Как бороться с вирусом?

imaex> Раз вылазят - значит, есть какой-то процесс, инициирующий эти действия.
дык мне их не смотреть надо а чтоб не лезли)

А.8.> дык мне их не смотреть надо а чтоб не лезли)

Во-первых, там не только смотреть можно.
А во-вторых, без просмотра и анализа предпринимать какие-либо действия не только бессмысленно, но и опасно.

imaex> Во-первых, там не только смотреть можно.
Посоветовал, теперь ликбез для чайников давай.

Userg> Посоветовал, теперь ликбез для чайников давай.

Да там все достаточно прозрачно. Утилита сканирует системный и пользовательский реестр. Те ключи, которые система обрабатывает, помечены галочками в квадратике. Если галку снять, то обратываться не будет (не будет запущен процесс, загружен драйвер и т.п.) при следующей загрузке. При этом все можно все вернуть взад просто поставив галку на место - утилита не удаляет запись реестра при снятии галки, а переносит его в подветку, которую система не обрабатывает.

"Check VirusTotal.com" - означает, что сигнатура файла будет проверена по базе сигнатур virustotal.com. Частота 0/5Х означает, что файл безопасен, скорее всего. Если хотя бы 1/5Х, то будет подсвечен красным. Частота от 1 до 5 (по личному опыту) означает, что файл скорее всего безопасен, хотя отдельные из более чем 50-ти антивирусных сканеров, представленных на Virustotal, рассматривает его по крайней мере как потенциально опасный.

Продвинутые пользователи могут параллельно юзать Process Explorer
оттуда же.

Опять же, для более продвинутых - утилита позволяет сканировать реестр оффлайновой системы.

Запускать следует от пользователя с правами администратора ("Запуск от имени администратора" в терминологии Win7 и выше).

imaex> А во-вторых, без просмотра и анализа предпринимать какие-либо действия не только бессмысленно, но и опасно.
он даже не ищет эти сайты когда я ему урл даю

А.8.> Народ выручайте! трабл такой. дочь чет налазила в компе. щас самостоятельно, в том числе без включенного браузера( хром ),включает как то сам вылазят сайты типа казино вулкан, биткоины и тд. вирусы почистил. хелп!!!
Идешь на drweb.ru и скачиваешь cureit, после чего отключаешь машину от сети (вынув кабель интернета) и запускаешь, выставив проверять всё и все диски, сам идёшь в спортзал часа на 2-3.
После проверки и удаления всего найденного - вычищаешь все темп папки,
C:\Temp
C\Windows\Temp
темпорари интернет файлз,
C\users\username\temp (не помню точно структуру, по памяти всё пишу)
C\Users\Username\Appdata\Local\Microsoft\Windows\Temporary internet files
все кеши оперы
c:\Users\Username\AppData\Local\Opera\Opera15\cache\
, хрома
c:\Users\Username\AppData\Local\Google\Chrome\Default\Cashe

(его можно вообще вытереть - всю папку гугла в аппдате, и в програм файлз, это не страшно - при следующей установке оно поставится корректно), автозагрузку смотришь на предмет лишнего
win+R -> msconfig -> автозагрузка, службы, процессы.
Из автозагрузки все не-микрософтовские сервисы можно отключить (кроме тех, что ты сам ставил и они тебе нужны)
В установленных программах - control panel -> programs& features смотришь, чего появилось того, чего ты не ставил.

всё это делаешь, не вставляя интернет кабель.
Если продолжится проблема - можно будет глубже ёршиком прочистить.

А.8.> он даже не ищет эти сайты когда я ему урл даю
сайты антивирей заблочены? Ну, знач вирь.
Если есть кто-то из компутерастов в пределах досягаемости, попроси скачать свежий cureit и захватить загрузочную флешку. Чтоб загрузиться с неё, а не с больной системы, и прочистить её. Это нужно, чтоб зараженная система не заразила флешку и чтоб вирь не мог зарезервировать себе защищенное от просмотра место в памяти.
Раньше я б предложил просто почистить файл хостс
c:\WINDOWS\system32\drivers\etc\hosts
но теперь запреты прячут обычно глубже, оно не всегда помогает.

Bredonosec> сайты антивирей заблочены? Ну, знач вирь.
вряд ли вирь. стоит лица аваст, не подводила. такое ощущение что тупо в хроме галочка где то снята. другой антивир не варик ставит

А.8.> вряд ли вирь. стоит лица аваст,
левые антивири в принципе только вредят, давая чувство ложной безопасности.
Я не предлагаю ставить другой антивирь. Я предлагаю скачать сканер антивиря, утиль, который проверяет файлы, а не что-то со своим монитором и агентом. Это фактически одноразовая утилита. Она бесплатна, но через 2 дня перестаёт запускаться, если только дату назад не открутить.

Все действия по порядку прокрути, если еще возникнут траблы - пиши

Bredonosec> Все действия по порядку прокрути, если еще возникнут траблы - пиши
да я не разберусь сам с ней чайник попрошу брата через тимвивер спасибо!!!

А.8.> он даже не ищет эти сайты когда я ему урл даю

Кто "он"? Autoruns? Он и не должен. Я даже представить себе не могу - где там ему url можно дать?

Bredonosec> левые антивири в принципе только вредят, давая чувство ложной безопасности.

И не левые тоже. Все антивири поганы, зло по своей сути. Позволяют закрыться от давно известных вредоносов, не более. Все эти распиаренные эвристические анализы и прочая рекламная шняга фактические неработоспособны.

Bredonosec> но теперь запреты прячут обычно глубже, оно не всегда помогает.

Бывает, что таблицу маршрутизации правит (но уже давненько не сталкивался). Посмотри в командной строке

route print -p

А.8.> да я не разберусь сам с ней чайник попрошу брата через тимвивер спасибо!!!
прикол в том, что эти действия надо выполнять при вытащенном кабеле интернета.
Чтоб вирь не мог при удалении одного из тел снова скачать себя из инета.
Наверно не стоит уточнять, что при отсутствии физической связи с инетом по тимвью никто не сможет подключиться?

imaex> И не левые тоже. Все антивири поганы, зло по своей сути. Позволяют закрыться от давно известных вредоносов, не более. Все эти распиаренные эвристические анализы и прочая рекламная шняга фактические неработоспособны.
ну, кое-что они таки находят. Особенно если зараженная ось не загружена и вирь своё тело не может спрятать, лежит просто как файл на диске и доступен для проверки. Потому я и люблю проверять именно так.

>Бывает, что таблицу маршрутизации правит (но уже давненько не сталкивался). Посмотри в командной строке
так мне-то зачем? Это у анархиста что-то )
И более того, как ему поможет знание, что какой-нибудь вирустотал.ком у него будет завернут на 127.0.0.1 или страницу виреписателя с загрузчиком гадости? Ему же надо знать, где именно этот маршрут вписан, чтоб его удалить, а данная команда это нифига не покажет.

Bredonosec> ну, кое-что они таки находят. Особенно если зараженная ось не загружена и вирь своё тело не может спрятать

Вирусописатели измельчали и обленились в край. Руткитов давненко уже не попадалось. Проще разослать какой-нить "афганский вирус" в надежде выцыганить у убитого горем по своим фоточкам лоха немножко денюжек. Да и прицел на мобильные платформы свое дело делает, в плане отвлечения внимания от винды.

Bredonosec> так мне-то зачем? Это у анархиста что-то )

Так получилось.

Bredonosec> И более того, как ему поможет знание, что какой-нибудь вирустотал.ком у него будет завернут на 127.0.0.1 или страницу виреписателя с загрузчиком гадости? Ему же надо знать, где именно этот маршрут вписан, чтоб его удалить, а данная команда это нифига не покажет.

Поможет в плане осознания что что-то нехорошее есть/было. Постоянные маршруты прописываются в реестре, куда доступ чайникам противопоказан. А удаляются той же самой командой route. Если не удаляются - значит зловред активен.

imaex> Вирусописатели измельчали и обленились в край. Руткитов давненко уже не попадалось. Проще разослать какой-нить "афганский вирус" в надежде выцыганить у убитого горем по своим фоточкам лоха немножко денюжек. Да и прицел на мобильные платформы свое дело делает, в плане отвлечения внимания от винды.
что значит афганский?
Сейчас, как читаю, распространились вымогатели, бо это возможность получить бабло сразу, а не потом когда-либо, устроившись на приличную работу.


Но всякая вирусня тоже вполне существует, и скан сетей постоянно идёт в поисках уязвимых машин для организации ботсетей для атак на кого-то, кто окажется вкусным..

imaex> А удаляются той же самой командой route. Если не удаляются - значит зловред активен.
route delete [someIP] ? по памяти это не спасало.. Не помню, отчего, толь приоритет записей был выше, толь в политиках где-то прописалось, толь еще почему-то, но не помогало..

Bredonosec> что значит афганский?

То, что пользователь сам, без какого либо принуждения, открывает вложение к письму, или идет по ссылке а, опять же сам, запускает вредоносный код.

Бородатая шутка про "афганский вирус", где получателю предлагается самому удалить все файлы с диска.

imaex> Бородатая шутка про "афганский вирус", где получателю предлагается самому удалить все файлы с диска.
хых )))
с подобным столкнулся как-то давно )))
Приколись, какая-то тётка (они ж никогда не признаются, что что-то не то делали), сидя на тонком клиенте, запустила вымогателя-шифратора. Ну, тот ей обои сменил на стандартную картинку с указанием, куда платить, а дальше-то шиш ) Нет на клиенте ничего, что можно шифровать Фактически афганский вирус и получился ) Ну и я узнал чисто случайно, что-то другое проверить, как работает, подойдя, и заинтересовавшись обоями на рабочем столе )

Bredonosec> Все действия по порядку прокрути, если еще возникнут траблы - пиши
в общем не знаю, вроде все сделал. не помогло.интересно что эти рекламные страницы пытаются открыть хром при выключенном интернете

А.8.>интересно что эти рекламные страницы пытаются открыть хром при выключенном интернете
список процессов при выключенных программах и отключенной сети заскринь. Конечно, они могут прицепляться к чему-то, но мало-ли, вдруг всё проще..

Bredonosec> список процессов при выключенных программах и отключенной сети заскринь. Конечно, они могут прицепляться к чему-то, но мало-ли, вдруг всё проще..
как это сделать?)

А.8.>>интересно что эти рекламные страницы пытаются открыть хром при выключенном интернете
Bredonosec> список процессов при выключенных программах и отключенной сети заскринь.
Я проще делал. При выключенном интернете запускаешь браузер, открывается истинный url заразы, а не редиректы на всяческие казино-вулканы. Потом копировал ссылку, искал ее в реестре и удалял. Причем, поиск и удаление надо проводить несколько раз, пока не скажет, что не найдено.

Android> Я проще делал. При выключенном интернете запускаешь браузер, открывается истинный url заразы, а не редиректы на всяческие казино-вулканы. Потом копировал ссылку, искал ее в реестре и удалял. Причем, поиск и удаление надо проводить несколько раз, пока не скажет, что не найдено.
то есть выключить инет и ждать как зараза попытается что то открыть?

А.8.> то есть выключить инет и ждать как зараза попытается что то открыть?
Просто выключаешь интернет, потом открываешь браузер. Он, если с бякой, будет пытаться куда-то подключиться. В адресной строке будет видно, куда он ломится.