Если ваш антивирус нашел что то подозрительное в сборке!!! Внимание всем! Если ваш антивирус нашел что то подозрительное в сборке, прежде чем сообщить об этом, поищите в этом форуме, может вы не первый и ситуация уже обсуждалась. За "кукарекание" об уже найденных и обсужденных "вирусах" будет следовать наказание.
Публикация ключей, номеров, лицензий, всякого рода взломщиков и кряков категорически запрещена.
Стаж: 16 лет 7 месяцев и 5 дней Сообщения: 631 Благодарности: 38912/321
19.05.2009 21:33 Вирусы в инете. Autorun и др. Проявление и лечение
В этой теме обсуждаем проблемы связанные с вирусами и прочей нежелательной живностью - получение, проявление, лечение и избавление.
Архив темы Скрытый текст Скрытый текст Скрытый текстСкрытый текст Скрытый текстСкрытый текст Скрытый текстСкрытый текст Скрытый текстСкрытый текст
Внимание всем пишущим!
Прежде чем задавать вопрос, внимательно изучите материалы данной темы, а так же прочитав Скрытый текст и раздел Скрытый текст.
Квинтэссенция темы
Спойлер
Прежде чем открыть подозрительное письмо, запустить подозрительный файл или зайти на подозрительный ресурс, подумай - а оно тебе надо? А если надо, то для локализации возможных неприятностей, принял ли ты все меры: от свежей головы на плечах до достаточного количества бумаги в туалете?
ЧАВО (FAQ) по материалам этой темы
Спойлер
Вопрос: Не могу поймать вирус Ответ: Загрузитесь с Alkid SE и проверьте систему, скачав свежие базы. Или зайдите на специализированные форумы в разделы Помогите и Помощь по лечению, например: Скрытый текст или Скрытый текст
Вопрос: С liveCD работать возможности нет, cd-rom накрылся. Web находит зараженный файл, при удалении этого файла автоматически создается новый, так до бесконечности. Что можете посоветовать? Ответ: Скрытый текст на флэшку и в Безопасный режим - проверяться.
Вопрос: Система выдала следующее: Диспетчер задач отключен администратором Ответ: Это происки вирусов, попробуйте редактор реестра открыть, скорей всего тоже не получится.
Поищите в яндексе по фразе, выданной компьютером и вам выдастся гора информации по этому вопросу.
Вопрос: Стоит НОД, но как здравомыслящий человек проверяю раз в неделю свежей утилитой вэба. И постоянно вэб находит файл stub.exe в папке Local Settings\Temp. Ответ: Папки Temp желательно ручками регулярно подчищать, из этих папок ничего не должно автозапускаться. Так что если куреит сказал что троян, спокойно грохните этот файл с помощью того же куреита.
Вопрос: Как защищаться от вируса autorun? Ответ: При вставке флэшек лучше держать нажатой клавишу Shift - тогда autorun не сработает и вирус вас не заразит.
Так же, в качестве презерватива могу предложить рег файл для запрета любого автозапуска устройств (комплексный) Скрытый текст В комплексе с USBguard все прекрасно предохраняет.
Вопрос: Перестали открыватся сайты антивирусов Ответ: Была использована версия AVZ 4.32 Файл-Восстановление системы-20. Настройки TCP/IP:Удалить статистические маршруты. Перезагрузка и все прекрасно работает.
Вопрос: вылазиет сообщение: "Ошибка связи со службой ядра ESET NOD32" Ответ: ЭТо однозначно реакция на вирусню, грузился с LiveCD, убивал всю живность, чистил реестр, после этого все начинало работать нормально..
Вопрос: Как защитить флешку от вирусов?
Ответ:Скрытый текст
Наиболее характерные и частые вопросы, связанные с необычным открытием дисков из Мой компьютер, видимостью скрытых и системных файлов, а также пропаданием Диспетчера задач и строки меню Свойства папки.
Спойлер
Цитата:
Вопрос 1. На моих локальных дисках в контекстном меню пункт автозапуск стоит первым, и выделен жирным, т.е. по умолчанию. При двойном клике на иконку диска вылетает нове окно проводника, а не открывается в этом же окне.
Цитата:
Вопрос 2. Почему локальный C, и D, стали открываться в новом окне и при этом требуют подкл-е к сети
Цитата:
Вопрос 3. Не могу настроить видимость скрытых файлов. Галку в свойствах ставлю, но эффекта нет. И после повторного просмотра свойств галка стоит на прежнем месте (не показывать скрытые). Как быть? И ещё момент: из Мой компьютер окно все равно открывается новое - далее в открытом. Как сделать чтобы все открывалось в одном? Галка стоит - Открывать в одном окне.
