Вирусы и Лекарства

[antipod98 0]

А не приходилось пользоваться Win7PE_uVS ? Помогает избавиться от всякой гадости. Проверено на чужих машинах неоднократно.

P.S. Сайт автора найти не смог (где-то на форуме Каспера его находил), так что при скачивании по данной ссылке быть осторожным.

[antipod98 0]

А не приходилось пользоваться Win7PE_uVS ? Помогает избавиться от всякой гадости. Проверено на чужих машинах неоднократно.

P.S. Сайт автора найти не смог (где-то на форуме Каспера его находил), так что при скачивании по данной ссылке быть осторожным.

P.P.S. Вроде ВОТ ЭТО ссылка от автора...

[Bumble-Bee 2]

А не приходилось пользоваться Win7PE_uVS ? Помогает избавиться от всякой гадости. Проверено на чужих машинах неоднократно.

В первый раз вижу! Где гнездится (в основном) зараза, я более менее знаю. В крайнем случае два варианта, из-под LiveCD, типа, SonyaPE, AlkidCD, InfraCD:

- по традиции, бОООООООООльшая часть г..на находится в documents&settings, через TotalCommander или чем ещё --- поиск в папке. По той же самой традиции, там же лежат все данные пользователя: точнее Рабочий стол и документы + временная папка TEMP. К сожалению, руки пока не дошли освоить перенос рабочего стола (или профиля) на другой раздел. Так вот папка TEMP подлежит очистке. А поиск из Тотала по *.exe в Docs&Settings. Просто отмечаю, что и где лежит --- не трогаю, разве что, если в автозагрузке что-то есть --- это обязательно!..

- Реестр, разделы Run, RunOnce, Winlogon и что в SHELL & USERINIT. Заодно там же смотрю что именно, пакую на флэшку. Возвращаю к былым временам.

Перезагрузка! И... тут есть варианты: либо ОК, либо прозевал. Естественно, проверяю userinit.exe, explorer.exe, winlogon.exe --- все на месте и того ли размера. И опять в реестер.

Если время позволяет --- могу с флэшки по злачным местам отправить Каспера, тем более, что с разницей в одни сутки два совершенно разных незнакомых человека словили один и тот же загрузочный вирус. Вот только им и вытер. Копаться в загрузочной области я не умею.

Ну, а потом оставляю потерпевших "сам на сам" с каспером, или доктором (но, что-то у меня в последнее время уверенности в нем практически нет). Впрочем, опыт установки MSE на комп показал, что надо при случае перевести всех пользователей в разряд USER (а может GUEST?), --- так чтобы уж все интимные зоны (типа, \WINDOWS) были прикрыты правами. Хотя мне-то что? Решение о наступлении на грабли принимает владелец компа!..

[Amazonka-MJ 1]

А не приходилось пользоваться Win7PE_uVS ? Помогает избавиться от всякой гадости. Проверено на чужих машинах неоднократно.

P.S. Сайт автора найти не смог (где-то на форуме Каспера его находил), так что при скачивании по данной ссылке быть осторожным.

вот вот. я уже 2 раза ей лечилась. при прямых руках очень быстро лечишся

[antipod98 0]

В первый раз вижу! Где гнездится (в основном) зараза, я более менее знаю. ......... Решение о наступлении на грабли принимает владелец компа!..

Ну в плане ознакомления и повышения общего уровня самообразования Ваш метод имеет место быть. Но чем-то напоминает стрельбу вслепую. Попал - не попал. А вышеназванная утилитка позволяет экономить время и, зачастую, нервы (что весьма критично).

Никого ни к чему не призываю и не агитирую, но ... СтоИт лицензия Касперский 2011, максимальный уровень защиты, ну и остальные примочки. Проблем нет. Уже который год. Хотя за компьютером подавляющее большинство времени сидит дочка, которая очень любит серфить по сети. Потом по логам вижу где, что и когда было отфильтровано и запрещено или заблокировано. Так что для меня Касперский - оптимальный выбор. По поводу иных "хороших бесплатных" антивирей - периодически чищу компьютер знакомым. Так что как-то так ...

