-
/1247620-2885312134_1e80bd8362_o.jpg)
Как бороться с вирусом?
Теги:
Анархист 86
Android> Просто выключаешь интернет, потом открываешь браузер. Он, если с бякой, будет пытаться куда-то подключиться. В адресной строке будет видно, куда он ломится.
дык он не постоянно а периодически ломится. и причем на разные страницы
дык он не постоянно а периодически ломится. и причем на разные страницы
инфо
инструменты
А.8.> дык он не постоянно а периодически ломится. и причем на разные страницы
У тебя сколько с москвой разница?
У тебя сколько с москвой разница?
xo> У тебя сколько с москвой разница?
+2 часа
+2 часа
Bredonosec
А.8.> как это сделать?)
самое простое - правой мышой хлоп на таскбаре, открыть диспетчер задач (task manager), отсортировать процессы по имени, нажать кнопку принтскрин (prtscr), открыть пейнт, вставить содержимое, и картинку пришпилить.
То, что андроид предложил - тоже сгодится, тоже вариант. Просто этот вариант с некоторой долей вероятности сделает неработоспособными зловредов. Если зловред один. А если там 2-3 процесса, включающих друг друга и перезаписывающих стертое в случае удаления, то это не спасет.
самое простое - правой мышой хлоп на таскбаре, открыть диспетчер задач (task manager), отсортировать процессы по имени, нажать кнопку принтскрин (prtscr), открыть пейнт, вставить содержимое, и картинку пришпилить.
То, что андроид предложил - тоже сгодится, тоже вариант. Просто этот вариант с некоторой долей вероятности сделает неработоспособными зловредов. Если зловред один. А если там 2-3 процесса, включающих друг друга и перезаписывающих стертое в случае удаления, то это не спасет.
xo>> У тебя сколько с москвой разница?
А.8.> +2 часа
я могу прям ща через тимвьювер зайти, поковырять твой комп. либо завтра, но тоже вечером. как связь держать удобнее?
А.8.> +2 часа
я могу прям ща через тимвьювер зайти, поковырять твой комп. либо завтра, но тоже вечером. как связь держать удобнее?
xo> я могу прям ща через тимвьювер зайти, поковырять твой комп. либо завтра, но тоже вечером. как связь держать удобнее?
давай как сможешь пиши смс 89222483331
давай как сможешь пиши смс 89222483331
Bredonosec> самое простое - правой мышой хлоп на таскбаре, открыть диспетчер задач (task manager), отсортировать процессы по имени, нажать кнопку принтскрин (prtscr), открыть пейнт, вставить содержимое, и картинку пришпилить.
а как сортировать и какие. что есть пейнт
а как сортировать и какие. что есть пейнт
А.8.> а как сортировать и какие. что есть пейнт
нажать на столбец "имя образа".
ms paint что такое? ээ.. а чем ты графику редактишь?
нажать на столбец "имя образа".
ms paint что такое? ээ.. а чем ты графику редактишь?
Bredonosec> ms paint что такое? ээ.. а чем ты графику редактишь?
я вас донт андестенд
я вас донт андестенд
Bredonosec> нажать на столбец "имя образа".
нажимаю :)строчки меняются, и?
нажимаю :)строчки меняются, и?
Это сообщение редактировалось 08.01.2017 в 05:58
А.8.>> то есть выключить инет и ждать как зараза попытается что то открыть?
Android> Просто выключаешь интернет, потом открываешь браузер. Он, если с бякой, будет пытаться куда-то подключиться. В адресной строке будет видно, куда он ломится.
как выяснилось ни хрена это особо не дает. Бьёмся с заразой уже часов 5
Сходу увидел процесс, маскировавшийся под PuntoSwitcher. Снёс и поставил авиру, спустя время бяка пыталась открыться в браузере, но уже надстройка авиры в хроме успешно блокировала открытие окна. В общем ковыряемся дальше.
Android> Просто выключаешь интернет, потом открываешь браузер. Он, если с бякой, будет пытаться куда-то подключиться. В адресной строке будет видно, куда он ломится.
как выяснилось ни хрена это особо не дает. Бьёмся с заразой уже часов 5
Сходу увидел процесс, маскировавшийся под PuntoSwitcher. Снёс и поставил авиру, спустя время бяка пыталась открыться в браузере, но уже надстройка авиры в хроме успешно блокировала открытие окна. В общем ковыряемся дальше.
xo> как выяснилось ни хрена это особо не дает.
