Сообщений в теме: 1563

[XaHyMaH]

[mod]
Описания вирусов, методов защиты и борьбы с ними. Отдельные темы по вирусам просьба не создавать.
[/mod]

Смежные темы на форуме

• Выбор и тестирование антивирусов

Полезные ссылки

• Вирусная энциклопедия, описание вирусов
• Virustotal - сервис, анализирующий подозрительные файлы на вирусы, с применением нескольких антивирусных систем
• Бесплатная антивирусная утилита AVZ
• Бесплатная "лечилка" от DrWeb'а
• Утилита FlashGuard для блокирования файлов autorun на флешках и других носителях. Позволяет блокировать автозапуск вирусов с флешек. Ссылка для скачивания
• Книга Николая Головко "Безопасный Интернет. Универсальная защита для Windows ME – Vista"

FAQ по удалению вирусов

• Решение проблемы, связанной с появлением сообщения об ошибке системного приложения svchost.exe (Generic Host Process for Win32 Services)
• Если у вас выскакивают порно-баннеры.
• Универсальный совет по лечению вирусного заражения и ещё один совет.
• Борьба с эпидемией червей своими руками - описание видов и механизмов распространения компьютерных червей, и способов предотвратить заражение.
• Классические рекомендации по борьбе с нашествием вирусов
• Удаление Mirar Toolbar
• WinLock. Компьютер заблокирован и для разблокировки требуют отправить SMS]

FAQ по удалению последствий вирусной деятельности (прежде чем бороться с последствиями удалите сам вирус)

• Windows 2000/XP/2003 не грузится в безопасном режиме
• Не запускаются исполняемые файлы (последствия soundmix)
• Не отображаются скрытые файлы
• Не отображаются скрытые файлы_2. Смена атрибутов файлов и папок.
• При двойном щелчке на диске выходит окно с выбором программы (отключение autorun/автозапуск)
• Не запускается редактор реестра
• Не запускается диспетчер задач
• Нет свойств у папок
• Файл conime.exe не найден
• Ошибка Generic Host Process for Win32 Services

Если вы нашли в этой теме, сообщение, которое, по вашему мнению, должно быть занесено в FAQ - отправьте, пожалуйста, с помощью ЛС ссылку на него модераторам раздела "Софт"

Сообщение отредактировал borec_za_istinu: 14.05.2012, 10:53:57

[egoist]

Вирусная энциклопедия (описание вирусов)

Смежные темы на форуме: Выбор антивируса

Сообщение отредактировал egoist: 03.08.2008, 20:23:53

[Дронго]

вот вот, у меня тот же самый вирус на ноуте подруги.. неактивен антивирь..

[LeRed]

может не такой же, а схожий.

а в сейф-моде пытался запустить каспера и вырубить процесс?


ща, кстати, не помню, но когда загружался в сейф-моде снизу появлялась строчка, что-то вроде "вырубить процесс lsass"

короче, без поллитры не разберешься ;(

[Nexi]

Да но доступ на на систем волюм инфо тоже закрыт туда не зайти - я вижу что он там сидит. Но как туда попасть ? Свойства папки тоже заблокированы - туда не войдешь.

Еще помимо бронтока есть VBS.small.a который падла похерил все автораны

А с лайва загрузицца не канает?

[LeRed]

Nexi, объясните плиз что за ЛайвСиДИ такой?

[borec_za_istinu]

если антивирь лечит:после сканирования дисков (тут же, сразу) сканируешь директории "System Volume Information" в корне дисков.либо Far-ом, Total Commander-ом стираешь эти директории (если стоит NTFS - предворительно открыть доступ для директории (свойство папки - доступ)).

Нормальный антивирус так же сканирует и эту папочку и вытаскивает червей и прочую заразу и оттедова в том числе, и никакое "только для чтения" ему не помеха

И действительно, неплохо бы запуститься с ЛайвСД (это операционная система, запускающаяся без установки на хард, прям с сидюка, ну или есть флешки загрузочные, но это уже другое название ), того же BartPE, к примеру и запустить, опять же к примеру, cureit - вполне себе сканировалка, может помочь в уничножении. Из него же прочистить секции автозапуска в реестре, можно посмотреть msconfig, правда, не помню, запускается ли он с лайва. В крайнем случае, можно сторонними утилитами попользоваться. Мне, к примеру, нравится портабл-версия RevoUnistaler'a - доступ и к системным функциям есть и свои фичи, ну и другого подобного софта полно, от той же Sysinternals, даже русифицированного. BartPE можно скачать с инета - метров 150-300 весит, в зависимости от накачанности разного рода софтом.

Сообщение отредактировал borec_za_istinu: 15.05.2008, 10:27:58

[LeRed]

просканировал флешку, которая явилась (полагаю) причной заражения:
обнаружил:

Packed.win32.nsanti.r
win32.xorer.ed
vb.el
xorer.et
virut.q

флешка от вирусов очистилась.

