Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Вирус(ы) в ОС Windows. Проблемы. Решения. (II)

Модерирует : KLASS, IFkO

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38

Открыть новую тему     Написать ответ в эту тему

KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Предыдущие части: -I-

Вирусы в Windows XP, Vista, 7, 8, 8.1, 10.
Проблемы. Решения.


Стандартные действия

Вариант №1

1. Скачиваем Dr.Web LiveDiskСсылка ведёт на страницу загрузки, записываем диск, загружаемся и проверяем системы на вирусы.  
И\или
Скачиваем Kaspersky Rescue DiskСсылка ведёт на страницу загрузки: на ядре Linux (вирусы под win не пройдут, а под *nix их нет, по крайней мере живых), ядро от десятой версии и изменена "никсовая" оболочка. Обновление происходит раз в неделю. Записываем диск, загружаемся, обновляем базы и проверяем системы на вирусы.
Вариант №2

1. Скачиваем загрузочный диск на базе LiveCD (Ссылки в Варезнике LiveCD/BootCD (DVD/USB) на базе OPK WinPE)
2. Скачиваем антивирусы работающие без инсталляции.
2.1 Dr.Web CureIT!Ссылка ведёт на страницу загрузки  
2.2 Kaspersky Virus Removal Tool (AVPTool)Ссылка ведёт на страницу загрузки  
3. Прожигаем скачанный LiveCD на болванку, перезагружаемся, выставляем в биосе загрузку с CD\DVD(Что бы зайти в биос, нужно нажимать после включения компьютера кнопки Del или F2, зависит от производителя материнской платы.) На некоторых материнских платах, возможно вызвать Boot Menu нажав F8 при загрузке и выбрать загрузку с CD\DVD не заходя в биос.  
4. Проверяем одной утилитой, перезагружаемся, проверяем второй утилитой, пытаемся загрузить систему.  
Желательно отключить систему восстановления. Свойства системы-система восстановления.

Разница между вариантом №1 и вариантом №2 заключается в следующем:
Если нет возможности скачать LiveCD, то проверяйте компьютер в безопасном режиме. При загрузке нажимать F8, выбрать верхний пункт(Safe Mode или безопасный режим). В этом случае при сохранение CureIt и AVPTool к себе на компьютер переименовывайте файлы. Ряд вирус блокирует запуск при стандартном имени файла.
Это стандартные действия, которые не гарантируют восстановление работоспособности ОС, НО! 90% проблем решается таким способом.
Если не помогает, то скачиваем AVZ, сканируем и выкладываем лог. Обязательно указываем какая версия Windows.

Полезные инструменты(утилиты)

Sysinternals (Microsoft) Process ExplorerВыдает подробнейшую информацию обо всех запущенных процессах, включая владельца, использование памяти, задействованные библиотеки и т.д.
Sysinternals (Microsoft) AutorunsПозволяет контролировать автозагрузку запускающихся при старте операционной системы сервисов, приложений и других компонентов.
Sysinternals (Microsoft) Process Monitorпрограмма для мониторинга файловой системы, реестра и процессов в оперативной памяти. Filemon+Regmon
HijackThisпрограмма для удаления невидимых spyware
AutoLoggerавтоматический сборщик логов, более подробное описание утилиты смотрите на странице скачивания.
AdwCleanerпрограмма для удаления тулбаров, adware и другого рекламного мусора.
RegASSASSINПрограмма для удаления "заблокированных" веток и ключей в реестре из-за mailware
SOSКомплект программ  для диагностики/реанимации/оптимизации/защиты/профилактики Windows. Скачать
SmartFixЭффективная программа для быстрого автоматического исправления неполадок Оф.сайт

Темы на форуме

Обсуждение wannaCry в админском разделе..
Помощь при лечении компьютера от вирусовпомощь от "хелперов" с "VirusInfo". В топике строгие правила. Внимательно читаем шапку.
Антивирусы (Antivirus'ы) не требующие инсталяциикому не хватает CureIT и AVPTool
AVZ - Anti-SpyWare, Anti-AdWare
Восстановление WindowsКак вернуть Windows к жизни без переустановки
Windows заблокирован!отдельный топик по решению проблем с вирусом блокирующим запуск ОС и требующем выслать денег по СМС.
Обзор антивирусов (и др. средств безопасности на их основе) под Windоws 98/XP/Vista/7/8/8.1/10
Полезные ссылки в интернете

Закрываемся от вируса-шифровальщика WannaCry
VirusTotal — бесплатная служба, осуществляющая анализ подозрительных файлов и ссылок (URL) на предмет выявления вирусов, червей, троянов и всевозможных вредоносных программ.  
Чистые системные файлы Windows, которые заражают блокерыссылка ведёт на страницу закачки
Поиск описания  вирусов по названию
Советы по лечению ПК от Олега Зайцева, автора Avz
Ручное лечение компьютера от вирусовСпец.форум по проблемам с вирусамих.
Очистка Windows от вирусовСтатья от FuzzyL
Список "левых" служб, ссылающихся на svchost.exe, для WindowsXP
Страница VirusHunter`a — "Диспетчер задач\реестр\настройки рабочего стола  заблокирован(ы) .." Подборка полезных "точечных" утилит.  
Безопасный Интернет. Универсальная защита для Windows ME - Vista — автор-составитель антивирусный эксперт, золотой бета-тестер Лаборатории Касперского Николай Головко
 
Прежде чем изменять шапку спроси здесь. Не спросил-запрет на пост! KLASS

Всего записей: 11058 | Зарегистр. 12-10-2001 | Отправлено: 18:31 16-02-2017 | Исправлено: 526549, 18:38 09-01-2019
Living things



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
simplix
У меня ещё вопрос о возможностях вашей программы. Скажите, если она исправляет ошибки, восстанавливает Windows, то можно ли её использовать, когда вирусов нет, но система глючит, тормозит? Поможет ли SmartFix продлить "полноценную жизнь" сборки Windows?

Всего записей: 2666 | Зарегистр. 12-07-2012 | Отправлено: 20:07 16-02-2017
simplix



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Living things
Можно, и по журналу работы видно, что именно было сделано. Результат зависит от того, что именно не работало. Если причина проблемы известна программе и может быть устранена автоматически - она будет исправлена.

----------
Быстрое автоматическое исправление неполадок

Всего записей: 1151 | Зарегистр. 08-08-2005 | Отправлено: 21:39 16-02-2017
Victor_VG



Tracker Mod
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
simplix
 
Напишите как разработчик аннотацию к программе с указанием возможностей и ограничений её алгоритма в проекции на область его применения, и если люди не смогут понять с чем столкнулись, то вы сможете им помочь. Иначе будет много вопросов вызванных именно непониманием области применимости вашего инструмента, в том числе вызванных потерей данных от его неграмотного использования. Тут это самый разумный вариант.

----------
Жив курилка! (Р. Ролан, "Кола Брюньон")
Xeon E5 2697v2/C602/128 GB PC3-14900L/GTX 1660 Ti, Xeon E5-2697v2/C602J/128 Gb PC3-14900L/GTX 1660 Ti

Всего записей: 33133 | Зарегистр. 31-07-2002 | Отправлено: 16:02 18-02-2017
simplix



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Victor_VG
На сайте есть ссылка на форум, где описаны возможности программы, принцип работы и рекомендации. SmartFix не может привести к потере данных, так как содержит множество механизмов для безопасной работы, а для его использования не нужно быть грамотным пользователем, это автоматическое средство исправления неполадок.

----------
Быстрое автоматическое исправление неполадок

Всего записей: 1151 | Зарегистр. 08-08-2005 | Отправлено: 11:22 19-02-2017
glass4217

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Всем добрый день, тут довольно часто появляются вопросы по поводу того как защитить свои бэкапы от возможного заражения вирусами шифровальщиками.
 
Я опишу тот механизм который мы используем для резервного копирования баз данных 1с.
Собственно сам механизм резервного копирования мы подробно разбирать не будем не та тема форума))), будем смотреть на механизм работы самого зловреда.
 
В большинстве своем шифровальщики действуют достаточно прямолинейно, но в тот же момент это дает максимальный урон.
Некоторые форумчане высказывали свою мысль что шифрование начинается с системного диска, включая рабочий стол и другие каталоги профиля жертвы а затем переходит к следующему по списку диску по схеме "A:"-"Z:", назовем их группой A
Другие считают что зловред начинает с обратного конца, то есть с последнего тома до первого по схеме "Z:"-"A:", назовем их группой Z
Вы все правы, есть и те и другие зловреды обитают но у каждого своя цель.
 
Вирусы шифровальщики из группы A действуют по принципу максимально скоростного блокирования документации расположенной на рабочем столе или иных папках профиля пользователя(тем самым выдавая себя), попутно возможен вариант с блокировкой ОС с красивой заставкой и требованием выкупа (чаще всего встречается в домашнем сегменте).
 
Вирусы из группы Z действуют немного по другому, в первую очередь создается несколько способов запуска самого себя и укоренение в системе будь то планировщик задач, автозагрузка, подмена ярлыков или просто подмена Shell. Затем начинает поиск доступных дисков начиная с конца алфавита, найдя такой диск и получив к нему доступ начинает свое черное дело, при этом контролируя нагрузку на процессор и оперативную память, дабы не вызвать "лагов" и "тормозов", тем самым скрывая свое присутствие.
В дальнейшем закончим с одним Диском, будь то сетевой или локальный зловред переходит к следующему и продолжает до тех пор пока не доберется до системного диска (причем некоторые не гнушаются проверить A: и B: диски), там уже закончив со своей задачей, только в этот момент привлекает внимание пользователя зашифрованными файлами.
 
Теперь собственно к защите бэкапов.
 
Не столь важно, какая у вас версия и тип 1С(старая новая, локальна или на MsSQL), тут в принципе суть одна везде, нужно сформировать файл бэкапа и сунуть его в такое место куда зловред не доберется.
 
Собственно как мы сделали у себя, у нас 1С на MsSQL...
 
Не будем вдаваться в подробности резервного копирования на MsSQL, но MsSQL умеет работать с внешними приложениями в данном случае мы использовали CMD, собственно в задачу резервного копирования первым пунктом мы добавляем команду подключить сетевой диск - (Z: ), после выполнения бэкапа, и проведения проверки на целостность, отключаем сетевой диск.
 
Один нюанс конечно есть, чтобы MsSQL начал работать с CMD ему надо "рассказать" что он умеет так. В планах обслуживания создаем новую задачу, а в ней добавляем инструкцию T-SQL
в который записываем:
 
 

Код:
EXEC sp_configure 'show advanced options', 1
GO  
RECONFIGURE
GO
EXEC sp_configure 'xp_cmdshell', 1
GO
RECONFIGURE
GO
 

 
сохраняем и исполняем... все мускул прокачался
 
затем в плане бэкапа собственно опять же добавляем инструкцию T-SQL и выставляем ее как выполняемую прямо перед самим бэкапом
 

Код:
GO
EXEC xp_cmdshell 'net use z: \\192.168.1.6\data2 password /user:Domen\BackUpUser';
 

 
 
Доступ из сети к каталогу data2 должен быть тооолько у пользователя BackUpUser для пущей паранойи.
 
после выполнения бэкапа
 

Код:
EXEC xp_cmdshell 'net use z: /delete';
 

 
 
Собственно те кто пользуются локальной версией 1С также вполне могут использовать подобный способ, есть конечно свои нюансы но вовремя исполненный бат-файл или бат-файл с примерно таким  
 
содержимым перед началом резервного копирования:
 

Код:
net use z: \\192.168.1.6\data2 password /user:Domen\BackUpUser
 

и Бат-файл с примерно таким содержимым после завершения копирования

Код:
 
net use z: /delete
 

 
 
 
Опять же все описанное здесь является только моим мнением и не претендует на звание авторитарной, я опирался на свой опыт по борьбе с вирусами шифровальщиками и опыт попыток обезопасить резервные копии от посягательств.
 

Всего записей: 28 | Зарегистр. 10-04-2010 | Отправлено: 02:51 22-02-2017 | Исправлено: glass4217, 04:37 22-02-2017
emil9



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
весьма занятная статья на китайском форуме (можно перевести в гугле)  
http://bbs.kafan.cn/thread-2069598-1-1.html
 
создали самодельный шифровальщик который обходит практически все виды антивирусов, включая каспера, докторвеба и spyshelter

Всего записей: 2090 | Зарегистр. 16-10-2002 | Отправлено: 00:17 01-04-2017
Living things



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
emil9
Ничего необычного, потому что они все прекрасно обходят защиту антивирусов.

Всего записей: 2666 | Зарегистр. 12-07-2012 | Отправлено: 11:36 01-04-2017
emil9



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Living things
необычно там то что он обходит и те программы которые позиционируют себя как антишифровальщики. например hitman pro alert , битдефендеровскую приблуду и прочие. Но конечно надо признать что защита по дефолту это не то же что настроенные вручную. например если настроить spyshelter на ручной режим , то шифровальщик там не запуститься , выскочит окно , далее запрещаем и все. Но вот комодо например автоматом отправил процессы в песочницу на дефольных настройках, хотя в spyshelter песочница тоже есть, но получается не сработала.

Всего записей: 2090 | Зарегистр. 16-10-2002 | Отправлено: 14:16 01-04-2017 | Исправлено: emil9, 14:20 01-04-2017
Living things



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
emil9
Так антивирусы и от обычных вирусов не гарантируют 100% защиту. И от пользователя  кое-что требуется: небольшая компьютерная грамотность и внимательность. А заявлять и обещать производители софта могут всё что угодно и нынче популярно- им же надо как-то продавать свой продукт. Нет, я не говорю, что они ничего не делают, пытаются, и может со временем доведут до совершенства свою антивирусную защиту. Хотя мошенники тоже не дремлют. Уж больно прибыльный это бизнес.

Всего записей: 2666 | Зарегистр. 12-07-2012 | Отправлено: 16:45 01-04-2017
savant_a



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Living things
Цитата:
И от пользователя  кое-что требуется: небольшая компьютерная грамотность
В этом плане при серфинге очень помогает NoScript. Да, немного неудобно в ряде случаев, но все настраиваемо. И NoScript я почему-то в плане безопасности ставлю выше, нежели сам антивирус.
Ну, и конечно же:
Цитата:
внимательность
Надо смотреть в какие ссылки тыкать. С входящей электронной корреспонденцией по e-mail, файлами на чужих сменных носителях, и autorun.inf на них тоже надо быть внимательным, тут NoScript ни чем помочь не может.
Есть еще другие дополнения, в том числе и для других браузеров, да и вообще методы, но с этим лучше в соответствующие темы.

----------
Выход есть!

Всего записей: 867 | Зарегистр. 23-03-2010 | Отправлено: 17:16 01-04-2017
emil9



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
savant_a
ну с точки зрения скриптов  no script вещь полезная, но как быть с обычными скачиваемыми файлами с сюрпризом? к тому же аддоны порой сами с уязвимостями, наберите no script vulnerability в поисковике гугл.Да и обычным блондинкам не поставишь, там же надо нажимать)).
 
Добавлено:

Цитата:
Надо смотреть в какие ссылки тыкать. С входящей электронной корреспонденцией по e-mail, файлами на чужих сменных носителях, и autorun.inf на них тоже надо быть внимательным

 99 % хрен сообразят где что смотреть и какой логический вывод сделать, 10 раз говорил и показывал как смотреть , все равно получают письмо и жмакают ссылку ." ну там же написано отчёт за квартал"))
- но я же предупреждал не нажимать .
- а это не моя забота, мне некогда разбираться , у меня много писем

Всего записей: 2090 | Зарегистр. 16-10-2002 | Отправлено: 23:58 01-04-2017 | Исправлено: emil9, 00:04 02-04-2017
savant_a



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
emil9
Цитата:
" ну там же написано отчёт за квартал"))
- но я же предупреждал не нажимать .
- а это не моя забота, мне некогда разбираться , у меня много писем
Типичный главбух, который все знает, а в случае чего - это ты тут специально чего-то натыкал в выходные, ну, а то, что в понедельник и вторник все работало, а вот сегодня (среда) - это вообще вопрос десятый, все равно виноват админ.
Цитата:
Да и обычным блондинкам не поставишь, там же надо нажимать)).

Цитата:
но как быть с обычными скачиваемыми файлами с сюрпризом
Социальная инженерия. Таки-да, слабое место здесь - прокладка между стулом и клавиатурой.
Почту гоню через свой комп, ту, что "фирменная", хотя бухгалтеру что-то там пересылают на ее личный ящик.
Стоит антивирь, всякие там анти-автораны (*.inf), два раза в месяц снимаю загрузочным Acronis'ом полный backup, благо по объему что-то в районе 30 гектар выходит образ. Загрузочными антивирусами дополнительно прогоняю комп. Если что-то делаю (обновы, доп.софт) "репетирую" несколько раз, на случай, если потом что-то пойдет не так. Также всех собак спустят.

----------
Выход есть!

Всего записей: 867 | Зарегистр. 23-03-2010 | Отправлено: 08:57 02-04-2017 | Исправлено: savant_a, 08:57 02-04-2017
zzz528

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Проверял свежим drweb live и он мне выдал privoxy за вирус.  Я много лет им пользуюсь prvxy нету там вируса знаю точно, и дрвеблом тоже - до этого раза он не чудил такое.

Всего записей: 1643 | Зарегистр. 20-06-2005 | Отправлено: 06:07 28-04-2017
Living things



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
zzz528
Так это нужно было ответить в теме Dr. Web, а не здесь.

Всего записей: 2666 | Зарегистр. 12-07-2012 | Отправлено: 10:42 28-04-2017
regist123



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
zzz528, нету тут никакой ошибки. Privoxy - потенциально опасная программа. Есть куча тем, где он был установлен на комп вирусом и использовался для вывода рекламы пользователю. Если вы его установили сами и сами настроили, то понятно, что у вас не будет проблемы.
Это типа как радмин - если он стоит с вашего разрешения, то порядок, а если вы без понятия откуда он вас взялся, то ахтунг. И антивирус обязан вас о таких прогах предупреждать.
 


----------
Раздачи и акции

Всего записей: 7189 | Зарегистр. 20-03-2009 | Отправлено: 10:05 29-04-2017
VV2006

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
zzz528, вообще, в таких случаях полезно было бы приводить конкретное сообщение антивируса.

Всего записей: 2123 | Зарегистр. 10-02-2006 | Отправлено: 13:00 29-04-2017
VV2006

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Глобальная хакерская атака на частные и государственные учреждения продолжает расширяться. Согласно последним данным, жертвами хакеров стали структуры в 99 странах мира.
Для атаки использовался код Eternal Blue, украденный хакерской группой Shadow Brokers у американского Национального агентства безопасности (NSA) около месяца назад.
 
Код использовал уязвимость в операционной системе Windows. В корпорации Microsoft сообщили, что для закрытия уязвимости еще 14 марта была выпущена заплатка, однако многие организации до сих пор не установили последние обновления Windows.

 
В свете последних событий рекомендуется к прочтению и применению.

Всего записей: 2123 | Зарегистр. 10-02-2006 | Отправлено: 10:06 13-05-2017
Abs62



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
К применению в первую очередь рекомендуется заплатка от MS.

----------
0 программистов ругал сердитый шеф
Потом уволил одного, и стало их FF

Всего записей: 6077 | Зарегистр. 22-10-2005 | Отправлено: 14:40 13-05-2017
moroka33



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Доброго.
VV2006

Цитата:
В свете последних событий рекомендуется

Вопрос важный, признателен за рекомендацию, попробовал применить на своей ХР3, но столкнулся с проблемой следующего содержания:
рекомендовано ввести из под админа команду:

Цитата:
sc stop lanmanserver

после ввода в окне должен быть ответ, приведенный на скрине со страницы по линку к прочтению...
вместо него вижу следующее:

Цитата:
[SC] ControlServise FAILED 1051:

Прикинул и решил, для начала проверить, а открыт ли у меня 445_й порт, для чего ввел команду согласно указанию:

Цитата:
netstat -n -a | findstr "LISTENING" | findstr ":445", чтобы убедиться, что порт отключен. Если будут пустые строчки, порт не прослушивается.

вместо пустых или непустых строк наблюдаю ответ:
"netstart" не является внутренней или внешней командой, исполняемой программой или пакетным файлом.
Может рекомендация расчитана на ОСи от 7_ки и выше и не предусмотрена для ХР или еще какая непонятка?
Просьба к разбирающимся в вопросе указать на ошибку в действиях, при наличии, или порекомендовать, что-то для ХР3, т.к. многие из постояльцев сидят на ХР...
Благодарю, с наилучшими.)

Всего записей: 4264 | Зарегистр. 31-07-2009 | Отправлено: 14:42 13-05-2017 | Исправлено: moroka33, 14:45 13-05-2017
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Вирус(ы) в ОС Windows. Проблемы. Решения. (II)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru