Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Вирус(ы) в ОС Windows. Проблемы. Решения. (II)

Модерирует : KLASS, IFkO

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38

Открыть новую тему     Написать ответ в эту тему

KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Предыдущие части: -I-

Вирусы в Windows XP, Vista, 7, 8, 8.1, 10.
Проблемы. Решения.


Стандартные действия

Вариант №1

1. Скачиваем Dr.Web LiveDiskСсылка ведёт на страницу загрузки, записываем диск, загружаемся и проверяем системы на вирусы.  
И\или
Скачиваем Kaspersky Rescue DiskСсылка ведёт на страницу загрузки: на ядре Linux (вирусы под win не пройдут, а под *nix их нет, по крайней мере живых), ядро от десятой версии и изменена "никсовая" оболочка. Обновление происходит раз в неделю. Записываем диск, загружаемся, обновляем базы и проверяем системы на вирусы.
Вариант №2

1. Скачиваем загрузочный диск на базе LiveCD (Ссылки в Варезнике LiveCD/BootCD (DVD/USB) на базе OPK WinPE)
2. Скачиваем антивирусы работающие без инсталляции.
2.1 Dr.Web CureIT!Ссылка ведёт на страницу загрузки  
2.2 Kaspersky Virus Removal Tool (AVPTool)Ссылка ведёт на страницу загрузки  
3. Прожигаем скачанный LiveCD на болванку, перезагружаемся, выставляем в биосе загрузку с CD\DVD(Что бы зайти в биос, нужно нажимать после включения компьютера кнопки Del или F2, зависит от производителя материнской платы.) На некоторых материнских платах, возможно вызвать Boot Menu нажав F8 при загрузке и выбрать загрузку с CD\DVD не заходя в биос.  
4. Проверяем одной утилитой, перезагружаемся, проверяем второй утилитой, пытаемся загрузить систему.  
Желательно отключить систему восстановления. Свойства системы-система восстановления.

Разница между вариантом №1 и вариантом №2 заключается в следующем:
Если нет возможности скачать LiveCD, то проверяйте компьютер в безопасном режиме. При загрузке нажимать F8, выбрать верхний пункт(Safe Mode или безопасный режим). В этом случае при сохранение CureIt и AVPTool к себе на компьютер переименовывайте файлы. Ряд вирус блокирует запуск при стандартном имени файла.
Это стандартные действия, которые не гарантируют восстановление работоспособности ОС, НО! 90% проблем решается таким способом.
Если не помогает, то скачиваем AVZ, сканируем и выкладываем лог. Обязательно указываем какая версия Windows.

Полезные инструменты(утилиты)

Sysinternals (Microsoft) Process ExplorerВыдает подробнейшую информацию обо всех запущенных процессах, включая владельца, использование памяти, задействованные библиотеки и т.д.
Sysinternals (Microsoft) AutorunsПозволяет контролировать автозагрузку запускающихся при старте операционной системы сервисов, приложений и других компонентов.
Sysinternals (Microsoft) Process Monitorпрограмма для мониторинга файловой системы, реестра и процессов в оперативной памяти. Filemon+Regmon
HijackThisпрограмма для удаления невидимых spyware
AutoLoggerавтоматический сборщик логов, более подробное описание утилиты смотрите на странице скачивания.
AdwCleanerпрограмма для удаления тулбаров, adware и другого рекламного мусора.
RegASSASSINПрограмма для удаления "заблокированных" веток и ключей в реестре из-за mailware
SOSКомплект программ  для диагностики/реанимации/оптимизации/защиты/профилактики Windows. Скачать
SmartFixЭффективная программа для быстрого автоматического исправления неполадок Оф.сайт

Темы на форуме

Обсуждение wannaCry в админском разделе..
Помощь при лечении компьютера от вирусовпомощь от "хелперов" с "VirusInfo". В топике строгие правила. Внимательно читаем шапку.
Антивирусы (Antivirus'ы) не требующие инсталяциикому не хватает CureIT и AVPTool
AVZ - Anti-SpyWare, Anti-AdWare
Восстановление WindowsКак вернуть Windows к жизни без переустановки
Windows заблокирован!отдельный топик по решению проблем с вирусом блокирующим запуск ОС и требующем выслать денег по СМС.
Обзор антивирусов (и др. средств безопасности на их основе) под Windоws 98/XP/Vista/7/8/8.1/10
Полезные ссылки в интернете

