Сообщений в теме: 1563

[XaHyMaH]

[mod]
Описания вирусов, методов защиты и борьбы с ними. Отдельные темы по вирусам просьба не создавать.
[/mod]

Смежные темы на форуме

• Выбор и тестирование антивирусов

Полезные ссылки

• Вирусная энциклопедия, описание вирусов
• Virustotal - сервис, анализирующий подозрительные файлы на вирусы, с применением нескольких антивирусных систем
• Бесплатная антивирусная утилита AVZ
• Бесплатная "лечилка" от DrWeb'а
• Утилита FlashGuard для блокирования файлов autorun на флешках и других носителях. Позволяет блокировать автозапуск вирусов с флешек. Ссылка для скачивания
• Книга Николая Головко "Безопасный Интернет. Универсальная защита для Windows ME – Vista"

FAQ по удалению вирусов

• Решение проблемы, связанной с появлением сообщения об ошибке системного приложения svchost.exe (Generic Host Process for Win32 Services)
• Если у вас выскакивают порно-баннеры.
• Универсальный совет по лечению вирусного заражения и ещё один совет.
• Борьба с эпидемией червей своими руками - описание видов и механизмов распространения компьютерных червей, и способов предотвратить заражение.
• Классические рекомендации по борьбе с нашествием вирусов
• Удаление Mirar Toolbar
• WinLock. Компьютер заблокирован и для разблокировки требуют отправить SMS]

FAQ по удалению последствий вирусной деятельности (прежде чем бороться с последствиями удалите сам вирус)

• Windows 2000/XP/2003 не грузится в безопасном режиме
• Не запускаются исполняемые файлы (последствия soundmix)
• Не отображаются скрытые файлы
• Не отображаются скрытые файлы_2. Смена атрибутов файлов и папок.
• При двойном щелчке на диске выходит окно с выбором программы (отключение autorun/автозапуск)
• Не запускается редактор реестра
• Не запускается диспетчер задач
• Нет свойств у папок
• Файл conime.exe не найден
• Ошибка Generic Host Process for Win32 Services

Если вы нашли в этой теме, сообщение, которое, по вашему мнению, должно быть занесено в FAQ - отправьте, пожалуйста, с помощью ЛС ссылку на него модераторам раздела "Софт"

Сообщение отредактировал borec_za_istinu: 14.05.2012, 10:53:57

[egoist]

Вирусная энциклопедия (описание вирусов)

Смежные темы на форуме: Выбор антивируса

Сообщение отредактировал egoist: 03.08.2008, 20:23:53

[leonsv]

Попробуй прогой AVZ "Файл - Мастер поиска и устранения проблем"

Попробовал, после поиска вывел 3 косяка :

> Разрешен автозапуск с HDD
> Разрешен автозапуск с сетевых дисков
> Разрешен автозапуск со сменных носителей

Выделил все и нажал на "исправить". Специально перезагрузился, чтобы проверить эффект. Косяк с автозапуском так и остался.

Пуск-выпольнить-набрать regedit сделать поиск, найти раздел mountpoints2 и удалить его. Все после этого должно нормально открывать.

Нашел в реестре около 5 таких записей, все грохнул. Все равно не помогло.


Поискал в нете решение, нашел исчо пару вариантов :

1. найти и грохнуть файл ntos.exe. Поиск по компу этого файла ничего не дал.
2. выполнить скрипт в AVZ

procedure DisableAutorun;
begin
 // Блокировка автозапуска (0x1 + 0x4 + 0x8 + 0x10 + 0x40 + 0x80 - отключили все типа, кроме CD)
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
 // Блокировка автозапуска (0x4) - заблокировали автозапуск на C:
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveAutoRun', 4);
end;
 
begin
 DisableAutorun;
end.

Всем пасибки, но ничего не помогло. Пока хозяина компа научил заходить на любой диск через прописывание нужной буквы в строке адреса, как он сказал его это не сильно напрягает. Но всё таки это не есть гуд.

[яка быстра машина]

помогите, что за вирус такой, комп почти нормально работает, но при копировании с диска раровских архивов пишет ошибка срс, хотя её(ошибки) нет. и блокирует доступ в интернет, ни шестёрка каспера, ни "др.веб курит" ни авз ничего подозрительного не видят. (стоял бело-чёрный медвед панда) (а может и заражены?) или херакер поработал?

Точно - вирус был троянвин32ребуилдер(или что-то близкое) и нашлась дллка тоже чьёго-то вируса(всё подозрения) жаль не помню точно, и ещё осталась куча виндовских дллок с 0,6%-ым подозрением,
теперь в безопасном выходит Stop: 000031 (0000000000) и.т.д, Интересно что нашла всё это старая AVZ - шка на CD, Новая почему-то промолчала, "кур-ит" тоже, каспер тож молчал. и-нет стал работать, хотя с архивами херь осталась, ту би континед.

[Zholerlan]

Всем пасибки, но ничего не помогло. Пока хозяина компа научил заходить на любой диск через прописывание нужной буквы в строке адреса, как он сказал его это не сильно напрягает. Но всё таки это не есть гуд.

Проверь в реестре, в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon значение параметра Userinit оно должно быть следующим:
C:\WINDOWS\system32\userinit.exe
НЕ пашет??? Попробуй сохранить этот текст как рег файл и открыть его

Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\Drive]
@="Устройство"
"EditFlags"=hex:d2,01,00,00

[HKEY_CLASSES_ROOT\Drive\DefaultIcon]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,68,00,65,00,6c,00,6c,00,33,00,32,00,2e,00,64,00,6c,00  ,6c,00,2c,00,38,00,00,00,00,00

[HKEY_CLASSES_ROOT\Drive\shell]
@="none"

[HKEY_CLASSES_ROOT\Drive\shell\find]
"SuppressionPolicy"=dword:00000080

[HKEY_CLASSES_ROOT\Drive\shell\find\command]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,00,5c,00,45,00,78,00,70,00,6c,00,6f,00,72,00,65,00,72,00,2e,00,65,00,78,00,65,00,00,00,00,00

[HKEY_CLASSES_ROOT\Drive\shell\find\ddeexec]
@="[FindFolder(\"%l\", %I)]"
"NoActivateHandler"=""

[HKEY_CLASSES_ROOT\Drive\shell\find\ddeexec\application]
@="Folders"

[HKEY_CLASSES_ROOT\Drive\shell\find\ddeexec\topic]
@="AppProperties"

[HKEY_CLASSES_ROOT\Drive\shellex]

[HKEY_CLASSES_ROOT\Drive\shellex\ContextMenuHandlers]

[HKEY_CLASSES_ROOT\Drive\shellex\ContextMenuHandlers\Kaspersky Anti-Virus]
@="{dd230880-495a-11d1-b064-008048ec2fc5}"

[HKEY_CLASSES_ROOT\Drive\shellex\ContextMenuHandlers\Offline Files]
@="{750fdf0e-2a26-11d1-a3ea-080036587f03}"

[HKEY_CLASSES_ROOT\Drive\shellex\ContextMenuHandlers\Sharing]
@="{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}"

[HKEY_CLASSES_ROOT\Drive\shellex\ContextMenuHandlers\{D6791A63-E7E2-4fee-BF52-5DED8E86E9B8}]
@="Portable Devices Menu"

[HKEY_CLASSES_ROOT\Drive\shellex\DragDropHandlers]

[HKEY_CLASSES_ROOT\Drive\shellex\DragDropHandlers\WinRAR]
@="{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

[HKEY_CLASSES_ROOT\Drive\shellex\FolderExtensions]

[HKEY_CLASSES_ROOT\Drive\shellex\FolderExtensions\{fbeb8a05-beee-4442-804e-409d6c4515e9}]
@=""
"DriveMask"=dword:00000020

[HKEY_CLASSES_ROOT\Drive\shellex\PropertySheetHandlers]

[HKEY_CLASSES_ROOT\Drive\shellex\PropertySheetHandlers\Sharing]
@="{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}"

[HKEY_CLASSES_ROOT\Drive\shellex\PropertySheetHandlers\{1F2E5C40-9550-11CE-99D2-00AA006E086C}]

[HKEY_CLASSES_ROOT\Drive\shellex\PropertySheetHandlers\{596AB062-B4D2-4215-9F74-E9109B0A8153}]
@=""

[HKEY_CLASSES_ROOT\Drive\shellex\PropertySheetHandlers\{7988B573-EC89-11cf-9C00-00AA00A14F56}]
@=""

[HKEY_CLASSES_ROOT\Drive\shellex\PropertySheetHandlers\{ECCDF543-45CC-11CE-B9BF-0080C87CDBA6}]

[HKEY_CLASSES_ROOT\Drive\shellex\PropertySheetHandlers\{fbeb8a05-beee-4442-804e-409d6c4515e9}]

