Если ваш антивирус нашел что то подозрительное в сборке!!! Внимание всем! Если ваш антивирус нашел что то подозрительное в сборке, прежде чем сообщить об этом, поищите в этом форуме, может вы не первый и ситуация уже обсуждалась. За "кукарекание" об уже найденных и обсужденных "вирусах" будет следовать наказание.
Публикация ключей, номеров, лицензий, всякого рода взломщиков и кряков категорически запрещена.
Стаж: 16 лет 7 месяцев и 6 дней Сообщения: 631 Благодарности: 38912/321
19.05.2009 21:33 Вирусы в инете. Autorun и др. Проявление и лечение
В этой теме обсуждаем проблемы связанные с вирусами и прочей нежелательной живностью - получение, проявление, лечение и избавление.
Архив темы Скрытый текст Скрытый текст Скрытый текстСкрытый текст Скрытый текстСкрытый текст Скрытый текстСкрытый текст Скрытый текстСкрытый текст
Внимание всем пишущим!
Прежде чем задавать вопрос, внимательно изучите материалы данной темы, а так же прочитав Скрытый текст и раздел Скрытый текст.
Квинтэссенция темы
Спойлер
Прежде чем открыть подозрительное письмо, запустить подозрительный файл или зайти на подозрительный ресурс, подумай - а оно тебе надо? А если надо, то для локализации возможных неприятностей, принял ли ты все меры: от свежей головы на плечах до достаточного количества бумаги в туалете?
ЧАВО (FAQ) по материалам этой темы
Спойлер
Вопрос: Не могу поймать вирус Ответ: Загрузитесь с Alkid SE и проверьте систему, скачав свежие базы. Или зайдите на специализированные форумы в разделы Помогите и Помощь по лечению, например: Скрытый текст или Скрытый текст
Вопрос: С liveCD работать возможности нет, cd-rom накрылся. Web находит зараженный файл, при удалении этого файла автоматически создается новый, так до бесконечности. Что можете посоветовать? Ответ: Скрытый текст на флэшку и в Безопасный режим - проверяться.
Вопрос: Система выдала следующее: Диспетчер задач отключен администратором Ответ: Это происки вирусов, попробуйте редактор реестра открыть, скорей всего тоже не получится.
Поищите в яндексе по фразе, выданной компьютером и вам выдастся гора информации по этому вопросу.
Вопрос: Стоит НОД, но как здравомыслящий человек проверяю раз в неделю свежей утилитой вэба. И постоянно вэб находит файл stub.exe в папке Local Settings\Temp. Ответ: Папки Temp желательно ручками регулярно подчищать, из этих папок ничего не должно автозапускаться. Так что если куреит сказал что троян, спокойно грохните этот файл с помощью того же куреита.
Вопрос: Как защищаться от вируса autorun? Ответ: При вставке флэшек лучше держать нажатой клавишу Shift - тогда autorun не сработает и вирус вас не заразит.
Так же, в качестве презерватива могу предложить рег файл для запрета любого автозапуска устройств (комплексный) Скрытый текст В комплексе с USBguard все прекрасно предохраняет.
Вопрос: Перестали открыватся сайты антивирусов Ответ: Была использована версия AVZ 4.32 Файл-Восстановление системы-20. Настройки TCP/IP:Удалить статистические маршруты. Перезагрузка и все прекрасно работает.
Вопрос: вылазиет сообщение: "Ошибка связи со службой ядра ESET NOD32" Ответ: ЭТо однозначно реакция на вирусню, грузился с LiveCD, убивал всю живность, чистил реестр, после этого все начинало работать нормально..
Вопрос: Как защитить флешку от вирусов?
Ответ:Скрытый текст
Наиболее характерные и частые вопросы, связанные с необычным открытием дисков из Мой компьютер, видимостью скрытых и системных файлов, а также пропаданием Диспетчера задач и строки меню Свойства папки.
Спойлер
Цитата:
Вопрос 1. На моих локальных дисках в контекстном меню пункт автозапуск стоит первым, и выделен жирным, т.е. по умолчанию. При двойном клике на иконку диска вылетает нове окно проводника, а не открывается в этом же окне.
Цитата:
Вопрос 2. Почему локальный C, и D, стали открываться в новом окне и при этом требуют подкл-е к сети
Цитата:
Вопрос 3. Не могу настроить видимость скрытых файлов. Галку в свойствах ставлю, но эффекта нет. И после повторного просмотра свойств галка стоит на прежнем месте (не показывать скрытые). Как быть? И ещё момент: из Мой компьютер окно все равно открывается новое - далее в открытом. Как сделать чтобы все открывалось в одном? Галка стоит - Открывать в одном окне.
