Обговорення вірусів
| |
ivan | Дата: Середа, 23.01.2008, 14:23 | Повідомлення # 1 |
Бувалий
Група: Модератори
Повідомлень: 288
Репутація: 14
Статус: Offline
| Есть такой противный вирус Virus.VBS.Small.a - действие его заключается в том, что при попытке получить доступ к логическим дискам через виндосовский эксплорер, выдается сообщение в невозможности открыть какой-то файл (возможны некоторые вариации, типа того, что нажав правой кнопкой по диску видим в контекстном меню вместо "Открыть" что-то другое)... Более того, зараженный компьютер сам становится источником распространения заразы. В последнее время стал замечать прямо-таки эпидемию этого вируса. Излюбленный способ распространения - через флешки. Втыкаем зараженную флешку, и если не была включена постоянная защита антивирусника и использовался автозапуск с флешки - то комп инфицировался. Последующая проверка антивирусником особого результата не давала. Сам по неосторожности пару-тройку раз подхватывал такой вирус. Значит, так... Если вдруг... ну так уж получилось, что подхватили - не отчаиваемся и не паникуем. Вначале - немного общих сведений. Этот вирус состоит из двух частей, первая является файлом сценария языка Visual Basic Script, а вторая — пакетным командным файлом. После запуска командного файла выполняется включение в системный реестр настроек из файла autorun.reg, расположенного в каталоге с источником вируса (например, флешка). Затем извлекается и переносится содержимое файла autorun.bin (находящегося там же либо в папке WINSOWS) в файл autorun.inf, расположенный в корне диска C - c:\autorun.inf и создается C:\WINDIWS\system32\autorun.bin Если в папке с источником вируса или в папке WINDOWS отсутствуют параметры командной строки файла, то выполняется поиск файла autorun.vbs, он запускается и копирует себя в C:\WIMDOWS\system32\autorun.vbs Также создается папка C:WINDOWS\system\system. (с точкой) и копируется туда из источника все файлы, соответствующие маске autorun.* При запуске второй части вируса autorun.vbs выполняется сравнение текущей системной даты с датой, заданной в autorun.vbs. Если они не совпадают, происходит завершение работы. Если совпадают, запускается файл autorun.bat. Читает autorun.inf в корне диска C: если такой файл обнаружен и не нулевого размера, то мы видим его проявление при попытке в експлорере перейти да диск C: нажатием левой кнопки мышки, или правой кнопкой - тогда видим в контекстном меню какую-то ерунду вместо "открыть". Далее, если текущий год не больше 2030-го, файлы копируются по маске autorun.* на все найденные локальные жесткие и сетевые диски, а также на все подключенные в этот момент флешки (кроме дискет - видимо, автор вируса не пользуется этим архаизмом). Копирование происходит как непосредственно, так и вызовом пакетного файла autorun.bat. Причем одной из неприятных последствий является невозможность включить показ скрытых системных файлов для удаления вредоносного файла. Что нужно сделать для удаления вируса? Вначале запускаем редактор реестра, (Пуск>Выполнить, regedit), переходим в ветвь HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, ищем строку Userinit. Меняем параметр C:\WINDOWS\system32\userinit.exe, autorun.vbs на C:\WINDOWS\system32\userinit.exe. Далее, запускаем командную строку и там пишем del c:\autorun.inf del c:\autorun.bin del c:\autorun.vbs del c:\autorun.reg (если есть такой) повторяем это для кажного логического диска. Это обязательнын бля удаления файлы. Не помешает также просмотреть корень логических дисков командой dir <логический_диск>:\ и поудалять остальные автораны. и еще пишем del c:\WINDOWS\system32\autorun.bin del c:\WINDOWS\system32\autorun.vbs перезагружаемся. Всё. Должно помочь. По крайней мере, у меня получилось. PS. Забыл еще - удаляем папку C:WINDOWS\system\system. (с точкой), если такая создалась. Иначе снова вылезет! Удачи всем Вам !