в момент заражения к компу был подключен внешний винт, на нем обнаружено 50 вирусов - virus.win32.virut.q и Virus.Win32.Xorer.du
с этого диска не удаляются, потому что пишет "нет прав на запись"
что делать? внешний винт теперь форматировать? на компе видимо эти же вирусы шалят,
а мне ни комп, ни этот внешний ну никак нельзя форматнуть ;(

что делать с компом? кто-нить может пошагово объяснить?
а то у меня знаний не хватает и обильная россыпь имен типа лайвсиди, акронис, семантэк и т.п. мало что дает ;( к сожалению

а комп оччччень нужен!

Сообщение отредактировал LeRed: 15.05.2008, 11:14:06

[Zholerlan]

С лайф сиди, как и с барт пе можно антивирями чистить, это просто легче исли комп до неработоспособности загажен всякой вирями, там есть просто одна очень большая проблема, обновления баз трудно установить.Можно добавлять в образ исо эти базы или через флешки ставить базы антивирьские, или что самое легкое ставить лайф сиди на флеху и обновлять ее сразу там(Правда есть небольшие трудности с установкой во флешку, есть руководства как ставить винду на флешку, правда гуглом пошерстить нада.) Кстати в нете видел портабл версию каспера седьмого которого можно даже с флешки обновлять и устанавливать, тогда даже легче будет, захотел обновил с компа с выходом нет, и поставил на комп с лайф сиди.

[Nexi]

Я не говорил о лечении с лайва! У чела проблема с доступом к файлам восстановления системы, которые нужно просто удалить, что с помощью лайва решается влегкую...
Меж прочим Каспер из этих папок поднимает заразу без проблем, по крайней мере у меня. Проблемы могут быть как раз в других местах...

[Beluy]

Салют всем!
Кто знает, где в Каспере 7 сохраняются базы?

[LeRed]

/me ушел с горя на форум каспера.
там довольно толково описывают, что да как лечить.

[Zholerlan]

Салют всем!
Кто знает, где в Каспере 7 сохраняются базы?

С:\Document&settings\All users\Aplliction data\\kav\kaspesky lab\"Версия каспера" и усе.
Правда простым копированием ты базы можешь просто не поставишь каспер может потом ругатся. Лучше делать так, настройках каспера есть вкладка обновления, там есть вкладка дополнительно потом копировать в папку, определяешся куда хочешь базы скопировать, и нажимаешь ок. Нажимаешь обновить, все базы созданы. ТЕперь базы будут копироваться туда. ЕСли хочешь обновить комп с необновленным каспером, просто в его настройках каспера там же только в вкладке источник обновления, нажимаешь добавить и добовляешь путь к твоей скопированной базе, не забывай ставить галочки, обновляешся усе!!!

Я не говорил о лечении с лайва! У чела проблема с доступом к файлам восстановления системы, которые нужно просто удалить, что с помощью лайва решается влегкую...
Меж прочим Каспер из этих папок поднимает заразу без проблем, по крайней мере у меня. Проблемы могут быть как раз в других местах...

Не заметил просто, Кстати а что ему не позволять в свойствах компьютера отключить восстановление системы, если нада он их опять потом включит

[Zholerlan]

Nexi, объясните плиз что за ЛайвСиДИ такой?

Лайф сиди, варт пе, филка лайф сиди, реаниматор лайф сиди все это урезанные версии винды, которые можно поставить на сидюк или на флешку и загрузится с нее, для этого даже жесткии диск не нужен. ВСе они создавались с одной целью - восстановление компа из неробочего состояния, проше с ее помощью можно реанимировать комп когда винда не загружается, но она тебе не поможет если у тебя чисто проблемы чисто технического характера. Понятно!!!!!!

[LeRed]

Вас понял, Людвиг Аристархович))

имеет смысл на болванку с LiveCD записать еще и антивирь?? чтоб потом полечить С и D?

[Zholerlan]

просканировал флешку, которая явилась (полагаю) причной заражения:
обнаружил:

Packed.win32.nsanti.r
win32.xorer.ed
vb.el
xorer.et
virut.q

флешка от вирусов очистилась.

в момент заражения к компу был подключен внешний винт, на нем обнаружено 50 вирусов - virus.win32.virut.q и Virus.Win32.Xorer.du
с этого диска не удаляются, потому что пишет "нет прав на запись"
что делать? внешний винт теперь форматировать? на компе видимо эти же вирусы шалят,
а мне ни комп, ни этот внешний ну никак нельзя форматнуть ;(

что делать с компом? кто-нить может пошагово объяснить?
а то у меня знаний не хватает и обильная россыпь имен типа лайвсиди, акронис, семантэк и т.п. мало что дает ;( к сожалению

а комп оччччень нужен!

Обьясняю пошагово!!!!
Попробуй зайти в безопасном режиме через администратора, чтобы зайти в безопасный режим нажимешь F8 при загрузке винды и нажимаешь безопасный режим.
Открой каспера удаляй вири если не удаляется, открой свойства папки, кстати оно у тебя не должно быть(вирь удалил). Если свойства папки нету то открой редактор рееестра пуск-выполнить-regedit , после задай этот параметр
По этому пути HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL в реестре для параметра CheckedValue поставьте значение 1
После открой свойства папки-вид- удали галочки с "Использовать простой обший доступ".Теперь посмотри какие именно файлы не удаляются. Открой свойства этих файлов и там тепреь должна выйти вкладка безопасность, нажимай дополнительно, в вкладке разрешения попробуй нажать добовить дополнительно поиск-все и ок нажми. Теперь удали вирь!!!! Думаю все доходчиво обьяснил, если все равно не удаляется может форматировать внешнии винт или идти в сервис центр или наити друга айтишника. Думаю других способов нет!!!

