Сообщений в теме: 1563

[XaHyMaH]

[mod]
Описания вирусов, методов защиты и борьбы с ними. Отдельные темы по вирусам просьба не создавать.
[/mod]

Смежные темы на форуме

• Выбор и тестирование антивирусов

Полезные ссылки

• Вирусная энциклопедия, описание вирусов
• Virustotal - сервис, анализирующий подозрительные файлы на вирусы, с применением нескольких антивирусных систем
• Бесплатная антивирусная утилита AVZ
• Бесплатная "лечилка" от DrWeb'а
• Утилита FlashGuard для блокирования файлов autorun на флешках и других носителях. Позволяет блокировать автозапуск вирусов с флешек. Ссылка для скачивания
• Книга Николая Головко "Безопасный Интернет. Универсальная защита для Windows ME – Vista"

FAQ по удалению вирусов

• Решение проблемы, связанной с появлением сообщения об ошибке системного приложения svchost.exe (Generic Host Process for Win32 Services)
• Если у вас выскакивают порно-баннеры.
• Универсальный совет по лечению вирусного заражения и ещё один совет.
• Борьба с эпидемией червей своими руками - описание видов и механизмов распространения компьютерных червей, и способов предотвратить заражение.
• Классические рекомендации по борьбе с нашествием вирусов
• Удаление Mirar Toolbar
• WinLock. Компьютер заблокирован и для разблокировки требуют отправить SMS]

FAQ по удалению последствий вирусной деятельности (прежде чем бороться с последствиями удалите сам вирус)

• Windows 2000/XP/2003 не грузится в безопасном режиме
• Не запускаются исполняемые файлы (последствия soundmix)
• Не отображаются скрытые файлы
• Не отображаются скрытые файлы_2. Смена атрибутов файлов и папок.
• При двойном щелчке на диске выходит окно с выбором программы (отключение autorun/автозапуск)
• Не запускается редактор реестра
• Не запускается диспетчер задач
• Нет свойств у папок
• Файл conime.exe не найден
• Ошибка Generic Host Process for Win32 Services

Если вы нашли в этой теме, сообщение, которое, по вашему мнению, должно быть занесено в FAQ - отправьте, пожалуйста, с помощью ЛС ссылку на него модераторам раздела "Софт"

Сообщение отредактировал borec_za_istinu: 14.05.2012, 10:53:57

[egoist]

Вирусная энциклопедия (описание вирусов)

Смежные темы на форуме: Выбор антивируса

Сообщение отредактировал egoist: 03.08.2008, 20:23:53

[Krossovka]

В общем сделай это:
Запусти Autoruns и удали из загрузки
C:\WINDOWS\system32\ wscript.exe
C:\WINDOWS\system32\ boot.vbs
найти еще строки с wproxp и удали и их

Удалить из компа файлы
C:\WINDOWS\system32\ dxdlg.exe
C:\WINDOWS\system32\boot.vbs
и wproxp.exe

буут вбс у меня убит, поэтому при загрузке комп ругается, что его нету, я убиваю тогда дхдлг и вскрипт
акей ...но у меня тут ещё spoolsv.exe...эта хрень вообще неуничтожаема

Сообщение отредактировал Krossovka: 21.07.2008, 14:12:40

[Zholerlan]

Spoolsv это системный процесс!!!! Хотя некоторые вири под ним прячутся, но все таки проверь он это или нет..

Запусти Autoruns и удали из загрузки
C:\WINDOWS\system32\ wscript.exe
C:\WINDOWS\system32\ boot.vbs
найти еще строки с wproxp и удали и их

Если нет Autoruns, пуск-выполнить-Набери msconfig-автозагрузка и удали из загрузки
C:\WINDOWS\system32\ wscript.exe
C:\WINDOWS\system32\ boot.vbs
найти еще строки с wproxp и удали и их

[Krossovka]

Spoolsv это системный процесс!!!! Хотя некоторые вири под ним прячутся, но все таки проверь он это или нет..

