не из системы и, если вы их туда не ложили, можете уверенно их классифицировать, как лишние.
Для лечения понадобятся программы Anti-Autorun 2.0 и Cureit от d-r Web.
Скачать первую можно здесь:
 Скрытый текст  а вторую - здесь:  Скрытый текст 
Первую программу можете запустить сразу же после скачивания. Она проверит компьютер на наличие файлов autorun.* и при их обнаружении автоматически их удалит и восстановит некоторые ключи реестра, переписываемые этим вирусом. После очистки жестких дисков сразу же можно проверить все съемные носители и пролечить. По окончании проверки потребуется перезагрузка компьютера. Загрузитесь в безопасном режиме(по F8 в начале запуска системы)и запустите вторую утилиту. Она сначала просканирует оперативную память и наиболее уязвимые папки. После окончания экстренной проверки лучше всего запустить тотальную проверку всего компьютера. По окончании проверок и удалении всех обнаруженных вирусов можно перезагружаться в обычный режим.

Вирусы, чтобы их как можно дольше не могли обнаружить и вычистить производят изменения в реестре, которые:
1. Скрывают строку Свойства папки в меню Сервис;
2. Запрещают запуск Диспетчера задач;
3. Не разрешают показ скрытых и системных файлов.

Для возвращения строки Свойства папки в меню Сервис нужно внести в реестр windows следующую корректировку:
Код:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explоrer] "NoFolderOptions"=dword:00000000
Чтобы вновь сделать возможным запуск Диспетчера задач нажмите Пуск –> Выполнить… –> в поле Открыть: введите gpedit.msc –> OK –> откроется диалоговое окно Групповая политика –> Групповая политика –> Политика «Локальный компьютер» –> Конфигурация пользователя –> Административные шаблоны –> Система –> Возможности Ctrl+Alt+Del –> справа в окне Возможности Ctrl+Alt+Del двойным щелчком левой кнопки мыши по строке Удалить диспетчер задач (Состояние по умолчанию – Не задана) вызовите окно Свойства: Удалить Диспетчер задач –> установлен переключатель Включен –> поставьте Отключен (или Не задан) –> Применить –> OK.

Для восстановления отображения скрытых файлов в Проводнике нужно внести в реестр windows следующую корректировку:[code][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
Вернуться к началу
Zver сейчас оффлайн Посмотреть профиль Отправить личное сообщение [ скрыт ] Посетить сайт автора
motormerc
Волк



Стаж: 14 года 6 месяцев и 2 дня
Сообщения: 82
Благодарности: 25/16



Сообщение17.09.2011 23:19   Ответить с цитатой

АрПи писал(а):
motormerc
эм... а вы считаете, что если мать поддерживает загрузку с флеш live-систем, то она может не поддерживать уставновку с флеш? Shocked

Добавлено спустя 48 секунд:

это точно такая же загрузка с флеш вообще-то.
Ага, сейчас... Very Happy У меня есть AsRock 2004 года, Live USB_CD_DVD грузит очень медленно, а вот установка винды с флешки - отказать ! Sad И таких компов предостаточно (материнки, как правило - до 2004-2005 года выпуска)
Поблагодарили(1): Jaguar19904
Вернуться к началу
motormerc сейчас оффлайн Посмотреть профиль Отправить личное сообщение  
Eastoop
Гость









Сообщение18.09.2011 2:55   Ответить с цитатой

Возвращаясь к MBR.
Вот случай из жизни.
Все знают про потуги нашего правительства отучить наших детей от виндов и заставить работать на "русской операционной системе".
В этом русле как то в прошлом году пришлось нашей конторе внедрять этот хлам в одной из сельских школ.
Прежде, чем поганить школьные компьютеры альт-линуксом, решили все проверить на одной из своих машин, посмотреть все особенности и сложности.
Посмотрели, проверили, определились со стратегией развертывания компьютерного класса.
Пингвина снесли..... вроде бы.
Ставим на жесткий диск опять винду... А загрузчик остался линуксовский. И разделы удаляли и MBR фиксили, удаляли, чего только ни делали, распаковывали старый акронисовский образ: загрузчик остается пингвинячий.
Помог только метод с викторией (erase256) , который буквально за пару секунд превратил диск в неинициализированный. А дальше все пошло как по маслу.

Добавлено спустя 3 минуты 6 секунд:

motormerc писал(а):
Live USB_CD_DVD грузит очень медленно, а вот установка винды с флешки - отказать !
Значит что то неправильно в условиях запуска установки системы. В принципе установка хрюши возможна даже с дискеты при наличии распакованного дистрибутива в корне одного из разделов HDD.
Поблагодарили(1): Jaguar19904
Вернуться к началу
glax24
LuckyHunter
LuckyHunter


Возраст: 41
Стаж: 15 лет 4 месяца и 11 дней
Сообщения: 354
Благодарности: 502/173
Откуда: Ульяновск
ICQ: 406978885

Сообщение21.11.2011 1:46  Заметки glax24 Ответить с цитатой

 Скрытый текст 
 Спойлер
 Скрытый текст 

Как было дело:
Установлен Dr.Web отключил Guard на час, потом включить его уже не получилось, т.к. комп был загружен на 100%. И в корне диска C была папка с кракозябрами.
Перезагрузился, Dr.Web выдал сообщение что базы устарели(хотя перед заражением обновлялся), и Guard не запустился. Перезапуск, загрузка с LiveCD, запуск сканера и вот результат.
 Спойлер

Перезагрузка DrWeb запустился нормально, еще раз проверил, все чисто.

Или попробуйте ещё запустить
 Скрытый текст  из активной системы
 Спойлер


_________________
Решение на поверхности, надо только копнуть поглубже.
 Скрытый текст 
Поблагодарили(2): Vovva, Дон
Вернуться к началу
glax24 сейчас оффлайн Посмотреть профиль Отправить личное сообщение  
ЛёхаВованов
Ёжик



Стаж: 14 года 3 месяца и 22 дня
Сообщения: 10
Благодарности: 3/0

ICQ: 371713210

Сообщение30.11.2011 13:25   Ответить с цитатой

Сегодня утром поймал очередной не определяющийся антивирем(Доктор Вэб) троян WinLock
 Спойлер
 Скрытый текст 

Исправился обычной перезагрузкой т.к в антивире выставлено блокировка модификации важных объектов Windows (в этот раз помогло). В итоге после перезагрузки оказались заблокированы редактор реестра и диспетчер задач исправил с помощью утилиты AVZ. Нашел гада по адресу C:\Documents and Settings\Admin\Local Settings\Temp. больше пока ни чего не заметил (командная строка работает). Файлы отправил на анализ в лабораторию Доктор Вэб так что у кого он установлен будет срабатывать на вирус.
Вернуться к началу
ЛёхаВованов сейчас оффлайн Посмотреть профиль Отправить личное сообщение  
mannaleks
Командир команды
Командир команды



Стаж: 15 лет 5 месяцев и 16 дней
Сообщения: 2446
Благодарности: 1711/388
Откуда: Куда: Зачем:


Сообщение22.11.2012 21:10   Ответить с цитатой

Опишу свой недавний опыт.

На ноуте поймали локера.
В заблокированный ноут вставил флешку, пошел автозапуск флешки, за банером всплыло окно выбора действия для флешки.
В этот момент нажал кнопку питания. Ноут стал выключаться. Появилось окно принудительного завершения программ при выключении. Поскольку вирус был самым первым в списке, он был завершен, после этого я успел нажать кнопку "Отмена", которая была в пределах окна банера, за границы которого мышь не выходит.
После завершения процесса вируса комп вышел на рабочий стол и блокировка была снята.
После этого вирус был удален стандартными средствами.

Данный вариант сработает только если в компе не отключен автозапуск со сменных носителей.