Вас понял, Людвиг Аристархович)) имеет смысл на болванку с LiveCD записать еще и антивирь?? чтоб потом полечить С и D?

Есть такие сборки где есть сразу антивирусы втыкнуты попробуй поискать. Мне больше нравится инфра сиди. Он на Philka.ru.

[LeRed]

фишка в том, что каспер через сейф, и не через сейф не открываеццо - вирус его гасит, походу.

спасиб за объяснения, буду дома пробовать)

[Zholerlan]

фишка в том, что каспер через сейф, и не через сейф не открываеццо - вирус его гасит, походу.

спасиб за объяснения, буду дома пробовать)

Раньше не мог сказать. Понятно попробуй поставить AVG и пошерстить им или попробуй через Dr. web cure it . Кстати вирь который твой комп заразил заражает все ехе файлы так что если ты удалишь все вири, твой комп просто может не загрузится. Вот цитаты с сайта касперского, думаю поймешь там о чем речь

Вирус, заражающий исполняемые файлы Windows. Полиморфный зашифрованный вирус. Размер тела — 5128 байт. При запуске вирус получает список процессов в системе и внедряет свой код в процесс, который находится на 4-й позиции в списке, после чего заражает и сам исполняемый файл процесса. Вирус заражает файлы с расширениями .EXE и .SCR, которые являются приложениями Windows (PE EXE). Вирус не заражает файлы, которые содержат в своем имени одну из следующих строк: PSTO WC32 WCUN WINC При заражении вирус расширяет последнюю секцию исполняемого файла, записывает в неё свое тело и перенаправляет точку входа программы на свое тело. Вирус пытается соединиться с IRC-сервером pro****.ircgalaxy.pl. Если ему это удается, то вирус принимает команды по IRC от злоумышленника и выполняет их. Вирус поддерживает следующие команды: загрузка из интернета вредоносного кода и внедрение его в процессы пользователя; открытие указанных URL с компьютера пользователя.

The virus can be removed with great difficulty and if you are knowledgeable about computers. I had Virut.Q on Windows XP and removed it without formatting my drive or re-installing Windows. First, you need a separate hard drive from which you can run the Grisoft Virut removal tool. Make sure it's running Windows, since Linux doesn't let you edit NTFS files. The tool will disinfect most of the files. Delete any files that the tool says are infected but refuses to clean. Then, scan your infected drive with a good anti-viral program from the uninfected one. Next, delete the C:\System Volume Information folder. This is the System Restore folder. Give yourself permission to delete it by typing cacls "C:\System Volume Information" /E /G <username>:F at the command prompt. The folder will appear empty before you delete it, but it is not. The virus is hiding inside several folders that it created there. It does this even with System Restore off. Next, repair your Windows installation with a Windows CD. By this I mean a repair installation--not a full one. The repair installation will keep your settings and allow most of your programs to keep working. Then, try booting into the XP drive. I got a blue screen the first time I tried to do this. I then re-installed the drivers for my motherboard and graphics card in Safe Mode and it booted. I then had to re-install my Windows updates manually. I also had to re-install a few programs. So, if you know what you're doing, you can save some time over a clean install and format, but if you don't (like me), you'll waste a lot of time--and I mean a lot!

Если авг и доктор веб не помогают можешь свой жесткий поставить на другой комп с хорошим антивирусом и провериться на вирусы.

[LeRed]

скачал AVZ4, и cureit тоже.
дома буду пробовать.
AVG скачаю.

почитал, что англичанин предлагает - как-то всё сложно.
еще какой-то Grisoft Virut removal tool нада искать ;(
ну, идея в общем понятная - сначала запуститься с чего-нибудь другого (винт, ливСиДи), а потом мочишь вирус.
а потом восстанавливаешь винду.

[Zholerlan]

скачал AVZ4, и cureit тоже.
дома буду пробовать.
AVG скачаю.

почитал, что англичанин предлагает - как-то всё сложно.
еще какой-то Grisoft Virut removal tool нада искать ;(
ну, идея в общем понятная - сначала запуститься с чего-нибудь другого (винт, ливСиДи), а потом мочишь вирус.
а потом восстанавливаешь винду.

Ну все правильно.
Грисофт ремовал тул есть здесь

[LeRed]

мда, мне пригодится.


может этим грисофтом и внешний полечить?

[Zholerlan]

мда, мне пригодится.


может этим грисофтом и внешний полечить?

Внешний лучше форматнуть там надоест удалять вирусы , если жалко можешь открыть общий доступ к флешке, (кстати верни на место галочку в "использовать простой общий доступ" в своистах папки) и опять попробовать.

Сообщение отредактировал Zholerlan: 15.05.2008, 18:44:08