Запусти Autoruns и удали из загрузки
C:\WINDOWS\system32\ wscript.exe
C:\WINDOWS\system32\ boot.vbs
найти еще строки с wproxp и удали и их

Если нет Autoruns, пуск-выполнить-Набери msconfig-автозагрузка и удали из загрузки
C:\WINDOWS\system32\ wscript.exe
C:\WINDOWS\system32\ boot.vbs
найти еще строки с wproxp и удали и их

если бы они висели в автозагрузке, я бы их давно убрала, wproxp у меня слава Богу нету...

avz спасло

[Win32.Ronin.A]

Ну ты даешь)), проскань avz, посмотри где выдает подозр процессы, в авз есть функция поиска файлов и ручного удаления, с чисткой в реестре, все делай в безопасном режиме, плюс 90% зверей сидят в папках виндоус, систем32, юзер документс)), +заходи в безопасном и смотри дату создания левых файлов

[login]

автозагрузку и службы посмотри. можно и не в безопасном, а в обычном, просто включив AVZ Guard

[Seregin]

Не фига не понял, в чем проблема?

[login]

просто все кинули по одному совету, ты, Серегин, тоже что то можешь сказать как я понял, Кроссовка уже сама все замутила

[Seregin]

Так если всё замутила, смысл что-то еще советовать?))

[login]

на всякий случай. для будущих поколений )

[Krossovka]

Ну ты даешь)), проскань avz, посмотри где выдает подозр процессы, в авз есть функция поиска файлов и ручного удаления, с чисткой в реестре, все делай в безопасном режиме, плюс 90% зверей сидят в папках виндоус, систем32, юзер документс)), +заходи в безопасном и смотри дату создания левых файлов

ну я всё сделала,авз хорошая штука

в систем32 они сидели дискдлг и вскрипт

[Steppen Wolf]

Привет, народ!
login, спасибо тебе за утилиту по вытаскиванию баз из НОД32:)
Только даже сей обновленный антивирус не помог, когда я пытался избавить комп сестры от трояна, который у себя я убил без проблем этим же НОДом.

[Металлург]

после проверки на вирусы вышла следующая надпись: "троян WIN32/PSW.Agent.NHG найден в оперативной памяти. Инфекция системной памяти происходит из файла ftpdll.dll.".
После троекратного запуска антивируса троян не исчез,
Попытка удалить файл ftpdll.dll вручную тоже ни к чему не привела.

в качестве антивиря используется НОД32.

Если кто сталкивался с подобным трояном, подскажите в чем суть этого вируса и как его можно удалить?

спасибо.

[Zholerlan]

Привет, народ!
login, спасибо тебе за утилиту по вытаскиванию баз из НОД32:)
Только даже сей обновленный антивирус не помог, когда я пытался избавить комп сестры от трояна, который у себя я убил без проблем этим же НОДом.

сделать полную проверку. НОд плохо сканирует уже зараженные машины, скачай др веб куре ит, он хорошо отлавливает вири деиствии.

после проверки на вирусы вышла следующая надпись: "троян WIN32/PSW.Agent.NHG найден в оперативной памяти. Инфекция системной памяти происходит из файла ftpdll.dll.".
После троекратного запуска антивируса троян не исчез,
Попытка удалить файл ftpdll.dll вручную тоже ни к чему не привела.

в качестве антивиря используется НОД32.

Если кто сталкивался с подобным трояном, подскажите в чем суть этого вируса и как его можно удалить?

Сделай скрипты на этом форуме

[login]

Привет, народ!
login, спасибо тебе за утилиту по вытаскиванию баз из НОД32:)
Только даже сей обновленный антивирус не помог, когда я пытался избавить комп сестры от трояна, который у себя я убил без проблем этим же НОДом.

да пожалуйста
убивай виря с авз, погугли, возможно уже есть скрипты, если же нет, то обратись к ним на форум, там вмиг напишут.
Кроссовка

[ofChar]

после проверки на вирусы вышла следующая надпись: "троян WIN32/PSW.Agent.NHG найден в оперативной памяти. Инфекция системной памяти происходит из файла ftpdll.dll.".
После троекратного запуска антивируса троян не исчез,
Попытка удалить файл ftpdll.dll вручную тоже ни к чему не привела.

Пора уже прикрепить на верх страницы - "Качайте и пользуйтесь AVZ". Пока винда грузится, здорово помогает найти злодея,
Иногда, при попытке установить его антируткитный драйвер ситема выдает BSOD. Это результат конфликта с драйвером руткита, обычно nvmini.sys. Лечится загрузкой с WinPE и чисткой как диска, так и реестра. Снова заводим AVZ, ставим его драйверок расширенного мониторинга, проверяем. Вообще, поставить на больную машину антивиря не всегда возможно. По поводу проверки из безопасного - уточняйте, что не только из безопасного, поскольку тот же AVZ отлавливает злодеев по их поведению, дык в безопасном режиме не всегда злодей активен.
Насколько я помню, агент живет в system32\soundmix.exe, да еще прописывается в реестре в ключ запуска exe -файлов. После удаления самого саундмикса exe файлы перестают запускаться, в том числе и AVZ Переименовываем в *.com, запускаем и юзаем восстановление (есть такая фича) параметров запуска исполняемых файлов. Кстати - AVZ - с Каспером тесно работает. Качаем свежего каспера, ставим пробный ключ, обновляемся и усех гасим. Удаляем каспера и ставим ваш любимый "супер-пупер-антивирус" до следующего заражения . Имхо, все лечилки, которые работают без установки бессильны против серьезных злодеев, если последние задеййствуют руткит.

