Вирусы и Лекарства

[календарь74507 0]

Господа! Спешу вам сообщить, что только сейчас я переустановил систему! нод32 обнаружил вирус часа три назад, сразу после этого компьютер сам перезагрузился и после перезагрузи выскочил черный экран на котором написано обнаружен вирус, отправьте смс с кодом таким-то и он удалиться! альт контрал делит не помогает- выдает что админ заблокировал диспетчер задач! пришлось переустановить винду! и кстати говоря от многих уже об этом слыхал. будьте осторожны!

[DwarfM 0]

Господа! Спешу вам сообщить, что только сейчас я переустановил систему! нод32 обнаружил вирус часа три назад, сразу после этого компьютер сам перезагрузился и после перезагрузи выскочил черный экран на котором написано обнаружен вирус, отправьте смс с кодом таким-то и он удалиться! альт контрал делит не помогает- выдает что админ заблокировал диспетчер задач! пришлось переустановить винду! и кстати говоря от многих уже об этом слыхал. будьте осторожны!

Поищите в нете инфу по этому делу. Сам сталкивался уже 2 раза с этим. Друг и соседи цепляли Обоим чистил. Зараза распространяется под видом mp3 файлов либо выглядит как установка нового кодека, либо электронная книга. И Касперский и Др.Веб уже выпустили разблокираторы на эту шнягу. Найти можно на оф. сайтах(ищите на обоих сайтах, вам нужно найти именно свой вариант черного экрана, т.к они разные). От вас требуется вбить в разблокиратор на сайте номер телефона и текст (как правило тоже номер), то есть инфу которую вам дает черный экран. Загвоздка в том что генерируются черные экраны в прогрессии(грубо говоря очень много модификаций данного трояна, несколько сотен) и именно вашего варианта разблокиратора на сайтах может не быть. В этом случае ждем как правило один два дня. даже после того как вы с помощью разблокиратора сможете запустить систему проблема не будет решена, ибо после очередной перезагрузки все повторится. Антивирусы тут не помогут ибо нужно править реестр вручную. После того как поправите реестр нужно перезагрузиться в безопасном режиме и просканировать систему вебовским Curelt. Этим способом (правка реестра + сканирования в безопасном режиме) можно вычистить систему даже без официального разблокиратора. Подробнее описано здесь:

Как удалить вирус вручную

Загрузите Windows в так называемой «чистой среде», например, воспользовавшись загрузочным аварийно-восстановительным диском, типа Windows miniPE или ERD Commander:

– вставьте диск с ERD Commander в лоток CD-ROM, перезагрузите ПК;

– во время перезагрузки нажмите Delete для входа в CMOS Setup Utility;

– установите загрузку ПК с CD-ROM, нажмите F10, санкционируйте сделанные изменения, начнется перезагрузка;

– в появившемся меню Мастер восстановления Windows XP выберите Загрузка ERD Commander –> Enter;

– внизу появится строка состояния Starting Winternals ERD Commander;

– после загрузки драйвера видеокарты в появившемся окне нажмите кнопку Skip Network Configuration;

– в окне Welcome to ERD Commander выберите свою ОС –> OK;

– когда загрузится Рабочий Стол, дважды щелкните значок My Computer;

– в окне ERD Commander Explorer раскройте диск, на котором установлена ОС (как правило, C:\);

– удалите оригинальный файл вируса, как правило, он расположен во временном каталоге текущего пользователя Windows – %Temp%\<rnd>.tmp (может иметь атрибуты Скрытый, Системный, Только чтение);

– закройте окно ERD Commander Explorer;

– нажмите Start –> Administrative Tools –> RegEdit;

– в окне ERD Commander Registry Editor найдите раздел [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon];

– исправьте значение строкового REG_SZ-параметра Userinit на C:\WINDOWS\system32\userinit.exe, (если система установлена на диске C:\, если на другом диске, то <буква_диска>:\Windows\system32\userinit.exe,). Вирус устанавливает значение этого параметра %Temp%\<rnd>.tmp;

– в этом же разделе исправьте (при необходимости) значение строкового REG_SZ-параметра Shell на Explorer.exe;

– закройте окно ERD Commander Registry Editor;

– нажмите Start –> Log Off –> Restart –> OK;

– во время перезагрузки нажмите Delete для входа в CMOS Setup Utility;

– установите загрузку ПК с винчестера, нажмите F10, санкционируйте сделанные изменения, начнется перезагрузка;

– загрузите Windows в обычном режиме;

– проверьте систему антивирусом со свежими базами.

Многие моменты в данном FAQ условны. В частности я запускал разблокиратор, правил реестр в норм. режиме, а потом уже в безопасном чистил Curelt.

Антивирусы данную шнягу не ловят. Нужно внимательно смотреть что и откуда вы качаете, ведь по сути есл ивы посещаете одни и те же ресурсы то можно и без антивируса прожить (теоретически) И опять же если у вас доступ к компьютеру имеют мл. брат, сестра, жена (каждый вписывает нужное) и особо не заморачиваются по поводу открываемых страниц, то может и антивирус не помочь.

Переустановка системы конечно же поможет(хотя черный экран предупреждает отдельной сноской что бы вы не пытались переустанавливать систему :-) ), и возможно если система чистая и вы ничего не теряете это проще всего сделать. Но как известно это ж не "наш метод".

Хотел все это запостить сразу же как сам столкнулся, но не было времени. Рад если кому то поможет.

[календарь74507 0]

Да какой разблокиратор!!! Я на офиц сайтах касперского ( у меня типа каспер заблокировал) и др веба был там пишут, что это правокации! Никакого отношения к этим вирусам смскам и прочей хрени они не имеют!

[DwarfM 0]

Да какой разблокиратор!!! Я на офиц сайтах касперского ( у меня типа каспер заблокировал) и др веба был там пишут, что это правокации! Никакого отношения к этим вирусам смскам и прочей хрени они не имеют!

Вот именно что типа ... заблокировали понятное дело не они хоть и написано это на черном экране, но лекарство(разблокиратор) сделали они ... это висит на главном сайте на обоих ..могу дать линк если тебе искать лень. Внимательнее читай ответ мой.

Изменено 23 февраля, 2010 пользователем DwarfM

[DwarfM 0]

Это один от Касперского ..линк с оф. сайта, это вы и сами увидите. банер висит на главной странице.

Это два от Др. Веба. Линк опять же висит на оф. сайте ссылкой выделенной красным ибо в данный момент эпидемия данного трояна локера. Об этом даже ОРТ решилось объявить в новостях.

Это три от НОДа. опять же оф. сайт выделенная ссылка.

Будьте внимательней пожалуйста....

Изменено 23 февраля, 2010 пользователем DwarfM

[календарь74507 0]

Спасибо, извиняйте!

[hermanik 0]

Kaspersky Internet Security пользуюсь... Нравится и систему сильно не подгружает, как его собратья из этой же лаборатории...

[222second 0]

Привет всем!!! Подскажите де найти полную инструкцию по настройке Comodo firewall 4?

Спасибо!!!

[amanita 0]

Привет всем!!! Подскажите де найти полную инструкцию по настройке Comodo firewall 4?

Спасибо!!!

http://personalfirewall.comodo.com/Comodo_..._User_Guide.pdf

[222second 0]

http://personalfirewall.comodo.com/Comodo_..._User_Guide.pdf

Огромное спасибо!!!

[7aleks7 0]

каждый выбирает антивирус под свои запросы, меня устраивала работа антивируса касперского в паре с outpost firewall . касперский ловит трояны, outpost интернет вирусы. nod 32 - антивирус который впускает вирусы на комп ,а потом блокирует доступ пользователю в интернет,причем пропускает на компьютер очень серьезные трояны. и насчет того что касперский тормозит систему хочу не согласиться тестировала панду антивирус - тормозит систему еще сильнее, из бесплатных неплохо работает avira antivirus.

[Bumble-Bee 2]

каждый выбирает антивирус под свои запросы, меня устраивала работа антивируса касперского в паре с outpost firewall . касперский ловит трояны, outpost интернет вирусы.

Хм... интересная связка... У меня и в голову не приходило смешивать каспера с кем бы то ни было --- если у него есть сразу KIS!

после перезагрузи выскочил черный экран на котором написано обнаружен вирус, отправьте смс с кодом таким-то и он удалиться! альт контрал делит не помогает- выдает что админ заблокировал диспетчер задач! пришлось переустановить винду! и кстати говоря от многих уже об этом слыхал. будьте осторожны!

Зараза распространяется под видом mp3 файлов либо выглядит как установка нового кодека, либо электронная книга. И Касперский и Др.Веб уже выпустили разблокираторы на эту шнягу. Найти можно на оф. сайтах(ищите на обоих сайтах, вам нужно найти именно свой вариант черного экрана, т.к они разные). От вас требуется вбить в разблокиратор на сайте номер телефона и текст (как правило тоже номер), то есть инфу которую вам дает черный экран. Загвоздка в том что генерируются черные экраны в прогрессии(грубо говоря очень много модификаций данного трояна, несколько сотен) и именно вашего варианта разблокиратора на сайтах может не быть. В этом случае ждем как правило один два дня. даже после того как вы с помощью разблокиратора сможете запустить систему проблема не будет решена, ибо после очередной перезагрузки все повторится. Антивирусы тут не помогут ибо нужно править реестр вручную.

У меня как раз свежак, только повезло больше.

Значит принесли мне только что ноут, а там такая бяка после загрузки системы сразу горит окно блокиратора, неубиваемое, и так как будто Опера почти запущена, и соответственно текст: "Отошли на билайновский номер четыреста рэ, после распечатки чека вбей в окно"... Поначалу я конечно пытался порыться из-под LiveCD WinXP в реестре, но ничего криминального не нашел, и чуть всё систему не обработал AVZ & TrojanRemover (точнее AVZ прошелся по системному диску полностью)... Решил рискнуть. Безопаный режим прошел на ура, хотя и не без приколов, но это ерунда. Зато! Когда зашел в обычном режиме в надписью "пришлите немного денег" потыкал alt-F4 и пара задних окон исчезли, ага --- и потыкал Ctrl-Alt-Del. Vista естественно свернулась и предложила вызвать Диспетчер задач, вот тут-то мне и повезло: блокиратор оказался не слишком заумным, и в процессах тут же был обнаружен подозрительный длинно-именный процесс и прибит! После этого из Диспетчера задач был вызван explorer.exe и скопирована пачка "антибиотиков", в числе которых был и HiJackThis, вот он-то и показал, откуда ноги растут F2 - REG:system.ini: Shell=C:\Users\Пользователь\Desktop\44a133dc6baefbbedb9ade16147405c0.avi.exe, потом AVZ дал пару пунктов Восстановления системы сделать --- вдруг я ненароком сам... хуже вируса... Не знаю, помогло, нет. Только эта байда ушла. Что касательно файла --- 173 кБ, двойное расширение, маскировка под видеофайл... Причем под WindowsMediaPlayer, несмотря на установленные и привязанные другие типы проигрывателей... Антивирус AVAST с умолчательными настройками. Virus Total показал, что весЧь слабоизученная антивирусами.

Сам пользуюсь DrWeb444+OutPost4.0 ---- и менять пока не собираюсь. Хотя у меня на памяти есть случай, когда "Доктор" месяц делал обновления "для вируса", хотя у Каспера вирь уже определялся сразу.

Изменено 18 мая, 2010 пользователем Bumble-Bee

[lex 0]

Насчёт последнего сообшения - очень распространённый троян. В сети очень много кейгенов и готовых ключей, для него и модификаций.

[Bumble-Bee 2]

Насчёт последнего сообшения - очень распространённый троян. В сети очень много кейгенов и готовых ключей, для него и модификаций.

У меня воозникли определенные трудности с 2003, поэтому пришлось разбираться с тем, что было. А вот у соседей, тоже нечто похожее в системе, провозился часа два, кое-как понял, но отложили на эндцать дней... Только там проблема покруче --- самый простой --- переустановка системы, ближайший экспериментальный --- попробовать восстановить реестровые записи на запуск EXE-файлов, и отучить запускаться несколько программ на запуске, короче, там "труба"... AVZ проблему не решил. Да, и ещё... там стоит НОД32, только меня это мало интересовало. КОМП домой не дали

[Гость mistacker]

предлагаю проще и эффективнее лекарство.

