Был правильно настроен и ежедневно обновлялся, просто он эту гадость не ест покаЧтобы NOD 32 не пускал всякие гадости - нужно его правильно настроить. тогда и почта и все остальное будет защищено (при условии, что постоянно обновляется антивирусная база).
И не забывать резервировать на внешние носители важную и нужную Вам информацию.
Свернуть блок чата Чат
|
Очень Неприятный Вирус
#61 Оффлайн
Отправлено 13 January 2010 - 10:14
#62 Оффлайн
Отправлено 13 January 2010 - 14:24
Да там все просто, причем рецепт годится не только для случаев поражения реестра вирусами, но и при любых его повреждениях, когда переставлять систему поверху (а не заново) или невозможно, или бессмысленно. Предупреждаю, все, что будет сказано, относится к XP, седьмую винду я знать не знаю, да и пока не хочу..Юра дык просвяти сирых, объясни на пальцах пошагам, что куда и зачем
Итак, во-первых надо зайти на системный диск (скажем, С) "снаружи", то есть или загрузиться с диска Windows XPE, или подконнектить винчестер с больной системой к другому компу. Включаем отображение скрытых и системных файлов и папок. Из папки, к примеру, C:\Windovs\system32\config копируем куда-нибудь в другую папку, на всякий случай, следующие файлы без расширений: default, Sam, Security, software, system. Затем входим в папку System Volume Information\Restore\ , находим папку Rp.ХХХ (где ХХХ - некие трехзначные числа), выбираем ПРЕДПОСЛЕДНЮЮ (это важно!) по времени создания папку, в ней входим в папку snapshot. Там находим пять файлов, типа _REGISTRY_MACHINE_(имя файла из пяти перечисленных выше). Далее все тривиально - копируем эти пять найденных файлов с информацией реестра перед фатальными изменениями, в какую-нибудь папку, меняем их имена (убираем из имен _REGISTRY_MACHINE_ и на всякий случай переводим остаток имен в нижний регистр) и копируем их поверх тех, что лежат в папке Windovs\system32\config
То есть, фактически мы грубо, на коленке, попой вверх заставляем систему вернуться на точку восстановления перед фатальным сбоем..
Далее можно попробовать запустить систему с больного диска... Но лучше сразу же перезалить систему поверху, с загрузочного диска XP, в режиме восстановления..
Пончик с Вас (виртуальный), сэр!
PS. Конечно, гуру IT-технологий только усмехнуться на мои откровения, но лично мне подобная простецкая метода помогла откачать не один комп..
PPS. Вот исходная информация для размышления, типа первоисточник: http://support.microsoft.com/kb/307545 или, что почти то же самое http://www.genon.ru/...52-a20884f2069e
Но там все как-то сложно и не по-пацански..
#63 Оффлайн
Отправлено 13 January 2010 - 17:30
#64 Оффлайн
Отправлено 13 January 2010 - 18:12
#65 Оффлайн
Отправлено 13 January 2010 - 18:28
А можно подробнее..... у мня все стоит по умолчанию ( лицензия) . Может как по другому нада ?Чтобы NOD 32 не пускал всякие гадости - нужно его правильно настроить.
#66 Оффлайн
Отправлено 13 January 2010 - 19:43
#67 Оффлайн
Отправлено 14 January 2010 - 08:11
Все болезни от нервов.... один тр....р от любви..
Вот такие они SYRIKATы
#68 Оффлайн
Отправлено 16 January 2010 - 10:49
эта хрень ставится через обозреватель когда открывается окно с предложением установить какую топрограмму связанную с просмотром виде или еще какого приложения.
если при нажатии отмена она вам говорит что что то не так и снова предлагает сделать выбор. и при этом вы не можете закрыть окно обозревателя( скоррей всего это эксплорер) тогда попытка 1:
3 волшебных клавиши
если не помогают вариант 2: кнопка reset. а если ее нет то гаси электричество.