_________________
Заклинания и молитвы работают только у тех, кто живет лицензионную версию жизни.
Иногда пятая нога добавляет собаке скорости...
15-ти летний капитан - это вымысел, а 14-ти летний майор - это реальность.
Вернуться к началу
mannaleks сейчас оффлайн Посмотреть профиль Отправить личное сообщение  
stalker333
Ёжик


Возраст: 43
Стаж: 11 год 2 месяца и 16 дней
Сообщения: 8

Откуда: kiev


Сообщение14.01.2013 13:07   Ответить с цитатой

День добрый не знаю сможете ли помоч мне но в любом случае буду признателен. по совету админа в поисковик вбивал уже подобный вопрос безуспешно. вопщем недавно поставил вин зверь и через время пропала возможность посещать сайт одноклассники страница просто не открываетса может подскажете в чем проблема и как с ней бороться провайдер говорит проблема с моим по? заранее блогадарю с уважением валик
Вернуться к началу
stalker333 сейчас оффлайн Посмотреть профиль Отправить личное сообщение  
Онотроле
Гость









Сообщение14.01.2013 13:31   Ответить с цитатой

stalker333
Ты поймал вируса с одноклассников: по классификации dr WEB troyan. Mayachok.XXXXX
Скачивай лечащую утилиту CureIt, загружайся в безопасном режиме и сканируй свой компьютер.
Вернуться к началу
Tritreps
Ёжик



Стаж: 13 года и 29 дней
Сообщения: 17
Благодарности: 9/9



Сообщение15.01.2013 21:42   Ответить с цитатой

Онотроле писал(а):
stalker333
troyan. Mayachok.XXXXX

троянМанхок обычно таким примитивом "не занимается", если он "попадает" в систему, то как правило "капут" всем браузерам (в смысле, либо вобще все страницы "гасит", либо "перескакивают" на определённую) и курейт вебовский с ним не справляется, ибо "видит" только свежезагаженный системный файл (к которому "цепляется", в момент запуска, манхок).
Как правило за подобные пакости "отвечает" или банальная запись в хостфайле, или "свежепоявившаяся" dllка в систем32.
Smile интересно, какой "антивирь" в системе, его свежесть и свежесть (обновы) винды и других прог (акробата, джавы, оффиса и т.д.), то через кого (дыры безопасноти) обычно и заражаются.
Вернуться к началу
Tritreps сейчас оффлайн Посмотреть профиль Отправить личное сообщение  
Онотроле
Гость









Сообщение16.01.2013 3:33   Ответить с цитатой

Tritreps
Лучше бы не позорился с такими "познаниями".
Tritreps писал(а):
троянМанхок
Razz
Маячок как раз такими гадостями и занимается, пристраивается через AppInitDll, блокирует доступ к файлам, имеющим в имени буквосочетания vol, ver и еще некоторые, которые используются для составления списка антивирусных баз(с помощью sys файла в папке Windows, крайний раз это был gigalan.sys), блокируя обновления антивирусов, подменяет DNS-ы, дополняет hosts. И заражает он не через дыры, а по согласию с пользователем, когда тот начинает тыкать в соцсетях во все линки на страничке. На данный момент по сети ходит несколько разновидностей маячка, которые различаются и набором действий и адресами фишинговых сайтов и набором паразитных файлов в системе.
И как раз CureIt в защищенном или изолированном режиме отлично эти маячки выщелкивает. А еще они достаточно легко лечатся просто умными мастерами без всякого применения антивирусных примочек, простым анализом определенных ключей реестра.
Поблагодарили(1): SergM
Вернуться к началу
Показать сообщения:   
Начать новую тему   Ответить на тему    Список форумов ZverDVD - Конференция -> О вирусах, антивирусах, безопасности и чистоплотности Часовой пояс: GMT + 3
На страницу Пред.  
1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11
Страница 11 из 11

 
Перейти:  
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете вкладывать файлы
Вы не можете скачивать файлы
 

Anti Bot Question MOD - phpBB MOD against Spam Bots
Заблокировано регистраций / сообщений: 617925 / 329


Powered by phpBB © 2001, 2005 phpBB Group
Яндекс.Метрика