Не нашлось в реестре строк со ссылкой?
Есл нашлось, то можно ж глянуть в ветке вокруг этой папки - там что-нибудь с CID или PID будет, какое-нибудь имя файла или проги, по ним можно дальше искать в реестре или в папках программ. Типа цепочку по звену одно за одним откопать.
А вообще первым делом, ессно, все темпы и папки под сисволюминфо поубивать, дав себе доступ. Зараза там нередко прячется, имея доступ при отсутствии доступа пользователя.
Можно еще процессэксплорер поставить и посмотреть, какой именно файл или процесс цепляется какому системному, лезущему в сеть. А какой лезет в сеть - поглядеть через wireshark или чем там удобно/привычно пользоваться
Не нашлось в реестре строк со ссылкой?
Есл нашлось, то можно ж глянуть в ветке вокруг этой папки - там что-нибудь с CID или PID будет, какое-нибудь имя файла или проги, по ним можно дальше искать в реестре или в папках программ. Типа цепочку по звену одно за одним откопать.
А вообще первым делом, ессно, все темпы и папки под сисволюминфо поубивать, дав себе доступ. Зараза там нередко прячется, имея доступ при отсутствии доступа пользователя.
Можно еще процессэксплорер поставить и посмотреть, какой именно файл или процесс цепляется какому системному, лезущему в сеть. А какой лезет в сеть - поглядеть через wireshark или чем там удобно/привычно пользоваться
xo>> как выяснилось ни хрена это особо не дает.
Bredonosec> Не нашлось в реестре строк со ссылкой?
Неа, во всех вариациях прошерстил несколько раз, ничего не нашлось.
Bredonosec> Есл нашлось, то можно ж глянуть в ветке вокруг этой папки - там что-нибудь с CID или PID будет, какое-нибудь имя файла или проги, по ним можно дальше искать в реестре или в папках программ. Типа цепочку по звену одно за одним откопать.
Bredonosec> А вообще первым делом, ессно, все темпы и папки под сисволюминфо поубивать, дав себе доступ. Зараза там нередко прячется, имея доступ при отсутствии доступа пользователя.
Bredonosec> Можно еще процессэксплорер поставить и посмотреть, какой именно файл или процесс цепляется какому системному, лезущему в сеть. А какой лезет в сеть - поглядеть через wireshark или чем там удобно/привычно пользоваться
та уже и avz юзал, и combofix-ом прошелся. помогло на минут 45 и опять полезло. Короче переустановка , я там уже что-либо бессилен сделать.
И в процессах тишина, вот что доставляет...
Bredonosec> Не нашлось в реестре строк со ссылкой?
Неа, во всех вариациях прошерстил несколько раз, ничего не нашлось.
Bredonosec> Есл нашлось, то можно ж глянуть в ветке вокруг этой папки - там что-нибудь с CID или PID будет, какое-нибудь имя файла или проги, по ним можно дальше искать в реестре или в папках программ. Типа цепочку по звену одно за одним откопать.
Bredonosec> А вообще первым делом, ессно, все темпы и папки под сисволюминфо поубивать, дав себе доступ. Зараза там нередко прячется, имея доступ при отсутствии доступа пользователя.
Bredonosec> Можно еще процессэксплорер поставить и посмотреть, какой именно файл или процесс цепляется какому системному, лезущему в сеть. А какой лезет в сеть - поглядеть через wireshark или чем там удобно/привычно пользоваться
та уже и avz юзал, и combofix-ом прошелся. помогло на минут 45 и опять полезло. Короче переустановка , я там уже что-либо бессилен сделать.
И в процессах тишина, вот что доставляет...
xo> Неа, во всех вариациях прошерстил несколько раз, ничего не нашлось.
а поиск по содержимому файлов и в строке поиска имя домена? Мож в какой инишке незашифрованный? Хоть вероятность конечно не очень велика..
xo> та уже и avz юзал, и combofix-ом прошелся. помогло на минут 45 и опять полезло. Короче переустановка , я там уже что-либо бессилен сделать.
xo> И в процессах тишина, вот что доставляет...
хм... а не записал, кто именно это был? Чтоб его прогуглить и конкретный метод борьбы или утиль от него?
По симптомам выглядит как будто пара-тройка процессов друг друга включает и перезаписывает при исчезновении..