и еще - храните данные почту фотки и другой важный материал на отдельном диске.
эта хрень и в Foxе появляется, да наверно в любом броузере. Через дисп.задач убиваешь процесс и все. или Reset.
В самом броузере можно поставить защиту от всплывающих окон, только может после этого не воспроизводиться анимация на открытых, известных Вам, страницах, что в свою очередь не очень удобно. Хотя есть отдельные плагины, которые тонко можно настроить на блокировку окон.
Сообщение отредактировал VASILICH: 16 January 2010 - 10:49
#69 Оффлайн
Отправлено 16 January 2010 - 11:34
Вот из-за того, что этот вирь такой крутой, появился спортивный интерес снести его самому без переустановки винды. Главное найти метод))).
Ну вот, как раз сегодня у меня появилась возможность и найти этот самый метод - вызвали на зараженный этим вирусом компьютер. Пришлось повозиться часа полтора..
Выше я уже писАл про принцип восстановления работоспособности системы с зараженным или поврежденным реестром. Но в случае с этим вирусом все оказалось и сложнее, и интереснее..
Дело в том, что этот троян (одно из его названий, кстати, в DrWeb - Packed 19247) мало того, что вывешивает описанный в топике баннер. Мало того, что он, заражая систему, плодит зараженные библиотеки в системном каталоге Винды. Мало того, что он блокирует (даже при временном снятии баннера, о чем ниже) запуск антивирусных программ, в частности, того же DrWeb. Он вдобавок уничтожает файлы точек восстановления состояния системы и вообще отключает систему восстановления...Заодно блокирует посредством внесения изменений в групповые политики запуск антивирусной программы Касперского, если она была установлена ранее...
Итак, я сейчас прервусь ненадолго (жена к обеду зовет), а потом расскажу по порядку про методу лечения от этого троянца. Если, конечно, это еще кому-то вообще интересно (format C: тоже хорошая команда, лечит очень многие вирусы!
#70 Оффлайн
Отправлено 16 January 2010 - 12:11
#71 Оффлайн
Отправлено 16 January 2010 - 12:21
А можно подробнее..... у мня все стоит по умолчанию ( лицензия) . Может как по другому нада ?
Юра, там нужно открыть настройки и посмотреть, что и как ты хочешь защитить на своем компе, много вариантов.
Формат С убивает 1,5 твоих рабочих дня на установку системы и основного пакета нужных по жизни и в работе программ. Так что это не выход.
анек есть такой (не в тему, конечно):
забугорные умельцы изобрели супер-комп. Выставили его на всеобщее обозрение на конференции в одном из наши вузов и давай его нахваливать, мол производительность, удобство, ноу-хау в общем. Как только сказали, что управляется речевыми командами, так из аудитории слышат голос какого-то студента: формат С, ентер, ентер. )))
#72 Оффлайн
Отправлено 16 January 2010 - 12:33
Для того, чтобы победить вирь, нужно иметь загрузочный диск с Windows XPE а также записанную на флешку бесплатную, не требующую установки утилитку от DrWeb.
XPE в инете разных видов море, на любой вкус, но мне понравился пакет Windows XPE Live CD (by Jumanov). Там винда уже напичкана практически всеми необходимыми программами. А скачать iso-образ диска (3-хчастевой архив) можно здесь (кстати, хоть напрямую это к делу не относится: для комфортного скачивания с ресурсов типа rapidshare.com я использую менеджер закачек USDownloader, который тоже можно свободно скачать в Сети). На всякий случай даю ссылку для скачивания этой утилиты Dr.Web CureIt: это здесь..
Итак, дальше по пунктам.
1. Вставляем диск Windows XPE Live CD, грузимся с него (если не уверены, что заггрузка с CD подключена, проверяем соответствующие настройки BIOS).
2. Далее, через Пуск-Программы находим и запускаем имплантированную антивирусную прогу Adware. Замечу, что находящуюся рядом программу Касперского запускать бессмыслено, сборка диска была осуществлена до появления этого троянца, а обновить неактуальные сигнатуры угроз извне, с флешки не удается. Мне, во всяком случае, не удалось. То есть, Касперский на этом диске ничего не находит.. Другое дело, Adware, он в процессе сканирования диска С находит несколько зараженных троянцем файлов. Но не все! Зараженные файлы нужно удалить..
3. Далее - самый муторный этап. Запускаем с флешки утилиту Dr.Web CureIt и ждем-с... Ждать придется довольно долго, ибо система работает с компакт-диска, скорость работы утилиты в процессе автоматического, быстрого сканирования весьма невелика. Но зато в результате сканирования находятся и убиваются ряд зараженных библиотек в каталоге Windows/System32, созданных троянцем.. Перед запуском сканирования (или, на крайняк, во время него) очень желательно почистить папки с временными файлами, в котором тоже часто сидят вирусяки. Только нужно не забыть включить в эксплорере просмотр скрытых и системных файлов и папок. На всякий случай напомню, что это за папки, в которых можно все смело удалять. Это папка Windows/Temp а также папки Local Settings/Temporary Internet Files и Local Settings/Temp в каталоге Documents and Settings..
4. Ну вот, в принципе и все. Остается, убрав диск, загрузиться с винчестера, тут же снова запустить с флешки вновь утилиту CureIt, но уже не только в режиме быстрого скаирования, но и в режиме полной проверки всего компа (в том числе и флешки, с которой запускается утилита, при контакте с зараженным этим трояном компом, с запущенной "родной" системой заражение флешки происходит мгновенно).
5. Остается "починить" работу системы восстановления и запуск Касперыча. Для этого запускаем gpedit.msc и там, в групповых оснастках, запускаем оснастку отключения системы восстановления. Затем проверяем (включаем) через Мой компьютер-Свойства-Восстановление системы (запускается после перегрузки). Если все ОК, то в пустом, после хозяйничинья трояна, каталоге System Volume Information должны появиться папки с информацией о точках восстановления..
Блокировка на запуск Каспера снимается там же, рядышком , в оснастках. Для этого надо добавить в вкладках безопасности программ путь на каспера с указанием неограниченных прав..
Буду рад, если эта информация поможет вам без сноса системы и переустановки всего софта справиться с этой заразой, которая возможно, судя по некоторым признаком, родилась в воспаленном мозгу какого-то российского хакера..
#73 Оффлайн
Отправлено 16 January 2010 - 14:06
эта хрень и в Foxе появляется, да наверно в любом броузере. Через дисп.задач убиваешь процесс и все. или Reset.
В самом броузере можно поставить защиту от всплывающих окон, только может после этого не воспроизводиться анимация на открытых, известных Вам, страницах, что в свою очередь не очень удобно. Хотя есть отдельные плагины, которые тонко можно настроить на блокировку окон.
Дык она не позволяла открыть деспетчер задач, даже через защищённый режим , а вот восстановление системы позволяла, но без результата, т.е. при открытии браузера хрень вылезала опять ИЕ при этом запускался нормально.
Формат С убивает 1,5 твоих рабочих дня на установку системы и основного пакета нужных по жизни и в работе программ. Так что это не выход.
У сына заняло три часа вечером, после института и час на следующий день. Нужные проги у него нарезаны на диске. Правда не ХР, а Win7.
В этот раз, он ещё поставил прогу и сделал полный бекап системы - 48 гиг это 2 винчестера вместе с системным С:\.
С:\ с системой занимал всего 7гигов.
Сообщение отредактировал Wad: 16 January 2010 - 13:58
#74 Оффлайн
Отправлено 17 January 2010 - 22:55
В последнее время значительно возросло число вредоносных программ-вымогателей, требующих отправить SMS-сообщения для получения доступа к системе или к пользовательским документам. К примеру: Windows заблокирована, отправьте СМС. Как избавиться от навязчивого баннера, требующего отправить SMS? Варианты решения.
Развод может выглядеть примерно так:
"Если данный рекламный информер был вами установлен, но вы решили отказаться от него, то вам достаточно отправить смс на короткий номер, представленный ниже. полученный код позволит удалить информер. для России нужно отправить смс с текстом xmn 137443300 на номер 4460"
Если отправить SMS, как того требуют вымогатели, с вашего счета спишут приличную сумму денег (100 или даже 300 руб.), однако от баннера так и не избавят. В ответном сообщении вас попросят отправить еще один SMS. И так до тех пор, пока у вас не кончится терпение и/или деньги на счете.
Избавиться от навязчивого баннера можно самостоятельно. Подобную заразу в сети чаще всего ловят пользователи Internet Explorer. Если баннер возникает у вас именно в этом браузере, то вот инструкция по избавлению (написана для версии IE7, но скорее всего похожим образом можно отключить баннер и в IE6):
1. Выбираем меню: Сервис / Управление надстройками / Включение и отключение надстроек... (в английской версии: Tools / Manage Add-ons / Enable or Disable Add-ons...)
2. В открывшемся окне в строке "Отображать" выбираем "Надстройки, загруженные в Internet Explorer" ("Add-ons currently loaded in Internet Explorer").
3. В списке надстроек ищем и поочередно отключаем все подозрительные пункты. Подозрительными являются все, которые вы не знаете, что делают. Возможно вы увидите в колонке "Файлы" названия cpalib.dll и noalib.dll – это скорее всего они. Не бойтесь отключить что-то нужное – все можно воссановить – включить любую надстройку обратно. Браузер будет работать даже после отключения всех надстроек.
4. Чтобы отключить надстроку выберите ее с помощью мыши, а затем выберите внизу "Отключить" ("Disable").
Но не всегда можно выйти в настройки Internet Explorer, так как вариантов этого трояна очень много сейчас. Поэтому некоторые Антивирусные компании сделали у себя бесплатный "Сервис деактивации вымогателей-блокеров".
1. В Лаборатории Касперского по ссылке: http://support.kaspe...ruses/deblocker
"Лаборатория Касперского" представляет бесплатный сервис для борьбы с программами, блокирующими компьютер и предлагающими отправить платную СМС на определенный номер, взамен на номер отправителя будет выслан код, позволяющий разблокировать компьютер. Подробнее о способах борьбы с программами-вымогателями.
Для получения кода разблокировки вам необходимо указать:
- номер телефона, на который вам предлагают отправить СМС;
- текст сообщения, которое требуют отправить на этот номер.
17.010dcf_t.jpg 22.96К 10 Количество загрузок:
2. В компании Доктор Веб на этой странице: http://news.drweb.co...show/?i=304&c=5
17.0110dcf_t.jpg 29.15К 1 Количество загрузок:Компания «Доктор Веб» информирует о появлении новой троянской программы, которая при запуске компьютера предлагает ввести регистрационный код якобы для регистрации нелицензионной копии Windows. Для получения регистрационного кода требуется отправить платное SMS-сообщение.
В последнее время значительно возросло число вредоносных программ-вымогателей, требующих отправить SMS-сообщения для получения доступа к системе или к пользовательским документам. 8 апреля 2009 года вирусными аналитиками компании «Доктор Веб» был получен образец очередной программы, которая распространяется в виде поддельных кодеков и при запуске Windows выводит сообщение о необходимости отправить SMS с текстом для разблокировки доступа к системе. Данная вредоносная программа была добавлена в вирусную базу Dr.Web под именем Trojan.Winlock.19. Ее модификации уже автоматически распознаются технологией Origins TracingTM как Trojan.Winlock.origin.
