Сообщений в теме: 1563

[XaHyMaH]

[mod]
Описания вирусов, методов защиты и борьбы с ними. Отдельные темы по вирусам просьба не создавать.
[/mod]

Смежные темы на форуме

• Выбор и тестирование антивирусов

Полезные ссылки

• Вирусная энциклопедия, описание вирусов
• Virustotal - сервис, анализирующий подозрительные файлы на вирусы, с применением нескольких антивирусных систем
• Бесплатная антивирусная утилита AVZ
• Бесплатная "лечилка" от DrWeb'а
• Утилита FlashGuard для блокирования файлов autorun на флешках и других носителях. Позволяет блокировать автозапуск вирусов с флешек. Ссылка для скачивания
• Книга Николая Головко "Безопасный Интернет. Универсальная защита для Windows ME – Vista"

FAQ по удалению вирусов

• Решение проблемы, связанной с появлением сообщения об ошибке системного приложения svchost.exe (Generic Host Process for Win32 Services)
• Если у вас выскакивают порно-баннеры.
• Универсальный совет по лечению вирусного заражения и ещё один совет.
• Борьба с эпидемией червей своими руками - описание видов и механизмов распространения компьютерных червей, и способов предотвратить заражение.
• Классические рекомендации по борьбе с нашествием вирусов
• Удаление Mirar Toolbar
• WinLock. Компьютер заблокирован и для разблокировки требуют отправить SMS]

FAQ по удалению последствий вирусной деятельности (прежде чем бороться с последствиями удалите сам вирус)

• Windows 2000/XP/2003 не грузится в безопасном режиме
• Не запускаются исполняемые файлы (последствия soundmix)
• Не отображаются скрытые файлы
• Не отображаются скрытые файлы_2. Смена атрибутов файлов и папок.
• При двойном щелчке на диске выходит окно с выбором программы (отключение autorun/автозапуск)
• Не запускается редактор реестра
• Не запускается диспетчер задач
• Нет свойств у папок
• Файл conime.exe не найден
• Ошибка Generic Host Process for Win32 Services

Если вы нашли в этой теме, сообщение, которое, по вашему мнению, должно быть занесено в FAQ - отправьте, пожалуйста, с помощью ЛС ссылку на него модераторам раздела "Софт"

Сообщение отредактировал borec_za_istinu: 14.05.2012, 10:53:57

[egoist]

Вирусная энциклопедия (описание вирусов)

Смежные темы на форуме: Выбор антивируса

Сообщение отредактировал egoist: 03.08.2008, 20:23:53

[ccm]

не верь касперу, переходи на symantec

Да каспер как-то попроше в использовании, Кстати он даже нашёл какой-то вирус, я значит включаю комп, а у меня маилагент откуда невозьмись появился ну я Касперу сразу "искать" нашёл что-то и удалил.

Сообщение отредактировал ccm: 16.08.2007, 23:04:25

[Tcitron]

Всем привет! Не возвращаются скрытые папки. Кто знает, в чем дело?

MODERATORIAL [egoist]

Сходные темы объединены

Сообщение отредактировал egoist: 21.08.2007, 10:06:36

[Br@iN]

ЭТо последствие вируса. Какого именно не помню. Проблема решается путем переустановки винды, или манипуляциями в реестре (надо в яндексе искать). И вообще поставил бы себе касперского, такого не было бы

[Win32.Ronin.A]

Всем привет! Не возвращаются скрытые папки. Кто знает, в чем дело?

в смысле не возвращаются?

[Krossovka]

Апосля того,как каспер нашел трояна..и заключил его в свои объятия...у человека перестал работать интернет...когда вводешь урл в адресную строку пишет:"невозможно завершить поиск"...что за х...?!

Сообщение отредактировал Krossovka: 23.08.2007, 15:30:46

[Krossovka]

я его победила при содействии Win32.Ronin.A...
во всём виноват файлег t0.dll

ифа тут http://forum.ixbt.co...cgi?id=22:68473

[XaHyMaH]

Решил написать подробно - что и где я исправил.
Для будущих поколений так-скать.

Найти и удалить следующие параметры реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoFolderOptions"="1"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"="1"
"DisableCMD"="0"

[iceman]

Попробуй этот код,
сохрани код в текстовый файл,
присвой ему расширение *.reg, запусти и согласись с внесением изменений в реестр.
Предварительно обязательно сделайте резервную копию реестра!

Код:

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\Drive]
@="Устройство"
"EditFlags"=hex:d2,01,00,00

[HKEY_CLASSES_ROOT\Drive\DefaultIcon]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,68,00,65,00,6c,00,6c,00,33,00,32,00,2e,00,64,00,6c,00 ,6c,00,2c,00,38,00,00,00,00,00

[HKEY_CLASSES_ROOT\Drive\shell]
@="none"

[HKEY_CLASSES_ROOT\Drive\shell\find]
"SuppressionPolicy"=dword:00000080

[HKEY_CLASSES_ROOT\Drive\shell\find\command]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,00,5c,00,45,00,78,00,70,00,6c,00,6f,00,72,00,65,00,72,00,2e,00,65,00,78,00,65,00,00,00,00,00

[HKEY_CLASSES_ROOT\Drive\shell\find\ddeexec]
@="[FindFolder(\"%l\", %I)]"
"NoActivateHandler"=""

[HKEY_CLASSES_ROOT\Drive\shell\find\ddeexec\application]
@="Folders"

[HKEY_CLASSES_ROOT\Drive\shell\find\ddeexec\topic]
@="AppProperties"

[HKEY_CLASSES_ROOT\Drive\shellex]

[HKEY_CLASSES_ROOT\Drive\shellex\ContextMenuHandlers]

[HKEY_CLASSES_ROOT\Drive\shellex\ContextMenuHandlers\Kaspersky Anti-Virus]
@="{dd230880-495a-11d1-b064-008048ec2fc5}"

[HKEY_CLASSES_ROOT\Drive\shellex\ContextMenuHandlers\Offline Files]
@="{750fdf0e-2a26-11d1-a3ea-080036587f03}"

[HKEY_CLASSES_ROOT\Drive\shellex\ContextMenuHandlers\Sharing]
@="{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}"

[HKEY_CLASSES_ROOT\Drive\shellex\ContextMenuHandlers\{D6791A63-E7E2-4fee-BF52-5DED8E86E9B8}]
@="Portable Devices Menu"

[HKEY_CLASSES_ROOT\Drive\shellex\DragDropHandlers]

[HKEY_CLASSES_ROOT\Drive\shellex\DragDropHandlers\WinRAR]
@="{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

[HKEY_CLASSES_ROOT\Drive\shellex\FolderExtensions]

[HKEY_CLASSES_ROOT\Drive\shellex\FolderExtensions\{fbeb8a05-beee-4442-804e-409d6c4515e9}]
@=""
"DriveMask"=dword:00000020

[HKEY_CLASSES_ROOT\Drive\shellex\PropertySheetHandlers]

[HKEY_CLASSES_ROOT\Drive\shellex\PropertySheetHandlers\Sharing]
@="{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}"

[HKEY_CLASSES_ROOT\Drive\shellex\PropertySheetHandlers\{1F2E5C40-9550-11CE-99D2-00AA006E086C}]

[HKEY_CLASSES_ROOT\Drive\shellex\PropertySheetHandlers\{596AB062-B4D2-4215-9F74-E9109B0A8153}]
@=""

[HKEY_CLASSES_ROOT\Drive\shellex\PropertySheetHandlers\{7988B573-EC89-11cf-9C00-00AA00A14F56}]
@=""

[HKEY_CLASSES_ROOT\Drive\shellex\PropertySheetHandlers\{ECCDF543-45CC-11CE-B9BF-0080C87CDBA6}]

[HKEY_CLASSES_ROOT\Drive\shellex\PropertySheetHandlers\{fbeb8a05-beee-4442-804e-409d6c4515e9}]
@=""

[ccm]

Народ прикинте поставил сегодня прогу которая нашла МаилАгент который я не устонавливал после переустановки Винды, ну вирь как не странно не поцепил выходя в инет.
Это про вирус который обсуждался на прошлой странице.

[ccm]

Сегодня каспер теперь нашел ещё один маилагент и ругается на него что это вирус а не удалил, а просто обнаружил показывать фаил не хочет. Я зашёл туда где он его нашёл а его там нет, а каспер всё находит что сделать чтоб его удалить?

Сообщение отредактировал ccm: 01.09.2007, 10:38:41

[Volkan]

Не знаю поможет ли нет, вчера принесли родственики ноут, не включался завел с горем по полам, ативирус Аваст запустил вирей море нашел в том числе и тот что не удаляется у вас "МаилАгент" удалил нет проблем.

[ccm]

Не знаю поможет ли нет, вчера принесли родственики ноут, не включался завел с горем по полам, ативирус Аваст запустил вирей море нашел в том числе и тот что не удаляется у вас "МаилАгент" удалил нет проблем.

Сейчас надо качнуть этот антивир. Спасибо!

[ccm]

Сделал проше в свойствах папки поставил показывать системные фаилыи и удалил мал агент программой Unlocker.

Сообщение отредактировал ccm: 01.09.2007, 14:59:55

[KorB]

Вот неедавно столкнулся с бронтоком (ну он реестр закрывает) и с вирусом, который не дает запустить exe-шники. Постоянно выдает окошко, где предлагает выбрать прогу, с помощью которой открыть этот экзешник. Все в принципе можно исправит переустановкой. Но есть способ и попроще. Если кому нужно, могу помочь...

Сообщение отредактировал KorB: 07.09.2007, 23:46:17

[nosiop]

Эта Тема уже обсуждалась, но к сожалению полного описания вредоносных действий я не нашел...
Точнее, есть проблема, после того как троян удаляется антивирусной программой запустить файлы с расширением *.exe проблематично, с этим разобрались.. Но, кроме этого, просмотреть Через "Сетевое окружение" компьютеры рабочей группы тоже не удается. Самое интересное, что обратившись по адресу ресурса ( к примеру \\localhost\shared) все работает, а через "сетевое окружение" Винды - нет. Еще пинг от другого хоста до машины, в которой побывал троян не проходит и наоборот от излеченной машины до хоста - все ок, пинг нормальный. Как можно решить эту проблему? Кто-нибудь знает что прописывает этот троян в реестр? Собственно, интересует вопрос как исправить последствия полностью

SOS!

[Win32.Ronin.A]

Приехали решение было опубликовано 5 страниц назад без сноса системы и переустановки винды юзаем поиск вирус вин32.троян.аец

[Krossovka]

сегодня у меня было вот это:

Troj/DropRk-A
Признаки
При старте копирует себя в %Temp%\startdrv.exe, а также создаёт файл %System%\drivers\runtime2.sys. Последний представляет собой драйвер-руткит Troj/Rootkit-BI.

Устанавливает runtime2.sys в качестве системного сервиса с автоматическим запуском при старте системы. Для этого добавляет в реестр следующие записи:


HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RUNTIME2\
HKLM\SYSTEM\CurrentControlSet\Services\runtime2



Записывает ссылку на %Temp%\startdrv.exe в раздел реестра, отвечающий за автозагрузку:


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\startdrv="%Temp%\startdrv.exe"

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Действие
Устанавливает руткит Troj/Rootkit-BI, открывает в системе "чёрный ход", загружает из интернета и выполняет другой вредоносный код.

ПОМОГЛО вот что:

Выполните скрипт в AVZ:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
BC_ImportQuarantineList;
BC_QrSvc('runtime');
BC_QrSvc('runtime2');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_Activate;
RebootWindows(true);
end.

После перезагрузки еще один:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ClearHostsFile;
RebootWindows(true);
end.

Сделайте новые логи.

Сообщение отредактировал Krossovka: 14.09.2007, 16:00:27

[Nelson Mandella]

У меня комп страшно заболел, только вот сносить винду и применять универсальную мега пилюлю формат Ц не хочу муторно это.

Какая-то бацила блокировала мне диспечер задач и меню реестра, пишет типа запрещено администратором, хотя я сам под администратором сижу. Перезагрузил в сейф режиме реестр открылся и там целая куча одной программы drwtsn.exe скопированная наверно раз 20-30.

В обычном режиме если в инет не лезть то комп просто тормозит, стоит подрубиться к нету, так все намертво виснет. У меня есть хороший антивирь панда, но его надо обновить а что бы обновить это надо в инете часик повисеть.
Может кто сталкивался с подобной заразой.

Как попала на комп не знаю, ничего не скачивал лазил по старым проверенным сайтам!

[Сапог]

У меня комп страшно заболел, только вот сносить винду и применять универсальную мега пилюлю формат Ц не хочу муторно это.

Какая-то бацила блокировала мне диспечер задач и меню реестра, пишет типа запрещено администратором, хотя я сам под администратором сижу. Перезагрузил в сейф режиме реестр открылся и там целая куча одной программы drwtsn.exe скопированная наверно раз 20-30.

В обычном режиме если в инет не лезть то комп просто тормозит, стоит подрубиться к нету, так все намертво виснет. У меня есть хороший антивирь панда, но его надо обновить а что бы обновить это надо в инете часик повисеть.
Может кто сталкивался с подобной заразой.

Как попала на комп не знаю, ничего не скачивал лазил по старым проверенным сайтам!

Скачай обновления на другом компе , принеси себе - первый вариант.
2 вариант - отцеси винт к другу и лечи.

[underground_resistance]

Лучше установить НОД 32, мне помог, поэтому и советую, каждый день лезит за обновлениями - пускаю, и не жалею.