Закрываемся от вируса-шифровальщика WannaCry
VirusTotal — бесплатная служба, осуществляющая анализ подозрительных файлов и ссылок (URL) на предмет выявления вирусов, червей, троянов и всевозможных вредоносных программ.  
Чистые системные файлы Windows, которые заражают блокерыссылка ведёт на страницу закачки
Поиск описания  вирусов по названию
Советы по лечению ПК от Олега Зайцева, автора Avz
Ручное лечение компьютера от вирусовСпец.форум по проблемам с вирусамих.
Очистка Windows от вирусовСтатья от FuzzyL
Список "левых" служб, ссылающихся на svchost.exe, для WindowsXP
Страница VirusHunter`a — "Диспетчер задач\реестр\настройки рабочего стола  заблокирован(ы) .." Подборка полезных "точечных" утилит.  
Безопасный Интернет. Универсальная защита для Windows ME - Vista — автор-составитель антивирусный эксперт, золотой бета-тестер Лаборатории Касперского Николай Головко
 
Прежде чем изменять шапку спроси здесь. Не спросил-запрет на пост! KLASS

Всего записей: 11062 | Зарегистр. 12-10-2001 | Отправлено: 18:31 16-02-2017 | Исправлено: 526549, 18:38 09-01-2019
KismetT_v3



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
А почему их нельзя упрятать за решётку (чисто теоретически, без учёта бездеятельности и пофигизма  ментов в раскрытии данных преступлений)?

Потому что это нах никому не нужно в следствии большой загруженности ментов работой и ихнему пох-зму, большинство из них заточены на получении дохода помимо своей зарплаты.
Вот когда влетит какая нибудь крупная шишка на бабки тогда начнут чесаться или чисто случайно набредут на этих деятелей.

----------
Это я .... И это тоже я .... Мы из этих

Всего записей: 2471 | Зарегистр. 08-04-2016 | Отправлено: 14:28 12-02-2019
regist123



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Living things написал(а)
Цитата:
А почему их нельзя упрятать за решётку (чисто теоретически, без учёта бездеятельности и пофигизма  ментов в раскрытии данных преступлений)?

Да, потому что с точки зрения ментов это не мошенники, а бизнесмены )))).
Купили - перепродали в тридорога... за что их сажать? А тем более для того, чтобы "менты" стали действовать надо сначала заявление написать. А народ ленится даже на авторов трояна писать, уже не говоря о каких-то посредниках к которым сами по собственной глупости идут.

Всего записей: 7189 | Зарегистр. 20-03-2009 | Отправлено: 19:20 12-02-2019
KismetT_v3



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
А народ ленится даже на авторов трояна писать, уже не говоря о каких-то посредниках к которым сами по собственной глупости идут.

Народ пишет заявление в отделе полиции на украденные с карт деньги, а ему там в открытую говорят, что никто заниматься розыском украденного не будет. Такая вот у нас полиция, хотя корни всего этого не там.

----------
Это я .... И это тоже я .... Мы из этих

Всего записей: 2471 | Зарегистр. 08-04-2016 | Отправлено: 20:26 12-02-2019
Igor ED

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
У меня антивирус Avira время от времени запускает сканер Luke Filewalker. Так тот пытается поместить файл KMSAuto Net.exe в карантин. Как его отучить делать это? Сама Avira однажды поместила этот файл в карантин. Я вернул его, причём попросил (галочкой) больше так не делать. Она больше и не пытается. А вот как настроить Luke Filewaker, не знаю.

Всего записей: 60 | Зарегистр. 03-03-2017 | Отправлено: 16:19 03-03-2019
RetroRocket



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Igor ED
Цитата:
Как его отучить делать это?

Вопрос про настройку антивируса логичнее задать в теме про него - "Avira AntiVir Personal (антивирус, antivirus)".

----------
"... Зовёт, зовёт в дорогу далёкий Млечный Путь ..."

