Форум программистов
 
Контакты: о проблемах с регистрацией, почтой и по другим вопросам пишите сюда - alarforum@yandex.ru, проверяйте папку спам! Обязательно пройдите активизацию e-mail.

Вернуться   Форум программистов > Технологии > Безопасность, Шифрование
Регистрация

Восстановить пароль
Повторная активизация e-mail

Ответ
 
Опции темы
Старый 10.04.2009, 00:05   #1
NITRO2025
Новичок
Заслуженный модератор
 
Аватар для NITRO2025
 
Регистрация: 21.01.2009
Адрес: Россия
Сообщений: 1,345
Репутация: 932

skype: Nitro2025
Восклицание Убить вирус. Готовые решения.

Огромная просьба ко всем участникам!!!! Не задавайте здесь вопросов. Тема создана именно для конкретных решений. Выкладывайте свои действенные решения борьбы с вирусами. Начну первым...

Ноутбук RoverBook. Операционная система ХР SP2. При открытии IE на несколько секунд открывается нужная страница,потом все заливается розовым фоном и появляется 6 порнокартинок, а посередине предложение отправить СМС что бы получить таблэтку от этой напасти. Стоял на ноуте только старый NOD32 и то не обновленный. Файервола не было вовсе..Сканирование NODом,Dr.WEBом,ESS,Cureitом ничего не дало...Ни один из них ничего не нашел..KISа не было..Открываю надстройки IE и вижу такую интересную вещь:SHN Video Provider библиотека uzsyzqu.dll. Отключить не удается..Ну ясно кто всю малину портит. Нахожу местонахождение этого друга:C:\Documents and Setting\All Users\Application Data\Microsoft\ Убиваю его ТС. Лезу в IE. Жив зараза.Ясно где то еще авторан искать надо..Через свойства папки,вид открываю скрытые файлы.И что я вижу? На дисках С и D (было всго 2 раздела)есть очень интересные папочки-Recycler. А в них вот такие красивые файлики: S-1-5-21-507921405-492894223-854245398-1003.Причем продублированные дважды!!!!!!Весом всего 16кb.Удаляться не хотят ни в какую..Тут же самовосстанавливаются... Зашел в безопасный режим,пытаюсь удалить..результат -ноль. Поставил в настройках корзины удаление без перемещения в корзину. И начал с дальнего-диска D. Убил...тоже самое проделал с диском С. Убил..Вроде бы хорошо,но...В IE эта dllка как сидела так и сидит.Но уже появился большой плюс...Появилась возможность отключить эту зловредню надстройку. Все бы хорошо,но дрянь то так и осталась сидеть на компе. Начал искать ее .. Поиск ничего не дал...пришлось искать вручную..Нашел..C:\Program files\Microsoft shared\Web Folders\uqzyszu.dll Register server. Если присмотреться внимательно,то увидим, что вторая и предпоследняя буква в имени поменяны местами...поэтому поиск ничего не дал..Так же в безопасном режиме убил его Тоталом.. После прочистил реестр от остатков хвостов..Запускаю IE... Все девственно чисто..На все ушло около часа...

Скрытая папка RECYCLER на жёстких дисках - это корзина. В ней может быть несколько подпапок вида S-1-5-21-1177238915-1060284298-725345543-1003 и т.п. для нескольких пользователей или если удаляемые файлы имели одинаковые имена, чтоб не перезаписывали друг друга. Папки RECYCLER не должно быть на съёмных дисках. Запустить файл на выполнение из настоящей корзины нельзя, потому программы создают папку с похожим названием (RECYCLER или S-1-5-21-1177238915-1060284298-725345543-1009 например) - у неё скорее всего не будет значка корзины и в свойствах отображается обычная информация о папке, в то время как у корзины - настройки удаления
// JTG
__________________
[I][SIZE="2"][COLOR="Blue"]Согласие есть продукт при полном непротивлении сторон![/COLOR] :)[/SIZE][/I]

Последний раз редактировалось JTG; 10.04.2009 в 10:56.
NITRO2025 вне форума   Ответить с цитированием
Старый 10.04.2009, 04:56   #2
KORN
Банхаммер
Профессионал
 
Аватар для KORN
 
Регистрация: 18.02.2007
Адрес: Иркутск
Сообщений: 1,754
Репутация: 461

icq: 322522511
По умолчанию

поддерживаю тему, так же советую писать по пунктам (последовательность удаления), по возможности выкладывать видео по удалению и самописные программы для удаления малвари
__________________
Перед тем как спросить ищи на форуме и в GOOGLE
KORN вне форума   Ответить с цитированием
Старый 10.04.2009, 16:14   #3
Utkin
Профессионал
 
Аватар для Utkin
 
Регистрация: 04.02.2009
Адрес: DuckBurg
Сообщений: 18,596
Репутация: 3917
По умолчанию

Также на съемных дисках не должно быть скрытой папки System и папки Recycled - трите эту ерунду безжалостно.

Много рекламы в браузере (наблюдал в Опере и Эксплорере) - ищем папку MyCentria и просто стираем ее Shift+Delete

Тормоза при открытии веб-страниц (необязательно в интернете) и вообще тормоза в Эксплорере - какая-то фигня в файлах *.htt
Находим через поиск файлов и папок все файлы с таким расширением (они существуют и на здоровых компах) и уничтожаем их.

Сразу должно настораживать в одном каталоге папка и файл *.exe с таким же именем. Удаляю не раздумывая.

Последний раз редактировалось Utkin; 10.04.2009 в 16:21.
Utkin вне форума   Ответить с цитированием
Старый 10.04.2009, 16:49   #4
Stilet
Белик Виталий :)
Профессионал
 
Аватар для Stilet
 
Регистрация: 23.07.2007
Адрес: Украина, Донецкая область, г. Краматорск
Сообщений: 57,958
Репутация: 6799
По умолчанию

Ну и конечно же вири любят усесться в ветку:
HKEY_LOCAL_MACHINE\SOFTWARE\Microso ft\Windows NT\CurrentVersion\Windows\AppInit_D LLs

в которой указаны файлы которые нужно запустить например до ввода пароля, logon'ом.

По хорошему там должно быть чисто.
Stilet вне форума   Ответить с цитированием
Старый 10.04.2009, 17:07   #5
Лукманов Александр
работа не волк....
Форумчанин
 
Аватар для Лукманов Александр
 
Регистрация: 09.06.2008
Адрес: Башкортостан Учалы
Сообщений: 336
Репутация: 64

icq: 422021255
По умолчанию

win32.Sector9 - блокирует запуск программ, диспетчера задач и других системных служб.

Запускаем с лазерного диска:

1. AVZ (переименованный в файл 1.com), жмём Поиск системных ошибок
2. Запускаем AVZ Guard
3. Запускаем доверенное приложение - Dr.Web-овский launcher.exe (с диска).
4. Ищем и удаляем вирусы.
__________________
Цель, для которой требуются неправые средства, не есть неправая цель.
Лукманов Александр вне форума   Ответить с цитированием
Старый 10.04.2009, 18:49   #6
Noor
Профессионал
 
Аватар для Noor
 
Регистрация: 01.11.2006
Сообщений: 1,062
Репутация: 260
По умолчанию

Для того что бы на флешку не садился autorun.inf достаточно будет создать на флешке папку с тким же названием "autorun.inf" Примесание: Не просто autorun, а именно autorun.inf
После этого, если на вашу флешку падет папка RECYCLER , то уже вирус не перейдет на друге машины.
Так же бывали случаи когда не открывались, по двойному клику, диски (D,E и др.)...причина тому была наличие вируса autorun.inf н этих дисках. Решается таким же образом как описывалось выше. Создаем на дисках каталог autorun.inf.
Так же отрубаем автозагрузку с разных носителей, я для удобства использую FlashGuard


Так же при наличии локальной сети по TCP/IP...желательно присмотреться к каталогу
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\ сюда валиться всякая всячина.
Так же желательно зарыть порты 445, 135 - я закрывал ЭТОЙ ПРОГРАММОЙ

Зелеными птичками отмечено что я у себя заблокировал.

Ну и конечно же устанавливать критические обновления для системы, которые вышли после СП3 (pre Service Pack 4 для русской Windows XP SP3)
Свежие обновления можно скачивать ТУТ - новый билд выходит раз в месяц.
или вот тут лежит pre Service Pack 4 для русской Windows XP SP3 от 14 марта 2009
__________________
Помог ? жми на весы ...

Последний раз редактировалось Noor; 10.04.2009 в 19:47.
Noor вне форума   Ответить с цитированием
Старый 10.04.2009, 18:56   #7
KORN
Банхаммер
Профессионал
 
Аватар для KORN
 
Регистрация: 18.02.2007
Адрес: Иркутск
Сообщений: 1,754
Репутация: 461

icq: 322522511
По умолчанию Trojan.Win32.Autoit.ez

Всем доброго времени суток... решил помочь в развитии этой темы...

В своих постах я буду использовать классификацию антивируса Касперского которая очень хорошо
описывает вредоносный объект. (например Email-Worm.Win32.Brontok.q -
Классификация.Тип_файла.Имя_объекта .Модификация).

Для работы нам понадобится Total Commander (или что то подобное, я использую Ef Commander),
ProcessExplorer (Показывает процессы и их расположение), Regedit (Редактор реестра), блокнот,
фаервол (я использую Outpost Firewall), autoruns (Определение объектов автозапуска) и пожалуй
все... В нагрузку я использую свой антивирус т.к. он показывает изменения в реестре, какой
процесс откуда запускается и т.д.

Первым примером будет Trojan.Win32.Autoit.ez, он не имеет постоянного имени и при создании
создается с новым именем т.к. txptvk.

Метод распространения трояна (определяем с помощью фаервола и банальным использованием
флешки): через съемные носители и сканирование сети на наличие расшареных папок

При заражении файл записывается в автозапуск по адресу (определяем с помощью autoruns):
ключ: HKEY_CURRENT_USER\Software\Microsof t\Windows\CurrentVersion\Explorer\M ountPoints2
Значение: CSRCS | windows\system32\CSRCS.exe

Отключает показ скрытых файлов и папок (Определяется банальным открытием проводника)
Создает скрытый файл windows\system32\CSRCS.exe (Определяется, как из значения автозапуска так , и через ProcessExplorer)

В ЭТОЙ ПАПКЕ НАХОДИТСЯ СИСТЕМНЫЙ ФАЙЛ CSRCSS.EXE ВЕСОМ В 6 КИЛОБАЙТ НЕ СПУТАЙТЕ ИХ!

После запуска троян начинает подключаться к www.whatismyip.com и другим сервисам по

определению IP адреса компьютера (Определяется с помощью фаервола).

Метод удаления
Завершаем процесс CSRCS.exe
Удаляем файл windows\system32\CSRCS.exe
удаляем ключ из автозапуска
И для избежания проблем с открытия дисков очищаем ключи которые начинаются с '{' в

HKEY_CURRENT_USER\Software\Microsof t\Windows\CurrentVersion\Explorer\M ountPoints2

Для облегчения Чистки реестра выкладываю свою утилиту Clear Registry

Чаще всего методика распространения вирусов очень похожа и сводится к нескольким пунктам:
1) проникновение
2) запуск
3) скрытие
4) сбор данных/заражение
5) отправка получателю

Нам главное не допустить отправки данных или заражения файлов компьютера. (хотя в некоторых случаях и запуск может быть фатальным)

На этом закончу, если у вас есть вопросы то пишите их сюда, а не создавайте новые темы.

Описывайте проблему как можно более подробней. Проверить подозрительный файл можно на http://virustotal.com или http://viruslist.ru, либо отправляйте мне на почту incyberteam(сабако)mail.ru в архиве с паролем virus и комментариями.
__________________
Перед тем как спросить ищи на форуме и в GOOGLE

Последний раз редактировалось KORN; 10.04.2009 в 19:00.
KORN вне форума   Ответить с цитированием
Старый 10.04.2009, 19:28   #8
Noor
Профессионал
 
Аватар для Noor
 
Регистрация: 01.11.2006
Сообщений: 1,062
Репутация: 260
По умолчанию

Дополню относительно вируса CSRCS.exe, он прописывает свою загрузку в ветке (HKEY_LOCAL_MACHINE\SOFTWARE\Microso ft\Windows NT\CurrentVersion\Winlogon) с загрузкой Explorer.exe...так что значение Sell нужно ручками подредактировать.