3. Форма для получения кода активации на номер 4460 и 7373: http://mips.narod.ru/sms.html
17.0120dcf_t.jpg 17.68К 3 Количество загрузок:Для номера 2474 или 9800 (розовый баннер) попробуйте код 4243352762, потом 7393936297. Или 06159230, потом 49685761. Или пробуем коды: 9242595, 9434676, 622957. Файл C:\Windows\services.exe удалить, предварительно завершив этот процесс (он запущен с правами юзера). Если не получилось деактивировать баннер - пробуем удалить баннер
Для номеров 1350 и 9691 попробуйте коды 6523 и 3097.
Для номеров 5155 попробуйте генератор кодов от каспера
Эта же форма предназначена для получения кода активации на номер 4460 и 7373.
Как почистить систему от смс-вымогателей?. Выполните всё что написано ниже.
Попробуйте сделать восстановление системы на несколько дней ранее. Нажмите Пуск -> Выполнить -> Введите msconfig. На вкладке Общие нажать Запустить восстановление системы. Или C:\WINDOWS\system32\Restore\rstrui.exe
Если баннер закрывает почти весь экран и вы ничего не можете сделать, открываем Word, набираем в нём любой текст, не сохраняя документ кратковременно нажимаем кнопку питания, все программы закроются, баннер пропадет, а ворд попросит сохранить документ, нажимаем "отмена" и работаем в винде без баннера. Баннер позже появится снова, поэтому его нужно удалить.
Разблокировка диспетчера задач: Нажмите Пуск -> Выполнить -> Введите gpedit.msc
Выберите Конфигурация пользователя, потом Административные шаблоны, потом Система, потом Возможности Ctrl+Alt+Del. В параметре Удалить диспетчер задач установить не задана.
Или HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System параметр DisableTaskMgr установить в 0
Разблокировка редактора реестра: Тоже самое, но чуть выше (в "Система"). Смотрим справа Сделать недоступными средства редактирования реестра установить в не задана.
Если заблокированы сайты yandex.ru, mail.ru, vkontakte.ru. odnoklassniki.ru и т.д. необходимо отредактировать файл hosts, расположенный по умолчанию в папке C:\WINDOWS\system32\drivers\etc. Это умолчание задается в реестре в ветке hkey_local_machine\system\currentControlSet\Services\Tcpip\Parameters в расширяемом строковом параметре DataBasePath, его значение должно быть %SystemRoot%\System32\drivers\etc. В данном файле hosts необходимо оставить текстовую «шапку», расположенную в начале файла (строки, начинающиеся со знака #), а после «шапки» оставить только строку 127.0.0.1 localhost (между IP и именем табуляция) и те строки, которые вы сами когда-то вносили в данный файл. Остальные строки необходимо удалить. Установите на этот файл атрибут «только для чтения»
Если у вас на жестком диске есть файл vkontakte.exe, VK.exe, reiting.exe, plugin.exe или C:\Windows\services.exe — удалите их.
Если присутствует файл C:\WINDOWS\system32\sdra64.exe - удалить (например программой Unlocker)
В папке C:\Windows\system32\ удалить все скрытые файлы с расширением DLL размером 95774 байт. Другие скрытые dll-файлы в этой папке проверьте на virustotal.com
Касаемо реестра Windows.
Если вам не знакомо это слово - нажмите Пуск -> Выполнить -> Ввести mscоnfig -> ок -> Во вкладке "Автозагрузка" оставить галочки только на знакомых программах -> Применить -> ок -> Комп перезагрузится.
Если вы знаете что такое реестр и как с ним работать, нажимаем Пуск -> Выполнить -> Ввести regedit -> ок
HKEY_CLASSES_ROOT\exefile\shell\open\command и HKEY_CLASSES_ROOT\exefile\shell\runas\command
По умолчанию должно быть "%1" %*
HKEY_local_machine\software\microsoft\Windows NT\CurrentVersion\Winlogon
в Userinit должно быть только C:\WINDOWS\system32\userinit.exe
в shell должно быть только explorer.exe
Если в Userinit и shell было еще что-то, идем по тому пути и удаляем файл (например программой Unlocker)
Удалить всё сомнительное из Пуск->Все программы>Автозагрузка
из C:\Documents and Settings\Default User\Главное меню\Программы\Автозагрузка
из C:\Documents and Settings\[пользователь]\Главное меню\Программы\Автозагрузка
из реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run и HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
из C:\Documents and Settings\[пользователь]\Local Settings\Temp проверьте файлы на virustotal.com, особенно ехе-файлы. В принципе эту папку можно очистить.
