Перейти к содержанию

Антивирусы и файерволы


Рекомендуемые сообщения

Словил с флешки чего-то, аваст нашел в систем32 несколько файлов типа 32.scr, 89.scr итд, половину обозвал троянами, половину руткитами, также в C:\System Volume Information\{много цифр}\_restore нашелся руткит kernel-mode, жалуется на адрес в памяти. Аваст с ним не справился, авз4 тоже! как быть?.. :'-(

 

C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\4RABSV2T\x[1]
C:\WINDOWS\system32\57.scr

 

С советами погуглить идите в лес! >_

Ссылка на комментарий
Поделиться на другие сайты

AVZ4 не мог не справиться если нашел, пробуй лучше :-D А то что в \System Volume Information\{много цифр}\_restore просто поубивать, отключить восстановление системы

 

Да, и еще, иди в гугл http://www.google.com/search?client=opera&...-8&oe=utf-8

Ссылка на комментарий
Поделиться на другие сайты

  Цитата
Словил с флешки чего-то
Очень советую отключить автозагрузку с флешки. Самый правильный и надёжный способ (если Windows XP), без потери списка выбора желаемого действия, при вставке флешки:

0)Запустить regedit.

1)Очистить содержимое в рееестре HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoint2

2)Запретить доступ(запись и чтение) из этого раздела для всех пользователей (Все).

3)Повторить операции 0-2 для других учётных записей, если нужно.

 

Даже пункт меню Открыть флешки в проводнике autorun.inf не сможет подменить запуском трояна после вышеприведённого действа.

Естественно, как при любых работах с реестром, создайте контрольную точку востановления. ;-)

 

 

А если есть Каспер 2009, то с этим можно не парится, тк в его настройках можно отключить автозапуск.

Ссылка на комментарий
Поделиться на другие сайты

  Прохор сказал:
AVZ4 не мог не справиться если нашел, пробуй лучше :-D А то что в \System Volume Information\{много цифр}\_restore просто поубивать, отключить восстановление системы

 

Да, и еще, иди в гугл http://www.google.com/search?client=opera&...-8&oe=utf-8

Авз4 удалил процесс 1sass, еще какой-то сунул в карантин, восстановил функции гист, но проблема не исчезла, и аваст продолжает также находить эти *.скр и прочее.

По поводу систем волюм информатион, туда доступ закрыт, я бы вообще весь раздел грохнул. Пробовал из безопасного режима, тоже ничего не вышло. :wall:

На другом пк такая же шляпа, отформатировал диск ц, заново установил винду, прошло полчаса и там началась эта бяка. Пишет ошибку систем.ехэ, вебпаблишер.ехэ и отрубает звук. На будущее, конечно, обезопашусь, а сейчас-то что делать, как удалить эту заразу? :-(

Ссылка на комментарий
Поделиться на другие сайты

  Цитата
На другом пк такая же шляпа, отформатировал диск ц,
У тебя есть сетка? Если да то выруби.

Но если ты отформатировал только диск С:, то у тебя остались autorun.inf на других дисках. Их нужно удалить, иначе при переустановке системы они вновь запустятся и все старания пойдут на смарку.

Изменено пользователем laMer007
Ссылка на комментарий
Поделиться на другие сайты

Autoruns и Process Explorer тебе в руки, дабы вычислить гада. Хех. И убивай вручную. System Volume Information ты сможешь убить, например, загрузившись с WinPE.
Ссылка на комментарий
Поделиться на другие сайты

В XP Tweaker была функция отключения "Слежение системы за пользователём" или "System File Protection" или как-то так. Поставь XP Tweaker, отключи и можно будет System Volume Information снести.
Ссылка на комментарий
Поделиться на другие сайты

  Прохор сказал:
Торерчик

http://www.google.com/search?client=opera&...-8&oe=utf-8

И по моей ссылочке в первом посте тоже сходи ;)

Права назначить не получается.

 

ДрВеб помог, частично, первая перезагрузка и всё, снова вылазют одни и те же файлы из самых разных мест. ((((

Ссылка на комментарий
Поделиться на другие сайты

пуск - все программы- стандартные - служебные - систем ресторе - систем ресторе сеттингс - галка отключить его на всех дисках - ребут - папка с систем волюмом будет очищена

нафига права-то получать?

 

кстати права получить нормально пашет, это к сведенью

http://support.microsoft.com/kb/309531/ru

добавляешь своего пользователя в безопастности и ставишь ему полный доступ

 

  Цитата
туда доступ закрыт, я бы вообще весь раздел грохнул.
ну дык, формат с: при установки винды начисто убивает все что только есть на разделе Изменено пользователем Майк
Ссылка на комментарий
Поделиться на другие сайты

  Майк сказал:
пуск - все программы- стандартные - служебные - систем ресторе - систем ресторе сеттингс - галка отключить его на всех дисках - ребут - папка с систем волюмом будет очищена

нафига права-то получать?

