Форум программистов
 

Восстановите пароль или Зарегистрируйтесь на форуме, о проблемах и с заказом рекламы пишите сюда - alarforum@yandex.ru, проверяйте папку спам!

Вернуться   Форум программистов > Программная инженерия > Безопасность, Шифрование
Регистрация

Восстановить пароль

Купить рекламу на форуме - 42 тыс руб за месяц

Ответ
 
Опции темы Поиск в этой теме
Старый 10.04.2009, 00:05   #1
NITRO2025
Новичок
Джуниор
 
Аватар для NITRO2025
 
Регистрация: 21.01.2009
Сообщений: 1,340
Восклицание Убить вирус. Готовые решения.

Огромная просьба ко всем участникам!!!! Не задавайте здесь вопросов. Тема создана именно для конкретных решений. Выкладывайте свои действенные решения борьбы с вирусами. Начну первым...

Ноутбук RoverBook. Операционная система ХР SP2. При открытии IE на несколько секунд открывается нужная страница,потом все заливается розовым фоном и появляется 6 порнокартинок, а посередине предложение отправить СМС что бы получить таблэтку от этой напасти. Стоял на ноуте только старый NOD32 и то не обновленный. Файервола не было вовсе..Сканирование NODом,Dr.WEBом,ESS,Cureitом ничего не дало...Ни один из них ничего не нашел..KISа не было..Открываю надстройки IE и вижу такую интересную вещь:SHN Video Provider библиотека uzsyzqu.dll. Отключить не удается..Ну ясно кто всю малину портит. Нахожу местонахождение этого друга:C:\Documents and Setting\All Users\Application Data\Microsoft\ Убиваю его ТС. Лезу в IE. Жив зараза.Ясно где то еще авторан искать надо..Через свойства папки,вид открываю скрытые файлы.И что я вижу? На дисках С и D (было всго 2 раздела)есть очень интересные папочки-Recycler. А в них вот такие красивые файлики: S-1-5-21-507921405-492894223-854245398-1003.Причем продублированные дважды!!!!!!Весом всего 16кb.Удаляться не хотят ни в какую..Тут же самовосстанавливаются... Зашел в безопасный режим,пытаюсь удалить..результат -ноль. Поставил в настройках корзины удаление без перемещения в корзину. И начал с дальнего-диска D. Убил...тоже самое проделал с диском С. Убил..Вроде бы хорошо,но...В IE эта dllка как сидела так и сидит.Но уже появился большой плюс...Появилась возможность отключить эту зловредню надстройку. Все бы хорошо,но дрянь то так и осталась сидеть на компе. Начал искать ее .. Поиск ничего не дал...пришлось искать вручную..Нашел..C:\Program files\Microsoft shared\Web Folders\uqzyszu.dll Register server. Если присмотреться внимательно,то увидим, что вторая и предпоследняя буква в имени поменяны местами...поэтому поиск ничего не дал..Так же в безопасном режиме убил его Тоталом.. После прочистил реестр от остатков хвостов..Запускаю IE... Все девственно чисто..На все ушло около часа...

Скрытая папка RECYCLER на жёстких дисках - это корзина. В ней может быть несколько подпапок вида S-1-5-21-1177238915-1060284298-725345543-1003 и т.п. для нескольких пользователей или если удаляемые файлы имели одинаковые имена, чтоб не перезаписывали друг друга. Папки RECYCLER не должно быть на съёмных дисках. Запустить файл на выполнение из настоящей корзины нельзя, потому программы создают папку с похожим названием (RECYCLER или S-1-5-21-1177238915-1060284298-725345543-1009 например) - у неё скорее всего не будет значка корзины и в свойствах отображается обычная информация о папке, в то время как у корзины - настройки удаления
// JTG
Согласие есть продукт при полном непротивлении сторон! :)

Последний раз редактировалось JTG; 10.04.2009 в 10:56.
NITRO2025 вне форума Ответить с цитированием
Старый 10.04.2009, 04:56   #2
KORN
Банхаммер
Участник клуба
 
Аватар для KORN
 
Регистрация: 17.02.2007
Сообщений: 1,754
По умолчанию

поддерживаю тему, так же советую писать по пунктам (последовательность удаления), по возможности выкладывать видео по удалению и самописные программы для удаления малвари
Перед тем как спросить ищи на форуме и в GOOGLE
KORN вне форума Ответить с цитированием
Старый 10.04.2009, 16:14   #3
Utkin
Старожил
 
Аватар для Utkin
 
Регистрация: 04.02.2009
Сообщений: 17,351
По умолчанию

Также на съемных дисках не должно быть скрытой папки System и папки Recycled - трите эту ерунду безжалостно.

Много рекламы в браузере (наблюдал в Опере и Эксплорере) - ищем папку MyCentria и просто стираем ее Shift+Delete

Тормоза при открытии веб-страниц (необязательно в интернете) и вообще тормоза в Эксплорере - какая-то фигня в файлах *.htt
Находим через поиск файлов и папок все файлы с таким расширением (они существуют и на здоровых компах) и уничтожаем их.

Сразу должно настораживать в одном каталоге папка и файл *.exe с таким же именем. Удаляю не раздумывая.
Маньяк-самоучка
Utkin появился в результате деления на нуль.
Осторожно! Альтернативная логика

Последний раз редактировалось Utkin; 10.04.2009 в 16:21.
Utkin вне форума Ответить с цитированием
Старый 10.04.2009, 16:49   #4
Stilet
Белик Виталий :)
Старожил
 
Аватар для Stilet
 
Регистрация: 23.07.2007
Сообщений: 57,097
По умолчанию

Ну и конечно же вири любят усесться в ветку:
HKEY_LOCAL_MACHINE\SOFTWARE\Microso ft\Windows NT\CurrentVersion\Windows\AppInit_D LLs

в которой указаны файлы которые нужно запустить например до ввода пароля, logon'ом.

По хорошему там должно быть чисто.
I'm learning to live...
Stilet вне форума Ответить с цитированием
Старый 10.04.2009, 17:07   #5
Лукманов Александр
работа не волк....
Форумчанин
 
Аватар для Лукманов Александр
 
Регистрация: 09.06.2008
Сообщений: 337
По умолчанию

win32.Sector9 - блокирует запуск программ, диспетчера задач и других системных служб.

Запускаем с лазерного диска:

1. AVZ (переименованный в файл 1.com), жмём Поиск системных ошибок
2. Запускаем AVZ Guard
3. Запускаем доверенное приложение - Dr.Web-овский launcher.exe (с диска).
4. Ищем и удаляем вирусы.
Цель, для которой требуются неправые средства, не есть неправая цель.
Лукманов Александр вне форума Ответить с цитированием
Старый 10.04.2009, 18:49   #6
Noor
Участник клуба
 
Аватар для Noor
 
Регистрация: 01.11.2006
Сообщений: 1,051
По умолчанию

Для того что бы на флешку не садился autorun.inf достаточно будет создать на флешке папку с тким же названием "autorun.inf" Примесание: Не просто autorun, а именно autorun.inf
После этого, если на вашу флешку падет папка RECYCLER , то уже вирус не перейдет на друге машины.
Так же бывали случаи когда не открывались, по двойному клику, диски (D,E и др.)...причина тому была наличие вируса autorun.inf н этих дисках. Решается таким же образом как описывалось выше. Создаем на дисках каталог autorun.inf.
Так же отрубаем автозагрузку с разных носителей, я для удобства использую FlashGuard


Так же при наличии локальной сети по TCP/IP...желательно присмотреться к каталогу
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\ сюда валиться всякая всячина.
Так же желательно зарыть порты 445, 135 - я закрывал ЭТОЙ ПРОГРАММОЙ

Зелеными птичками отмечено что я у себя заблокировал.

Ну и конечно же устанавливать критические обновления для системы, которые вышли после СП3 (pre Service Pack 4 для русской Windows XP SP3)
Свежие обновления можно скачивать ТУТ - новый билд выходит раз в месяц.
или вот тут лежит pre Service Pack 4 для русской Windows XP SP3 от 14 марта 2009

Последний раз редактировалось Noor; 10.04.2009 в 19:47.
Noor вне форума Ответить с цитированием
Старый 10.04.2009, 18:56   #7
KORN
Банхаммер
Участник клуба
 
Аватар для KORN
 
Регистрация: 17.02.2007
Сообщений: 1,754
По умолчанию Trojan.Win32.Autoit.ez

Всем доброго времени суток... решил помочь в развитии этой темы...

В своих постах я буду использовать классификацию антивируса Касперского которая очень хорошо
описывает вредоносный объект. (например Email-Worm.Win32.Brontok.q -
Классификация.Тип_файла.Имя_объекта .Модификация).

Для работы нам понадобится Total Commander (или что то подобное, я использую Ef Commander),
ProcessExplorer (Показывает процессы и их расположение), Regedit (Редактор реестра), блокнот,
фаервол (я использую Outpost Firewall), autoruns (Определение объектов автозапуска) и пожалуй
все... В нагрузку я использую свой антивирус т.к. он показывает изменения в реестре, какой
процесс откуда запускается и т.д.

Первым примером будет Trojan.Win32.Autoit.ez, он не имеет постоянного имени и при создании
создается с новым именем т.к. txptvk.

Метод распространения трояна (определяем с помощью фаервола и банальным использованием
флешки): через съемные носители и сканирование сети на наличие расшареных папок

При заражении файл записывается в автозапуск по адресу (определяем с помощью autoruns):
ключ: HKEY_CURRENT_USER\Software\Microsof t\Windows\CurrentVersion\Explorer\M ountPoints2
Значение: CSRCS | windows\system32\CSRCS.exe

Отключает показ скрытых файлов и папок (Определяется банальным открытием проводника)
Создает скрытый файл windows\system32\CSRCS.exe (Определяется, как из значения автозапуска так , и через ProcessExplorer)

В ЭТОЙ ПАПКЕ НАХОДИТСЯ СИСТЕМНЫЙ ФАЙЛ CSRCSS.EXE ВЕСОМ В 6 КИЛОБАЙТ НЕ СПУТАЙТЕ ИХ!

После запуска троян начинает подключаться к www.whatismyip.com и другим сервисам по

определению IP адреса компьютера (Определяется с помощью фаервола).

Метод удаления
Завершаем процесс CSRCS.exe
Удаляем файл windows\system32\CSRCS.exe
удаляем ключ из автозапуска
И для избежания проблем с открытия дисков очищаем ключи которые начинаются с '{' в

HKEY_CURRENT_USER\Software\Microsof t\Windows\CurrentVersion\Explorer\M ountPoints2

Для облегчения Чистки реестра выкладываю свою утилиту Clear Registry

Чаще всего методика распространения вирусов очень похожа и сводится к нескольким пунктам:
1) проникновение
2) запуск
3) скрытие
4) сбор данных/заражение
5) отправка получателю

Нам главное не допустить отправки данных или заражения файлов компьютера. (хотя в некоторых случаях и запуск может быть фатальным)

На этом закончу, если у вас есть вопросы то пишите их сюда, а не создавайте новые темы.

Описывайте проблему как можно более подробней. Проверить подозрительный файл можно на http://virustotal.com или http://viruslist.ru, либо отправляйте мне на почту incyberteam(сабако)mail.ru в архиве с паролем virus и комментариями.
Перед тем как спросить ищи на форуме и в GOOGLE

Последний раз редактировалось KORN; 10.04.2009 в 19:00.
KORN вне форума Ответить с цитированием
Старый 10.04.2009, 19:28   #8
Noor
Участник клуба
 
Аватар для Noor
 
Регистрация: 01.11.2006
Сообщений: 1,051
По умолчанию

Дополню относительно вируса CSRCS.exe, он прописывает свою загрузку в ветке (HKEY_LOCAL_MACHINE\SOFTWARE\Microso ft\Windows NT\CurrentVersion\Winlogon) с загрузкой Explorer.exe...так что значение Sell нужно ручками подредактировать.