Изменено 25 июля, 2011 пользователем antipod98

[Maximilan 2]

Никто не сталкивался с таким же как у меня назойливым вирусом? Распространяется в основном через флэш носители. Делает файлы невидимыми и вместо них создает нерабочие ярлыки. На компьютере не скрывает ни файлы ни папки. После подключения к компьютеру также одаривает ситему вирусами. Отличительная черта: неудаляемая папка $RECYCLE.bin и папка System Volume Information на всех логических дисках. Сразу после удаления появляется вновь. На флэшках от этой проблемы избавились. Но через неотключенный авторан вирус все же попал на жесткие. Единственное удобство, что на жестком он не скрывает папки и файлы. Но все равно находится в системе, что не очень приятно... Мучал его с AVZ, выполнял скрипт как делал с флэшкой, не хочет... Пробовал схему для флэшек "Сохранить текст attrib -S -H /D /S в файле 1.bat на Ваш флеш накопитель в корень диск" кинул во все логические диски. Запускал от администратора - везде пишет нет доступа...

P.s. Стоит Avast, в упор его не видит. На другом компьютере проверяли доктором вэбом, тоже ничего не обнаружил. Сейчас скачал Virus Removal Tool, пытаюсь почистить им систему.

Изменено 14 сентября, 2011 пользователем Maximilan

[Bumble-Bee 2]

Никто не сталкивался с таким же как у меня назойливым вирусом? Распространяется в основном через флэш носители. Делает файлы невидимыми и вместо них создает нерабочие ярлыки.

Старый добрый "троянчег"с ему уж года три как... (ну, я по крайней мере так знаком через доктора)

неудаляемая папка $RECYCLE.bin и папка System Volume Information на всех логических дисках.

ХА!ХА!ХА!ХА! Это виндовые, и что характерно, неубиваемые служебные папки (разве что из под другой ОС).

Но через неотключенный авторан вирус все же попал на жесткие.

Зависит ТОЛЬКО от ваших личных предпочтений, начиная с версии ПРО в виндах (за 2000 не знаю, но должно быть) --- есть в gpedit или secpol не помню точно есть в Свойствах Компьютера Административные шаблоны --- параметры ОТКЛЮЧАЮЩИЙ АВТОЗАПУСК на ВСЕХ дисках, есть некое неудобство, но тут как по душе:

- более менее защищает от особенностей открытия флэх через Эксплорер;

- не срабатывает автозапуск дисков...

- вобщем эти грабли вполне убираются либо каспером, доктором (есть ыункционал по выносу autorun.inf, а в каспере ващще на флэхи можно по-жуткому настроить). И есть программа-костыль по отключению флэшек (платная, замена встроенному "вындавс-органайзеру").

Запускал от администратора - везде пишет нет доступа...

АГА! И назначить ещё и права на папку для СЕБЯ --- ПОЛНЫЙ ДОСТУП. Изменено 14 сентября, 2011 пользователем Bumble-Bee

[Maximilan 2]

Bumble-Bee, да флэшки это не проблема легко чиститься: AVZ скрипт + создание и запуск бат файла. Тут же, на жестких, так просто не катит..

ХА!ХА!ХА!ХА! Это виндовые, и что характерно, неубиваемые служебные папки (разве что из под другой ОС).

Тогда что они у меня забыли на 3 разделах, на которых я никогда не ставил систему? Эти папки должны же быть на том разделе, где стоит система. Отлючу, наверное, autorun - поживем без него.

P.s. запустил Virus Removal Tool, он указал нужные файлы, буду вручную направлять, а то запускать на несколько часов полное сканирование не хочется.

[Bumble-Bee 2]

Тогда что они у меня забыли на 3 разделах, на которых я никогда не ставил систему? Эти папки должны же быть на том разделе, где стоит система.

ЕЩЁ РАЗ ХА! (три-четыре раза)

Итак, $RECYCLE.bin эта папка КОРЗИНЫ для ОС вида Vista/W7 -- то есть что бы ни удаляли на РАЗДЕЛАХ (любой логический диск) эта пака автоматически формируется ОС, особенно нелишне знать, что сколько вы переустанавливали ОС -- "почти" столько же у вас будет подпапок с длинющщщщиииим номером в названии ---> рекомендую периодически наведываться внутрь, с назначением ПОЛНЫХ 100% прав на содержимое (кроме SYSTEM/ADMINISTRATOR) дабы убедиться, что внутри не остались "хвосты" от старых профилей (содержимое корзины). Однако, стоит учесть, что имея на "борту" несколько профилей пользователей в $RECYCLE.bin будет столько же позиций папок с разными цифроименами, хотя, если профилем ни разу не пользовались --- такой каталог не создается, но стоит один раз хоть что-то удалить --- формирование каталога (папки) корзины обеспечено. По крайней мере удобно, когда винда (WinXP , точно) ругается, если корзина на одном из дисков повреждена.

