Сообщений в теме: 1563

[XaHyMaH]

[mod]
Описания вирусов, методов защиты и борьбы с ними. Отдельные темы по вирусам просьба не создавать.
[/mod]

Смежные темы на форуме

• Выбор и тестирование антивирусов

Полезные ссылки

• Вирусная энциклопедия, описание вирусов
• Virustotal - сервис, анализирующий подозрительные файлы на вирусы, с применением нескольких антивирусных систем
• Бесплатная антивирусная утилита AVZ
• Бесплатная "лечилка" от DrWeb'а
• Утилита FlashGuard для блокирования файлов autorun на флешках и других носителях. Позволяет блокировать автозапуск вирусов с флешек. Ссылка для скачивания
• Книга Николая Головко "Безопасный Интернет. Универсальная защита для Windows ME – Vista"

FAQ по удалению вирусов

• Решение проблемы, связанной с появлением сообщения об ошибке системного приложения svchost.exe (Generic Host Process for Win32 Services)
• Если у вас выскакивают порно-баннеры.
• Универсальный совет по лечению вирусного заражения и ещё один совет.
• Борьба с эпидемией червей своими руками - описание видов и механизмов распространения компьютерных червей, и способов предотвратить заражение.
• Классические рекомендации по борьбе с нашествием вирусов
• Удаление Mirar Toolbar
• WinLock. Компьютер заблокирован и для разблокировки требуют отправить SMS]

FAQ по удалению последствий вирусной деятельности (прежде чем бороться с последствиями удалите сам вирус)

• Windows 2000/XP/2003 не грузится в безопасном режиме
• Не запускаются исполняемые файлы (последствия soundmix)
• Не отображаются скрытые файлы
• Не отображаются скрытые файлы_2. Смена атрибутов файлов и папок.
• При двойном щелчке на диске выходит окно с выбором программы (отключение autorun/автозапуск)
• Не запускается редактор реестра
• Не запускается диспетчер задач
• Нет свойств у папок
• Файл conime.exe не найден
• Ошибка Generic Host Process for Win32 Services

Если вы нашли в этой теме, сообщение, которое, по вашему мнению, должно быть занесено в FAQ - отправьте, пожалуйста, с помощью ЛС ссылку на него модераторам раздела "Софт"

Сообщение отредактировал borec_za_istinu: 14.05.2012, 10:53:57

[egoist]

Вирусная энциклопедия (описание вирусов)

Смежные темы на форуме: Выбор антивируса

Сообщение отредактировал egoist: 03.08.2008, 20:23:53

[Maykl]

У меня есть проблема другого плана. Сейчас обнаружил, что не могу отобразить скрытые файлы и папки. В сервис>свойства папки>вид> выбираю "показывать скрытые файлы и папки" и убираю галочку с "скрывать защищеные системные файлы" щелкаю "ок" - в результате скрытые объекты не отображаються и при заходе и при заходе по тому же пути видно, что результаты не сохранились. Как решить эту проблему?!

[Zholerlan]

Уже было пользуйся поиском по форуму....

[borec_za_istinu]

2 Maykl Сначала проверь систему антивирусом и подчисти следы, потом запусти AVZ и выстави разрешение - честно говоря, не помню в каком пункте, но где-то там есть , пошукай ...

[login]

восстановить значения проводника, что ли называется. или хотя можно же все пункты отметить, и все.
кстати, кто знает, что значит последний пункт - "Полное пересоздание настроек SPI (опасно)"?

[Zholerlan]

Не открывается диспетчер задач, говорит отключен администратором.
Cпособ 1.
Нажмите Пуск – Выполнить… – в поле Открыть: введите gpedit.msc – OK – откроется диалоговое окно Групповая политика – Групповая политика – Политика «Локальный компьютер» – Конфигурация пользователя – Административные шаблоны – Система – Возможности Ctrl+Alt+Del – справа в окне Возможности Ctrl+Alt+Del двойным щелчком левой кнопки мыши по строке Удалить диспетчер задач (Состояние по умолчанию – Не задана) вызовите окно Свойства: Удалить Диспетчер задач – установлен переключатель Включен – поставьте Отключен (или Не задан) – Применить – OK.

Cпособ 2
Если запуск Редактора реестра не заблокирован, для включения Диспетчера задач можно отредактировать Реестр: нажмите Пуск – Выполнить… – в поле Открыть: введите regedit – OK. Откроется Редактор реестра. В разделе
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
нужно найти параметр REG_DWORD DisableTaskMgr и установить его значение 0 (или совсем удалить этот параметр).

Способ 3. Скачать AVZ . Открыть Файл->Восстановление системы->11 пункт. Перезагрузиться.

Сообщение отредактировал egoist: 21.08.2008, 13:44:46

[gnom-ne-gnom]

У меня есть проблема другого плана. Сейчас обнаружил, что не могу отобразить скрытые файлы и папки. В сервис>свойства папки>вид> выбираю "показывать скрытые файлы и папки" и убираю галочку с "скрывать защищеные системные файлы" щелкаю "ок" - в результате скрытые объекты не отображаються и при заходе и при заходе по тому же пути видно, что результаты не сохранились. Как решить эту проблему?!

А может, Вы просто из-под гостевой записи заходите? Под Администратором такого возникать не должно. Если только не зараза...

[Zholerlan]

при двойном щелчке на локальном диске выходит окно с выбором программы

1-способ.
Надо удалить Autorun.inf со всех жестких дисков и флешек... ДЛя того чтобы удалить можно набрать Пуск-> Выполнить или (WinKey+R)
там набираете

del c:\autorun.inf

потом

del d:\autorun.inf

и далее для каждого еще имеющего локального диска заменяешь букву в строчке и проделываешь такую же команду. Потом перезагружаешься. И все!

2-способ.
Скачать и открыть программу anti autorun.


Затем рекомендуется отключить автоматический запуск программ: на английском, на русском.

Сообщение отредактировал egoist: 05.08.2010, 09:49:10

[Zholerlan]

При попытке запустить Редактор реестра (любым способом: Пуск –> Выполнить… –> regedit –> OK, или C:\WINDOWS\regedit.exe, или путем запуска reg-файлов) появляется окно "Редактор реестра" с сообщением "Редактирование реестра запрещено администратором системы"

Cпособ 1.
Воспользуйтесь сторонними программами для редактирования реестра. Например, Regworks. С их помощьюв реестре в ветке [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] удалите параметр DisableRegistryTools

Примечание:
Чтобы утилита Редактор реестра могла запускаться, в Реестре в разделе [HKEY_CLASSES_ROOT\regedit\shell\open\command] значение строкового параметра по умолчанию должно быть – regedit.exe "%1"
Чтобы информацию из reg-файлов можно было добавлять в Реестр, в разделе [HKEY_CLASSES_ROOT\regfile\shell\open\command] значение строкового параметра по умолчанию должно быть – regedit.exe "%1"

Проверьте эти значения. Вирусы иногда искажают эти параметры.


Способ 2.
Нажмите Пуск –> Выполнить… –> в поле Открыть: введите gpedit.msc –> OK –> Групповая политика –> Политика «Локальный компьютер» –> Конфигурация пользователя –> Административные шаблоны –> Система –> справа в окне Система двойным щелчком левой кнопки мыши по строке Сделать недоступными средства редактирования реестра (Состояние по умолчанию – Не задана) вызовите окно Свойства: Сделать недоступными средства редактирования реестра –> установлен переключатель Включен –> поставьте Отключен (или Не задан) –> Применить –>OK.

Закройте окно Групповая политика. Для вступления в силу изменений без перезагрузки ПК сверните все открытые окна (щелкнув кнопку Свернуть все окна на панели Быстрый запуск, или нажав сочетание клавиш – клавиши с логотипом Windows+D), нажмите клавишу F5 (или щелкните правой кнопкой мыши по свободной от значков поверхности Рабочего стола, в открывшемся контекстном меню щелкните Обновить).

Способ 3.
Загрузитесь с учетной записью имеющей привелегии администратора.
– нажмите Пуск –> Выполнить… –> Запуск программы –> cmd –> OK;
– после приглашения системы C:\Documents and Settings\Administrator>
введите

REG DELETE HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools

– нажмите <Enter>;
– на появившийся запрос системы Delete the registry value DisableRegistryTools (Y/N)? введите y (что означает yes), нажмите <Enter>;
– появится сообщение Операция успешно завершена;
– на приглашение системы C:\Documents and Settings\Administrator> введите exit <Enter> (или просто закройте окно интерпретатора команд).
– Перегрузитесь.



Cпособ 4.
Скачать AVZ . Открыть Файл->восстановление системы->17 пункт. Перезагрузится.

Сообщение отредактировал egoist: 22.08.2008, 11:08:02

[Zholerlan]

После удаление вируса, выходит сообщение типа "conime.exe не найден" или типа того.
1-способ. Импортировать со здоровой машины вес этот раздел HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer . Потом пуск-выполнить-набрать msconfig- нажать ок- потом автозагрузка-снять галочку с ненужного, например того же conime.exe, главное не переборщить... Перезагрузиться и после выхода таблички, поставить галочку не выводить это сообщение в дальнейщем, так по-моему.
2-способ. Скачать AVZ . открыть его-> Файл->восстановление системы->8, 9 и 16 пункт. выполнить. Потом в том же avz-сервис-менеджер автозапуска, снять галочку с ненужного, например того же conime.exe, главное не переборщить...

[vikarius]

Спасибо большое gnom-ne-gnom, Zholerlan, login, Denst, egoist за помощь в решения проблемы! Помог способ, который предложил login,-качнул прогу anti autorun, запустил, он подчистил и перегрузил комп, в итоге проблема исчезла.

Вирус совсем удалил, или в карантин? Можно попробовать восстановить файл autorun из карантина. Но аккуратно. Предлагаю потому, что у меня однажды возникла проблема с удаленным файлом, который антивирус посчитал трояном. Но потом ситуация была исправлена. Да я, кажется, писал об этом. Но убейте - не помню, где именно.

to gnom-ne-gnom: карантин я удалил, попробывать не удалось

У тебя просто остался зараженный autorun.inf. Вирус, прописываясь на локальный диск, создает там файл автозапуска - autorun.inf в него прописывает себя, т.е. когда пользователь кликает в "моем компе" двойным кликом, срабатывает фишка, как при автозапуске компактов, только здесь с локального диска запускается вирус. Удалив Autorun.ini легко избавишся от этой траблы... ДЛя того чтобы удалить можно набрать Пуск-> Выполнить или (WinKey+R)
там набираете
del c:\autorun.inf
потом
del d:\autorun.inf
и далее для каждого еще имеющего локального диска заменяешь букву в строчке и проделываешь такую же команду. Потом перезагружаешься.. И все!!

to Zholerlan: ваш способ почему-то не сработал

Возможно, ещё потребуется чистка реестра от записей, связанных с этим файлом.
А ещё можно скачать АВЗ и после запуска пойти в меню "файл", далее "восстановление системы" и выбрать пункт 1 - восстановление параметров запуска *.exe, *.com, *.pif файлов, да и восстановить систему с помощью АВЗ тоже желательно попробовать.
Вы бы сообщили название вируса, а то гадать много можно))

to Denst: программа anti autorun, которой я лечил, вроде что-то там востанавливала в реестре, а востановление с контрольной точки не получилось, т.к. я отключил эту ф-цию, чтобы место не занимало.

Вот. Еще раз большое спасибо!

24.05.2007 01:23 Ваш покорный слуга расположил в своем блоге http://mk.ru/blog/vikarius/245824/
подробное описание процесса лечения Авторана врукопашную, без всяких антивирусов.
Буду рад, если кому-нить поможет.

[Zholerlan]

Нету вообще свойства папки
1-способ
Открыть редактор реестра нажмите Пуск – Выполнить… – в поле Открыть: введите regedit – OK - наити этот раздел [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoFolderOptions" потом этот параметр поменять на 0

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions "NoBrowserOptions" параметр поменять на 0

2-способ.
Выполнить твик реестра

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoStartMenuMFUprogramsList"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Start_MinMFU"=dword:0000000a

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoStartMenuMFUprogramsList"=dword:00000000

Код копируете в блокнот, сохраняете с раширением *.reg, запускаете, на запрос отвечаете "да". Перезагружаетесь.