[borec_za_istinu]

Кстати - AVZ - с Каспером тесно работает.

Ещё бы не тесно - в описании файла avz.exe (от 1-го июля 2008-го) выскакивает "Производитель Лаборатория Касперского, 2007 г." Так шта теснее некуда !

Имхо, все лечилки, которые работают без установки бессильны против серьезных злодеев, если последние задеййствуют руткит.

Не согласен. К примеру, тот же Курейт даже в режиме быстрого поиска сканирует некоторые из мест обитания руткитов:

"В этом режиме проверяются:
* Оперативная память
* Загрузочные секторы всех дисков
* Объекты автозапуска
* Корневой каталог загрузочного диска
* Корневой каталог диска установки Windows
* Системный каталог Windows
* Папка Мои Документы
* Временный каталог системы
* Временный каталог пользователя"

Сообщение отредактировал borec_za_istinu: 31.07.2008, 21:35:30

[ofChar]

Ещё бы не тесно - в описании файла avz.exe (от 1-го июля 2008-го) выскакивает "Производитель Лаборатория Касперского, 2007 г." Так шта теснее некуда !

Если уж блистать знаниями, то до конца. В следующую версию KIS, возможно, включат AVZ. Хотя, подозреваю, они и так кое-где используют общие модули. Давно у них на форуме не тусил., можа уже передумали.
Тот факт, что некие объекты проверяются еще не значит, что все будет найдено. Если функции обращения к файловой системе перехвачены драйвером руткита , то ни одна прога, запущеная в юзер-моде не увидит скрываемый файл. То же и с памятью, и с реестром. Для обнарудения перехватчиков требуется доступ к АПИ нулевого кольца, которые (ну, вроде бы) можно получить только из драйвера режима ядра, который, в свою очередь, требует перзагрузки после установки. Что-то меня курейт не просил перезагружаться. Да я ипользовался им один раз, на пробу. Кстати, в недрах сервера Лаборатории Касперского иногда бывают доступны по FTP занимательные весчи, того же назначения. Нормальный алгоритм - исследование системы AVZ из-под лечимой винды (если это возможно) и последующее смертоубийство вредятины "извне", с непременной правкой реестра. Справедливости ради замечу, что кроме AVZ есть еще толковые софтинки, но все они сложны в обращении, поскольку не интерпретируют результаты проверки, полагаясь на грамотность пользователя.

[gnom-ne-gnom]

Кстати - AVZ - с Каспером тесно работает.

Ещё бы не тесно - в описании файла avz.exe (от 1-го июля 2008-го) выскакивает "Производитель Лаборатория Касперского, 2007 г." Так шта теснее некуда !

Имхо, все лечилки, которые работают без установки бессильны против серьезных злодеев, если последние задеййствуют руткит.

Не согласен. К примеру, тот же Курейт даже в режиме быстрого поиска сканирует некоторые из мест обитания руткитов:

"В этом режиме проверяются:
* Оперативная память
* Загрузочные секторы всех дисков
* Объекты автозапуска
* Корневой каталог загрузочного диска
* Корневой каталог диска установки Windows
* Системный каталог Windows
* Папка Мои Документы
* Временный каталог системы
* Временный каталог пользователя"

Да, между прочим, AVZ у меня неплохо сканит, причем там ведь прямо в настройках поиск руткитов. У меня в свое время выловил несколько подозрений на них, и в карантин поместил.

[(S@nzhik)]

не показывает скрытые фалы и папки. не знаю в чем дело. Раньше стояла винда, такая же проблема появилась, переустановил с форматированием диска D, и сейчас через месяц после установки новой винды появился этот трабл. сделаешь файл скрытым. В настройках папок выбираешь чтобы снова показывал - фиг. ничего не дает.

Сообщение отредактировал (S@nzhik): 06.08.2008, 11:21:58