ну и неприменно выполняем поиск CSRCS по реестру

В своей борьбе использую
CureIT - беру на офф-сайте или http://www.comss.ru/list.php?c=utils
NOD32 On-Demand Scanner - http://www.comss.ru/list.php?c=utils
Kaspersky Virus Removal Tool - http://www.comss.ru/list.php?c=utils
AVZ c вкл. AVZGuard- http://z-oleg.com/secur/avz/download.php

ну и для удобства TotalCommander+Starter(Для работы с автозагрузкой,службами и процессами)



при необходимости UnlockerPortable, для реестра Portable jv16 PowerTools
Так же стараюсь загружаться в безопасном режиме с поддержкой командной строки, а потом из консоли вызываю TotalCommander и в бой !!! Или если совсем уж положение плачевное (заблокирован безопасный режим) то беру Live CD и работаю с ним.
Относительно отключенного безопасного режима ... исправляю restore_safe_boot - reg файл для восстановления безопасного режима.
Вложения
Тип файла: zip restore_safe_boot.zip (1.3 Кб, 56 просмотров)

Последний раз редактировалось Noor; 10.04.2009 в 19:56.
Noor вне форума Ответить с цитированием
Старый 13.04.2009, 23:23   #9
AndreyMust19
Пользователь
 
Регистрация: 01.03.2009
Сообщений: 31
По умолчанию 4 совета

Совет 1
Файл не удаляется или удаляется, но появляется снова?
Чтобы гадость не восстанавливалась:
- заходим под ограниченной учетной записью
- запускаем TaskMgr или Far, убиваем все процессы своей учетной записи (даже explorer)
- закрываем TaskMgr или Far и открываем снова
- запускаем explorer
- теперь гадость не запущена. Удаляем файл
Разумеется, это способ работает, если гадость запускается не от имени администратора.

Совет 2
Чтобы контролировать системные файлы, нужно использовать какой-нибудь инспектор, например тот, что есть в AVZ.
Открываем "Файл->Ревизор", вкладка "Создание базы"
Указываем папку, список файлов и контрольные суммы которых мы хотим сохранить. Ждем.
Периодически проверяем отличия ("Файл->Ревизор", вкладка "Сравнение диск<>база"), не забывая учитывать все установленные обновления. В результате вы увидите все новые и измененные файлы.

Совет 3
Чтобы отключить автозапуск со всех съемных носителей, создайте следующий ключ реестра:
HKLM\Software\Microsoft\Windows\Cur rentVersion\Policies\Explorer\NoDri veAutorun
со следующим значением = FFFFFFFF. Нужна перезагрузка. Если раздел 'Explorer' не существует, создайте его.
Также можно создать раздел:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Au torun.inf
И ключу "По умолчанию" установить значение @SYS:DoesNotExist.
Примечание:
Noor сказал, что можно создать папку autorun.inf на флешке для невозможности создания файла с таким же именем. Не забудьте присвоить каталогу атрибуты "системный" и "скрытый". Для этого в командной строке:
Код:
attrib +S +H <путь_файла>
Совет 4, самый важный
Не работайте под учетной записью Администратора, работайте под учетно записью Пользователя. Тогда ни одна запускаемая программа не сможет навредить системе.
AndreyMust19 вне форума Ответить с цитированием
Старый 14.04.2009, 09:03   #10
Utkin
Старожил
 
Аватар для Utkin
 
Регистрация: 04.02.2009
Сообщений: 17,351
По умолчанию

Цитата:
Сообщение от AndreyMust19 Посмотреть сообщение
Совет 4, самый важный
Не работайте под учетной записью Администратора, работайте под учетно записью Пользователя. Тогда ни одна запускаемая программа не сможет навредить системе.
Неплохо бы указывать операционную систему перед такими советами. Для ХР это не так актуально. И если имеется доступ как Пользователь то при следующей загрузке как Администратор имеется возможность перехватить управление (например, если заменить хранитель экрана).
Маньяк-самоучка
Utkin появился в результате деления на нуль.
Осторожно! Альтернативная логика
Utkin вне форума Ответить с цитированием
Ответ


Купить рекламу на форуме - 42 тыс руб за месяц



Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Готовые исходники Ханойской Башни Arnezami Общие вопросы .NET 16 01.06.2016 22:15
нужны готовые, работающие проги на С++ Ghaal Фриланс 4 09.11.2008 12:02
Имеются готовые базы данных на дельфи Барби Фриланс 5 12.01.2008 21:55
Не все готовые исходники компилируются (Вопрос новичка) grey Помощь студентам 9 28.10.2007 19:18