Последнее посещение: меньше минуты назад Текущее время: 23 ноя 2017, 00:03

Часовой пояс: UTC + 10 часов [ Летнее время ]




 [ Сообщений: 70 ]  На страницу 1, 2, 3, 4, 5 ... 7  След.
Автор Сообщение
 Заголовок сообщения: Вирусы с флэшэк - борьба(рекомендации) и свой опыт
СообщениеДобавлено: 21 ноя 2008, 15:22 
Не в сети
модератор
модератор
Аватар пользователя

Зарегистрирован: 29 май 2008, 09:25
Сообщений: 1870
Откуда: Оттуда
Вирусы, распространяющиеся через USB-флэшки и методы борьбы с ними.
Думаю будет нелишней тема.

Тема открыта для комментариев, так что, если у кого что есть добавить по данной тематике - пожалуйста.

1. Тем, к кому вирусы "пробраться" не успели, но у кого на ПК не установлен никакой антивирусный пакет, рекомендую остановить свой выбор на каком-либо антивирусе, установить его на ПК, запустить в режим постоянной защиты и своевременно обновлять антивирусные базы. это элементарные меры профилактики, пренебрежение которыми может лишить вас ценной информации, хранящейся на HDD, а также потратить уйму времени и нервов на избавление от заразившего ПК вируса.
Кстати "о птичках":

2. Различные антивирусы могут называть один и тот же вирус по-разному. Поэтому речь будет идти о некоем обобщенном вирусе, основными заметными действиями которого является (помимо распространения своиих копий через флэшку):
- создание в корневом разделе дисков ряда зараженных файлов, типовыми из которых являются файл с именем autorun.* и файлы с расширениями *.com и *.exe, определяющиеся антивирусным ПО как зараженные.
- блокировка для пользователя таких функций ОС как командная строка (cmd) и редактор реестра (regedit), а также некоторых других.
- невозможность включения в "проводнике" (explorer) отображения скрытых и системных файлов.
- непонятные "стракозяблы" вместо привычного "открыть" в меню, вызываемом по правому клику мыши на иконке логического диска, а также ошибка с сообщением о невозможности открыть файл при двойном клике на иконке логического диска.
- и т.д. и т.п.

Т.к. все вирусы "косячат" по-своему, то общего механизма лечения не существует и не надо острить про format C:. Задача этой темы - попытаться избавиться от "заразы" не прибегая к таким кардинальным решениям.

Во-первых ваша учетная запись должна обладать правами администратора. Что это такое здесь не рассматривается, подразумевается, что все это и так знают. Из программного обеспечения в обязательном порядке рекомендую Total Commander (с включенным режимом отображения скрытых и системных файлов и плагином просмотра автозапускающихся программ (например startup guard), а также плагином редактирования реестра (использовать по желанию)) и TuneUp Utilites 2007 (обладает альтернативным редактором реестра и возможностью просмотра программ, находящихся в автозапуске). Что это за ПО и где его брать здесь также не рассматривается, поиск вам в руки. Использование данного ПО определено исключительно моими предпочтениями, вы можете юзать и другое с аналогичным функционалом.

Итак на ПК отсутствует антивирус и проявились описанные выше симптомы заражения. Первое что делаем, идем в:


пуск - выполнить - gpedit.msc - "конфигурация пользователя" - "административные шаблоны" - "система" - параметр "отключить автозапуск" - выставить состояние "включен / на всех дисководах"

затем:


пуск - выполнить - gpedit.msc - "конфигурация компьютера" - "административные шаблоны" - "система" - параметр "отключить автозапуск" - выставить состояние "включен / на всех дисководах"

(примеч. на ОС Windows XP Home Edition не работает! но вы можете использовать утилитку tweakui в которой есть аналогичная функция)
Далее:


В ТС смотрим плагином startup guard что у нас вообще в автозагрузке находится, отключаем (удаляем) лишние/подозрительные вещи (рассчитано на средний уровень пользователей, если вы "ламер" - попросите помочь вашего более продвинутого друга), параллельно удаляем из корня всех локальных дисков скрытые файлы по критериям описанным выше. У неопытных пользователей есть шанс "убить" из корневого раздела системного диска нужный исполняемый файл, поэтому ограничтесь удалением autorun.* и папок runauto... если таковые там окажутся. Если что-то удаляться откажется, пропускаем, идем далее.

