Тема: 
Стоит бесплатный классик-тоже не жалуюсь.Сообщение от AlNet
| ||
Стоит бесплатный классик-тоже не жалуюсь.
Одесский Жеребец
Рекомендую следующие действия.
1) скачать бесплатные утилиты:
avz - http://z-oleg.com/secur/avz/download.php
Dr.Web CureIt - ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe
2) перезагрузиться, при начальной загрузке нажать F8 и выбрать Безопасный режим
3) после загрузки проверить с помощью CureIt полностью системный диск С. Желательно, конечно, проверить и все остальные диски, но обычно остальные разделы имеют сильно большой объем и время сканирования будет очень большим. Иногда времени просто нет, поэтому на остальных дисках можно просто проверить наличие "паразитов" в корне дисков. Сделать это можно с помощью любого стороннего диспетчера файлов, например, Тотал командера, предварительно включив в нем режим отображения скрытых файлов (паразиты модифицируют реестр, благодаря чему с помощью Проводника их не видно).
4) Для убедительности прогнать еще раз проверку диска С с помощью AVZ, поставив галочку "выполнять лечение" и выставив бегунок "эвристический анализ" на максимум, а также поставив 2 флажка в разделе анти-руткит.
===============
можно сказать, что на данном этапе основная часть заразы была прибита
скорее всего были обнаружены файлы (например, авторан и какой-то с расширением сом или ехе) в корне диска с, и какие-то библиотеки в папке C:\WINDOWS\system32 .
Сейчас необходимо выписать название файлов заразы и выполнить поиск этих файлов по реестру, удаляя все записи об этих файлах.
Но это еще не все.
Далее следует произвести "прививку" от различного типа авторанов и других "паразитов", которые используют авторан.
Для этого, все еще находясь в безопасном режиме, запускаем редактор реестра: Пуск-Выполнить-regedit. Теперь:
================
5.1) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\Cdrom
Установить значение параметра AutoRun равным 0.
5.2) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\Explorer
'NoDriveTypeAutoRun' (dword) Значение ff (шестнадцатеричная) или 255 (десятичная)
5.3) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf
Дать строковому параметру 'По умолчанию' (типа REG_SZ) значение:
@SYSoesNotExist
(Windows будет думать, что autorun.inf нет вообще на компе и злостные команды для запуска зловредов в файле autorun.inf не выполняются.)
5.4) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\AutoplayHandlers\CancelAutopla y\Files
Создать строковый параметр типа REG_SZ с названием
*.*
5.5.1. HKEY_CURRENT_USER\ Software\Microsoft\ Windows\CurrentVersion \Explorer\MountPoints2,
5.5.2. Правой кнопкой мыши щёлкать и выбрать 'разрешения'
5.5.3. Нажать 'Дополнительно' и снять галочку 'Наследовать от родительского объекта применимые к дочерным объектам разрешения, добавляя их к явно заданным в этом окне'.
5.5.4 Появится окно. Выбираем 'Удалить'. 'Применить - ОК'.
На этом вакцинация завершена, можете перезагрузить систему.
Для успокоения можете запустить AVZ с максимальными настройками и посмотреть, не найдет ли он чего.
6. Бывает так, что скрытые файлы не отображаются ни при каких настройках. Обычно это дело вируса с телом вируса AMVO или AMVO1.
Для решения проблемы
Пуск -> Выполнить ->
regsvr32 /i shell32.dll
=======================
Вроде все, удачи!
Последний раз редактировалось A.G.P.; 16.09.2008 в 17:29.
Путь к экзешникам можно отследить прораммулиной KillProcess
Есть и более навороченные, но что-то названия припомнить не могу.
Проще всего сделать загрузочный "диск спасения" под Касперским и загрузившись с него проверить всю систему.
А сделать его - достаточно элементарно. Делается из-под KAV 6, KAV 7, KAV 2009 bkb KAV for Workstation
Аналогично KIS 7 KIS 2009
А по поводу того что "тормознутый касперский" - проведите тест под KAV/KIS 2009 и посмотрите скорость. И в следующий раз не смешите незнанием!
MVP Consumer Security
Microsoft Security Trusted Advisor
KL DSSE, ACT
в следующий раз не смешите своей "крутизной"...И в следующий раз не смешите незнанием!
и фиктивным статусом MVP, изображенным на аватаре (в Украине этот статус имеют всего 2 человека, один работает в Харькове, другой - в Запорожье).
А кто сказал, что Владимир (он же Cybercop) не один из них?
http://www.donbass.ua/get-news/id/5034/article.html
Ого,если так,то интересный расклад получаецца))А кто сказал, что Владимир (он же Cybercop) не один из них?
http://www.donbass.ua/get-news/id/5034/article.html
Добавлю также - очень интересный собеседник.
А также очень активный участник обсуждений в Одесском ИТ-Клубе.
(в отличии от некотрых членов Клуба, которые ограничились ролью "читателя" рассылки. К сожалению.)
А кто сказал, что Владимир (он же Cybercop) не один из них?
http://www.donbass.ua/get-news/id/5034/article.html
я бы сказал, что интересный расклад получается вдвойне, т.к на официальном сайте https://mvp.support.microsoft.com/communities/mvp.aspx?adv=1 о таком не слышали
Первый - Mr. Dennis Kudin
https://mvp.support.microsoft.com/profile/Kudin
Второй - Mr. Sergey Pikhulya https://mvp.support.microsoft.com/profile=61A904F3-356A-45AD-A989-B1FAF8039FA9
при том, что в статье, приведенной по вашей ссылке, количество МВПшников в Украине полностью совпадает
Честно говоря, мне все равно, есть/нет статус у Cybercop (оставляю это на его совести). Мое представление о человеке складывается не по картинке на аватаре/бумажке, а по реальным знаниям/даваемым советам. В данном же случае приведенную им рекомендацию:
позитивно оценить не могу, т.к. для решения проблемы таким способом необходимо наличие как минимум самого касперского (если мне память не изменяет, то он не бесплатныйПроще всего сделать загрузочный "диск спасения" под Касперским
.....
И в следующий раз не смешите незнанием!
P.S. Чтобы не было претензий ко мне, скажу, что я сам имею "некоторое"
Поддерживаю методику предложенную A.G.P.. Сам делал подобное но не с такой глубиной, реестр поражённый AMV0 не удавалось выправить, скрытые файлы пропадали . Сейчас перечитал внимательно методику - изъянов нет, респект и +1 :
Действительно интересный:я бы сказал, что интересный расклад получается вдвойне, т.к на официальном сайте https://mvp.support.microsoft.com/communities/mvp.aspx?adv=1 о таком не слышали
https://mvp.support.microsoft.com/profile=CEE8CCF9-240A-484F-97FB-C809262E95C0.
Впрочем соглашусь, что искать что-то на сайте МС искуство.
Так "все равно", что шпильку снова подпустил
А вот касательно твоего совета - респект. Хоть и для подготовленного юзера, но совет толковый.
Последний раз редактировалось TigerS; 29.09.2008 в 20:16.
TigerS, ладно, проехали
AlNet, спасибо за высокую оценку
A.G.P.Это ты так пиписками померился?
Никогда не понимал людей, которым обязательно нужно кого-то утопить, чтобы самому оказаться выше.
[off] Grizli,
Во-первых, не помню, чтобы мы с вами на брудершафт пили, чтобы вы могли мне тыкать.
Во-вторых, все, что было сказано здесь до сообщения 22 включительно, относилось к теме вопроса.
Если я и усомнился изначально в наличии статуса у г-на Cybercop, то основанием для этого послужил его ответ (если бы не знакомый логотип, то на этот ответ я бы и не обратил внимания). А поскольку на некоторых пользователей логотип может послужить сильным фактором для выполнения действий (не всегда правильных), описанных в сообщении, то, предварительно проверив базу данных MVP, в которой г-на Cybercop не нашлось, я и создал сообщение 26. Я рад, что с помощью TigerS все встало на места. Cybercop действительно можно поздравить, т.к. статус MVP просто так не дают. Но его статус никак не сказывается на различных профессиональных подходах в решении проблемы, описанной в данной теме. Касперский (особенно КИС 2009) действительно неплохой продукт, но замыкаться на нем одном (или устраивать его постоянную рекламу) не стоит. Есть более доступные способы решения проблем.
И последнее, Grizli, если по теме сказать нечего, то иногда лучше жевать, чем говорить.
[/off]
Последний раз редактировалось A.G.P.; 30.09.2008 в 01:06.
У меня сейчас похожая проблема.
Вирус заблокировал Диспетчер задач и Реестр.
Через gpedit.msc невозможно включить их обратно-компоненты удалил вирус.
Антивири заблокировал,при включении установки любоого антивируса-отключает установку.
При входе в Безопасный режим-комп идет в ребут.
Что делать?Чистить хард пока не хочется.
А если хард подцепить к работающей машине и почистить его? Только вот, возможно, системные файлы побьются.
Ох, простите, что оскорбил Вашу тонкую натуру. Впредь буду с Вами изысканно вежлив и предупредителен.
Уязвленное самолюбие оно обычно, либо по молодости, либо по глупости. В вашем случае вероятнее всего и первое и второе.
Вы бы хоть перед человеком извинились.
DeaDLock LiveCd
пысы Можно эксплорер прибивать
Gambrinus
Друган посоветовал вставить LiveCD на основе GNU Убунту и через него перетащить нужные файлы(образы игр,фильмы и музыку) на другой жесткий.
Как вам такой вариант?безопасно?
Последний раз редактировалось DeaDLock; 30.09.2008 в 18:35.
2DeaDLock - да, вполне безопасно, если не перетаскивать вместе с инфой и вирусы.
Мне обычно кроме AVZ (сейчас он плоховато находить стал, не обновляется) и Dr.Web CureIt! очень помогает Process Explorer с sysinternals.com
С помощью него можно всяких вредителей приостанавливать и убивать. Например, 3 процесса, мониторящие статус друг друга и при убийстве любого из них, запускают его снова.
В PE приостанавливаются, но не убиваются два из них, а потом по очереди убиваются. Начиная с живого
В нём же можно отслеживать хорошо всякие левые библиотечки (.dll), которые цепляются к explorer.exe и прочим программкам. Путь на бумажку, всё с этой библиотекой - убить, а потом в меню файл - Run... - Обзор и можно всё спокойно удалять.
Последний раз редактировалось Fireball; 30.09.2008 в 18:54.
Симулянт - несуществующий обьект, который прикидывается существующим
Ваши права
Ответить с цитированием
Социальные закладки