Сообщений в теме: 1563

[XaHyMaH]

[mod]
Описания вирусов, методов защиты и борьбы с ними. Отдельные темы по вирусам просьба не создавать.
[/mod]

Смежные темы на форуме

• Выбор и тестирование антивирусов

Полезные ссылки

• Вирусная энциклопедия, описание вирусов
• Virustotal - сервис, анализирующий подозрительные файлы на вирусы, с применением нескольких антивирусных систем
• Бесплатная антивирусная утилита AVZ
• Бесплатная "лечилка" от DrWeb'а
• Утилита FlashGuard для блокирования файлов autorun на флешках и других носителях. Позволяет блокировать автозапуск вирусов с флешек. Ссылка для скачивания
• Книга Николая Головко "Безопасный Интернет. Универсальная защита для Windows ME – Vista"

FAQ по удалению вирусов

• Решение проблемы, связанной с появлением сообщения об ошибке системного приложения svchost.exe (Generic Host Process for Win32 Services)
• Если у вас выскакивают порно-баннеры.
• Универсальный совет по лечению вирусного заражения и ещё один совет.
• Борьба с эпидемией червей своими руками - описание видов и механизмов распространения компьютерных червей, и способов предотвратить заражение.
• Классические рекомендации по борьбе с нашествием вирусов
• Удаление Mirar Toolbar
• WinLock. Компьютер заблокирован и для разблокировки требуют отправить SMS]

FAQ по удалению последствий вирусной деятельности (прежде чем бороться с последствиями удалите сам вирус)

• Windows 2000/XP/2003 не грузится в безопасном режиме
• Не запускаются исполняемые файлы (последствия soundmix)
• Не отображаются скрытые файлы
• Не отображаются скрытые файлы_2. Смена атрибутов файлов и папок.
• При двойном щелчке на диске выходит окно с выбором программы (отключение autorun/автозапуск)
• Не запускается редактор реестра
• Не запускается диспетчер задач
• Нет свойств у папок
• Файл conime.exe не найден
• Ошибка Generic Host Process for Win32 Services

Если вы нашли в этой теме, сообщение, которое, по вашему мнению, должно быть занесено в FAQ - отправьте, пожалуйста, с помощью ЛС ссылку на него модераторам раздела "Софт"

Сообщение отредактировал borec_za_istinu: 14.05.2012, 10:53:57

[egoist]

Вирусная энциклопедия (описание вирусов)

Смежные темы на форуме: Выбор антивируса

Сообщение отредактировал egoist: 03.08.2008, 20:23:53

[олежка]

Не смейтесь, может у человека лицензионая 98-я

Лицензионная, да есчо почти б\п досталась!
Меня пока устраиват!
Стоит ИЕ 6.0 , Опера 9.25, Direx 9.0 , itd.
А РеГет нормально работает! Без глюков!

Сообщение отредактировал олежка: 20.01.2008, 02:04:43

[ЯiR]

Som, это хоть кому адресовано-то было?
да и вообще, народ, вы читайте, что писали ранее! то же лечения не запускаемых ехе-файлов описывали раза 4 уже.
вот столкнулся еще с одной проблемой. AVG постоянно ругается на
\system32\advpac.dll
Trojan horse Generic9.AJGR
причем удалить-излечить не помогает. как еще можно завалить эту заразу?
варианты типа поставить платный антивирусник, ил переустановить систему не принимаются

попробуй удалить значения из реестра. если поможет - перезагрузись и удали файл в ручную, если не помогло - возьми скрипт на удаление вредного файла, помести его на рабочем столе, загружайся во всех возможных режимах (безопасный, отладка и т.п.) и запускай скрипт. мне однажды помогло

[Krossovka]

товарищи насильно прописалсо редирект на цт...как его удалить...при загрузке цт сразу редиректит на http://sitereconstru...ochta.ru/...как убить эту фигню?

[CoToNa]

есть проблемка, стоит Nod- но какойто вирус он по мойму пропустил, в папке D:\System Volume Information\, сначало был на с:\... эту папку не в какую не хочет показывать,(totalom comanderem тоже ) скорее всего вирус с работы, он копирует все и пакетами отсылает кудато по инету, на работе такое было... так как его удалить, щя качаю новый антивирусь посмотрим что он сможет сделать...