[quote]Ответ: Всё это проявления вирусной активности на вашем компьютере. У Вас в корне каждого диска(флешки, сотового телефона, дискеты) находится куча файлов с именем Autorun и не только. Часть из них антивирус классифицирует как заразу, часть оставляет. Точно такой же набор файлов при заражении находится в папке windows/system32. Этих файлов в системе вообще не должно быть.В корне диска С по умолчанию (если ничего туда не распаковывали) должны быть следующие файлы:
AUTOEXEC.BAT, boot.ini, Bootfont.bin, CONFIG.SYS, IO.SYS, MSDOS.SYS, NTDETECT.COM, ntldr, pagefile.sys, и может быть hiberfil.sys
Все остальные файлы не из системы и, если вы их туда не ложили, можете уверенно их классифицировать, как лишние.
Для лечения понадобятся программы Anti-Autorun 2.0 и Cureit от d-r Web.
Скачать первую можно здесь: Скрытый текст а вторую - здесь: Скрытый текст
Первую программу можете запустить сразу же после скачивания. Она проверит компьютер на наличие файлов autorun.* и при их обнаружении автоматически их удалит и восстановит некоторые ключи реестра, переписываемые этим вирусом. После очистки жестких дисков сразу же можно проверить все съемные носители и пролечить. По окончании проверки потребуется перезагрузка компьютера. Загрузитесь в безопасном режиме(по F8 в начале запуска системы)и запустите вторую утилиту. Она сначала просканирует оперативную память и наиболее уязвимые папки. После окончания экстренной проверки лучше всего запустить тотальную проверку всего компьютера. По окончании проверок и удалении всех обнаруженных вирусов можно перезагружаться в обычный режим.
Вирусы, чтобы их как можно дольше не могли обнаружить и вычистить производят изменения в реестре, которые:
1. Скрывают строку Свойства папки в меню Сервис;
2. Запрещают запуск Диспетчера задач;
3. Не разрешают показ скрытых и системных файлов.
Для возвращения строки Свойства папки в меню Сервис нужно внести в реестр windows следующую корректировку:
Чтобы вновь сделать возможным запуск Диспетчера задач нажмите Пуск –> Выполнить… –> в поле Открыть: введите gpedit.msc –> OK –> откроется диалоговое окно Групповая политика –> Групповая политика –> Политика «Локальный компьютер» –> Конфигурация пользователя –> Административные шаблоны –> Система –> Возможности Ctrl+Alt+Del –> справа в окне Возможности Ctrl+Alt+Del двойным щелчком левой кнопки мыши по строке Удалить диспетчер задач (Состояние по умолчанию – Не задана) вызовите окно Свойства: Удалить Диспетчер задач –> установлен переключатель Включен –> поставьте Отключен (или Не задан) –> Применить –> OK.
Для восстановления отображения скрытых файлов в Проводнике нужно внести в реестр windows следующую корректировку:[code][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
Запятая должна быть, по крайней мере на чистой винде она присутствует. Но ее отсутствие не рушит систему.
l0o писал(а):
что-то туда постоянно прописывает ненужные записи.
Как раз вирус и прописывается именно туда, чтобы загружаться еще до запуска антивирусов. Если после лечения запись опять появилась, значит лечение не дало результатов. Процесс сидит в памяти и восстанавливает все, что было уничтожено антивирусом. Вот именно для таких случаев и служит загрузка с Alkid SE. И лечение сначала файловой системы, потом исправление секций автозапуска вирусов.
Но, судя по тому, что вышло сообщение об отсутствии прописанного файла, ключ больше изменяться не будет, по крайней мере до следующего заражения компьютера.
Перечень мест, откуда может происходить автозапуск вируса.
1. Все программы --> Автозагрузка;
2. Секция HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
3. Секция HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
4. Секция HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Ключ Userinit = по умолчанию C:\WINDOWS\system32\userinit.exe,
Ключ Shell = по умолчанию Explorer.exe
Ключ UIHost = по умолчанию logonui.exe
5. Секция HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
Ключ AppInit_DLLs = по умолчанию пустой
6. Секция HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Ключ Shell = по умолчанию ключ отсутствует.
Этот список неполный, это только те места, которые я вспомнил навскидку.
Eastoop
Я посмотрел в тех разделах о которых вы упомянули-там чисто. Единственное что вызвало некое недоумение это
в секции HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, запись в данном ключе dumprep 0 -k, тут все ладно?
Причем из след. скрина видно что я уже отключал в автозагрузке данный процесс ранее.
l0o
С неделю или 2 назад удалил данный процесс с одного компа. До сих пор работает и никаких проблем...
Карамболь
Запятая разделяет параметры между собой...
Просто следующий параметр принимается пустым...
Прочитайте квоту еще раз... Вдумчиво...
Добавлено спустя 33 минуты 7 секунд:
Сейчас проверил...
Если после Explorer.exe поставить запятую - второй параметр не работает, а если точку или ничего не ставить - тогда работает... _________________ Заклинания и молитвы работают только у тех, кто живет лицензионную версию жизни.