А 45 минут - еще и на планировщик задач намекает.. обычно длинные сроки через него.. процессы чаще проверяют посекундно или вроде того.. Ну, как мне попадалось..
но переустановка - эт да, карлинальный метод ))
Главное чтоб на чисто отформаченный раздзел. И с удалением сисволюминфо папок и мусорок по всем разделам.. а заодно инишек в корнях...
а поиск по содержимому файлов и в строке поиска имя домена? Мож в какой инишке незашифрованный? Хоть вероятность конечно не очень велика..
xo> та уже и avz юзал, и combofix-ом прошелся. помогло на минут 45 и опять полезло. Короче переустановка , я там уже что-либо бессилен сделать.
xo> И в процессах тишина, вот что доставляет...
хм... а не записал, кто именно это был? Чтоб его прогуглить и конкретный метод борьбы или утиль от него?
По симптомам выглядит как будто пара-тройка процессов друг друга включает и перезаписывает при исчезновении..
А 45 минут - еще и на планировщик задач намекает.. обычно длинные сроки через него.. процессы чаще проверяют посекундно или вроде того.. Ну, как мне попадалось..
но переустановка - эт да, карлинальный метод ))
Главное чтоб на чисто отформаченный раздзел. И с удалением сисволюминфо папок и мусорок по всем разделам.. а заодно инишек в корнях...
- Balancer [08.01.2017 21:23]: Перенос сообщений из Гадости компьютерной жизни
Мне пару раз помогало в подобных случаях востановление системы с точки отката.
У России только два союзника - ее Армия и ее Флот
Bredonosec> а поиск по содержимому файлов и в строке поиска имя домена? Мож в какой инишке незашифрованный? Хоть вероятность конечно не очень велика..
не, все потенциальные мусоросборники были прошерстены, ни куя , увы.
Bredonosec> хм... а не записал, кто именно это был? Чтоб его прогуглить и конкретный метод борьбы или утиль от него?
Bredonosec> По симптомам выглядит как будто пара-тройка процессов друг друга включает и перезаписывает при исчезновении..
Вот с первым вирусняком, который и был найден и висел в процессах так и было. Он на ходу менял имя экзешника своего, ежели закрывал процесс вручную.
Bredonosec> А 45 минут - еще и на планировщик задач намекает.. обычно длинные сроки через него.. процессы чаще проверяют посекундно или вроде того.. Ну, как мне попадалось..
Возможно. Но не нашёл.
Bredonosec> но переустановка - эт да, карлинальный метод ))
Да это понятно, в противном случае зачем вообще заморачиваться с переустановкой? Только жизнь с чистого листа
не, все потенциальные мусоросборники были прошерстены, ни куя , увы.
Bredonosec> хм... а не записал, кто именно это был? Чтоб его прогуглить и конкретный метод борьбы или утиль от него?
Bredonosec> По симптомам выглядит как будто пара-тройка процессов друг друга включает и перезаписывает при исчезновении..
Вот с первым вирусняком, который и был найден и висел в процессах так и было. Он на ходу менял имя экзешника своего, ежели закрывал процесс вручную.
Bredonosec> А 45 минут - еще и на планировщик задач намекает.. обычно длинные сроки через него.. процессы чаще проверяют посекундно или вроде того.. Ну, как мне попадалось..
Возможно. Но не нашёл.
Bredonosec> но переустановка - эт да, карлинальный метод ))
Да это понятно, в противном случае зачем вообще заморачиваться с переустановкой? Только жизнь с чистого листа
xo>>> как выяснилось ни хрена это особо не дает.
xo> та уже и avz юзал, и combofix-ом прошелся. помогло на минут 45 и опять полезло. Короче переустановка , я там уже что-либо бессилен сделать.
xo> И в процессах тишина, вот что доставляет...
как я тебя понимаю!!!
просто отлавливаю всплытие окна с "вулканом" и подобные, и режу.
Касперский, как и Авакс не помогает.
xo> та уже и avz юзал, и combofix-ом прошелся. помогло на минут 45 и опять полезло. Короче переустановка , я там уже что-либо бессилен сделать.
xo> И в процессах тишина, вот что доставляет...
как я тебя понимаю!!!
просто отлавливаю всплытие окна с "вулканом" и подобные, и режу.
Касперский, как и Авакс не помогает.
xo> Вот с первым вирусняком, который и был найден и висел в процессах так и было. Он на ходу менял имя экзешника своего, ежели закрывал процесс вручную.
вот чует моё сердце, что в этом месте надо было процессэксплорером посмотреть активные системные процессы, особенно всякие свцхосты, на тему что за длл к ним цепляется с необычным именем..
Можно было на дурака выйти на тот процесс, что отслеживал наличие первого файла в памяти, и восстанавливал его, если не находил..
хотя конечно не факт, что бросилось бы в глаза...
вот чует моё сердце, что в этом месте надо было процессэксплорером посмотреть активные системные процессы, особенно всякие свцхосты, на тему что за длл к ним цепляется с необычным именем..
Можно было на дурака выйти на тот процесс, что отслеживал наличие первого файла в памяти, и восстанавливал его, если не находил..
хотя конечно не факт, что бросилось бы в глаза...
Bredonosec> Можно было на дурака выйти на тот процесс, что отслеживал наличие первого файла в памяти, и восстанавливал его, если не находил..
Bredonosec> хотя конечно не факт, что бросилось бы в глаза...
да мониторил я йопта. ты по ходу дела даж не в курсе, что такое AVZ, функционал будь здоров.
Bredonosec> хотя конечно не факт, что бросилось бы в глаза...
да мониторил я йопта. ты по ходу дела даж не в курсе, что такое AVZ, функционал будь здоров.
xo> да мониторил я йопта.
тады ой.
> ты по ходу дела даж не в курсе, что такое AVZ, функционал будь здоров.
да пробовал с ней играться сколько-то лет назад.. уж не помню, почему не вштырило.. Мож и зря бросил..
тады ой.
> ты по ходу дела даж не в курсе, что такое AVZ, функционал будь здоров.
да пробовал с ней играться сколько-то лет назад.. уж не помню, почему не вштырило.. Мож и зря бросил..
Bredonosec>> Не нашлось в реестре строк со ссылкой?
xo> Неа, во всех вариациях прошерстил несколько раз, ничего не нашлось.
Я уж сколько лет не помню, чтобы удавалось урлы такой дряни в реестре найти.
xo> та уже и avz юзал, и combofix-ом прошелся. помогло на минут 45 и опять полезло. Короче переустановка , я там уже что-либо бессилен сделать.
xo> И в процессах тишина, вот что доставляет...
В какой-то из легальных процессов встроено, скорее всего. Может и через альтернативный поток, хотя, много лет уже не встречал.
Так-то надо в оффлайне систему анализировать, что в тимвьювере сложновасто будет
xo> Неа, во всех вариациях прошерстил несколько раз, ничего не нашлось.
Я уж сколько лет не помню, чтобы удавалось урлы такой дряни в реестре найти.
xo> та уже и avz юзал, и combofix-ом прошелся. помогло на минут 45 и опять полезло. Короче переустановка , я там уже что-либо бессилен сделать.
xo> И в процессах тишина, вот что доставляет...
В какой-то из легальных процессов встроено, скорее всего. Может и через альтернативный поток, хотя, много лет уже не встречал.
Так-то надо в оффлайне систему анализировать, что в тимвьювере сложновасто будет
imaex> В какой-то из легальных процессов встроено, скорее всего.
дык говорю, если вообще может быть заметно, то скорее как прилепленная к свцхосту длл-ка.
А если по-взрослому, то вообще в защищенной от доступа юзера и системы зоне памяти. То есть, как и писал изначально, загрузившись с флешки или лив-сд пускать антивирь.
всё равно поздно уже топтаться - переустановка всё спишет.. скорее всего (если не останутся зараженные любимые файлы на других разделах)
дык говорю, если вообще может быть заметно, то скорее как прилепленная к свцхосту длл-ка.
А если по-взрослому, то вообще в защищенной от доступа юзера и системы зоне памяти. То есть, как и писал изначально, загрузившись с флешки или лив-сд пускать антивирь.
всё равно поздно уже топтаться - переустановка всё спишет.. скорее всего (если не останутся зараженные любимые файлы на других разделах)
- Последние действия над темой
- Balancer [08.01.2017 21:23]: Перенос сообщений из Гадости компьютерной жизни
- Все действия над темой
Copyright © Balancer 1997..2018
Создано 18.08.2003
Связь с владельцами и администрацией сайта: anonisimov@gmail.com, rwasp1957@yandex.ru и admin@balancer.ru.
Создано 18.08.2003
Связь с владельцами и администрацией сайта: anonisimov@gmail.com, rwasp1957@yandex.ru и admin@balancer.ru.
