[image]

Как бороться с вирусом?

 
1 2 3
RU Анархист 86 #29.12.2016 11:47  @imaex#29.12.2016 10:53
+
-
edit
 

Анархист 86

старожил
★☆
imaex> Раз вылазят - значит, есть какой-то процесс, инициирующий эти действия.
дык мне их не смотреть надо а чтоб не лезли)
   55.0.2883.8755.0.2883.87
RU imaex #29.12.2016 13:11  @Анархист 86#29.12.2016 11:47
+
-
edit
 

imaex

аксакал

А.8.> дык мне их не смотреть надо а чтоб не лезли)

Во-первых, там не только смотреть можно.
А во-вторых, без просмотра и анализа предпринимать какие-либо действия не только бессмысленно, но и опасно.
   49.0.2623.11249.0.2623.112

Userg
userg

старожил
★★★
imaex> Во-первых, там не только смотреть можно.
Посоветовал, теперь ликбез для чайников давай.
   11.011.0
+
+3
-
edit
 

imaex

аксакал

Userg> Посоветовал, теперь ликбез для чайников давай.

Да там все достаточно прозрачно. Утилита сканирует системный и пользовательский реестр. Те ключи, которые система обрабатывает, помечены галочками в квадратике. Если галку снять, то обратываться не будет (не будет запущен процесс, загружен драйвер и т.п.) при следующей загрузке. При этом все можно все вернуть взад просто поставив галку на место - утилита не удаляет запись реестра при снятии галки, а переносит его в подветку, которую система не обрабатывает.

"Check VirusTotal.com" - означает, что сигнатура файла будет проверена по базе сигнатур virustotal.com. Частота 0/5Х означает, что файл безопасен, скорее всего. Если хотя бы 1/5Х, то будет подсвечен красным. Частота от 1 до 5 (по личному опыту) означает, что файл скорее всего безопасен, хотя отдельные из более чем 50-ти антивирусных сканеров, представленных на Virustotal, рассматривает его по крайней мере как потенциально опасный.

Продвинутые пользователи могут параллельно юзать Process Explorer
оттуда же.

Опять же, для более продвинутых - утилита позволяет сканировать реестр оффлайновой системы.

Запускать следует от пользователя с правами администратора ("Запуск от имени администратора" в терминологии Win7 и выше).
   49.0.2623.11249.0.2623.112
RU Анархист 86 #29.12.2016 15:44  @imaex#29.12.2016 13:11
+
-
edit
 

Анархист 86

старожил
★☆
imaex> А во-вторых, без просмотра и анализа предпринимать какие-либо действия не только бессмысленно, но и опасно.
он даже не ищет эти сайты когда я ему урл даю
   55.0.2883.8755.0.2883.87
LT Bredonosec #29.12.2016 20:22  @Анархист 86#29.12.2016 08:26
+
-
edit
 
А.8.> Народ выручайте! трабл такой. дочь чет налазила в компе. щас самостоятельно, в том числе без включенного браузера( хром ),включает как то сам вылазят сайты типа казино вулкан, биткоины и тд. вирусы почистил. хелп!!!
Идешь на drweb.ru и скачиваешь cureit, после чего отключаешь машину от сети (вынув кабель интернета) и запускаешь, выставив проверять всё и все диски, сам идёшь в спортзал часа на 2-3.
После проверки и удаления всего найденного - вычищаешь все темп папки,
C:\Temp
C\Windows\Temp
темпорари интернет файлз,
C\users\username\temp (не помню точно структуру, по памяти всё пишу)
C\Users\Username\Appdata\Local\Microsoft\Windows\Temporary internet files
все кеши оперы
c:\Users\Username\AppData\Local\Opera\Opera15\cache\
, хрома
c:\Users\Username\AppData\Local\Google\Chrome\Default\Cashe

(его можно вообще вытереть - всю папку гугла в аппдате, и в програм файлз, это не страшно - при следующей установке оно поставится корректно), автозагрузку смотришь на предмет лишнего
win+R -> msconfig -> автозагрузка, службы, процессы.
Из автозагрузки все не-микрософтовские сервисы можно отключить (кроме тех, что ты сам ставил и они тебе нужны)
В установленных программах - control panel -> programs& features смотришь, чего появилось того, чего ты не ставил.