ну и неприменно выполняем поиск CSRCS по реестру

В своей борьбе использую
CureIT - беру на офф-сайте или http://www.comss.ru/list.php?c=utils
NOD32 On-Demand Scanner - http://www.comss.ru/list.php?c=utils
Kaspersky Virus Removal Tool - http://www.comss.ru/list.php?c=utils
AVZ c вкл. AVZGuard- http://z-oleg.com/secur/avz/download.php

ну и для удобства TotalCommander+Starter(Для работы с автозагрузкой,службами и процессами)



при необходимости UnlockerPortable, для реестра Portable jv16 PowerTools
Так же стараюсь загружаться в безопасном режиме с поддержкой командной строки, а потом из консоли вызываю TotalCommander и в бой !!! Или если совсем уж положение плачевное (заблокирован безопасный режим) то беру Live CD и работаю с ним.
Относительно отключенного безопасного режима ... исправляю restore_safe_boot - reg файл для восстановления безопасного режима.
Вложения
Тип файла: zip restore_safe_boot.zip (1.3 Кб, 28 просмотров)
__________________
Помог ? жми на весы ...

Последний раз редактировалось Noor; 10.04.2009 в 19:56.
Noor вне форума   Ответить с цитированием
Старый 13.04.2009, 23:23   #9
AndreyMust19
Пользователь
 
Регистрация: 01.03.2009
Сообщений: 31
Репутация: 10
По умолчанию 4 совета

Совет 1
Файл не удаляется или удаляется, но появляется снова?
Чтобы гадость не восстанавливалась:
- заходим под ограниченной учетной записью
- запускаем TaskMgr или Far, убиваем все процессы своей учетной записи (даже explorer)
- закрываем TaskMgr или Far и открываем снова
- запускаем explorer
- теперь гадость не запущена. Удаляем файл
Разумеется, это способ работает, если гадость запускается не от имени администратора.

Совет 2
Чтобы контролировать системные файлы, нужно использовать какой-нибудь инспектор, например тот, что есть в AVZ.
Открываем "Файл->Ревизор", вкладка "Создание базы"
Указываем папку, список файлов и контрольные суммы которых мы хотим сохранить. Ждем.
Периодически проверяем отличия ("Файл->Ревизор", вкладка "Сравнение диск<>база"), не забывая учитывать все установленные обновления. В результате вы увидите все новые и измененные файлы.

Совет 3
Чтобы отключить автозапуск со всех съемных носителей, создайте следующий ключ реестра:
HKLM\Software\Microsoft\Windows\Cur rentVersion\Policies\Explorer\NoDri veAutorun
со следующим значением = FFFFFFFF. Нужна перезагрузка. Если раздел 'Explorer' не существует, создайте его.
Также можно создать раздел:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Au torun.inf
И ключу "По умолчанию" установить значение @SYS:DoesNotExist.
Примечание:
Noor сказал, что можно создать папку autorun.inf на флешке для невозможности создания файла с таким же именем. Не забудьте присвоить каталогу атрибуты "системный" и "скрытый". Для этого в командной строке:
Код:

attrib +S +H <путь_файла>

Совет 4, самый важный
Не работайте под учетной записью Администратора, работайте под учетно записью Пользователя. Тогда ни одна запускаемая программа не сможет навредить системе.
AndreyMust19 вне форума   Ответить с цитированием
Старый 14.04.2009, 09:03   #10
Utkin
Профессионал
 
Аватар для Utkin
 
Регистрация: 04.02.2009
Адрес: DuckBurg
Сообщений: 18,596
Репутация: 3917
По умолчанию

Цитата:
Сообщение от AndreyMust19 Посмотреть сообщение
Совет 4, самый важный
Не работайте под учетной записью Администратора, работайте под учетно записью Пользователя. Тогда ни одна запускаемая программа не сможет навредить системе.
Неплохо бы указывать операционную систему перед такими советами. Для ХР это не так актуально. И если имеется доступ как Пользователь то при следующей загрузке как Администратор имеется возможность перехватить управление (например, если заменить хранитель экрана).
Utkin вне форума   Ответить с цитированием
Ответ

Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Готовые исходники Ханойской Башни Arnezami Общие вопросы .NET 16 01.06.2016 23:15
нужны готовые, работающие проги на С++ Ghaal Фриланс 4 09.11.2008 13:02
Имеются готовые базы данных на дельфи Барби Фриланс 5 12.01.2008 22:55
Не все готовые исходники компилируются (Вопрос новичка) grey Помощь студентам 9 28.10.2007 20:18


17:32.


Powered by vBulletin® Version 3.8.8 Beta 2
Copyright ©2000 - 2018, Jelsoft Enterprises Ltd.

RusProfile.ru


Справочник российских юридических лиц и организаций.
Проекты отопления, пеллетные котлы, бойлеры, радиаторы
интернет магазин respective.ru