Пуск -> Все программы -> Стандартные -> Служебные -> Назначенные задания - удалить все задания.
Пуск -> Настройка -> Панель управления -> Свойства обозревателя -> Вкладка Дополнительно -> Раздел Обзор -> Убрать галку с Включить сторонние расширения обозревателя
Если после лечения вируса пропал доступ в интернет, на другом компе скачиваем программу AVZ (~5Mb). Нажать Файл - Восстановление системы - отметить пункт 14 и нажать "Выполнить отмеченные операции". Если не появится интернет, выполнить пункт 15.
Если это не помогло, нажимаем Пуск - Выполнить - вводим команды:
netsh int ip reset c:\iplog.txt В файле C:\iplog.txt вы сможите посмотреть отчет о выполнении этой команды. Инфа от майкрософта
Если не помогло, выполняем:
netsh winsock reset
netsh ip reset
Перезагрузить комп не забудьте. Просмотр состояния можно осуществить командой netsh diag gui, в открывшемся центре справки нажать "собрать информацию". Вы получите детализированный отчет.
Если у вас стоит антивирус Avira, обновите её до последней версии (желательно до русской), зайдите в её настройки, слева поставьте галочку "Экспертный режим", чуть ниже выбирите "Scanner", справа в дополнительных настройках поставьте все галочки и выберите "все файлы". Далее, под сканером "проверка", "Действия при обнаружении", "автоматически". первое действие "вылечить", второе - "карантин". Если в исключения там вы ничего не добавляли - удалите все исключения. В эвристике "высокий уровень обнаружения" и "обнаружение макровирусов". А также обязательно в "Общие" - "Дополнительные категории угроз" поставьте все галочки. Запустите полное сканирование компа. Авира вам порубит всё, радмина, кейгены и пр., что по её мнению сомнительный софт. Ничего страшного. После сканирования нужные вам файлы вы можете восстановить из карантина.
4. Варианты решения с форума: http://www.cforum.ru...8pm?goto=138136
- это не панацея, но кому то поможет.
с уважением Евгений.
#75 Оффлайн
Отправлено 23 January 2010 - 16:54
#76 Оффлайн
Отправлено 23 January 2010 - 17:02
Жму кнопку благодарности!!!
мне б пораньше это прочитать, а то вчера словил баннер прикольный по интерфейсу - Касперский!!!! заблокировал всё наглухо...
Винду переустановить пришлось.
ну так я смотри когда написал...
#77 Оффлайн
Отправлено 23 January 2010 - 17:31
Дык кто ж знал)))))) как говориться пока гром не грянет!!!ну так я смотри когда написал...
у меня Каспер до этого дня стоял, всё контролировал, а тут чё то комп тупить начал, оперативку Каспер хавает прилично, ну я его на полчасика и отключл... и тут же ""Превед медвед"))))
#78 Оффлайн
Отправлено 25 January 2010 - 20:57
#79 Оффлайн
Отправлено 25 January 2010 - 22:37
Где ???? здесь????Вот немного лирики........
Всю актуальную информацию об этих троянцах, а также форму разблокировки, которая помогает бесплатно найти необходимый код можно найти здесь. Только за первые 2 дня работы этого проекта, его посетили сотни тысяч пользователей.
#80 Оффлайн
Отправлено 25 January 2010 - 23:02
Количество пользователей, читающих эту тему: 0
0 members, 0 guests, 0 anonymous users