"Восстановлению системы не удается защитить компьютер. Попрбуйте перезагрузить и попробовать снова."

Перезагрузка не помогает. Так что вариант отпадает.

 

  Майк сказал:
кстати права получить нормально пашет, это к сведенью

http://support.microsoft.com/kb/309531/ru

добавляешь своего пользователя в безопастности и ставишь ему полный доступ

 

Пользователя добавить не могу, все опции неактивны. =\

 

  Майк сказал:
ну дык, формат с: при установки винды начисто убивает все что только есть на разделе

Д забит под завязку: музыка, клипы, плагины, документы, скопировать сейчас некуда, а удалять ну ОЧЕНЬ жалко, к тому же многое потом восстановить не смогу. А один только ц не спасает. ((

 

Кстати, ХРТвикер не помог, не может он вырубить эту хрень, так как файл либо не тот, либо не та конфигурация. :-!

Ссылка на комментарий
Поделиться на другие сайты

Берёшь программу Process Explorer, грузишься в безопасный режим, убиваешь через неё все лишние и левые процессы. Потом запускаешь что-нибудь, что позволяет видеть скрытые файлы(FAR, Total Commander) и убиваешь всё подозрительное с дисков(autorun.inf и тот файл, который в нём указан, да и вообще всё скрытое в корне диска). Ждёшь. Если заново не появляется - reset и устанавливаешь винду с форматом с:. Если появляется - значит что-то недоубил в процессах. Кстати, вирусяки не только через autorun.inf, но и через comment.htt и desktop.ini прекрасно заражают всё.

 

Либо, ищешь диск с WinPE, грузишься, убиваешь всё вирусообразное(и system volume information), после чего так же ставишь винду с форматом с:

 

Хех. Способы проверенные не одним десятком раз.

 

P.S. Если честно, то вообще не понимаю, как можно так долго бороться с вирусами? 0_о

Ссылка на комментарий
Поделиться на другие сайты

нет, именно С: и спасет если на нем вин стоит, хорошо, перед установкой загрузится с загрузочного диска и в файл-менеджере Ёпнуть скрытый авторан.инф на всех доступных дисках :) опосля форматирования системы на С: ничего того, что могло бы вновь восстановить авторан или загрузить что-то из недр D: не останется, ну ты же не нуболамер в конце концов чтоб верить в "вирусы притаившиеся на краю диска или записавшиеся в шлейф"

 

  Цитата
а удалять ну ОЧЕНЬ жалко
после установки чистой вины ты сможешь назначить себе права на доступ к волюм информейшену на Д так как никто не будет этому воспрепятствовать и грохнуть все там на всякий пожарный, то что систему нагнуло качественно можно не сомневатся, ну если не преувеличиваешь :) и переставлять дешевле чем маяться с лечением, хотя я бы конечно помаялся
Ссылка на комментарий
Поделиться на другие сайты

  /eX/ сказал:
P.S. Если честно, то вообще не понимаю, как можно так долго бороться с вирусами? 0_о

я вообще не понимаю как можно так качественно нахвататься вирусов О_о

Ссылка на комментарий
Поделиться на другие сайты

  Цитата
Пользователя добавить не могу, все опции неактивны. =\

Незнаю, поможет ли, но попробуй под системным пользователем:

1)Пуск\Выполнить.

2)Пиши Cmd .

3)Жми Enter и в окне пиши:

at 17:00 /interactive "cmd"

, где 17:00 = текущее время + ~5 минут. Жми Enter.

4)Ctrl+Alt+Delete.

5)Правой кнопкой на explorer.exe и завершить дерево процессов.

6)Ждёшь ~5 минут.

7)Появится окно с надписью svchost.exe и пиши там Explorer и жми Enter.

8)Ты и твоя стая троянов с вирусами под пользователем System. Постарайся воспользоватся ситуацией...

Ссылка на комментарий
Поделиться на другие сайты

  Майк сказал:
я вообще не понимаю как можно так качественно нахвататься вирусов О_о
Да +1, собственно. 0_о

 

 

  laMer007 сказал:
Незнаю, поможет ли, но попробуй под системным пользователем:

1)Пуск\Выполнить.

2)Пиши Cmd .

3)Жми Enter и в окне пиши:

at 17:00 /interactive "cmd"

, где 17:00 = текущее время + ~5 минут. Жми Enter.

4)Ctrl+Alt+Delete.

5)Правой кнопкой на explorer.exe и завершить дерево процессов.

6)Ждёшь ~5 минут.

7)Появится окно с надписью svchost.exe и пиши там Explorer и жми Enter.

8)Ты и твоя стая троянов с вирусами под пользователем System. Постарайся воспользоватся ситуацией...

Гм.. В чём сакральный смысл-то, а? Вирусы и так как правило из под System сидят. А некоторые и сам explorer заражают, порой так качественно, что пока он запущен, фиг ты заразу с дисков вычистишь.
Ссылка на комментарий
Поделиться на другие сайты

  Цитата
Если честно, то вообще не понимаю, как можно так долго бороться с вирусами? 0_о

Берёшь программу Process Explorer. Либо, ищешь диск с WinPE

Не все же умеют ими пользоватся. Даже опытному человеку тяжело иногда вычислить какой поток или dll гадит из процесса, если это внутрипроцессовый троян, а не выполненый отдельным процессом. Пытаемся пользоватся тем, что доступно человеку. Не будет конечно лишним, если он научится или хотя-бы попробует воспользоватся этими утилитами...

 

  Цитата
В чём сакральный смысл-то, а?
Права получить. Пользователю System убить программу пользователя System легче, чем пользователю Гость убить программу пользователя System.

 

  Цитата
А некоторые и сам explorer заражают
Ну я не против. Запускай в конце вместо explorer.exe программу cmd или Total Commander. Можно даже под безопасным режимом (F5). Это дело хозяйское.

 

 

Можешь ешё попробовать VirusVaccine.cmd. Я не пробовал (предпочитаю ручками), но со слов автора удаляет autorun.inf со всех дисков и убирает симптомы вирусов, типа: не ставящиеся галочки, не меняющиеся другие настройки, убирается скрытость скрытых файлов и тд.

Предупреждаю: Не лечит от вирусов, а только уберает некоторую симптоматику. А дальше всё делать ручками...

Помоему ещё запрещает автозапуск с флешек и жёстких дисков. Но работает, только под пользователями, наделёнными администраторскими правами. Тот способ запрещения, который я описывал выше - работает и без админских прав.

VirusVaccine.zipПолучение информации...

Изменено пользователем laMer007
Ссылка на комментарий
Поделиться на другие сайты

  laMer007 сказал:
Не все же умеют ими пользоватся. Даже опытному человеку тяжело иногда вычислить какой поток или dll гадит из процесса, если это внутрипроцессовый троян, а не выполненый отдельным процессом. Пытаемся пользоватся тем, что доступно человеку. Не будет конечно лишним, если он научится или хотя-бы попробует воспользоватся этими утилитами...

 

Права получить. Пользователю System убить программу пользователя System легче, чем пользователю Гость убить программу пользователя System.

 

Ну я не против. Запускай в конце вместо explorer.exe программу cmd или Total Commander. Можно даже под безопасным режимом (F5). Это дело хозяйское.

 

 

Можешь ешё попробовать VirusVaccine.cmd. Я не пробовал (предпочитаю ручками), но со слов автора удаляет autorun.inf со всех дисков и убирает симптомы вирусов, типа: не ставящиеся галочки, не меняющиеся другие настройки, убирается скрытость скрытых файлов и тд.

Не знаю, не знаю. Там всё подробно расписывается, кто, где, куда, и зачем. Плюс видно, какой процесс что запускает.

 

Тот же ProceExp, емнип, спокойно убивает любые системные процессы, в отличие от диспетчера задач. Хех.

Ссылка на комментарий
Поделиться на другие сайты

Я говорил о потоках и DLL внутри процесса, а не о процессах. Но даже с обычными процессами не каждый разберётся. ;-)
Ссылка на комментарий
Поделиться на другие сайты

Просто есть такие трояны, которые, например в том же explorer.exe, в виде потока и DLL живут в процессе, то троян можно таким образом грохнуть. Вообще Explorer можно безболезненно завершить, не отыскивая поток, DLL. Ещё хуже, если таким образом заражён системный процесс. И в результате после убийства этого процесса комп падает в синий экран. Сдесь помогают, только эти методы(убийство потока, DLL). ;-) Изменено пользователем laMer007
Ссылка на комментарий
Поделиться на другие сайты

Значит не встречал таких. Хех. И системных процессов, убивая которые, призываешь синий экран - тоже. Впрочем, утихаю - обсуждение ушло в сторону.

 

-На буке синий экран появлялся, в процессе работы др. веба.-

Ссылка на комментарий
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...