поиск вирусов / говна \ по дате изменения в системных папках и папках профилей.

системные файлы будут на порядок старше, риск снимается....

ну и MSCONFIG в безопасном режиме никто не отменял.

А антивирусы "типа доктора вэба и его сбежавшего сотрудника зайцева" .... в общем вы поняли.

[Bumble-Bee 2]

предлагаю проще и эффективнее лекарство.

поиск вирусов / говна \ по дате изменения в системных папках и папках профилей.

системные файлы будут на порядок старше, риск снимается....

Когда-то это называлось ADinf32 (ADinf16)...

Ну, гулять так гулять:

а) *nix;

б) а ля *nix --- выделить учетку для интеренета, с правами гостя, ну, или USER... Нужные проги вывести через AdmiLink или ExecAs. В случае заражения учетки --- удалять! На "безлимитке" так шиковать можно!

ну и MSCONFIG в безопасном режиме никто не отменял.

В моем случае этот MSCONFIG тоже ничего не показал, я проблему убрал из-под зараженного пользователя, хорошо, что ЭТО была не проблема...

А антивирусы "типа доктора вэба и его сбежавшего сотрудника зайцева" .... в общем вы поняли.

Ну не знаю... Я как-то к Доктору привык, хотя знаю, что он иногда нехорош, но, когда я жил на dial-up, а потом на "тарифе" 1рэ/1Мб --- базы доступные, не как у Касперыча, или того же НОД32 --- или огроменные, или лежат за семью замками, ах да, лицензия нужна... В любом случае компактные базы пока у DrWeb...

Что до сотрудника, а какая разница: выворачивает систему наизнанку и то хорошо...

[Asher 2]

Вот уже года 2-3 пользуюсь только Symantec Endpoint Protection. Были случаи когда пропускал вирусы в основном с чужих флешек, ну т.е. как пропускал - всплывало предупреждение, а вирус уже успел внести изменения в реестр. Но не беда, лез в реестр и исправлял изменения.

[Bumble-Bee 2]

Давным давно отключил автозапуск со всего... Лазаю в основном через Total Commander, в свойствах подсветил исполняемые файлы ярким цветом, включен режим показа всех файлов, в том числе скрытых/системных ---- вся эта зараза, или обнаруживается доктором, ну, или хотя бы не срабатывает ---- я ёё визуально определяю. Хотя бывает иногда мудренный сервис изготовителя флэшек, например, модуль архивации или шифрования.

Ещё в природе существует, USB Guard, но в том же Каспере, если порыться, есть нечто похожее, вплоть до блокировки USB.

Так ещё для сети у меня несколько другие взгляды, правда сформировались они всего года два-три назад --- об этом предохранении все пишут, но не все пользуются. Впрочем, для внутренних, "доверенных" сетей это всё-таки проблема --- способ простой: в свойствах сетевой оставить только TCP/IP v4 (v6) --- отключить NetBIOS, отключить просмотр LMhosts (хотя оно как-то не существенно), можно в службах ещё отключить поддержку NetBIOS, но тогда, возможно, всякие "гаджеты" могут поотваливаться (не проверял, за не имением).

[Wowan66 0]

Это круто носом вирусы чуять я тоже чую но правда когда уже поздно.

Однако, Каспер. не будет сам отклонять ваше разрешение - установить что либо в целях обновления и троян с вирусом в подарок...

Изменено 19 мая, 2010 пользователем Wowan66

[Гость mistacker]

Когда-то это называлось ADinf32 (ADinf16).....

AdvanсedDiscInfoscope...