А тут ничего удивительного нет NOD никогда ни чего не ловит.
Я бы долго трещал еслибы он поймал чтонить. Скорее чтонить поймает нодика ))

[ЯiR]

товарищи насильно прописалсо редирект на цт...как его удалить...при загрузке цт сразу редиректит на http://sitereconstru...ochta.ru/...как убить эту фигню?

в браузере что-ли прописалось? в каком?

[Krossovka]

товарищи насильно прописалсо редирект на цт...как его удалить...при загрузке цт сразу редиректит на http://sitereconstru...ochta.ru/...как убить эту фигню?

в браузере что-ли прописалось? в каком?

думаю не в браузере просто при попытке залезть на цт редиректит в ругое место на почту ру..думаю вирусня какая-то, прописалось где-то в реестре?

[skunk]

товарищи насильно прописалсо редирект на цт...как его удалить...при загрузке цт сразу редиректит на http://sitereconstru...ochta.ru/...как убить эту фигню?

в поиске ищи любой antiSpy ... чисть реестр

[GedeonSilfeus]

Som, это хоть кому адресовано-то было?
да и вообще, народ, вы читайте, что писали ранее! то же лечения не запускаемых ехе-файлов описывали раза 4 уже.
вот столкнулся еще с одной проблемой. AVG постоянно ругается на
\system32\advpac.dll
Trojan horse Generic9.AJGR
причем удалить-излечить не помогает. как еще можно завалить эту заразу?
варианты типа поставить платный антивирусник, ил переустановить систему не принимаются

Можно попробовать излечить, если не лечится, то удалить через опцию отложенного удаления с помощью бесплатной утилиты AVZ. Скачать можно здесь

Сообщение отредактировал GedeonSilfeus: 23.01.2008, 07:11:35

[Krossovka]

товарищи насильно прописалсо редирект на цт...как его удалить...при загрузке цт сразу редиректит на http://sitereconstru...ochta.ru/...как убить эту фигню?

в поиске ищи любой antiSpy ... чисть реестр

как грустно...как-то так

[Delphy]

коллега по работе принесла свой ноут, AVG нашел там кучу всякой заразы, все поудалял, и как правильный буржуйский бесплатный антивирус, разборки с пост-эффектами оставил мне.
ну то, что не запускаются ехе-файлы, это старо. заинтересовало другое: на многих папочках в закладке "безопастность" у пользователя "создатель-владелец" отсутствуют какие-либо права. главный глюк этой беды выразился в том, что regedit не смог изменить значения реестра - соответственно я не смог вручную вернуть к жизни запуск ехе-шников. ранее (одну или две страница назад) тут на форуме давали inf файл, который исправляет проблему ехе-шников... но проблема с доступом все равно осталась. что делать?

может стоит параметр Read-Only в каком то из файлов реестра?

[Cricket]

После перезагрузки системы, через час завожу и вижу что : Обнаружена попытка замены защищенного системного файла c:\windows\system32\help.exe
комп лезет устанавливать соединение с нетом
лезу в события и вижу попытку замещения системного файла и запуск двух новых служб "poikjnvb" и zxsderfbukj

В стандартном диспечере задач и службах их не наблюдаю
Стандартный поиск ничего не дает
Также вижу что система начинает тупо прятать скрытые системные фалы на диске
Попытка отобразить их стандартным образом не удается

Через PROWiSe (альтернативный менеждер задач) не вижу первую службу, но в драйверах в расширеном режиме вижу вторую с правами системной службы и в Boot состоиянии по умолчанию
Также вижу что напрямую обращаются (зависят от Rps)

Сходу лезу в автозагрузку (реестр заводится ) и удаляю два новых подозрительных параметра
В реестре ищу вторую службу и вижу несколько ехе-шников ею запускаемых (amvo.exe и avpo.exe и кажись еще что-то )
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ZXSDERFBUKJ]
"NextInstance"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ZXSDERFBUKJ\0000]
"Service"="zxsderfbukj"
"Legacy"=dword:00000001
"ConfigFlags"=dword:00000000
"Class"="LegacyDriver"
"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
"DeviceDesc"="zxsderfbukj"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ZXSDERFBUKJ\0000\Control]
"*NewlyCreated*"=dword:00000000
"ActiveService"="zxsderfbukj"
Запускаю расширенный поиск через тотал командер и вижу их в Sestem32 (прямой просмотр через проводник и расширенный поиск разумется не прокатывает)
Хотя дата создания висит 2007 неверю и через тоталовский листин вижу сегодняшнее число как создание файла
Размер екзешников прямо-таки класический для бакдорсов 103 Кb (трафик не хавается, разные глупости пока не происходят,- кулцхакеры видать пока отсыпаются и в почту еще не залазили к себе)