Далее перегружаем ПК, а затем с помощью редактора реестра TuneUp Utilites чистим реестр удаляя:


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe - удалить параметр Debugger.
HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe - удалить параметр Debugger
HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe - удалить параметр Debugger
HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe - удалить параметр Debugger
HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedt32.exe - удалить параметр Debugger
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\S haredAccess\Parameters\FirewallPolicy\StandardProf ile\AuthorizedApplications\List - удалить параметр C:\WINDOWS\lsass.exe
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\S haredAccess\Parameters\FirewallPolicy\StandardProf ile\AuthorizedApplications\List - удалить параметр C:\WINDOWS\lsass.exe
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\S haredAccess\Parameters\FirewallPolicy\StandardProf ile\AuthorizedApplications\List - удалить параметр C:\WINDOWS\lsass.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\SharedAccess\Parameters\FirewallPolicy\Standard Profile\AuthorizedApplications\List - удалить параметр C:\WINDOWS\lsass.exe

В качестве дополнительных действий (или если раньше не удалилось) пробуем еще раз в ТС удалить лишние файлы из корня диска, а также пробуем сделать это в командной строке (которая к этому моменту после манипуляций с реестром должна заработать)


Запускаем cmd. Здесь набираем команду RD для каждого диска, т.е.:
rd C:\runauto...\ /s /q
rd D:\runauto...\ /s /q
rd E:\runauto...\ /s /q
и т.д.

Дополнительно можете добавить в реестр следующий код (включение отображения в "проводнике" скрытых файлов)


Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001

Перезагружаем машину. Ставим антивирус. Обновляем базы. Сканируем все локальные диски на предмет остатков от вируса.



--------------------------------------------------------------------------------

Всё вышесказанное по большей части относилось к вирусу runauto и подобным, вот еще добавлено для вируса ntde1ect.com


Это троянец, определяемый как Win32/Pacex или Win32/PSW.Agent.NDP trojan. Как от него избавиться:
1) Открыть диспечер задач (Ctrl-Alt-Del)
2) Если запущен процесс wscript.exe - завершить его
3) Завершить explorer.exe
4) В диспечере процессов "файл - новая задача (выполнить)"
5) cmd
6) выполнить следующую команду, заменив c:\ поочередно всеми буквами ваших локальных дисков
del c:\autorun.* /f /a /s /q
7) перейти в Windows\System32 командой cd c:\windows\system32
8) выполнить dir /a avp*.*
9) если вы увидите в списке имена типа avp0.dll или avpo.exe или avp0.exe, удалите их следующими командами:
attrib -r -s -h avpo.exe
del avpo.exe
и т.д.
10) В диспечере процессов "файл - новая задача (выполнить)" - regedit (это редактор реестра)
11) перейти в ветвь HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
12) если там есть записи типа avpo.exe, - удалить их
13) поискать в реестре записи типа ntde1ect.com и удалить всё что найдете
14) Перезагрузить ПК



--------------------------------------------------------------------------------

Добавлено по вирусу AMVO:


Dawn Of War [09.01.2008]
Доброго времени суток, поселился вирус у меня с файлом amvo.exe и парой dll в папке system32. Конкретно не знаю что делает, но яндекс подсказал что это троян. Все бы ничего, но при попытке открыть логический диск в "Мой Компьютер" эта зараза запускает его в отдельном окне! Удалить никак не получается, ни через консоль, ни через антивирусники (Kaspersky / Avast / nod32). Подскажите что делать.

zizitop [10.01.2008]
можно попробовать загрузиться с Лайф CD, и заюзать какой-нить антивирь (portable-версию).

