Здравствуйте Гость!
Всякая любовь - великое счастье, даже если она не разделена.
И.А.Бунин
Anime Sweet Home
AnimeWallpapers

Reply to this topicStart new topicStart Poll
Страницы:123>»» ( Первое непрочитаное сообщение )
 > Поиск и лечение вирусов, Методы поиска и устранения 
  Julian'a-sempai
18 Март 2008 17:00  
avatar

Участник
Сообщений: 1 222
Город: Beaver City

Кавайность: 16

Как обнаружить и прибить виря
Для применения советов нужно знать, что установлено на компе (я про программы)

Обнаружение оного
Признаки наличия вирей или троянцев
1. Неоправданно нестого-нессего начинает тормозить машина
2. Невесть куда уходит Интернет трафик
3. Винда ведет себя неадекватно
4. Перестали запускаться проги, которые раньше запускались без проблем
5. Перестали корректно работать устройства, которые раньше работали без проблем

Но тат надо быть осторожнее
По первому пункту
Машина может начать тормозить также после установки программ и антивирусов (к примеру, не удивляйтесь, если после установки Visual Studio 2005 комп начнет тормозить, или после установки новых стилей венды или офиса или офиса)

По второму пункту
Трафик может уходить на обновления программ и венды в фоновом режиме

По третьему пункту
Причиной может как пункты 1 так и 5

По четвертому пункту
Тут может быть конфликт программ: к примеру, если у вас не загружается рабочий стол, а вы перед этим поставили KAV (касперыча) и потом NOD 32 то это не вирусы, а антивирусы цапонулси между собой (решение вход в безопасном режиме и вынос одного из них из автозагрузки)

По пятому пункту
Веселая весчь этот пункт: поскоку устройства могут неробить не только по при чине виря но и конфликта оборудования, к примеру, раньше очень любили конфликтовать между собой сканеры и принтеры от разных производителей

Способ лечения если вы уверены что это все-таки вирь
1. жмем ALT+CTRL+DEL и смотрим наличие левых процессов (на вкладке процессы) (эффективно, но не всегда) ели, что левое нашли, то выносим, если нет, то к пункту 2 в любом случае переходим
перезагружаемся и в начале загрузки нажимаем и удерживаем F8, далее выбираем “Безопасный режим” загружаемся и переходим к пункту 2
2. писк -> выполнить -> вводим MSconfig->далее переходим, а вкладку службы и упорядочиваем их по производителю далее ищем те из них в производителе которых стоит “Нет данных” и отрубаем троянцев оттуда если они там есть (!!Отрубать все подряд не самая лутьшая идея можно слить к примру антивирус или есче что нить нужное!!)
user posted image
3. переходим на вкладку автозагрузка и отрубаем все что ненужно (к примеру, если там есть svchost.exe то это троян полюбому)
user posted image
Далее перезагрузка
4. если все сделали, то идем искать файлы вирей: для ЭТОГО МОТРИМ НА МЕНЮ КОМАНДА. там отображен путь а фалу идем по этому пути и удаляем его (!!!Если вы неуверенны что это вирь то его лутьше не килять ТК это может оказаться компонент проги !!) <поэтому я и сказал о том что надо знать что стоит на компе>
Такой способ отлова эффективен при троянцах и вирях, которые не ловят антивирусы
Поправка:: Такой способ лечения лутьше не использовать НЕОПЫТНЫМ И НЕУВЕРРЕННЫМ в своих силах пользователям Поскоку можно сделать только ХУЖЕ им совет использовать:: антивирус и Ad-Aware


._____________________________________________________wi_________
./___Жизнь не бесконечна, а жаль =(________________________________
./ ___Пессимист это хороше информированный оптимист0_____ww________
./___Йа везде и негде__________________________________WW________
._____________________________________________________wi_________

Подпись корректно отображается в FireFox, IE 7, Opera, и некорректно в Safari, об остальных нет данных.
user posted image
Жизнь Это ... /*если закончить дадут банн пожизненно*/
Offline PMEmailUsers Website
 
M  R Max
19 Март 2008 20:42  
avatar

Участник
Сообщений: 23
Город: Няяяяндома

Кавайность: 0

С недаывнего времени встречается вирус, который не дает установить Касперыча, а другие антивирусы нормально. Плюс ко всему не грузит безопасный режим хоть ты лопни. Самое лёгкое что я делал, это подключал винт к другой машине, но может есть нормальный способ. И ещё в процессах сидит хрен, знаю, что от вируса, убиваю процесс, нахожу файл, что его запускает, удаляю, но при запуске установки Каспера, тварь возникает снова.

Offline PMEmailICQ
 
  Julian'a-sempai
19 Март 2008 22:41  
avatar

Участник
Сообщений: 1 222
Город: Beaver City

Кавайность: 16

1 Этот метод не ПАНАЦЕЯ
2 если хочеш чтоб помог опиши ситуацию подробнее
3 есть вири которые каспера из автозагрузки выносят и что теперь ?

._____________________________________________________wi_________
./___Жизнь не бесконечна, а жаль =(________________________________
./ ___Пессимист это хороше информированный оптимист0_____ww________
./___Йа везде и негде__________________________________WW________
._____________________________________________________wi_________

Подпись корректно отображается в FireFox, IE 7, Opera, и некорректно в Safari, об остальных нет данных.
user posted image
Жизнь Это ... /*если закончить дадут банн пожизненно*/
Offline PMEmailUsers Website
 
M  R Max
19 Март 2008 23:45  
avatar

Участник
Сообщений: 23
Город: Няяяяндома

Кавайность: 0

Подробно не смогу, названия процессов и файлов уже не помню. Понимаю, что лечение с другого компа не спасает иногда, но с этим случаем справилось. Опишу, что было ещё: при запуске Каспера, включал Диспетчера задач, там появляется програмка kill, которая ведёт к процессу svchost. Каспер тут же отрубается. Я загрузил Process Explorer, отключил svchostы, что были позволены, вобще отключил всё, что можно. Но не спасло. В msconfig я отключил все программы и службы, что не являются обязательными, поотрубал службы, связанные с сетью и интернетом. Ничего. Больше вспомнить нечего, но вылечил я всё таки так, после одной из перезагрузок, я на скорость успел указать программе установки файл с ключом Каспера, до того как видимо успел загрузиться вирус, после перезагрузки антивирус начал хрюкать наконец. Если встречу снова такой, попробую описать подробно, надо же учиться делать всё по умному.

Offline PMEmailICQ
 
  Julian'a-sempai
20 Март 2008 0:34  
avatar

Участник
Сообщений: 1 222
Город: Beaver City

Кавайность: 16

интересненькая ТВАРЬ у мя подобная была тож но респект Leonhart-heika - помог его в Бобруйск на веники слить (как 100 постов наберу обязательно за это ема +1 поставлю к Кавайности)

к сожалению я люблю этих гадов припорировать но с этим неуспел его раньше заблочило и удалило а жаль :huh:

._____________________________________________________wi_________
./___Жизнь не бесконечна, а жаль =(________________________________
./ ___Пессимист это хороше информированный оптимист0_____ww________
./___Йа везде и негде__________________________________WW________
._____________________________________________________wi_________

Подпись корректно отображается в FireFox, IE 7, Opera, и некорректно в Safari, об остальных нет данных.
user posted image
Жизнь Это ... /*если закончить дадут банн пожизненно*/
Offline PMEmailUsers Website
 
M  Leonhart-sama
20 Март 2008 18:19  
avatar
†Tenshi†
Техник, он же Кулибин

Администратор
Сообщений: 3 143
Город: Москва

Кавайность: 76

К сожалению описаный здесь способ подходит лишь для простейших вирусов, с которыми способен справиться даже любой более менее современный антивирь, просто надо иногда запускать сканирование диска, а не просто держать его включенным.

Как правило антивири не видят вирусы, которые для свой активности используют вполне легальные программы, например IE или explorer. Как правило эти вирусы на самом деле скрываются в библиотеках dll. Либо экзешники маскирующиеся под системные процессы.

Такие вири как правило искать надо в реестре, вы можете их убивать через Диспетчер, но они запустятся снова. ТАк что прежде чем и удалить файл нужно ещё и зачистить реестр. Для этого заходим реестр (Пуск - выполнить - regedit) и включаем поиск по файлу подозреваемом в вирусе, у даляем все найденные строчки с этим файлом, после чего убиваем файл в процессах и удаляем сам файл, после чего перегружаем машину. Если файл не хочет удаляться - говорит что занят процессом, то стоит перезагрузиться в безопасном режиме и удалить файл в безопасном режиме.

Для поиска вирус если их не находят обычные антиви, советую использовать бесплатную утилиту AVZ.

По поводу поиска вирусов в автозагрузке. В msconfig вы не видите всех запускающихся программ, чтобы их увидеть, вам опять таки лучше воспользоваться утилитой AVZ -> Сервис - Менеджер Автозапуска, там вы увидите вообще всё, кроме того, там есть подсветка текста, если программа хорошая, то она выделена зеленым текстом, если подозреваема в вирусе, то красным, если неизвестная то черным, что очень удобно.

Накормите меня до отвала, а не то я завою, а не то я залаю, а не то я кого-нибудь съем!
Offline PMEmailUsers WebsiteICQ
 
  Julian'a-sempai
20 Март 2008 19:21  
avatar

Участник
Сообщений: 1 222
Город: Beaver City

Кавайность: 16

Я же сказал что не ПАНАЦЕЯ но есть вири а точнее троянцы которых антивирус не видит такчто такой способ для не профи гораздо безопаснее
меньше бед натворить можно через msconfig а вот через regedit можно и винду угробить в 1 клик (я перувеличил но всеже это примерно так)

к тому же вирей с маскировкой не так уж и много (но фразу мало я не говорил) обычно переведенного мной алгоритма достаточно хотя не всегда конечно

._____________________________________________________wi_________
./___Жизнь не бесконечна, а жаль =(________________________________
./ ___Пессимист это хороше информированный оптимист0_____ww________
./___Йа везде и негде__________________________________WW________
._____________________________________________________wi_________

Подпись корректно отображается в FireFox, IE 7, Opera, и некорректно в Safari, об остальных нет данных.
user posted image
Жизнь Это ... /*если закончить дадут банн пожизненно*/
Offline PMEmailUsers Website
 
M  Leonhart-sama
18 Июль 2008 18:18  
avatar
†Tenshi†
Техник, он же Кулибин

Администратор
Сообщений: 3 143
Город: Москва

Кавайность: 76

В последнее время ко мне довольно часто стали приносить компы на личение от вирусов, в большенстве своем домашних. В связи с чем у меня выробатался более менее стандартный способ их лечения, который я вам и опишу ниже.

Для процедур лечения на потребуются следующие программы и утилиты: CureIt , AVZ , HijackThis и на всякий пожарный Total Commander (или любой другой файловый менеджер, отличный от проводника Windows).

Первым делом запускаем наш препарируемый компьютер в безопасном режиме (сие нужно для большей эффективности). После запуска запускаем CureIt в появившемся окошочке жмем Пуск, потом Ок, после первичной проверки выбираем Полную проверку и жмем пуск (зеленая стрелочка).На вопрос удалять инфицированые файлы или нет, выбираем "Да, для всех".

Теперь запускаем комп в нормальном режиме и запускаем утилиту AVZ. Ставим в открывшемся окне галочку Выполнять лечение, на вкладке Параметры поиска ставим Высокий уровень эвристики и галки напротив Автоматически исправлять ошибки в SPI/LSP, Поиск портов TCP/UDP троянских программ, Автоматически исправлять системные ошибки (хочу сразу обрать внимание, что при установленой этой галке, утилита настроит вашу систему с учетом рекомендуемо безопасности, то бишь отключит все автозапуски с дисков и отключит некоторые системные службы). Теперь ставим галки напротив дисков и папок, которые хотим проверить и жмем Пуск.
По окончании пролистаем лог листик на предмет красных строк, в которых присутствуют названия файлов о которых вы не знаете и которые не были удалены утилитой. Дабы убедиться что это вирус а не что то идем в поиск virusinfo VirusInfo - Search Forums и ищем там по имени по имени подозреваемого файла. Если вы получили какой то результат, то это возможно дейтсвительно вирус, а не какая то полезная программка, как правило в найденых темах сразу же пишется решения данных проблем. Чаще всего это скрипт для утилиты AVZ. Чтобы его выполнить, копируем его в AVZ - Файл - Выполнить скрипт и жмемп кнопу запустить, после чего компьютер скорее всего перезапустится.
Также к выше перечисленому там может быть написаны строчки для HijackThis. в таком случае запускаем HijackThis, жмем Do a system scan only и в появившемся списке ставим галки напротив указаных на virusinfo строчек, после чего жмем Fix. Усе готово.

Замечания: Если после запуска в Безопасном режиме у вас не появился рабочий стол, то жмем ctrl+alt+Del(Диспетчер задач) - Файл - Новая задача (Выполнить) - пишем "explorer" (без ковычек) и Enter. В особо тяжелых случаях, рабочий стол может и не появиться или постоянно то появляться то исчезать. В таких случаях лучше будет воспользоваться сторонним файловым менеджером или запускать все черех новая задача (Выполнить), то бишь прописывая ручками полные пути до запускаемых утилит, например: c:\tools\HijackThis.exe
Замечания 2: Если у вас не запускаются экзешники вообще, то смените расширение у них с ехе на com.
Замечания 3: Если у вас запускаются экзешники вообще, но не дает запускать утилиты и антивирусники, то просто переименуйте их например: avz.exe в hack.com.
Замечания 4: Для исправления проблем описаных в замечаниях выше, запустите утилиту AVZ - Файл - Восстановление системы и ставим галки напротив нужных вам пунктов.

Накормите меня до отвала, а не то я завою, а не то я залаю, а не то я кого-нибудь съем!
Offline PMEmailUsers WebsiteICQ
 
  Julian'a-sempai
15 Октябрь 2008 22:32  
avatar

Участник
Сообщений: 1 222
Город: Beaver City

Кавайность: 16

а это тож она

5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\Windows\system32\myjkdbsf.dll --> Подозрение на Keylogger или троянскую DLL
C:\Windows\system32\myjkdbsf.dll>>> Поведенческий анализ
1. Реагирует на события: клавиатура, мышь, все события
C:\Windows\system32\myjkdbsf.dll>>> Нейросеть: файл с вероятностью 1.04% похож на типовой перехватчик событий клавиатуры/мыши
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков

причем нечего небыло установлено, просто эта дрянь изнеткуда взялась Smilie

._____________________________________________________wi_________
./___Жизнь не бесконечна, а жаль =(________________________________
./ ___Пессимист это хороше информированный оптимист0_____ww________
./___Йа везде и негде__________________________________WW________
._____________________________________________________wi_________

Подпись корректно отображается в FireFox, IE 7, Opera, и некорректно в Safari, об остальных нет данных.
user posted image
Жизнь Это ... /*если закончить дадут банн пожизненно*/
Offline PMEmailUsers Website
 
M  Leonhart-sama
16 Октябрь 2008 10:09  
avatar
†Tenshi†
Техник, он же Кулибин

Администратор
Сообщений: 3 143
Город: Москва

Кавайность: 76

Цитата (InFox\ @ Вчера в 22:41)


на комп опвадился хакер лазать


Это не хаккер, а обычный вирь. Если бы придерживалась FAQ по безопасности WinXP/Win2K своими руками, то с подобной проблемой не столкнулась бы.

Накормите меня до отвала, а не то я завою, а не то я залаю, а не то я кого-нибудь съем!
Offline PMEmailUsers WebsiteICQ
 
  Julian'a-sempai
16 Октябрь 2008 10:10  
avatar

Участник
Сообщений: 1 222
Город: Beaver City

Кавайность: 16

Цитата (InFox\ @ Вчера в 22:41)

на комп опвадился хакер лазать и типа заставляет куптитьтупа антивиря, правда это не антивирь а утка, но это другой разговор
в общем он в автозагрузку прописывает торянца который сее делает, и AVZ странно ругается
правда этот лог был послк выноса троянца при повторном сканировании

» Нажмите, для открытия спойлера «


Цитата (Legion Leonhart\ @ Сегодня в 07:58)


Наврятли это троян, это может любой драйвер слежения за клавиатурой, будь то Punto или драйвера от клавиатру (если ставили свои), это может быть программулька которая отвечает за дополнительные кнопы на ноуте и т.д.
И вообще с такими вопросами не сюда, а сюда Поиск и лечение вирусов

продолжи
значит ты думаешь что то не вирь Smilie
лана симптомы такие
перед появлением этой хрени вылетает эксплорер
далее - эта прога вендряется во все процессы (унлокером проверял)
далее создается файл в систем 32 с рендомным именем

._____________________________________________________wi_________
./___Жизнь не бесконечна, а жаль =(________________________________
./ ___Пессимист это хороше информированный оптимист0_____ww________
./___Йа везде и негде__________________________________WW________
._____________________________________________________wi_________

Подпись корректно отображается в FireFox, IE 7, Opera, и некорректно в Safari, об остальных нет данных.
user posted image
Жизнь Это ... /*если закончить дадут банн пожизненно*/
Offline PMEmailUsers Website
 
M  Leonhart-sama
16 Октябрь 2008 11:20  
avatar
†Tenshi†
Техник, он же Кулибин

Администратор
Сообщений: 3 143
Город: Москва

Кавайность: 76

У тебя явно какие то проблемы с системой, но этот файл здесь врятли виноват. Скорее всего ты нахимичила с настройками системы или наставила кучу левого софта. Советую проделать следующую процедуру:
1 - пихаешь в сидюк диск с виндами
2 - Пуск - Выполнить - пишешь команды "sfc /scannow" и жмешь ентер
3 - ждешь когда все закончится, после этого перегружаешься и проверяешь на свои глюки

Накормите меня до отвала, а не то я завою, а не то я залаю, а не то я кого-нибудь съем!
Offline PMEmailUsers WebsiteICQ
 
  Elain-dono
05 Ноябрь 2008 20:40  
avatar

Администратор
Сообщений: 1 568
Город: Санкт-Петербург

Кавайность: 26

ОГРОМНОЕ СПАСИБО InFox за прогу!!!
(она знает, за какую Smilie )

Но... как ж**ой чувствовал, что что-то не так. Какие бу предложения? (желательно от заразы избавиться, ничего не потерять и лишнего гемороя не приобрести...)

Присоединённые изображения
Присоединённое изображение

user posted image
...психом быть не проще, но увлекательней...
Offline PMEmailUsers Website
 
M  Leonhart-sama
05 Ноябрь 2008 21:00  
avatar
†Tenshi†
Техник, он же Кулибин

Администратор
Сообщений: 3 143
Город: Москва

Кавайность: 76

Читай сообщение немного выше Поиск и лечение вирусов (сообщение #112616), так что читай и делай по инструкции. На будущее, если не хотите гемороя с вирусами на компе, дойдите до магазина и купите лицензионного касперского и будет вам счастья, все остальные антивирусы (чистое ИМХО, но грамотные люди к нему прислушаются) полное Г, за которое с вас просят деньги, но которое работает немногим лучше бесплатных антивирусов.

Накормите меня до отвала, а не то я завою, а не то я залаю, а не то я кого-нибудь съем!
Offline PMEmailUsers WebsiteICQ
 
  Julian'a-sempai
05 Ноябрь 2008 21:17  
avatar

Участник
Сообщений: 1 222
Город: Beaver City

Кавайность: 16

Цитата (Legion Leonhart @ Сегодня в 04:00)

дойдите до магазина и купите лицензионного касперского и будет вам счастья,

он сождет 100% ресурсов системы и вирям просто некуда будеть загрузиться Smilie

._____________________________________________________wi_________
./___Жизнь не бесконечна, а жаль =(________________________________
./ ___Пессимист это хороше информированный оптимист0_____ww________
./___Йа везде и негде__________________________________WW________
._____________________________________________________wi_________

Подпись корректно отображается в FireFox, IE 7, Opera, и некорректно в Safari, об остальных нет данных.
user posted image
Жизнь Это ... /*если закончить дадут банн пожизненно*/
Offline PMEmailUsers Website
 

Topic OptionsСтраницы:123>»» Reply to this topicStart new topicStart Poll