В корне диска опять же через тотал вижу помимо уже привычных файлов несколько неизвестных,
ntde1ect.com
qd.cmd
awda2.exe
autorun.inf
IO.SYS
(насчет последних двух сомневаюсь, коненкретно через тотал уж не помню когда в последний туда лазил но всеравно сильно напрягает, - особенно предпоследний c правами системы)
Запустил Spybot... ничего разумется (надеялся влехкую,- приятель лазил в нете подхватил адвар), дело плохо вижу, заодно опять флешку втыкал, лезу гуглить,- ну блин точно

Что думаю делать:

• 
  изменение реестра (детское желание увидить лицо врага)
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
  "ShowSuperHidden"=dword:00000001
  "SuperHidden"=dword:00000001
• 
  Добавление переменной и переводом состояние новых служб в состояние отключено с целью дальнейшиго удаления непрошенного зверья
  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment]
  "DEVMGR_SHOW_NONPRESENT_DEVICES"="1"
• 
  Отключение отключил автозагрузку через реестр
  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
  "DisableLocalMachineRun"=dword:00000001
  "DisableLocalMachineRunOnce"=dword:00000001
  "DisableCurrentUserRun"=dword:00000001
  "DisableCurrentUserRunOnce"=dword:00000001
• 
  Изменение отдельных ульев и параметров реестра на ReedOnly
• 
  Удаление зверья и следов их употребления вручную
  Отсоединение жесткого диска и прогон его через APV и прочее антивирусное барохло
• 
  Других действий пока не планирую (ОС временная), но буду признателен за хорошую наводку...

[Julliettasun]

Помогите удалить вирус. НОД ниче не находит, базы обновлены недавно. На рабочем столе появилась красная заставка с надписью "Your privacy is in danger! Download privacy protection software" Комп все время пытается установить какую-то прогу, в которой вирус (попробовала установить)...Постоянно открывается огромное количество каких-то окон, тока и успеваешь закрывать. Че делать?? Хелп!!

[ЯiR]

Помогите удалить вирус. НОД ниче не находит, базы обновлены недавно. На рабочем столе появилась красная заставка с надписью "Your privacy is in danger! Download privacy protection software" Комп все время пытается установить какую-то прогу, в которой вирус (попробовала установить)...Постоянно открывается огромное количество каких-то окон, тока и успеваешь закрывать. Че делать?? Хелп!!

нужно сначала автозагрузку проверить, может такая ерунда легко устраняется. посмотреть запущенные процессы, проверить другим антивирем

[KorB]

Помогите удалить вирус. НОД ниче не находит, базы обновлены недавно. На рабочем столе появилась красная заставка с надписью "Your privacy is in danger! Download privacy protection software" Комп все время пытается установить какую-то прогу, в которой вирус (попробовала установить)...Постоянно открывается огромное количество каких-то окон, тока и успеваешь закрывать. Че делать?? Хелп!!

Ну для начала ничего не надо качать. Чего бы он вам ни предлагал. А то еще проблемок скачаете себе)))
Если не знаете, что удалять в автозагрузке, то удалите все и добавляйте только то, что знаете)))
Кстати попасть в автозагрузку можно Пуск->Выполнить и набираете msconfig . Там на вкладку Автозагрузка.

[Julliettasun]

С Автозагрузкой не помогает. Какая-то прога выдает, что на компе вирус Worm.Win32.NetSky и предлагает установить антивирус Spywear, в котором заложен вирус......На рабочем столе появилась не только странная заставка, но и ярлыки как раз таки этого антивируса. И вся эта ерунда не удаляется....

[Sell]

С Автозагрузкой не помогает. Какая-то прога выдает, что на компе вирус Worm.Win32.NetSky и предлагает установить антивирус Spywear, в котором заложен вирус......На рабочем столе появилась не только странная заставка, но и ярлыки как раз таки этого антивируса. И вся эта ерунда не удаляется....