Не забуваємо ставити "+" якщо комусь допоміг !
|
|
| |
PsevdoNimB | Дата: Середа, 23.01.2008, 14:49 | Повідомлення # 2 |
Досвідчений
Група: Продвинуті
Повідомлень: 444
Репутація: 28
Статус: Offline
| Спасибо! Как раз в тему! )
|
|
| |
B@SSMAN | Дата: Четвер, 24.01.2008, 08:28 | Повідомлення # 3 |
Досвідчений
Група: Продвинуті
Повідомлень: 368
Репутація: 11
Статус: Offline
| Є програма Антіавторан, яка сама робить всі ці дії. http://www.bombina.com/load/anti_autorun.exe
. .или что-то случилось, или одно из двух. .
|
|
| |
ivan | Дата: Пятниця, 25.01.2008, 15:49 | Повідомлення # 4 |
Бувалий
Група: Модератори
Повідомлень: 288
Репутація: 14
Статус: Offline
| B@SSMAN, даною програмою не користувався, а тому не можу сказати про неї нічого. Зате ручний спосіб провірений не на одному компьютері
Не забуваємо ставити "+" якщо комусь допоміг !
|
|
| |
B@SSMAN | Дата: Субота, 26.01.2008, 14:31 | Повідомлення # 5 |
Досвідчений
Група: Продвинуті
Повідомлень: 368
Репутація: 11
Статус: Offline
| Quote (ivan) Зате ручний спосіб провірений не на одному компьютері Якщо це дома - то нормально. А якщо під тобою ~100 машин? Вручну буде довго
. .или что-то случилось, или одно из двух. .
|
|
| |
ivan | Дата: Субота, 26.01.2008, 15:56 | Повідомлення # 6 |
Бувалий
Група: Модератори
Повідомлень: 288
Репутація: 14
Статус: Offline
| B@SSMAN, я хочу допомогти простим людям, які сидать вдома і не знають, що робити із їхнім інфікованим компом. Вибачте, але я відстоюю права простих користувачів.
Не забуваємо ставити "+" якщо комусь допоміг !
|
|
| |
B@SSMAN | Дата: Понеділок, 28.01.2008, 08:16 | Повідомлення # 7 |
Досвідчений
Група: Продвинуті
Повідомлень: 368
Репутація: 11
Статус: Offline
| Quote (ivan) Вибачте, але я відстоюю права простих користувачів. Нічого не маю проти. В принципі я їх і не порушував
. .или что-то случилось, или одно из двух. .
|
|
| |
ivan | Дата: Вівторок, 19.02.2008, 17:30 | Повідомлення # 8 |
Бувалий
Група: Модератори
Повідомлень: 288
Репутація: 14
Статус: Offline
| B@SSMAN, якщо є якісь методи боротьби з вірусами то поділіться з простим людом. У мене наприклад проблема : завівся у компові червячок Win32.Spybot.worm і я з ним нічого не можу зробити. Які тільки програми не використовував то нічого не виходить. Лише Агава бачить його, пише що заражений ключ реєстру msconfig.exe. Знищую його, але при наступному запускі він знову з"яляється.
Не забуваємо ставити "+" якщо комусь допоміг !
|
|
| |
PROSPERO | Дата: Понеділок, 25.02.2008, 16:22 | Повідомлення # 9 |
Новачок
Група: Продвинуті
Повідомлень: 55
Репутація: 2
Статус: Offline
| Для боротьби з червяками (антивіруси не беруть) потрібні утиліти, які знаходяться на сайтах антивірусів...А взагалі після деяких червяків допомогає тільки формат (тай то тільки з-під ДОСу) та перестановка системи...
|
|
| |
ivan | Дата: Понеділок, 25.02.2008, 22:43 | Повідомлення # 10 |
Бувалий
Група: Модератори
Повідомлень: 288
Репутація: 14
Статус: Offline
| PROSPERO, формат диску це крайня міра. Хотілося б позбутися зарази менш категоричними методами.