System Volume Information --- эта папка вечна и неубиваема на NTFS. Размер отжираемого места можно сократить/отключить через свойства Системы --- Восстановление системы. Выбираете нужный диск (или все) --- отключаете, но папка будет жить вечно, даже при выносе её (хотя в отключке она занимает что-то около 20 кБ) из-под другой ОС (кстати, на FAT32 она выносится без проблем... где-то видел рецепт по выносу её и на NTFS, но, поскольку она скрытая, то в Тотале или ФАРе к ней нужно просто привыкнуть). Вот чего бы я не стал делать (и даже как сам большой "экономист" места) --- это полное отключение Sytem Volume Information на системном разделе --- ибо планомерное откатывание (пусть и дифференциальное) ОС Акронисом занимает дюже жирное место (а откатываю я обычно полный образ, дифференциальный должен быть меньше: основной образ+копия того, что налипло потом). Вобщем, на усмотрение хозяина компа сколько места выделить системе восстановления... Однако, стоит отметить, шта-а-а-а если появились подозрения на вирус --- SVI лучше все-таки отключить, перезагрузить ПК (желательно проверить системный раздел каспером или доктором), а потом включить.

Отлючу, наверное, autorun - поживем без него.

В WinXP x86-32 sp3 PRO отключение автозапуска покоится в gpedit.msc

Конфигурация компьютера-->Административные шаблоны-->Система и тут же в правой части окна отключить автозапуск поставить ВКЛЮЧЕНА и указать, для чего.

Повторюсь: GPEDIT.msc есть только на ПРОшных виндах (на <=HOME обыщитесь не найдете (по крайней мере WinXP home точно нет))

Открыть текст

P.S.

Ещё есть ключ в Реестре по отключению автозапуска для CD/DVD, но место не помню (перестал запоминать, ибо VMware когда приходит сама предлагает отключить)...

... и ещё в Win7 в Панели управления есть отдельный раздел АВТОЗАПУСК --- прыг в него, и вырубить всё и вся, хотя там всего одна отметка, ну, или каждый вариант перевести в режим бездействия.

Изменено 14 сентября, 2011 пользователем Bumble-Bee

[Maximilan 2]

/.. и ещё в Win7 в Панели управления есть отдельный раздел АВТОЗАПУСК --- прыг в него, и вырубить всё и вся, хотя там всего одна отметка, ну, или каждый вариант перевести в режим бездействия.

Я этим способом и отключал.

P.s. Спасибо за информацию по тем двум товарищам...

[Bumble-Bee 2]

Хм! Предо мной ноут, i5 какой-то HP Pavilion g series, с радиком на борту, и лицензионной виндой --- на этом официальная часть заканчивается.

ПРОБЛЕМА. Некоторые программы запускаются, некоторые нет, в частности AVAST не грузится, нет скайпа, и кой-чего по-мелочи. Однако, Каспер-AVP-Tool пошёл и ничего не нашел (гонял в безопасном), там же в безопасном DrWeb CureIt нашел следы в кэше оперы на том все и закончилось... В реестре "ROOT EXE command shell" все на месте "%1" * (точнее нужно --- смотрите по тырнетам)... Пытаюсь запустить AVZ, AnvirtaskManager --- фигвам... В безопасном --- все работает без вопросов и затыков.

Пока, предварительно выявил заразу, частично обезвредил, и сразу и Аваст вылез, и skype, и ещё пара тройка прог, которых не было... VirusTotal грит, что "его" [вирус] знают только 5 из 42, среди них собственно всеми любимый НОД32, который таки триал, но временно будет поставлен на поиск, потом верну взад АВАСТ... Факт в том, что ни каспер, ни док вирус не видят...

[Bumble-Bee 2]

А! Ну вот собственно, пока воюю с сетью, хотя основная цель достигнута: ВСЕ EXE-шники запускаются под "нормальной" системой, AVZ тоже стал работать, ничего такого, из-за чего бы глаз зацепился (хотя! в журнале винды промелькнуло сообщение, что де в системе завелся корявый драйвер и система его заблокировала. Полез разбираться, драйвер от AVZ )

Ничем не примечательная DLL-ка спокойно лежала, никого не трогала, скромно называлась sevikpa.dll

Перерыв не один километр гугла наткнулся на форума "хакер"-а , где, по крайней мере я увидел наводку кого и где искать (собственно подозрение у меня было и так, SafeMode+AVZ, но, попутно возникла мысль об установке такой же ОС на виртуалку и сравнить... А тут на --- готовый ответ!)