Всего записей: 2682 | Зарегистр. 02-01-2018 | Отправлено: 10:25 04-03-2019
Cavallon37

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
"расшифровки нет.  
 
Добавлено:  
Itepy 03:31 28-08-2018 [?]
Цитата:
описанный тут.
 
статья толковая, но пару поправок к ней внесу.  
1) Описанная там фирма для дешифровки работает по этому принципу:  
https://safezone.cc:443/threads/vremonte812-ru.26498/  
https://safezone.cc:443/threads/kompjuternyj-servis-po-rasshifrovke-fajlov.25232/  
2) Форумы антивирусов на которые там ссылаются, точней люди чьи ответы там цитируют никакого отношения к тех. поддержке указанных антивирусов не имеют (и связи с тех. поддержкой тоже нет). А просто добровольцы безвозмездно помогающие с лечением вирусов своими собственными силами."
 
Ну, уже есть вроди http://itsecurity-ru.com/viruses/crypted000007

Всего записей: 2 | Зарегистр. 20-12-2017 | Отправлено: 21:49 06-03-2019
emil9



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Cavallon37
а что там есть? там вариант с shadow explorer который не прокатит если шифровальщик стер теневые копии , еще и не факт что создание оных было задействовано, плюс вариант с восстановлением программно старых файлов, что может и не сработать в 99% случаев. Именно инструмента расшифровки нет

Всего записей: 2090 | Зарегистр. 16-10-2002 | Отправлено: 19:07 07-03-2019
mrdime



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Господа, сегодня пришла на мыло с моего-же рабочего мыла (т.е. сам себе получается отправил письмо) такая хрень:
 
Security Alert. Your accounts was hacked by criminal group
Погуглил, такая хрень давно рассылается. Решений нормальных не нашел.
НО, насколько реальны угрозы, написанные в письме (кроме ахинеи про порно-сайты, т.к. такой фигней не увлекаюсь)? Имею в виду угрозы зашифровать инфу.
 
Рабочим мылом пользуюсь редко, с него почти ничего никуда не шлю (захожу в него через Outlook 2016). Подозреваю, что админы что-то где-то провтыкали и дыра у них.  
 
ОС Windows 10 LTSB 2016 x64, антивиря нет.  
Год назад как поставил винду, антивиь так и не поставил.
Пасс на мыло почему-то сменить не могу: ввожу пасс, который записан в настройках ящика, выдает, что пароль неправильный, хотя почту принимает и отправляет без проблем.

Всего записей: 2975 | Зарегистр. 04-01-2005 | Отправлено: 18:02 12-03-2019 | Исправлено: mrdime, 18:03 12-03-2019
RetroRocket



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
mrdime
Цитата:
сегодня пришла на мыло с моего-же рабочего мыла (т.е. сам себе получается отправил письмо) такая хрень:
Для примера - http://forum.ru-board.com/topic.cgi?forum=55&topic=13242#1
Забить. Для успокоения можно сменить пароли.  

Цитата:
ввожу пасс, который записан в настройках ящика, выдает, что пароль неправильный, хотя почту принимает и отправляет без проблем.
Наберите правильный пароль в блокноте и Ctrl+C / Ctrl+V его в форму смены пароля через веб-интерфейс ящика.

----------
"... Зовёт, зовёт в дорогу далёкий Млечный Путь ..."

Всего записей: 2682 | Зарегистр. 02-01-2018 | Отправлено: 18:45 12-03-2019
RonnY



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Получал похожее. Там ещё интереснее: некий кул-хацкер якобы записал с моей веб-камеры (которая не работает, но он про это не знает) видео, где я затвор передёргиваю )) И просил 2000 баксов в биткоинах за сохранение моей social life. Можно было даже отложить срок уплаты, открыв notepad и написав такую просьбу (типа тот всё видит удаленно и разрешит, ога).
 
Хрень какая-то, я так думаю. Тру-вымогатели сначала доказательства предоставляют, что у них есть что-то нужное тебе, за что и просят выкуп. Типа как выше в этой теме писали - прислали уже зашифрованные файлы пользователя, чтобы намекнуть - это реально...