Не забуваємо ставити "+" якщо комусь допоміг !
|
|
| |
PROSPERO | Дата: Вівторок, 26.02.2008, 14:56 | Повідомлення # 11 |
Новачок
Група: Продвинуті
Повідомлень: 55
Репутація: 2
Статус: Offline
| Quote (ivan) формат диску це крайня міра Тоді перевірка антивірусом із загрузочного CD або флешки... тобто не завантажувати систему з вінчестера... В Інеті є такі антивіруси (portable), тільки потрібно обновити базу вірусів.. Але все таки краще форматнути хоча б диск С, а інші перевірити...
|
|
| |
sharegen | Дата: Неділя, 02.03.2008, 14:48 | Повідомлення # 12 |
Новачок
Група: Продвинуті
Повідомлень: 56
Репутація: 2
Статус: Offline
| ivan Quote (ivan) Хотілося б позбутися зарази менш категоричними методами. Опробуй Spyware Doctor 5.1 неплохая программа, действует как системный чистильщик, оптимизатор + антивирусная защита. Многих шпионов находит (рекламных, Троянов, и.т.д), может стоять параллельно с любым антивирусом, у меня стояла с Nod32, и с Avast, без проблем - им не мешает.
Повідомлення відредагував sharegen - Неділя, 02.03.2008, 14:50 |
|
| |
ivan | Дата: Середа, 12.03.2008, 18:26 | Повідомлення # 13 |
Бувалий
Група: Модератори
Повідомлень: 288
Репутація: 14
Статус: Offline
| sharegen, поставив Spyware Doctor 5.5. Дійсно класна программа, але одна проблема- не хоче оновлюватися. Вимагала реєстрації программи. Я знайшов в Інтеренті ключ і зареєстрував її, але всеодно пише що підписка недійсна. Знайшов нові ключі, але тепер виникла нова проблема. Не можу удалити стару реєстрацію. Що тільки не робив : переустанавлював програму, чистив реєстр, удаляв вручну всі файли пов"язані з Spyware Doctor, але нічого не допомагає. Зараз коли устанавлюю программу, то вона автоматично прописується на старий ключ и при спробі оновлення пише, що підписка недійсна. Що можна зробити ?
Не забуваємо ставити "+" якщо комусь допоміг !
|
|
| |
sharegen | Дата: Середа, 12.03.2008, 20:55 | Повідомлення # 14 |
Новачок
Група: Продвинуті
Повідомлень: 56
Репутація: 2
Статус: Offline
| Даже незнаю у меня таких проблем небыло. Ключ подошёл без проблем, обновление всё работало! Добавлено (12.03.2008, 20:07) --------------------------------------------- Вот на одном форуме нашел : У меня стоит Spyware.Doctor.v5.0.5.258 ,сначала программа регулярно обновлялась,но потом вдруг перестала и при обновлении появлялось предложение о переустановке.Я уже было стал подумывать о поиске нового ключа,но выручил случай.Поставил я Agnitum.Outpost.Firewall.Pro.2008.v6.0.2168.211.04 15,до этого у меня стояла 4-я версия,ну и чисто случайно попробовал обновить Doctorа,автоматически создались правила и о чудо ,после трёхнедельного перерыва Doctor обновился,лицензия на месте,всё путём.Как это связано между собой я не знаю,но факт налицо,обновление Spyware.Doctor.v5.0.5.258 снова работает !!! У многих такая проблема, но как от неё избавится - ничего конкретного, если найду, обязательно отпишу. Форум здесь Добавлено (12.03.2008, 20:55) --------------------------------------------- http://www.forum.softweb.ru/showthread.php?p=260428 Здесь может более точно описано, как надо чистить хвосты после Spyware.Doctor-а, есть такая программа, jv16 Power Tools, вроде должна помочь. Вообщем там надо зарегистрироваться, чтобы открылись скрытые темы. Сброшу тебе ключи, должны работать, но проверить не могу, так как Spyware.Doctor не стаёт на 64-бит. систему, он только для 32х.
Повідомлення відредагував sharegen - Середа, 12.03.2008, 18:49 |
|
| |
tiberiy72 | Дата: Четвер, 26.02.2009, 00:32 | Повідомлення # 15 |
Новачок
Група: Продвинуті
Повідомлень: 3
Репутація: 0
Статус: Offline
| Этот попробуй антивирус Скачать антивирус SpywareTerminatorSetup.exe классный антивирус я сам на своем компе испытал !Додано (26.02.2009, 00:32) --------------------------------------------- Этот попробуй антивирус Скачать антивирус SpywareTerminatorSetup.exe классный антивирус я сам на своем компе испытал !
|
|
| |
|