tehnolog [10.01.2008]
http://virusinfo.info/showthread.php?s= … e&p=168423
http://www.viruslist.com/ru/search?VN=W … eferer=kav
почитай может поможет

Ni9999 [10.01.2008]
Запустить антивирусник (лучше nod32 с последними базами) cmd и unlocker. Сначала убить процесс explorer.exe, затем процесс вируса (amvo.exe) в памяти, затем unlocker-ом на всякий случай переименовать файл виря и затем убить через cmd. После всего этого прогоняем на ПК полную проверку nod32.
З.Ы: переключаться между прогами Alt-Tab.

BornLeader [12.01.2008]
AVZ - прекрасно справляется с этой задачей и в обычном режиме http://z-oleg.com/secur/avz/download.php Кстати, эти файлы скрытые поэтому если в проводнике не настроено показывать скрытые файлы ты естественно их не увидишь и к тому же востановление системы в настройках надо отключать иначе система будет сама вирус подымать из резервной копии папки system32 :)

tribiany [13.01.2008]
Отключи его в автозагрузке и через командную строку удали avm0.exe, а amv0.dll попробуй свежей утилитой cureit от Doctor Web. Кстати и Far Manager должен все увидеть и сможешь через него удалить файлы после остановки процесса amvo.exe.



--------------------------------------------------------------------------------


для уничтожения runauto, fun.xls юзаю батник

@echo on
taskkill /im explorer.exe /f
taskkill /im wscript.exe /f
taskkill /im algsrvs.exe /f
start reg Delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v IMJPMIG8.2 /f
start reg Delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v MsServer /f
start reg Delete
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\ Advanced\Folder\Hidden
\SHOWALL /v CheckedValue /f
start reg add HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\EXplorer\Advanced /v
ShowSuperHidden /t REG_DWORD /d 1 /f
start reg add
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\ Advanced\Folder\Hidden
\SHOWALL /v CheckedValue /t REG_DWORD /d 1 /f
start reg import kill.reg
del c:\autorun.* fun.xls.exe /f /q /as
del %SYSTEMROOT%\system32\autorun.* msime82.exe algsrvs.exe fun.xls.exe msfun80.exe /f /q
/as
del %temp%\~DF8785.tmp ~DFD1D6.tmp ~DFA4C3 ~DFC86B.tmp /f /q /as
del %systemroot%\ufdata2000.log
del d:\autorun.* fun.xls.exe /f /q /as
(далее по всем дискам)
del z:\autorun.* fun.xls.exe /f /q /as
start explorer.exe
----------------------------------------------------------------------

Взято отсюда, с сайта моего родного института(теперь университета)
http://hostel.nstu.ru/viewtopic.php?id=102215

_________________
Чтобы любовь была вечной, равнодушие должно быть взаимным.


Вернуться наверх
  
 
 Заголовок сообщения: Re: Вирусы с флэшэк - борьба(рекомендации) и свой опыт
СообщениеДобавлено: 28 ноя 2008, 13:20 
Не в сети
модератор
модератор
Аватар пользователя

Зарегистрирован: 29 май 2008, 09:25
Сообщений: 1870
Откуда: Оттуда
Если у кого есть свои методы - милости просим, добавляйте!!!

_________________
Чтобы любовь была вечной, равнодушие должно быть взаимным.


Вернуться наверх
  
 
 Заголовок сообщения: Re: Вирусы с флэшэк - борьба(рекомендации) и свой опыт
СообщениеДобавлено: 28 ноя 2008, 13:54 
Не в сети
модератор
модератор
Аватар пользователя

Зарегистрирован: 29 май 2008, 21:09
Сообщений: 891
Скорее всего, ты уже выложил все методы... 8)

_________________
Все, что тебе нужно — это любовь. Джон Леннон сказал. Умный человек, убит выстрелом в спину, грустная история.