Недавно наводил порядок дома, выкинул огромное количество дисков типа "антивирусы 2002", там еще молодые Каспер и Доктор, Авира, Симантек, Адинф (с непонятным механизмом эвристики), кому нужны пр. коммунистический, Самый Большой Мусорник

Насчет вэба же, читаем тему выше. Лично меня взбесило (где-то пол года назад), когда Win32Bumat ни нод, ни доктор не видели, каспера как-то не получилось поставить, а Симантек тупо рубил все, его мнению инфицированные объекты, чем выключил Оффис и печать.

Потом, конечно и Нод и прочие внесли его в базу, причем в новостях не проскакивало сообщений об эпидемиях.

Но осадок, как говорят неприятный остался. Тогда-то я и стал присматриваться к бесплатным и корпоративным решениям MS.

[Fatal1ty 0]

предлагаю проще и эффективнее лекарство.

поиск вирусов / говна \ по дате изменения в системных папках и папках профилей.

системные файлы будут на порядок старше, риск снимается....

HANDLE hFile;
   if ((hFile = CreateFileA("C:\\Users\\User\\AppData\\Local\\ololo.txt",GENERIC_READ | GENERIC_WRITE,0,NULL,OPEN_EXISTING,FILE_ATTRIBUTE_NORMAL,NULL)) != INVALID_HANDLE_VALUE)
   {
       SYSTEMTIME systemTime;
       FILETIME newLastWriteTime;
       systemTime.wDay = systemTime.wMonth = 1;
       systemTime.wYear = 2000;
       systemTime.wHour = systemTime.wMinute = systemTime.wSecond = 0;
       SystemTimeToFileTime(&systemTime,&newLastWriteTime);
       SetFileTime(hFile,NULL,NULL,&newLastWriteTime);
       CloseHandle(hFile);
   }

[tommi 0]

предлагаю проще и эффективнее лекарство.

поиск вирусов / говна \ по дате изменения в системных папках и папках профилей.

системные файлы будут на порядок старше, риск снимается....

Ну очень плохой вариант, я думал лучше будет. Неужели вы всерьез думаете, что системные файлы никогда не изменяются и не добавляются новые? Да любой серьезный софт пихает в систем32 свои библиотеки. То же самое делает windows update. Например, вот эти файлы у меня обновлены неделю назад, хотя системе около года:

c:\Windows\System32\CJPrefs.cjp

c:\Windows\System32\srvany.exe

c:\Windows\System32\nvapi.dll

c:\Windows\System32\nvcompiler.dll

c:\Windows\System32\nvcuda.dll

c:\Windows\System32\nvcuvenc.dll

c:\Windows\System32\nvcuvid.dll

c:\Windows\System32\nvd3dum.dll

c:\Windows\System32\nvdecodemft.dll

c:\Windows\System32\nvencodemft.dll

c:\Windows\System32\nvoglv32.dll

c:\Windows\System32\nvwgf2um.dll

c:\Windows\System32\OpenCL.dll

Относятся они к драйверу видеокарты. Вердикт - если хотите убить систему - продолжайте.

[PanT 0]

BitDefender кто-нибудь использует?

[Гость mistacker]

Ну очень плохой вариант, я думал лучше будет. Неужели вы всерьез думаете, что системные файлы никогда не изменяются и не добавляются новые? Да любой серьезный софт пихает в систем32 свои библиотеки. То же самое делает windows update. Например, вот эти файлы у меня обновлены неделю назад, хотя системе около года:

Относятся они к драйверу видеокарты. Вердикт - если хотите убить систему - продолжайте.

Собственно, добавлю.

Надо конечно отличать системные файлы от посторонних, добавлю WPA.dbl тоже меняет дату каждый день)

И кроме того winupdate все таки добавляет файлам цифровую подпись)

Не знаю, лично мне удобнее на чужих, как правило медленных, старых и

угашеных вирусами тачках с "великим" давно не обновленным касперским,

удобнее искать вирей и посторонние процессы вручную.

По поводу БитДефендера . Когда был 2008 некоторое время даже нравился. Отказался - ест ресурсов как каспер.

[wladelec 0]

Пробовал Dr.Web, NOD32,KAS, KIS. Понравилось как работает NOD32 но в тандеме с Dr.Web Curelt(однодневный сканер). Сейчас стоит KAS2010 изумительно работает.