Сообщение отредактировал egoist: 21.08.2008, 14:28:42

[borec_za_istinu]

Неплохо бы исправить в блоге грамматику, больно уж много ошибок .

[Zholerlan]

По-моему лучше прафилактика чем исправление: удаляете в флешке autorun.ini(если есть), создаете папку с именем Autorun.ini, делаете его скрытым и меняете права на запись в него что нить. Типа делаете его как system volume information и можете хоть на сотни компов поставить Autorun.ini не будет перезаписан из-за вируса. И все.. Правда после этого не советую нажимать на всякие там svcchhost.exe, и сразу удалять такие. И заражения ехе файлов в флешке еще никто не отменял но все таки.... Заражаться от флешки будешь реже. А если брать у кого нить флешку советую нажимать нескоkько секунд shift, будет отключен автозапуск. Насчет того блоггера там все правильно но все таки слишком много суеты. Лучше поставить антивирус, сделать полную проверку, и сделать это

- Если интересно - загляните в ключи реестра [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
и проверьте, что параметр "Userinit"="userinit.exe," и в нем нет autorun.bat
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
и проверьте параметр "ShowSuperHidden"=dword:00000001

Все.

[Zholerlan]

восстановить значения проводника, что ли называется. или хотя можно же все пункты отметить, и все.
кстати, кто знает, что значит последний пункт - "Полное пересоздание настроек SPI (опасно)"?

пересоздание настроек SPI/LSP. Помогает, если зловред повредил системные ключи или подменил своими. Данная функция делает бекап текущих наcтроек и пересоздает их по эталону.

Кстати faq был дополнен.

[borec_za_istinu]

Насчет того блоггера там все правильно но все таки слишком много суеты.

Отнюдь. Правильнописание ещё никто не отменял, а я указал на ошибки именно в нём. Если у вас напряг с грамматикой - подключите проверку грамматики в ворде .

[decss]

Попался один злобный вирус который прописывал себя в autorun на диске с И переустановка винды не помогала-как только диск с открывался шло заражение автораном

Сообщение отредактировал decss: 21.08.2008, 17:09:18

[Zholerlan]

Насчет того блоггера там все правильно но все таки слишком много суеты.

Отнюдь. Правильнописание ещё никто не отменял, а я указал на ошибки именно в нём. Если у вас напряг с грамматикой - подключите проверку грамматики в ворде .

Я мне вообще по*%г, граматтика эта . Я говорил про все эти работы с вирусами. Гораздо проще удалить антивирем чем руками искать десятки вирусов в систем32, удалять их , и еще не знать точно ты все удалил или нет. Лучше бы написал скрипт для AVZ, проблем было бы меньще.

[5'nizza]

Люди, помогите пожалуйста...
Поймал вирус (антивирус, как всегда закон подлости, не стоял), который включает сайты какие-то китайские (видимо китайский вирус ) и постоянно просит установить китайскую рассладку клавиатуры.
Так вот я теперь никак не могу удалить. Переустановил винду - бестолку.
Антивирус не установить. Пробовал прогу AVZ, но то ли у меня руки кривые, то ли еще что-то, она при ее запуске зависает.
В безопасный режим тоже не заходит. Не смог я восстановить его, прочитав в этой теме (да, да.... может я тупой )
Помогите, пожалуйста...

[Money Mike]

Частенько - просто запретил использование файлов lsp в автокаде (не помню уже где, но где-то в настройках ), а сами файлеги у меня антивир шлёпает при чтении

а что за антивирус?

[Money Mike]

Люди, помогите пожалуйста...
Поймал вирус (антивирус, как всегда закон подлости, не стоял), который включает сайты какие-то китайские (видимо китайский вирус ) и постоянно просит установить китайскую рассладку клавиатуры.
Так вот я теперь никак не могу удалить. Переустановил винду - бестолку.
Антивирус не установить. Пробовал прогу AVZ, но то ли у меня руки кривые, то ли еще что-то, она при ее запуске зависает.
В безопасный режим тоже не заходит. Не смог я восстановить его, прочитав в этой теме (да, да.... может я тупой )
Помогите, пожалуйста...

попробуй скачать DR.Web curreit этот сканер должен помочь, ищи через гугл