Снять винчестер и отнести другу у которого стоит касперский с полседними обновлениями...пусть подключит и просканит на вирусы с своей машины вы уже наврятле что сделаете.если только "формат"

[KorB]

у которого стоит касперский с полседними обновлениями"

Фанат?)))
А вообще, действительно. Я думаю, можно даже на своей машине. Только в безопасном режиме. И именно каспера, т.к. НОД в безопасном не запускается (т.к. неактивно ядро).
После излечения запустите проверку диска из консоли, чтоб исправить ошибки, которые он там вам напихал))

[Sentinel]

Задача.Был в одном месте, смотрел комп у чела. Короче, стоял НОД, но толку никакого, так КАК: никакие ехе-шники не запускаются, вылазит окно "Выбор программы". Времени у меня было всего полчаса, но я пощелкал там и понял что можно запустить, через "запуск от имени", но тогда проги хоть и пускались, потом сразу писали типа "Отказано в доступе", но не всегда именно это, а с вариациями, типа не "удается создать папку", "отсутствуют права на запись", вот в этом духе, причем хоть под админом, хоть в безопасном (!), причем ЛЮБЫЕ проги (но не все, правда, а большинство), все к черту проверил что успел, права на все системные папки и тп... потом подумал может TEMP перенес вирь куда-нить, лезу в св-ва Моего Компа, пишет "не найден rundll32.exe". msconfig и прочее, ессесно так же не пускались, запустил regedit (пустился), нахожу всевозможные Run'ы, вижу вот он - сидит, щас вспомню названия.... М-м.. короче автозагрузка таких файлов как soundmix.exe, SP00L??.exe, я на радостях тыкаю "Удалить" , а он мне простое такое диалоговое окно кажет: "Не удается удалить параметр".
Вот такой вот случай. Я что хочу сказать-то. Просто я думал "Щас докажу сам себе что я такой крутой перец, и могу вирь голыми руками удалить"(потому что флэшка хоть и была с собой, но проги не ставились ), лихорадочно вспоминал все, что знаю о винде, как запускаются вообще исполняемые файлы, вспомнил про этот rundll32.exe, которого, кстати. не оказалось в system32 )) Ну и толку что я про него вспомнил, что было делать? Вот. Хочу узнать что можно было сделать, чего я не сделал... (Там был еще один комп, который вроде бы работал, но тоже показывал кучу разных окон во время работы, я туда воткнул КИСу, он пошел на перезагрузку, загрузился вновь, давай искать, нашел километр, запустил "Лечение активных угроз", написал, что удалить после ресета, опять пошел сам на перезагрузку... Запустилась потом винда... я напряженно жду когда-же появится значок КИСа в трее.. а он НЕ ПОЯВИЛСЯ!, я Лезу в пуск, жму ЛКМ на КИСе и что я вижу? НИЧЕГО не происходит!! хе-хе, делаю Запуск от Имени, пытается пуститься, но вылетает.... Так-то. И потом и на этой машине все ехе-шники перестали пускаться..)
P.S. Как уехал оттуда, подумал про sfc, интересно помог бы....? )
P.P.S. Ведь моя уверенность на чем основывалась. Я пару лет назад уже проделывал такое что вылечил систему сам 8-). Во времена еще 5-го КАВа... Тогда был вирус, который между прочим, сам удалял Касперского)) Я его ставлю, а он после перезагрузки..ха-ха...как вспомню..короче не запускался.. Но я его нашел и грохнул к епеням (червя). С тех пор могу посоветовать: НИКОГДА НЕ СТАВИТЬ АНТИВИРИ ПО ДЕФОЛТОВСКИМ ПУТЯМ
Название виря не помню, мнения будут?

[ЯiR]

Подскажите где можно скачать вирусы в архивах? А то мой NOD32 молчит и никогда не подает голоса. А до этого стоял грузило-касперский который орал постоянно. Вот хочу проверить этот NOD32.

И еще, подскажите сайты где есть эксплоиты и прочие атаки на комп идут, т.к. у меня NOD32 с файрволом стоит и тот и другой всегда молчат. Кроме того читал на варезном форуме, что NOD32 пропустил много вирусов, а касперский за ним нашел.

стучись в личку, я тебе свои вирусняки скину. только потом не жалуйся, если случайно запустишь

Сообщение отредактировал ЯiR: 03.02.2008, 16:24:57