[quote]Ответ: Всё это проявления вирусной активности на вашем компьютере. У Вас в корне каждого диска(флешки, сотового телефона, дискеты) находится куча файлов с именем Autorun и не только. Часть из них антивирус классифицирует как заразу, часть оставляет. Точно такой же набор файлов при заражении находится в папке windows/system32. Этих файлов в системе вообще не должно быть.В корне диска С по умолчанию (если ничего туда не распаковывали) должны быть следующие файлы:
AUTOEXEC.BAT, boot.ini, Bootfont.bin, CONFIG.SYS, IO.SYS, MSDOS.SYS, NTDETECT.COM, ntldr, pagefile.sys, и может быть hiberfil.sys
Все остальные файлы не из системы и, если вы их туда не ложили, можете уверенно их классифицировать, как лишние.
Для лечения понадобятся программы Anti-Autorun 2.0 и Cureit от d-r Web.
Скачать первую можно здесь: Скрытый текст а вторую - здесь: Скрытый текст
Первую программу можете запустить сразу же после скачивания. Она проверит компьютер на наличие файлов autorun.* и при их обнаружении автоматически их удалит и восстановит некоторые ключи реестра, переписываемые этим вирусом. После очистки жестких дисков сразу же можно проверить все съемные носители и пролечить. По окончании проверки потребуется перезагрузка компьютера. Загрузитесь в безопасном режиме(по F8 в начале запуска системы)и запустите вторую утилиту. Она сначала просканирует оперативную память и наиболее уязвимые папки. После окончания экстренной проверки лучше всего запустить тотальную проверку всего компьютера. По окончании проверок и удалении всех обнаруженных вирусов можно перезагружаться в обычный режим.
Вирусы, чтобы их как можно дольше не могли обнаружить и вычистить производят изменения в реестре, которые:
1. Скрывают строку Свойства папки в меню Сервис;
2. Запрещают запуск Диспетчера задач;
3. Не разрешают показ скрытых и системных файлов.
Для возвращения строки Свойства папки в меню Сервис нужно внести в реестр windows следующую корректировку:
Чтобы вновь сделать возможным запуск Диспетчера задач нажмите Пуск –> Выполнить… –> в поле Открыть: введите gpedit.msc –> OK –> откроется диалоговое окно Групповая политика –> Групповая политика –> Политика «Локальный компьютер» –> Конфигурация пользователя –> Административные шаблоны –> Система –> Возможности Ctrl+Alt+Del –> справа в окне Возможности Ctrl+Alt+Del двойным щелчком левой кнопки мыши по строке Удалить диспетчер задач (Состояние по умолчанию – Не задана) вызовите окно Свойства: Удалить Диспетчер задач –> установлен переключатель Включен –> поставьте Отключен (или Не задан) –> Применить –> OK.
Для восстановления отображения скрытых файлов в Проводнике нужно внести в реестр windows следующую корректировку:[code][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
Информация.
Два дня назад мне в руки попала флешка. На ней вирус скушал всю информацию.
НО, объем свободного пространства показывался как будто флешка заполнена и при сканировании антивирусом (DrWeb) в строке состояния показывалось наличие "отсутствующих" файлов.
Выяснять подробности было просто бессмысленно...
Решил просто восстановить инфу с флешки.
Сначала запустил EasyRecovery. Прога нашла все файлы и показала, что они были помещены в папку с названием .. (две точки). Восстанавливать файлы отказалась мотивируя это тем, что каталог для восстановления является исходным местом размещения файлов. Это было не зависимо от того, какое место для сохранения я выбирал.
Тогда запустил Recuva. Эта прога нашла и восстановила все файлы без проблем, только без сохранения структуры каталогов.
Отсюда вопрос: Может кто подскажет, что это такое и как с этим лучше бороться?... _________________ Заклинания и молитвы работают только у тех, кто живет лицензионную версию жизни.
Иногда пятая нога добавляет собаке скорости...
15-ти летний капитан - это вымысел, а 14-ти летний майор - это реальность.
mannaleks Скрытый текст, как создается на флешке каталог с "некорректным" именем, с которым средствами винды бороться невозможно. Теми же методами можно эти каталоги переименовывать в корректные и потом обрабатывать стандатрными средствами
Подцепил данный троян, в mozilla firefox всплывает окно следующего содержания:
В системе обнаружен вирус. Использование интернета нежелательно.
Браузер зафиксировал попытки внесения изменений в его работу.
Во избежание кражи конфиденциальной информации, паролей и финансов в электронных системах
рекомендуем немедленно установить последнее обновление безопасности браузера.
Trojan.Win32.Inject.aohy
– Предназначен для кражи паролей (в том числе ВКонтакте, Одноклассникиру) и загрузки на зараженный ПК новых вредоносных программ
Для безопасного продолжения работы необходимо обновить браузер
KB2735122 – Обновление безопасности (08.11.2010) (*Критическое обновление)
KB1971384 – Обновление баз фишинговых сайтов (12.11.2010)
Также страницы открываются в html кодах и отказываются работать другие браузеры.
Решение проблемы:
1. Необходимо скачать следующие антивирусные средства: AVZ и CuteIt
2. Обновить базы AVZ и CuteIt если обновляются )
3. Отключить интернет.
4. Сделать полную проверку CuteIt.
5. Далее необходимо загрузить операционную систему в безопасном режиме(при старте системы нажать 'F8') и выполнить в AVZ два скрипта.
Чтобы выполнить скрипт жмем "Файл -> выполнить скрипт" и копируем в окошко строки скрипта. После выполнения первого система автоматически перезагрузится, затем необходимо будет заново загрузится в безопасном режиме и выполнить второй скрипт (хотя второй можно пропустить).
Первый скрипт
Код:
begin
//Поиск руткитов
SearchRootkit(true, true);
//Управление AVZGuard
SetAVZGuardStatus(True);
//Добавление указанного файла в карантин
QuarantineFile('C:\WINDOWS\system32\bswngaa.dll','');
//Удаление файла. Если удаление не удается, то регистрация файла на отложенное удаление
DeleteFile('C:\WINDOWS\system32\bswngaa.dll');
QuarantineFile('c:\windows\kmservice.exe','');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows','AppInit_DLLs','');
BC_ImportAll;
//Эвристическая чистка системы
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
BC_Activate;
//Перезагрузка
RebootWindows(true);
end.
Второй скрипт
Код:
begin
// Создание архива с содержимым карантина за текущий день
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
После выполнения вышеописанных операций загружаем операционную систему в обычном режиме. Все должно работать.
И помните браузер не может обнаружить вирус и все обновления бесплатны. _________________ Решение на поверхности, надо только копнуть поглубже. Скрытый текст
Не запускается WPI,скачал сборку nnm-club,мд5 проверил совпадение,записал неро с проверкой после записи.Авторан запускается и все...
Причина переустановки вирус Win32:expiro-u .Систему почистил вебом.
Также не запускается установка windows
Причина переустановки вирус Win32:expiro-u .Систему почистил вебом.
После него ничего не запустится. В вашем случае только сохранять нужную информацию, лечить от вируса все хранилища файлов, (причем загрузившись с компакт диска в Alkid SE), форматировать системный диск и устанавливать все с нуля.
Лечение из зараженной системы результата не даст, вирус поражает все исполняемые файлы, которые найдет, сразу на лету.
согласен понял уже что придется все с нуля
выставил в биосе первичным загрузка с сд и авторан запустился и все ни WPI ни установка windows - не запускаются.
vasil90 Не совсем понятно...
Вы пытаетесь запустится из под винды?
Диск должен запустится при включении или перезагрузке компа.
А там уж из меню выбираете что вам нужно _________________ В порочащих связях был незаменим... Скрытый текст
Zver раненый но пока инфо спасти можно, портаб софт нет, офис нет и много другого там ехе все вирусом поубивало временно переустановил десяток программ, просканировал нашлось еще очень много win 32 expero-u, win 32 VB- SLO и другие. Спасибо за быстрые ответы!
Приветствую!
Как то участвовал в дискуссии по поводу отключения в ХРюше функции авторана. Только что нарыл вот это:
По данным Microsoft, за последние 4 месяца количество заражений Windows Vista и XP autorun-зловредами уменьшилось на 1,3 миллиона.
Причина очевидна: в феврале компания отключила через Windows Updater дефолтную функцию автозапуска файлов со сменных носителей ― удобство, по достоинству оцененное вирусописателями.
Ссылка на источник:
Скрытый текст
Судя по показаниям MSRT (Malicious Software Removal Tool ― средство удаления вредоносных программ), долгожданный патч произвел ожидаемый эффект. К маю уровень инфицирования XP (число соответствующих заражений в пересчете на 1 ПК) снизился на 59%, Vista ― на 74%.
К удивлению исследователей, атаки с использованием Palevo, Kido, Magania и прочих autorun-зловредов тоже резко пошли на убыль. С января количество таких попыток, заблокированных средствами проактивной защиты, уменьшилось в 2-4 раза. К сожалению, закрытие специфической лазейки не сулит полного избавления от этой напасти: autorun-черви и троянцы, как правило, используют множественные способы проникновения в систему, в том числе файлообмен, перебор паролей, непропатченные уязвимости, ppi-сервис и социальный инжиниринг.
Опубликовано здесь, 17 июня 2011:
Скрытый текст
Вопрос, включали ли это обновление в свои сборки Zver и YikxX?
Описание отключения и включения функций автозапуска подробно описано в статье Скрытый текст
Проверка свежеустановленных систем X-Wind и Zver показала, что в обеих сборках присутствует обновление KB971029,
вроде бы тоже каким то боком касающееся данного вопроса. Но ни в одной из сборок функции автозапуска по умолчанию не отключены.
Скриншоты из X-Wind
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете голосовать в опросах Вы не можете вкладывать файлы Вы не можете скачивать файлы
Правила конференции
Темы 
FAQ 
Поиск
Группы
Регистрация
Профиль
Войти и проверить личные сообщения
Вход
![[ скрыт ]](templates/subSilver/images/lang_russian/icon_email.gif "[ скрыт ]"){kind=icon}