всё это делаешь, не вставляя интернет кабель.
Если продолжится проблема - можно будет глубже ёршиком прочистить.
   26.026.0
LT Bredonosec #29.12.2016 20:26  @Анархист 86#29.12.2016 15:44
+
-
edit
 
А.8.> он даже не ищет эти сайты когда я ему урл даю
сайты антивирей заблочены? Ну, знач вирь.
Если есть кто-то из компутерастов в пределах досягаемости, попроси скачать свежий cureit и захватить загрузочную флешку. Чтоб загрузиться с неё, а не с больной системы, и прочистить её. Это нужно, чтоб зараженная система не заразила флешку и чтоб вирь не мог зарезервировать себе защищенное от просмотра место в памяти.
Раньше я б предложил просто почистить файл хостс
c:\WINDOWS\system32\drivers\etc\hosts
но теперь запреты прячут обычно глубже, оно не всегда помогает.
   26.026.0
RU Анархист 86 #29.12.2016 22:20  @Bredonosec#29.12.2016 20:26
+
-
edit
 

Анархист 86

старожил
★☆
Bredonosec> сайты антивирей заблочены? Ну, знач вирь.
вряд ли вирь. стоит лица аваст, не подводила. такое ощущение что тупо в хроме галочка где то снята. другой антивир не варик ставит
   55.0.2883.8755.0.2883.87
LT Bredonosec #29.12.2016 23:07  @Анархист 86#29.12.2016 22:20
+
-
edit
 
А.8.> вряд ли вирь. стоит лица аваст,
левые антивири в принципе только вредят, давая чувство ложной безопасности.
Я не предлагаю ставить другой антивирь. Я предлагаю скачать сканер антивиря, утиль, который проверяет файлы, а не что-то со своим монитором и агентом. Это фактически одноразовая утилита. Она бесплатна, но через 2 дня перестаёт запускаться, если только дату назад не открутить.

Все действия по порядку прокрути, если еще возникнут траблы - пиши :)
   26.026.0
RU Анархист 86 #30.12.2016 04:05  @Bredonosec#29.12.2016 23:07
+
-
edit
 

Анархист 86

старожил
★☆
Bredonosec> Все действия по порядку прокрути, если еще возникнут траблы - пиши :)
да я не разберусь сам с ней :D чайник :D попрошу брата через тимвивер :) спасибо!!!
   55.0.2883.8755.0.2883.87
RU imaex #30.12.2016 10:20  @Анархист 86#29.12.2016 15:44
+
-
edit
 

imaex

аксакал

А.8.> он даже не ищет эти сайты когда я ему урл даю

Кто "он"? Autoruns? Он и не должен. Я даже представить себе не могу - где там ему url можно дать?
   49.0.2623.11249.0.2623.112
+
-
edit
 

imaex

аксакал

Bredonosec> левые антивири в принципе только вредят, давая чувство ложной безопасности.

И не левые тоже. Все антивири поганы, зло по своей сути. Позволяют закрыться от давно известных вредоносов, не более. Все эти распиаренные эвристические анализы и прочая рекламная шняга фактические неработоспособны.
   49.0.2623.11249.0.2623.112
+
-
edit
 

imaex

аксакал

Bredonosec> но теперь запреты прячут обычно глубже, оно не всегда помогает.