Вернуться наверх
  
 
 Заголовок сообщения: Re: Вирусы с флэшэк - борьба(рекомендации) и свой опыт
СообщениеДобавлено: 30 ноя 2008, 10:42 
Не в сети
Ветеран
Ветеран
Аватар пользователя

Зарегистрирован: 09 июн 2008, 18:03
Сообщений: 1669
Откуда: город герой - Дальнегорск
я совсем ламер как авторун удалить?

_________________
Изображение
Изображение


Вернуться наверх
  
 
 Заголовок сообщения: Re: Вирусы с флэшэк - борьба(рекомендации) и свой опыт
СообщениеДобавлено: 30 ноя 2008, 13:05 
Не в сети
Ветеран
Ветеран
Аватар пользователя

Зарегистрирован: 17 июн 2008, 00:06
Сообщений: 1811
Откуда: Dallas, Texas, USA.
Правой кнопкой по autorun.inf => Удалить... Или прогой anti autorun.

_________________
Изображение
Пожалуйста, сдохните наъуй, а?


Вернуться наверх
  
 
 Заголовок сообщения: Re: Вирусы с флэшэк - борьба(рекомендации) и свой опыт
СообщениеДобавлено: 30 ноя 2008, 15:20 
Не в сети
Ветеран
Ветеран
Аватар пользователя

Зарегистрирован: 09 июн 2008, 18:03
Сообщений: 1669
Откуда: город герой - Дальнегорск
анти авторун х*ня полная а где этот файлик найти авторун?

_________________
Изображение
Изображение


Вернуться наверх
  
 
 Заголовок сообщения: Re: Вирусы с флэшэк - борьба(рекомендации) и свой опыт
СообщениеДобавлено: 30 ноя 2008, 15:32 
Не в сети
Ветеран
Ветеран
Аватар пользователя

Зарегистрирован: 17 июн 2008, 00:06
Сообщений: 1811
Откуда: Dallas, Texas, USA.
В корневой папке диска.

_________________
Изображение
Пожалуйста, сдохните наъуй, а?


Вернуться наверх
  
 
 Заголовок сообщения: Re: Вирусы с флэшэк - борьба(рекомендации) и свой опыт
СообщениеДобавлено: 01 дек 2008, 10:49 
Не в сети
модератор
модератор
Аватар пользователя

Зарегистрирован: 29 май 2008, 09:25
Сообщений: 1870
Откуда: Оттуда
Рекомендую - научитесь работать с программой FAR например или подобной.

_________________
Чтобы любовь была вечной, равнодушие должно быть взаимным.


Вернуться наверх
  
 
 Заголовок сообщения: Re: Вирусы с флэшэк - борьба(рекомендации) и свой опыт
СообщениеДобавлено: 01 дек 2008, 16:51 
Не в сети
Ветеран
Ветеран
Аватар пользователя

Зарегистрирован: 17 июн 2008, 00:06
Сообщений: 1811
Откуда: Dallas, Texas, USA.
Не, самый руль - это Total Commander! :D

_________________
Изображение
Пожалуйста, сдохните наъуй, а?


Вернуться наверх
  
 
 Заголовок сообщения: Re: Вирусы с флэшэк - борьба(рекомендации) и свой опыт
СообщениеДобавлено: 14 дек 2008, 23:03 
Не в сети
Участник
Участник
Аватар пользователя

Зарегистрирован: 02 дек 2008, 22:49
Сообщений: 27
Купил 2 флэшки в Китае на 8 гб., закачиваю на них игры все вроде бы в порядке, при распаковке на другой компьютер пишет что файлы повреждены, либо какойто файл работает не правильно. При закачке фильмов музыки все в порядке. Что может быть с ними ? Вирус ?

_________________
Изображение


Вернуться наверх
  
 
 [ Сообщений: 70 ]  На страницу 1, 2, 3, 4, 5 ... 7  След.

Часовой пояс: UTC + 10 часов [ Летнее время ]


Кто сейчас на форуме

Сейчас этот форум просматривают: CommonCrawl [Bot] и гости: 0


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Перейти:  
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Русская поддержка phpBB