Автор Тема: Как убить вирус. Курс молодого бойца  (Прочитано 14025 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн οlden

  • Старожил
  • ЛЕНИН. Ленин муж.
  • Авто: другое
  • Город: Kyiv
Re: Как убить вирус. Курс молодого бойца
« Ответ #50 : 09 March 2010, 13:22:11 »
CAHR
если AUTORUN.INF остался папкой (хоть и стал видимым), значит этому вирусу эта защита не по зубам. Все нормально. Автоматически заразиться комп, в который эту флешку воткнешь, не сможет. А если на компе есть антивирь-монитор, то он и само тело вируса пришибет. Либо сам удалишь вручную.
Таких як я, поміж таких як я, ще пошукати!

Оффлайн Archy

  • Пользователь
Re: Как убить вирус. Курс молодого бойца
« Ответ #51 : 26 August 2010, 15:45:36 »
Также можно воспользоваться утилитой AVZ -разблокирует диспетчер и права в реестре.

Оффлайн οlden

  • Старожил
  • ЛЕНИН. Ленин муж.
  • Авто: другое
  • Город: Kyiv
Еще парочка "интересных" мест при охоте на вирус.

Некоторые вируса очень любят менять файл C:\WINDOWS\SYSTEM32\drivers\etc\hosts. Понапишут туда всякого, что может помешать вам ходить по некоторым сайтам.

Показателем что с hosts не все в порядке является:
1) его наличие в указанной папке с неправильным названием (правильное - "hosts", и чтобы там не подменили например латинскую "о" на кириллическую, которую не отличишь "на глаз")
2) наличие в указанной папке скрытого файла "hosts"
3) если в файле  "hosts" кроме записи "127.0.0.1 localhost" есть еще записи типа "xxx.xxx.xxx.xxx my.domain.com". Исключением можно считать записи со словом "adobe" (например "update.adobe.com 127.0.0.1"). Это вы просто пользуетесь ломаным Фотошопом (или другим продуктом Adobe) :) и это всего лишь часть взлома программы. Т.е. такие записи считаем кошерными.
4) Если в редакторе реестра ключ  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\DataBasePath имеет значение НЕ "%SystemRoot%\System32\drivers\etc"
Таких як я, поміж таких як я, ще пошукати!

Оффлайн οlden

  • Старожил
  • ЛЕНИН. Ленин муж.
  • Авто: другое
  • Город: Kyiv
Я здесь ранее уже упоминал ключ реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options и параметр Debugger.

Думаю надо чуть подробнее.
Если например в указанном ключе создать подключ для любой часто используемой программы, ну например "calc.exe" (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\calc.exe), и в нем добавить параметр Debugger со значением ну например "c:\documents and settings\Admin\Local Settings\Temp\wjhhev.exe", то возможны две ситуации:
1) вредоносный файл  (в нашем примере - wjhhev.exe) в указанной папке есть - в итоге вирус запускается при каждом запуске указанной программы (в нашем примере - калькулятора)
2) вредоносный файл  (в нашем примере - wjhhev.exe) в указанной папке отсутствует (удален вручную или антивирусом) - в результате ваша программа (в нашем примере - калькулятор) просто не запустится.

Так что если после чистки антивирусом какие-то программы у вас перестали запускаться, вам в первую очередь искать подобные ключи в "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options" и как минимум удалять в них параметр "Debugger"
Таких як я, поміж таких як я, ще пошукати!

Оффлайн οlden

  • Старожил
  • ЛЕНИН. Ленин муж.
  • Авто: другое
  • Город: Kyiv
Рассмотрим ситуацию "Антивирус все почистил, вируса в системе не висят, а я не могу зайти на антивирусные и другие популярные сайты".
Недавно столкнулся и с таким. Не мог зайти на сайты Авиры, Касперского, Др.Вэб.

В первую очередь надо проверить файл hosts, как я уже описал выше, и нет ли в нем записей для сайтов на которые вы не можете зайти.
Если с hosts все в порядке, то вероятно вирус внес изменения в т.н. "таблицы маршрутизации" (routing tables).

Проверяется просто. "Пуск -> Выполнить" ("Start -> Run"), запускаем команду cmd (cmd.exe).
В появившемся окне командной строки набираем команду route print
Она покажет наши таблицы маршрутизации.
Ищем в них разделы Постоянные маршруты (Persistent Routes).
В идеале в них должна быть только одна запись "Отсутствует" ("None").
Иначе (куча IP-адресов) - скорее всего тут поработал вирус.
В таком случае нам может помочь выполнение тут же команды route -f и последующая обязательная перезагрузка компа.
« Последнее редактирование: 10 May 2011, 12:52:27 от οlden »
Таких як я, поміж таких як я, ще пошукати!

Оффлайн οlden

  • Старожил
  • ЛЕНИН. Ленин муж.
  • Авто: другое
  • Город: Kyiv
И еще. Народ, ну не пользуйтеь вы всякими МэйлРуАгентами и пр. янндексбарами.
Мало того, что они мусорят у вас на компе и лезут в каждую дырку без вазелина. Так еще и в последнее время начали использовать некоторые приемы вирусов. Например тот же МэйлРуГард, который ставится с МэйлРуАгентом, не дает себя убить в списке процессов чисто по-вирусному. И возникает вопрос: а что еще они переняли у вирусов.
Поэтому если уж поставили агента, то мой вам совет - деинсталлируйте Гард от греха подальше.
Таких як я, поміж таких як я, ще пошукати!

Оффлайн AceUA

  • Член клуба
  • Авто: Aveo T250 (1.6)
  • Город: Мариуполь/Харцызск
...хорошая инфа...сам много чего знаю, но тут грамотная пошаговая подборка...

...сегодня предстоит "отвоёвывать" систему...за 5 дней моего отсутствия семья ухитрилась чего-то "подцепить" и оно еще и распространилось по компу...последнее что я увидел - мелькающий экран с "покрасневшим Капером...перезагрузка и всё...теперь не грузится...хорошо ноут есть...

Оффлайн Beat

  • Старожил
  • /dev/null
    • Мой статус
  • Авто: другое
  • Город: Львов
переходите на темную сторону Linux и будет вам счастье :)   

Оффлайн TopdiR

  • Пользователь
  • http://pk-prosto.ru
    • pk-prosto.ru
  • Авто: Aveo T200
  • Город: Киев
Re: Как убить вирус. Курс молодого бойца
« Ответ #58 : 10 February 2012, 12:27:30 »
У меня на сайте также есть пошаговая инструкция как убрать вирус блокирующий Windows и вымогающий деньгу у пользователя.
С позволения автора темы дам ссылку http://pk-prosto.ru/kak-snyat-blokirovky-windows/

P.S. Не судите строго  :)
Уроки и секреты компьютера http://pk-prosto.ru

Оффлайн οlden

  • Старожил
  • ЛЕНИН. Ленин муж.
  • Авто: другое
  • Город: Kyiv
Re: Как убить вирус. Курс молодого бойца
« Ответ #59 : 28 March 2012, 14:40:53 »
Ну я дополню, чтобы все-таки в одном месте без лишней беготни по ссылкам

В последнее время появидись еще более хитрые вирусы "блокировщики-вымогатели". Сам недавно столкнулся с подобным, который нашу молодую бухгалтера обвинял в "Просмотре порно с несовершеннолетними геями" и требовал за размблокировку денюжку (в гривнах кстати).
Обычными средствами побороть не удалось, из чего сделан был вывод, что имеем дело с вирусом, записавшимся в загрузочный сектор диска (MBR) и стартующем еще до операционки.  Яркий признак такого вируса - это то, что сообщение его не содержит никакой графики и использует чисто текстовый режим вывода, в котором разве что цвет шрифта и фона менять можно.

Итак. Как же бороться?

Способ 1. Простой.

Скачиваем образ лечащаго LiveCD Касперского (Kaspersky Rescue Disk  - http://www.kaspersky.ru/virusscanner ).
Записываем его на болванку CD.
Загружемся с нее и запускаем сканирование (не забывая отметить обязательно сканирование MBR).
В большинстве случаев это поможет.

Способ 2. Чуть сложнее.

Для начала нужно иметь загрузочный диск Windows XP Pro (для Windows 7 немного процедура отличается, но смысл тот же).
Загружаемся с него.
Когда установщик Windows XP загрузит свои файлы в оперативную память ПК, появится диалоговое окно
Цитировать (выделенное)
"Установка Windows XP Professional"
,
 с меню выбора, в котором есть пункт
Цитировать (выделенное)
Чтобы восстановить Windows XP с помощью консоли восстановления, нажмите R
Жмем R.
Загрузится консоль восстановления.
Появится следующее сообщение (вданном примере для единственной операционки, установленной на диск С):
Цитировать (выделенное)
1: C: \WINDOWS
В какую копию Windows следует выполнить вход?
Вводим номер копии (здесь это - 1), жмем Enter.
Появится сообщение:
Цитировать (выделенное)
Введите пароль администратора:
Вводим пароль (если пустой то не вводим :) ), жмем Enter
Появится приглашение системы:
Цитировать (выделенное)
C:\WINDOWS>
Вводим команду fixboot, жмем Enter
Появится сообщение:
Цитировать (выделенное)
Конечный раздел: C:.
Хотите записать новый загрузочный сектор в раздел C:?
Вводим y, жмем Enter
Появится сообщение:
Цитировать (выделенное)
Файловая система в загрузочном разделе: NTFS (или FAT32).
Команда FIXBOOT записывает новый загрузочный сектор.
Новый загрузочный сектор успешно записан.
На появившееся приглашение системы C:\WINDOWS>
вводим команду fixmbr, жмем Enter
Появится сообщение:
Цитировать (выделенное)
**ПРЕДУПРЕЖДЕНИЕ**
На этом компьютере присутствует нестандартная или недопустимая основная загрузочная запись. При использовании FIXMBR можно повредить имеющуюся таблицу разделов. Это приведет к утере доступа ко всем разделам текущего жесткого диска.
Если отсутствуют проблемы доступа к диску, рекомендуется прервать работу команды FIXMBR.
Подтверждаете запись новой MBR?
Вводим y, жмем Enter
Появится сообщение:
Цитировать (выделенное)
Производится новая основная загрузочная запись на физический диск \Device\Harddisk0\Partition0.
Новая основная загрузочная запись успешно сделана.
На появившееся приглашение системы C:\WINDOWS>
вводим exit, начнется перезагрузка компьютера.
Вінимаем загрузочный CD.

Это все
Таких як я, поміж таких як я, ще пошукати!

Оффлайн SanSanych

  • Модераторы
  • просто слежу за порядком!
  • Авто: Aveo T200
  • Город: Харьков
Re: Как убить вирус. Курс молодого бойца
« Ответ #60 : 04 April 2012, 08:57:34 »
οlden, я не много дополню :)
 Самый простой способ от "блокировщики-вымогатели" на самом деле это не совсем вирус это сначала скрипт который помогает проникнуть в ПК програмке потому антивири и не срабатывают!

На 7 проверено грузимся в безопасном режиме перед  загрузкой раб стола вызываем диспетчер задач там увидим левую прогу типа hgfha.exe (название может быть разное но отличаться от ситемных файлов) запоминаем название снимаем задачу грузим експлорер если сам не закинулся включаем просмотр скрытых файлов и поиском ищем файл и удаляем не зависимо от того нашли или нет лезем в регистр и поиском находим где файл прописан удаляем запись и ВСЕ!

проверено на ноуте одноклубника и еще парочке левых компов :) данный способ работает только если диспечер не блокирован, если диспечер вызвать не удается то вам не повезло и надо использовать более сложный способ repa кстати на 7 довольно редко блокируют диспечер все таки защита системы успевает сработать!

А вообще правильно писали тут не хочешь возиться с вирусней переходи на линукс или мак :) тем более линукс сейчас  интуитивный и перейти на него не сложно :)
не знаешь что делать? делай шаг в перёд   к.т.0503641659

Оффлайн grits

  • Старожил
  • Донецк
Возможно кому-нибудь пригодится:
https://www.drweb.com/xperf/unlocker/gallery/

Самый простой способ визуально определить трояна, ввести-таки код разблокировки, после чего проехаться по всей системе Dr.Web CureIt!
http://www.freedrweb.com/cureit/


!  Внимание! Размещение заведомо ложной информации (п.4.2(й) правил форума) будет наказываться в 2х кратном размере.