Бывает, что таблицу маршрутизации правит (но уже давненько не сталкивался). Посмотри в командной строке

route print -p
   49.0.2623.11249.0.2623.112
LT Bredonosec #30.12.2016 20:56  @Анархист 86#30.12.2016 04:05
+
-
edit
 
А.8.> да я не разберусь сам с ней :D чайник :D попрошу брата через тимвивер :) спасибо!!!
прикол в том, что эти действия надо выполнять при вытащенном кабеле интернета.
Чтоб вирь не мог при удалении одного из тел снова скачать себя из инета.
Наверно не стоит уточнять, что при отсутствии физической связи с инетом по тимвью никто не сможет подключиться? :)
   26.026.0
+
-
edit
 
imaex> И не левые тоже. Все антивири поганы, зло по своей сути. Позволяют закрыться от давно известных вредоносов, не более. Все эти распиаренные эвристические анализы и прочая рекламная шняга фактические неработоспособны.
ну, кое-что они таки находят. Особенно если зараженная ось не загружена и вирь своё тело не может спрятать, лежит просто как файл на диске и доступен для проверки. Потому я и люблю проверять именно так.

>Бывает, что таблицу маршрутизации правит (но уже давненько не сталкивался). Посмотри в командной строке
так мне-то зачем? :) Это у анархиста что-то )
И более того, как ему поможет знание, что какой-нибудь вирустотал.ком у него будет завернут на 127.0.0.1 или страницу виреписателя с загрузчиком гадости? Ему же надо знать, где именно этот маршрут вписан, чтоб его удалить, а данная команда это нифига не покажет.
   26.026.0
+
-
edit
 

imaex

аксакал

Bredonosec> ну, кое-что они таки находят. Особенно если зараженная ось не загружена и вирь своё тело не может спрятать

Вирусописатели измельчали и обленились в край. Руткитов давненко уже не попадалось. Проще разослать какой-нить "афганский вирус" в надежде выцыганить у убитого горем по своим фоточкам лоха немножко денюжек. Да и прицел на мобильные платформы свое дело делает, в плане отвлечения внимания от винды.

Bredonosec> так мне-то зачем? :) Это у анархиста что-то )

Так получилось. :)

Bredonosec> И более того, как ему поможет знание, что какой-нибудь вирустотал.ком у него будет завернут на 127.0.0.1 или страницу виреписателя с загрузчиком гадости? Ему же надо знать, где именно этот маршрут вписан, чтоб его удалить, а данная команда это нифига не покажет.

Поможет в плане осознания что что-то нехорошее есть/было. Постоянные маршруты прописываются в реестре, куда доступ чайникам противопоказан. А удаляются той же самой командой route. Если не удаляются - значит зловред активен.
   49.0.2623.11249.0.2623.112
+
-
edit
 
imaex> Вирусописатели измельчали и обленились в край. Руткитов давненко уже не попадалось. Проще разослать какой-нить "афганский вирус" в надежде выцыганить у убитого горем по своим фоточкам лоха немножко денюжек. Да и прицел на мобильные платформы свое дело делает, в плане отвлечения внимания от винды.
что значит афганский?
Сейчас, как читаю, распространились вымогатели, бо это возможность получить бабло сразу, а не потом когда-либо, устроившись на приличную работу.

Приложения-вымогатели получат возможности компьютерных червей

Приложения-вымогатели получат возможности компьютерных червей // www.oszone.net
 

Стирающая диски вредоносная программа стала ещё и вымогателем

Стирающая диски вредоносная программа стала ещё и вымогателем // www.oszone.net
 

Но всякая вирусня тоже вполне существует, и скан сетей постоянно идёт в поисках уязвимых машин для организации ботсетей для атак на кого-то, кто окажется вкусным..

imaex> А удаляются той же самой командой route. Если не удаляются - значит зловред активен.
route delete [someIP] ? по памяти это не спасало.. Не помню, отчего, толь приоритет записей был выше, толь в политиках где-то прописалось, толь еще почему-то, но не помогало..
   26.026.0
+
+1
-
edit
 

imaex

аксакал

Bredonosec> что значит афганский?

То, что пользователь сам, без какого либо принуждения, открывает вложение к письму, или идет по ссылке а, опять же сам, запускает вредоносный код.

Бородатая шутка про "афганский вирус", где получателю предлагается самому удалить все файлы с диска.
   49.0.2623.11249.0.2623.112
+
-
edit
 
imaex> Бородатая шутка про "афганский вирус", где получателю предлагается самому удалить все файлы с диска.
хых )))
с подобным столкнулся как-то давно )))
Приколись, какая-то тётка (они ж никогда не признаются, что что-то не то делали), сидя на тонком клиенте, запустила вымогателя-шифратора. Ну, тот ей обои сменил на стандартную картинку с указанием, куда платить, а дальше-то шиш ) Нет на клиенте ничего, что можно шифровать :) Фактически афганский вирус и получился ) Ну и я узнал чисто случайно, что-то другое проверить, как работает, подойдя, и заинтересовавшись обоями на рабочем столе )
   26.026.0
RU Анархист 86 #07.01.2017 04:06  @Bredonosec#29.12.2016 23:07
+
-
edit
 

Анархист 86

старожил
★☆
Bredonosec> Все действия по порядку прокрути, если еще возникнут траблы - пиши :)
в общем не знаю, вроде все сделал. не помогло.интересно что эти рекламные страницы пытаются открыть хром при выключенном интернете
   55.0.2883.8755.0.2883.87
LT Bredonosec #07.01.2017 04:54  @Анархист 86#07.01.2017 04:06
+
-
edit
 
А.8.>интересно что эти рекламные страницы пытаются открыть хром при выключенном интернете
список процессов при выключенных программах и отключенной сети заскринь. Конечно, они могут прицепляться к чему-то, но мало-ли, вдруг всё проще..
   26.026.0
RU Анархист 86 #07.01.2017 05:30  @Bredonosec#07.01.2017 04:54
+
-
edit
 

Анархист 86

старожил
★☆
Bredonosec> список процессов при выключенных программах и отключенной сети заскринь. Конечно, они могут прицепляться к чему-то, но мало-ли, вдруг всё проще..
как это сделать?)
   55.0.2883.8755.0.2883.87
RU Android #07.01.2017 06:00  @Bredonosec#07.01.2017 04:54
+
-
edit
 

Android

старожил
★★★
А.8.>>интересно что эти рекламные страницы пытаются открыть хром при выключенном интернете
Bredonosec> список процессов при выключенных программах и отключенной сети заскринь.
Я проще делал. При выключенном интернете запускаешь браузер, открывается истинный url заразы, а не редиректы на всяческие казино-вулканы. Потом копировал ссылку, искал ее в реестре и удалял. Причем, поиск и удаление надо проводить несколько раз, пока не скажет, что не найдено.
   55.0.2883.8755.0.2883.87
RU Анархист 86 #07.01.2017 06:20  @Android#07.01.2017 06:00
+
-
edit
 

Анархист 86

старожил
★☆
Android> Я проще делал. При выключенном интернете запускаешь браузер, открывается истинный url заразы, а не редиректы на всяческие казино-вулканы. Потом копировал ссылку, искал ее в реестре и удалял. Причем, поиск и удаление надо проводить несколько раз, пока не скажет, что не найдено.
то есть выключить инет и ждать как зараза попытается что то открыть?
   55.0.2883.8755.0.2883.87
RU Android #07.01.2017 09:32  @Анархист 86#07.01.2017 06:20
+
-
edit
 

Android

старожил
★★★
А.8.> то есть выключить инет и ждать как зараза попытается что то открыть?
Просто выключаешь интернет, потом открываешь браузер. Он, если с бякой, будет пытаться куда-то подключиться. В адресной строке будет видно, куда он ломится.
   55.0.2883.8755.0.2883.87
1 2 3

в начало страницы | новое
 
Поиск
Настройки
Твиттер сайта
Статистика
Рейтинг@Mail.ru