Ну данный конкретный вирь - дллка со случайным именем на вкладке AppInit.

Скопировал, отправил на VirusTotal --- результат: 5 из 42 антивирусов его видят, NOD32 в том числе...

Полез в реестр

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"IconServiceLib"="IconCodecService.dll"

"DdeSendTimeout"=dword:00000000

"DesktopHeapLogging"=dword:00000001

"GDIProcessHandleQuota"=dword:00002710

"ShutdownWarningDialogTimeout"=dword:ffffffff

"USERNestedWindowLimit"=dword:00000032

"USERPostMessageLimit"=dword:00002710

"USERProcessHandleQuota"=dword:00002710

@="mnmsrvc"

"DeviceNotSelectedTimeout"="15"

"Spooler"="yes"

"TransmissionRetryTimeout"="90"

"AppInit_DLLs"="C:\\Windows\\system32\\sevikpa.dll"

"LoadAppInit_DLLs"=dword:00000001

обезвредил строчку --- ничего не трогал, ибо не знаю как оно на живой системе должно быть, и процесс пошел!

Аваст выключил навсегда параллельно поставил NOD64 ESS5 ---- если не считать, что он таки нашел sevikpa.dll, то он не "рулит", потому как я нашел DLL до НОДа. Я его просто поставил поискать вдруг там ещё что... Нуль!.. Так что я с чистой совестью НОД вынес, вернул AVAST (на безрыбье и рак рыба).

Не знаю что делать в реестром, но, раз все работает, мож и не надо трогать??

[Гость mistacker]

"лишние" DDLки на мой взгляд , лучше всего не антивирами искать (зачастую бесполезно), а руками с помощью ТРУ-утилит от Systernals,

таких как Autoruns&ProcessViewer.

Ну, а если времени совсем много, то "In regedIT we Trust!"

[Bumble-Bee 2]

а руками с помощью

руками не все запускалось... Тот же AVZ никак!

[Sot 7]

руками не все запускалось... Тот же AVZ никак!

Такое часто бывает. в половине случаев помогает переименование AVZ во что-то другое, например test.exe

[Bumble-Bee 2]

в половине случаев

много чего не грузилось, а то, что грузилось --- было ненужно.

P.S. Могу дать, интересующиеся могут "вставить" и реестре отметить --- а потом расскажите, как его вытаскивать, а?

Изменено 31 января, 2012 пользователем Bumble-Bee

[Bumble-Bee 2]

О!

Процесс пошел!

Я тот sevikpa "доктору" упаковал, в качестве презента... Сейчас проверил ради интереса, "вау": troyan.mayachok.1 то бишь на тот момент неизвестная модификация была.

Ну, собсно, можно никому ничего не пересылать --- доктор его уже знает.

[TimeBreath 0]

Интересует вопрос товарищу B-B.

Вы вирусы классифицируете в стиле Viruslist?

Дело в том, что разные AV вендоры используют свою классификацию всех 100500 видов трянов.

По Русский. Это "Каспера" наименование или Данилова? Или еще кого?

[Bumble-Bee 2]

Интересует вопрос товарищу B-B.

Не стесняйтесь! Пишите Bumble-Bee полностью

Вы вирусы классифицируете в стиле Viruslist?

Дело в том, что разные AV вендоры используют свою классификацию всех 100500 видов трянов.

Я тот sevikpa "доктору" упаковал, в качестве презента... Сейчас проверил ради интереса, "вау": troyan.mayachok.1 то бишь на тот момент неизвестная модификация была.

Ну, собсно, можно никому ничего не пересылать --- доктор его уже знает.

Как можно догадаться --- troyan.mayachok.1, если уж пересылал "доктору", то, "ясен пень", СаЛД, то бишь, как Доктор Вэб его обозвал, так я его и мулюю.

Кстати, говоря. На днях откопал ещё одного идентичного паразита, упаковал и отправил, туда же... так вот, два очень интересных события:

а)доктор его активность видит, лечит, а удалить не в состоянии... Скажу даже больше, он вообще не в курсе, ГДЕ гнездится зараза...

б) все работает. Я его через Тим Вьюер выцарапал. Расположился там же --- AppInit_DLLs. Судя по тому, что работал и не мешал жить похоже новая модификация.

P.S.

А! Чуть не забыл! Отправил на virustotal --- доктор, его, разумеется не видел. А по общей статистике --- ровно 50% да/нет. от-так!

Изменено 23 февраля, 2012 пользователем Bumble-Bee