Всего записей: 260 | Зарегистр. 24-03-2004 | Отправлено: 19:30 12-03-2019
mrdime



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
RetroRocket

Цитата:
Для успокоения можно сменить пароли.  

Так и сделал. У нас почта "хитрая": веб-интерфейса нет (вернее уже не работает давненько, возможно из соображений безопасности админы отключили). Но пасс таки поменял: немного затупил, со сменой, но уже разобрался. Спасибо.
 
Меня только вопрос мучает: как они умудрились отправить мне письмо из моего же почтового ящика?
 
Насколько я понимаю для этого им как минимум надо было узнать либо мой пароль, либо получить доступ к учеткам кого-либо из админов. И тут либо 1-й вариант, либо 2-й - все равно плохо.
 
Интересен тот факт, что в письме они пишут, что типа взломали мою систему еще 21/10/2018, а пароль к почте и своей учетке я менял не позднее чем месяц назад.
Т.е. либо они врут и получили доступ к моей почте недавно, либо это подтверждение того, что они внедрили зловред в роутер (как сами же и пишут) и действительно оперативно перехватывают пароли.

Всего записей: 2975 | Зарегистр. 04-01-2005 | Отправлено: 02:16 13-03-2019
RetroRocket



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
mrdime
Цитата:
как они умудрились отправить мне письмо из моего же почтового ящика?

Да не факт что из вашего. Обычная подмена полей в заголовке письма.
Даже в настройках ящика в The_Bat! можно задать произвольные адреса для полей From и Reply-To.
Более-менее серьёзные почтовые сервисы не дадут отправить письмо, если в поле From указан не тот адрес, с которого реально пытаешься отправить письмо.
Как минимум, gmail, mail.ru и yandex отклоняют попытки отправить такие письма.
У меня в The_Bat! уже много лет настроен спам-фильтр - если отправитель равен получателю, то пометить письмо как спам и удалить.

----------
"... Зовёт, зовёт в дорогу далёкий Млечный Путь ..."

Всего записей: 2682 | Зарегистр. 02-01-2018 | Отправлено: 08:37 13-03-2019
regist123



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
mrdime обычный развод "лохов". Ничего они не взломали. Просто если они разошлют тысячу писем и хотя бы несколько человек оттуда купятся и оплатят им требуемую сумму они уже будут рады.
Заголовки, что отправили с вашей почты это подделка, как написали выше. А в лучшем случае всё что у них есть это ваш емейл и старые пароли из слитых в сети старых баз (а может и этого нет). Эти письма рассылаются в том числе и на несуществующие ящики, так что у них там походу просто какой-то скрипт который наугад всем спамит.

Всего записей: 7189 | Зарегистр. 20-03-2009 | Отправлено: 18:13 13-03-2019
Tridentifer



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
regist123
 
Пара вопросов есть.

Всего записей: 2226 | Зарегистр. 23-10-2009 | Отправлено: 05:00 19-04-2019 | Исправлено: Tridentifer, 05:02 19-04-2019
regist123



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Tridentifer написал(а)
Цитата:
Пара вопросов есть [?].

Tridentifer
мне добавить к вашему посту нечего. Если и встречал подобное, то уже не помню детали, да и смотрим то мы обычно через логи, которые некоторый мусор (если он не прописан на запуск) тоже могут не показать.
Если у вас есть исходный файл, который заражает, то проще всего поставить куда-нибудь и отмониторить например Process Explorer (с фильтром по дереву процесса этой игры), что и где он создаёт. Либо какой-то автопесочницей типа гибриданализ воспользоваться (но не факт, что там отработает) и посмотреть потом отчёт, что и куда пишется. Но наверняка и это вы тоже знали.
 
Add. и ещё наверно лучше сначала распаковать установщик. Скорее всего там будет отдельно сама игра и отдельно какой-то небольшой дроппер, который запускается во время установки. Если распаковать, то возможно его можно будет выделить отдельно и изучать отдельно этот небольшой файл и не отвлекаться на кучу создаваемых легальных файлов от игры.