Иногда пятая нога добавляет собаке скорости...
15-ти летний капитан - это вымысел, а 14-ти летний майор - это реальность.
Тоже эксперемнтировал на виртуалке. Прописал в Shell = Explorer.exe IEXPLORE, после ребута запустился браузер IE, разорвал запись запятой сделав Shell = Explorer.exe, IEXPLORE браузер после ребута не запустился. Следовательно команда не прошла. Хм. Интересно. Век живи, век учись.
Стоит zver 2010, буквально полторы недели стояло все отлично, теперь при загрузке ос, выдает ошибку про то что
C:/WINDOWS/runlib32.exe - не может быть найдет, прорвете путь ну и т.д.
Что это за файл и из-за чего эта ошибка?
Просьба помочь, т.к. при загрузке ос, тормозит загрузку..
Просьба помочь, т.к. при загрузке ос, тормозит загрузку.
Скорей всего вирус вылечен а запись в реестре с указанием на директорию его запуска осталась, идём в Пуск-выполнить-regedit-ок. В редакторе реестра Правка-найти(или клавишы(Ctrl+F)-в окошко введите точное название файла и нажмите найти далее(или F3)
Спойлер
после того как найдётся параметр реестра с названием этого файла удалите то название из него которое вставлялм в поиск.
Внимание Если у вас в найденом параметре будет ещё какая нибудь запись, например в значении Shell = Explorer.exe runlib32.exe то удалять из него надо только runlib32.exe остальное не удалять ни в коем случае. Кликаете по значению мышкой, в открывшемся окне выделяете и удаляете ненужную запись, всё, после загрузки это окно Вас больше беспокоить не будет. Для проверки в реестре другой записи с указанием на этот файл после удаления найденой записи жмём клавишу F3 поиск продолжится, если найдётся ещё такая запись с именем этого файла, тогда удаляем её тоже и так делаем до тех пор, пока не выскочит окно с надписью "Поиск в реестре завершён" _________________ В гостях хорошо, а дома интернет.
Здравствуйте! Требуется помощь тех кто хорошо разбирается в компьютерах.
Мой антивирус Kaspersky Internet Security 2010 9.0.0.736ru нашел: "легальную прогамму которая может быть использована злоумышленником..." Обнаружено: HiddenObject.Multi.Generic Объект - C:\WINDOWS:AstInfo. Для того чтоб его удалить просит перезагрузить компьютер и после перезагрузки файл якобы будет удален. Но после перезагрузки снова просит перезагрузить и тд. А файл не удаляется, антивирус находит его снова и снова и все просит перезагрузить ПК. Пыталась сама вручную найти этот файл на диске С, но не нашла. Включила скрытые файлы, искала с помощью поиска. Ничего.
Что это? Где искать этот файл и как его удалить? _________________ ССН
Света
AstInfo является NTFS потоком папки WINDOWS, возможно Каспер поток удаляет, но кто-то его добавляет туда при каждой загрузке.
Попробуйте Скрытый текст, если не поможет, то рекомендую обратиться на портал помощи в лечении инфицированных систем Скрытый текст. _________________ Если с проблемой не переспать, то решение не родится.
______________________________________________
Продам личное время, дорого!
ВОТ ЭТО ТОЧНО!!!!! СТРАШНЫЙ ЧЕРВЯЧИЩЕ!!!!ВОТ ЕГО ИМЯ-RECYCLER S-1-5-21-329068152-1972579041-1801674531-500.
СМЕРТЬ ПРОКЛЯТАЯ!!!!ДО СИХ ПОР С НЕЙ МУЧАЮСЬ!!!! ЕДИНСТВЕННАЯ НАДЕЖДА НА КИТАЙСКИЙ САЙТ,НО С ПЕРЕВОДА НИЧЕГО НЕ ПОНЯТНО. 17 РАЗ ПЕРЕУСТАНАВЛИВАЛ!!! ОН ЕЩЕ И КОРЗИНУ ЗАХВАТИЛ-СВОЛОЧЬ!!! БУДЬТЕ ОСТОРОЖНЕЕ-ВРОДЕ ЭТОТ(ИМЕННО МОЙ)ВИРУС -НОВЫЙ!КТО СМОЖЕТ ПОМОЧЬ-Я КРУГЛОСУТОЧНО НА СВЯЗИ!
НЕ БОЙТЕСЬ-Я НА ДРУГОМ КОМПЕ СИЖУ.
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете голосовать в опросах Вы не можете вкладывать файлы Вы не можете скачивать файлы
Правила конференции
Темы 
FAQ 
Поиск
Группы
Регистрация
Профиль
Войти и проверить личные сообщения
Вход
![[ скрыт ]](templates/subSilver/images/lang_russian/icon_email.gif "[ скрыт ]"){kind=icon}
в секции HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, запись в данном ключе dumprep 0 -k, тут все ладно? 