Сообщение отредактировал Zholerlan: 17.12.2008, 22:52:43

[*LESHIY*]

Запарил Интернет Секьюрити от Каспера, тыкает на обьект и пишет, что похоже на Hidden object и никаких действий с ним не делает! По месту нахождения файла, нет его. И не скрытый тоже. Откуда тогда антивирь его отыскал? Сканеры от Нода и Др.Веба не видят тоже!
Файл якобы лежит C:\Documents and Settings\(имя мое)\Local Settings\Temp

Сообщение отредактировал *LESHIY*: 23.12.2008, 00:16:29

[borec_za_istinu]

Ну, почему нет - может вирь периодически загружается, делает своё дело и снова выгружается

[leonsv]

Проверь в реестре, в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon значение параметра Userinit оно должно быть следующим:
C:\WINDOWS\system32\userinit.exe
НЕ пашет??? Попробуй сохранить этот текст как рег файл и открыть его
...

Огромное, человеческое пасиба вам, гаспадин Zholerlan!! После импорта ключика, стало возможно ходить нормально по всем дискам! Кстати, в пути реестра там где юзеринит.ехе должна быть запятая, то есть - userinit.exe,

[Aza1991]

Было все так!Компьютер выключился,я думал что блок питания погнал потом Касперски говорит что защита не работает сразу понял что вирус начал отключать процессы Касперски заработал обновил его,после обновления написал что нашел вирус но удалить не мог вирус заразил файл C:\WINDOWS\system32/bmynuw.dll думал удалить вручную зашел чурез безопасный режим но все равно не удаляется.А винду переустанавливать не охота помогите пожалуйста!!!

MODERATORIAL [egoist]

Предупреждение а нарушение п.4 локальных правил раздела "Софт". Темы объединены.

Сообщение отредактировал egoist: 05.01.2009, 23:45:09

[perfectium]

восстановить это файл или с другой винды,или с диска-дистрибутива ХР...

[Ice'nira]

Помогите, пожалуйста! Вирус на флэшке. Нод классифицировал как INF/autorun.gen trojan. Но не удаляет его. Когда скидываю что-либо на флэшку, скрывает оригинальные файлы, а вместо них создает одноименные exe-приложения и пустые папки. Не смертельно конечно, но как-то неприятно. Удаляю autorun.inf, в котором прописано [autorun]shellexecute=recycled.exe, но при следующем запуске все по новой. Заранее спасибо

[borec_za_istinu]

Выкиньте уже этот НОД на помойку и поставьте нормальный антивирус!

[Krossovka]

задолбал Conficker.AA...не могу выловить ту dll , что в систем 32 прячется

- NOD32 зараженный файл не находит, пресекает только результаты работы (когда тот ломится наружу). Прочие антивирусные утилиты его тоже не ловят;
- блокирует сайт microsoft.com и сайты и форумы антивирусов и прочих "вирусологов". Блокирует по доменному имени, попасть можно только через IP

из накопанного в тырнете

Деструктивная активность

При запуске червь создаёт свою копию в директории %SYSTEM% с произвольным именем. После чего проверят, какую операционную систему использует заражённый компьютер. Если это Windows 2000, то внедряет свой код в процесс services.exe. Если же операционная система отлична от указанной, то создаёт службу со следующими характеристиками:

Имя службы: netsvcs
Путь к файлу: %SYSTEM%\svchost.exe -k netsvcs

Создаёт следующий ключ реестра, обеспечивая себе автозапуск при следующей загрузке:
HKLM\SYSTEM\CurrentControlSet\Services\netsvcs\Parameters\ServiceDll = "%SYSTEM%\<название_файла>.dll"

подобного ключа в реестре нет, хотя упоминание netsvcs в реестре есть

в общем вот

[Krossovka]

вопрос снимается-побежден

[Cropot]

задолбал Conficker.AA...не могу выловить ту dll , что в систем 32 прячется

- NOD32 зараженный файл не находит, пресекает только результаты работы (когда тот ломится наружу). Прочие антивирусные утилиты его тоже не ловят;
- блокирует сайт microsoft.com и сайты и форумы антивирусов и прочих "вирусологов". Блокирует по доменному имени, попасть можно только через IP

из накопанного в тырнете

Деструктивная активность

При запуске червь создаёт свою копию в директории %SYSTEM% с произвольным именем. После чего проверят, какую операционную систему использует заражённый компьютер. Если это Windows 2000, то внедряет свой код в процесс services.exe. Если же операционная система отлична от указанной, то создаёт службу со следующими характеристиками:

Имя службы: netsvcs
Путь к файлу: %SYSTEM%\svchost.exe -k netsvcs

Создаёт следующий ключ реестра, обеспечивая себе автозапуск при следующей загрузке:
HKLM\SYSTEM\CurrentControlSet\Services\netsvcs\Parameters\ServiceDll = "%SYSTEM%\<название_файла>.dll"

подобного ключа в реестре нет, хотя упоминание netsvcs в реестре есть

в общем вот

Мдя... А что делать если стоит система Windows 2000 они случайно забыли написать...

Товарищи, из-за скупердяйства на ПК моей фирмы, на которых в большинстве случаев стоит 2000 сервер, стоит MCafee, так вот, недавно он выдал сообщение о том что файл services.exe в определенный момент начинает активизироваться и антивирус выдает сообщение "Blocked by Buffer Overflow Protection" - "Заблокированно Буферной Защитой Переполнения". Пипец, при сканировании антивирем ничего не находит. Сейчас хочу снять винт и просканировать его каспером...

может кто сталкивался с такой проблемой и может подсказать решение? Если сам найду тоже выложу.

[Zholerlan]

Было все так!Компьютер выключился,я думал что блок питания погнал потом Касперски говорит что защита не работает сразу понял что вирус начал отключать процессы Касперски заработал обновил его,после обновления написал что нашел вирус но удалить не мог вирус заразил файл C:\WINDOWS\system32/bmynuw.dll думал удалить вручную зашел чурез безопасный режим но все равно не удаляется.А винду переустанавливать не охота помогите пожалуйста!!!

Предупреждение а нарушение п.4 локальных правил раздела "Софт". Темы объединены.

Скачай dr web cure it и запусти в безопасном режиме....

Мдя... А что делать если стоит система Windows 2000 они случайно забыли написать...

Товарищи, из-за скупердяйства на ПК моей фирмы, на которых в большинстве случаев стоит 2000 сервер, стоит MCafee, так вот, недавно он выдал сообщение о том что файл services.exe в определенный момент начинает активизироваться и антивирус выдает сообщение "Blocked by Buffer Overflow Protection" - "Заблокированно Буферной Защитой Переполнения". Пипец, при сканировании антивирем ничего не находит. Сейчас хочу снять винт и просканировать его каспером...

может кто сталкивался с такой проблемой и может подсказать решение? Если сам найду тоже выложу.

Ну сканируй, если что посмотри через anvir task manager что за вирусняк, а вообще можно и через dr. web cure it сканировать...

Огромное, человеческое пасиба вам, гаспадин Zholerlan!! После импорта ключика, стало возможно ходить нормально по всем дискам! Кстати, в пути реестра там где юзеринит.ехе должна быть запятая, то есть - userinit.exe,

Главное все работает, а запятую можешь сам поставить ...

[Caterpillar]

вопрос снимается-побежден

А подробнее? А то уже 3 дня бодаемся, Касперский находит и лечит, но зверь проявляется снова (рассылается по корпоративной сети).
Заплатка от Microsoft не помогает.

[Sphinx]

что за процесс conime.exe??? еще бы ничего, если бы он был в 1 экземпляре, так у меня он расплодился как кролики в размере аж 70 штук

последний установленый софт DES Advanced (Dynamic Energa Saver), прога от Gigabyte. ОС Vista x86 SP1

[paparazzi]

что за процесс conime.exe??? еще бы ничего, если бы он был в 1 экземпляре, так у меня он расплодился как кролики в размере аж 70 штук

троянский процес ( попробуй загрузить утилиту AVZ, а сам вирус наверняка прописан в реестр
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe %windir%\\system32\\drivers\\conime.exe"

[Sphinx]

что за процесс conime.exe??? еще бы ничего, если бы он был в 1 экземпляре, так у меня он расплодился как кролики в размере аж 70 штук

троянский процес ( попробуй загрузить утилиту AVZ, а сам вирус наверняка прописан в реестр
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe %windir%\\system32\\drivers\\conime.exe"

хм странно, каспер не видит, ща попробую загрузить проверить. о результате отпишусь

[Sphinx]

поиск не принес резалтов...

P.S.: проверял AVZ, KIS 2009

[borec_za_istinu]

А файлик этот вообще в директории windows присутствует?