Всего записей: 7189 | Зарегистр. 20-03-2009 | Отправлено: 12:11 20-04-2019 | Исправлено: regist123, 12:17 20-04-2019
alerman

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ещё одна подобная тема:
http://www.cyberforum.ru/viruses/thread2440424.html

Всего записей: 3 | Зарегистр. 12-02-2009 | Отправлено: 12:57 22-04-2019 | Исправлено: alerman, 12:59 22-04-2019
Tridentifer



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
regist123

Цитата:
Если у вас есть исходный файл, который заражает, то проще всего поставить куда-нибудь и отмониторить например Process Explorer (с фильтром по дереву процесса этой игры), что и где он создаёт.

Нашёл, это была игра с rutracker: Enchanted Kingdom 5: Descent of the Elders Collector's Edition (Rus/Eng] (2019)
Установщик - Inno Setup, упоминаний host.exe и profile.exe в скрипте установщика нет.
В установщике два исполняемых файла *.exe, после установки остаётся один, virustotal 32/71
Эти самые файлы и были виновниками описанного мной выше.
Ссылка на архив с исполняемыми файлами, кому интересно: #
 
Также пытаются получить доступ к системным настройкам и что-то поменять игры Dawn Of Hope 3 (Rus) и Nevertales 8 (Rus) с того же rutracker.
 
Для обычных пользователей решил вопрос 'дёшево и сердито' силами Безопасности Windows и самого Защитника Windows.
 
alerman

Цитата:
Ещё одна подобная тема:

К несчастью, пока все варианты этого 'зловреда' не будут исчерпаны и пока лаборатории АВ не будут их 'детектить на корню', подобные темы будут появляться снова.
Обычным пользователям тоже нужно запомнить, что стоит настороженно относиться ко всему в интернете, включая 'давно проверенные и родные' источники.
И если уж нет понимания темы (к примеру, на исполняемый файл игры 'навешен' протектор, который даёт ложные срабатывания), то не следовать советам вроде 'отключить антивирус на время установки', 'внести папку с игрой в исключения'.

Всего записей: 2226 | Зарегистр. 23-10-2009 | Отправлено: 04:23 24-04-2019 | Исправлено: Tridentifer, 04:24 24-04-2019
regist123



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Tridentifer написал(а)
Цитата:
Ссылка на архив с исполняемыми файлами, кому интересно: #

Один и тот же файл со слегка изменённым именем в двух экземплярах. Сам файл чистый, но не исключено что там в инсталяторе ещё что-то было зашито. Ибо при запуске этого файла вылетает ошибка lib-game.dll не хватает. Либо всё-таки заразились другой игрой.

Всего записей: 7189 | Зарегистр. 20-03-2009 | Отправлено: 19:38 30-04-2019
Living things



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
С уверенностью на 99% могу сказать, что вирус заключён в установке сторонних курсоров.  
Установленный ESET NOD32 вообще ничего не видел и не сообщал. Скачала утилиту-сканер dr web, и он на первых секундах выявил одну угрозу.  
Заметила, что во всех браузерах временами происходит непонятное: при открытии ссылки или картинки предлагается что-то скачать. Но прибегнуть к сканированию ПК на вирусы меня вынудила другая проблема: невозможность переименовать созданные новые папки. На сайте Microsoft утверждают, что это из-за вируса. Однако после лечения ПК, моя проблема осталась. Решила откатиться до точки восстановления. Естественно после перезагрузки ПК исчезли ранее установленные программы, в т.ч. и курсоры. Они у меня хранятся на ЖД, я с открытым в браузере сайтом вновь установила. Моё внимание привлекла некая активность в левом нижнем углу экрана, где значок Windows (что-то создание подключений, хоста...), хотя на сайте я ничего не делала.  
Обратившись к dr web, картинка повторилась.



 
Да, если кому-то будет интересно, вот зловред:
https://yadi.sk/d/im9O7e_Hswjrdw
 
P.S. Кто может порекомендовать нормальные сайты с курсорами для Windows без вирусов?

Всего записей: 2666 | Зарегистр. 12-07-2012 | Отправлено: 20:36 23-06-2019
tmpl

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
с открытым в браузере сайтом

 
Неужели DeviantArt?

Всего записей: 1274 | Зарегистр. 22-03-2008 | Отправлено: 21:06 23-06-2019
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Вирус(ы) в ОС Windows. Проблемы. Решения. (II)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru