наши компы

[Eraser]

@Stealthe76, Попробуй повключать - выключать его кнопкой на нём, так чтобы размагничиватель (ч.з. как он правильно пишется) посрабатывал, такой звук характерный типа ТЫНЬК ЦССС. Выключил (кнопкой) 1 мин. подождал - включил, 1 мин. подождал - выкл. Хотя боюсь это как слону дробина.

[Stealthe76]

@Eraser,

Ух ты, помогло))) я моник наверное лет пять кнопкой не выключал, походу намагнитился он)))

Спасибо))) еще поживет мой моник))) 

[Eraser]

Да не за что ... сам не надеялся . Тогда еще сними корпус (крышку) ТОЛЬКО ПРИ ОТКЛЮЧЕННОМ кабеле питания, и продуй там всё только не протирай.

[Stealthe76]

@Eraser,

Ок, погоняю моль))) 

[Eraser]

@zema,  Как успехи в борьбе с компьютерной "микробиологией"? Всё наладилось? Чего то выловил, если да то чего?

[zema]

@Eraser,

да как сказать...

вылавливаю и удаляю каждый день!!! один и тот же вирус.

я скопирую и выложу название.

блокнот в папке хост-чистый.

вообще не понимаю что происходит

[Joint]

@zema, Тебя взломали конкуренты ))))

[ZHAKA]

ЭТО МЕСТЬ ЗА -56 ВСЕ ВПЕРЕДИ ЕЩЁ

[zema]

@ZHAKA,

заканчивай бухать

[ZHAKA]

Дак не пью я вобще

[Eraser]

@zema, Скинь в личку полный отчет антивирусника и AVZ (если запускал) тоже.

[zema]

теперь как только подцеплю

как раз скоро должно быть

[Eraser]

Ждёмссс ...

 

А сам, смотрел откуда он?

[zema]

вирус связан с хостом

точно опишу как выловлю в очередной раз

ну вот.опять.

в одно и тоже(примерно) время

*мой* вирус

SettingsModifier:Win32/PossibleHostsFileHijack (?)
 

Encyclopedia entry
Updated: Oct 08, 2012  |  Published: Dec 05, 2007

Aliases

•  
• Trojan.Win32.Qhost (Kaspersky)
• Qhosts.apd (McAfee)

Alert Level (?)
Moderate

 

 

[Гость]

У тебя какая винда? 

 

http://support.microsoft.com/kb/972034

[zema]

@Druid,

7 ка 64

файлик этот вчера востановил.

буду опять ждать вечера.

[Eraser]

@zema,  А антивирус какой, с какими настройками? и ... где лог полный. Думаю что у тебя не всё так страшно, просто нужно выяснить точно что и где чистить.

Пароли поменял на сайтах однокл. и вконтакте?

[bobo bobo]

Здравствуйте... раз вы о вирусах заговорили может и мне подсоветуете чего... завелась у меня зараза вместо папок ярлыки делает, уже на всех компах, а винду переустанавливать на трех компах времени совсем нет. На просторах нета нашел только как ярлыки обратно в папки превратить, хотелось бы найти источник и уничтожить. Может знаете как поличить ??

[zema]

@Eraser,

ЗАЩИТНИК ВИНДОВС.

антивирус встроенный в 7 ку.

пароли-сложные.

это не тот случай.

пароли подбираются брутом(гонял когда то аськи.знаю что это такое  )

зачем выяснять где?

если проблема не в этом.

я же говорю захожу ближе к ночи на страницы однокласники или вконтакте.

страницы заблокированы.

просит отправить смс(развод имено из-за этого вируса!!!)

запускаю быструю проверку ЗАЩИТНИКОМ ВИНДОВС.

находит быстро эту дрань.

удаляю все.

страницы открываются.

просто на сл день опять залетает вирь.

откуда и как вот это вопрос.

[Eraser]

@bobo bobo, @zema,  Часа через 3 на работу приеду, и до утра я ваш ... весь ... в смысле всё что умею, всё для вас . Доживёте? Мы их победим.

@bobo bobo, с описанными тобой симптомами было 2 зверушки (названия не помню, да и они по разной классификации разные), одна просто заменяла папки их ярлыками, а сами папки делала СИСТЕМНЫМИ, СКРЫТЫМИ т.е. при обычных настройках их не видно, НО вторая скотика (модификация первой) была посерьёзней, кроме создания ярлыков она делала ЗАПАРОЛЕННЫЙ архив папки и тоже с атрибутами СИСТЕМНЫЙ, СКРЫТЫЙ. Но во втором случае восстановить инфу было почти не возможно, тока по СМС за 40 руб.

@zema,  Ну раз за пароли ты уверен значить этот вопрос больше не вентилируем.

[bobo bobo]

заменяла папки их ярлыками, а сами папки делала СИСТЕМНЫМИ, СКРЫТЫМИ

во во во... это оно... потом создает папку recycler, в ней лежит какой-то ехе файл, запускаешь ярлык(он тоже .ехе) и он запускает эту прогу и всё,  вы счастливый обладатель этого гемороя....  просто рисую я дома а на флэхе ношу на работу, в итоге все компы у меня с этой херней... Помогите если знаете как избавится, буду очень признателен

[Eraser]

В общем мой вариант борьбы с "нечистью" (пишу то что неоднократно проверил лично), я не претендую на сверхестественность способа на его экстраординарность и т.п. я не планирую вести палемику по вопросу: какой анивирус лучше? и т.п. Просто предлагаю сделать то (и именно так как я предлагаю, поймите правильно это важно) что мне очень часто помагает. Указание конкретных программ мной, НЕ ЯВЛЯЕТСЯ ИХ РЕКЛАММОЙ просто пишу то чем сам пользуюсь, их дальнейшее применеие Ваш личный выбор.

 

В общем наша основная задача "убиение" вирусных и вирусопобных программных продуктов состоит из следующих основных частей:

I. Подготовка определенного инструментария т.е. подготовить то чем будем бороться.

II. Собственно сам процес определения и удаления вредного ПО.

III. Удаление последствий заражения.

 

Часть I.

Для подготовки нам нужно скачать образ KRD 10 250Mb (Kaspersky Rescue Disk) последней версии (по ссылке она и есть), затем записать на CD или USB (прога для записи на USB). Пока образ и проги качаются идём завариваем кофе (чай, мелиссу и т.п. по вкусу)

Для записи на USB нужна флешка не мение 512 Mb т.к. сам образ 250 Мб и еще в ходе проверки может понадобиться еще место (но чаще хватает).

Так же скачиваем программку AVZ как её настроить и чем она нам поможет это мы потом узнаем, а пока её в архиве (как есть) надо скачать и спрятаь на носителе (есть зверюги конкретно на неё настроенные).

Когда образ скачается его можно сразу записать на CD носитель встроенными средствами Windows, или иными вам доступными, привычными, любимыми. Там всё просто или двойной клик на образе и ответиь на вопосы проги или в др. проге указать путь к образу. Пишите пожалуста на малой скорости, гля гарантированного качества чтения CD  в приводе.

Для записи на USB  используем программку (выше упомянутую) по данной инструкции (стырил на kaspersky.ru):

 

 

2.2 Запись образа утилиты на USB-носитель.

Для записи образа на USB-носитель выполните следующие действия:

1. Подключите USB-носитель к компьютеру.
   
   Для успешной записи объем памяти используемого USB-носителя должен быть
   не менее 256 MB. На USB-носителе должна быть установлена файловая
   система FAT16 или FAT32. Если на USB-носителе установлена файловая система NTFS, отформатируйте его в FAT16 или FAT32.
   Не используйте для записи USB-носитель, на котором уже размещена другая
   загрузочная операционная система. В противном случае загрузка
   компьютера может пройти некорректно.
    
2. Скачайте утилиту для записи образа на USB с сервера Лаборатории Касперского ( ~378 КБ).
3. Запустите файл rescue2usb.exe.
4. В окне Kaspersky USB Rescue DiskMaker задайте местоположение загруженного образа Kaspersky Rescue Disk с включенной утилитой c помощью кнопки Обзор...

5. Выберите из списка нужный USB-носитель.
6. Нажмите кнопку СТАРТ и дождитесь завершения записи.

7. В окне с информацией об успешном завершении записи нажмите ОК.

Ща покурю продолжу ...

Часть II собственно детектирование зловредного ПО и его удаление (самая долгая по времени выполнения).

 

Опять таки обращусь к инструкции от Касперыча (вот полный вариант).

 

Подготовьте компьютер к загрузке с созданного диска.

Для загрузки меню BIOS используются клавиши Delete или F2. Для некоторых материнских плат могут использоваться клавиши F1, F10, F11, F12, а также следующие сочетания клавиш:

• • Ctrl+Esc
  • Ctrl+Ins
  • Ctrl+Alt
  • Ctrl+Alt+Esc
  • Ctrl+Alt+Enter
  • Ctrl+Alt+Del
  • Ctrl+Alt+Ins
  • Ctrl+Alt+S

Информация о способе вызовы меню BIOS отображается на экране в начале загрузки операционной системы:

1. В параметрах BIOS на закладке Boot задайте загрузочный диск (подробную информацию можно получить из документации к материнской плате вашего компьютера):
   • Если вы записали образ на CD-DVD, выберите вариант CD-ROM Drive.
   • Если вы записали образ на USB-носитель, выберите Removable Devices.

2. Вставьте CD/DVD-диск с образом в дисковод или подключите USB-носитель с записанным образом к компьютеру.

4. Загрузите компьютер с созданного диска.

1. Перезагрузите компьютер. После перезагрузки на экране появится сообщение Press any key to enter the menu.

2. Нажмите на любую клавишу.
   

   Если в течение десяти секунд вы не нажали ни на одну клавишу, то компьютер автоматически загрузится с жесткого диска.

3. С помощью клавиш перемещения курсора выберите язык графического интерфейса. Нажмите на клавишу ENTER.

4. Прочтите Лицензионное соглашение использования Kaspersky Rescue Disk. Если вы согласны с его требованиями, нажмите 1 на клавиатуре. Для перезагрузки нажмите 2, для выключения компьютера нажмите 3.

5. Выберите один из следующих режимов загрузки:
   • Kaspersky Rescue Disk. Графический режим — загружает графическую подсистему (рекомендован большинству пользователей)

     Если к вашему компьютеру не подключена мышь (например, у вас ноутбук и вы пользуетесь тачпадом вместо мыши), выберите Текстовый режим.

   • Kaspersky Rescue Disk. Текстовый режим — загружает текстовый пользовательский интерфейс, который представлен консольным файловым менеджером Midnight Commander.
6. Нажмите на клавишу Enter и дождитесь загрузки системы.

После того как загрузили Линукс версию антивиря от каспера, есть несколько путей развития событий.

 

1. Если ваш комп подвергался (подвергся, находится, в состоянии) заражению Windowsblockers (по классификации Kasperaky Lab) то можно запустить УТИЛИТУ ЛЕЧЕНИЯ РЕЕСТРА. см.  соответствующий пункт (запуск утилиты и лечение реестра) в инструкции. Чёйто я очкую опять тут выдержку выкладывать ... опять пол страницы займёт ... и админы патом атта та сделают ...

 

2. Если п. 1 для вас не актуален (или считаете нет в нем смысла) то запускаем сразу (после настройки по инструкции) провекру копмьютера.

 

В кратком изложении:

на рабочем столе сразу откроется окно каспера. Настоить нужно вот чего:

    а) провести обновление баз (нужно подключение к интернет) т.к. базы на сервере обновляться могут раз в 2-3 часа, хуже не будет точно.

    б) указать все КРИТИЧЕСКИЕ области и все диски (абсолютно все какие есть на PC кроме CD(DVD) - ROM)

    в) в настройках указать ВЫПОЛНЯТЬ РЕКОМЕНДУЕМЫЕ ДЕЙСТВИЯ т.е. это то чего ему касперу с найденным вирем делать.

    г) проверте что бы в настройках было указано КОПИРОВАТЬ ЗАРАЖЕННЫЕ ОБЪЕКТЫ В ПАКУ INFEСTED

 

3. После проверки каспером внимательно прочтите ОТЧЕТ о найденных (удаленных) объектах и смотрите какие файлы он косил, как показывает практика большенство вирусов щас не лечаться как правило принимается решение об удалении зараженного обекта, но в крайнем случае есть папка INFECTED c копиями (хоть и зараженных) удаленных файлов.

Для чего это нужно, чтение отчета, в загруженной Линукс версии антивиря есть возможность использовать ДИСПЕТЧЕР ФАЙЛОВ для создания резервных копий нужной вам информации. Есть так же Броузер т.е. возможность выйти в инет и найти нужную информацию  и т.п. причем у вас остаётся полный доступ ко всем файлам на всех ваших дисках и вы можете вручную выкосить подозрительные по вашему мнению файлы.

Только без фанатизма ...

Процесс проверки может затянуться на несколько часов, а то и дней, всё зависит от мощьности компа, степени заполнености дисков и т.п.

но как говориться - Лучше день потерять, потом за час долететь.

Ща скриншотов наделаю и выложу часть III.

[Eraser]

Часть III

 

В большенстве случаев после проверки компа с Live CD (USB) система долго загружается и это связано с восстановлением некоторых системных файлов и веток реестра и т.п. не все антивирусы могут удалять последствия заражения, поэтому это придется делать самим и тут тоже масса вариантов.

 

Для начала запустим утилитку AVZ т.к. она может восстанавливать некоторые функции системы и ... в общем её можно и до проверки Live CD (USB) запускать но это не всегда возможно (например windowsblocker).

 

Отдельно о том как запускать: дело в том, что автор проги рекомендует после распаковки архива (на рабочем столе или ещё где) переименовать файл avz.exe  в людой другой с раширением *.exe для его защиты от возможного блокирования некоторыми вреднючими прогами. Я неколько иначе поступаю, а именно есть у меню такая вот флешка от QUMO, и самое главное что на ней есть механическая блокировка от записи что позволяет запускать прогу без опасения что зверюги на неё накинутся , да и вообще удобно, если использовать в разных компах то при вкл. блокировки с неё можно читать и копировать.

В общем записываю прогу на такую флешку и (на чистом компе в кот точно уверен) запускаю на ней обновление AV баз. Флешка должна быть открыта на запись. Потом выхожу из проги, флешку в режим LOCK в подопытный комп.

 

Работа AVZ  делится на 2 этапа. Подробности можно прочесть в мануале к ней.

 

Запускаем AVZ (обязательно от имени Администратора и с обновленными базами на чистом компе) и первое что нужно сделать в настройках это запустить AVZPM

(на скрине этотпункт недоступен т.к. AVZPM уже запущен) не на всех Win он может быть запущен о чем прога вас и предупредит т.е. она ругнется по этому поводу, ну тогда фиг сней идём далее.

 

далее ставим кликаем чекбокс как на картинке,

затем на следующей вкладке ...

 

А теперь жмём ПУСК и читаем чего она там пишет ...

Этот этап проходит бысто или очень быстро.

 

Дальше (после поверки на RootKit) меняем следующие настройки ...

 

 

тут прога вас предупредит что после запуска AVZGuard другие проги не смогут запускаться и после окончания проверки нужно будет перезагрузить комп (защита у неё такая). Да ... блин вспомнил ... перд запуском первой проверки на RootKit все броузеры в системе (FireFox, IE, Chrome и т.п.) должны быть запущены, желательно с пустой страницей.

Снова ПУСК ... и ... тут уже можно идти пить чай, курить, материться беседовать.

 

 

После проверки и перезагрузки системы теоретически должно наступить ЩАСТЕ, но еще много чего надо сделать.

AVZ после работы пишет лог файл по умолчанию в ту папку в которой она запущена в каталоге LOG, но если запускать с "закрытой" флешки то и лог ей сохранять негде, тут уже вам самим решать, в логе много важной информации но как правило смотрят сколько найдено и обезврежено файлов.  Исходя из инфы из него можно определить необходимость последующих действий или бездействий.

Но прежде всего лучше почистить реестр прог по очистке реестра полно, главное не перестараться а то можно тоже навредить.

 

Теперь нужно (как в варианте у Bobo bobo) вернуть некоторые ПАПКИ в нормальный вид, можно в настройках Win (в разных по разному главное суть) в свойствах отображения папок  указать чтобы отображались СКРЫТЫЕ , СИСТЕМНЫЕ (тут осторожно) папки и файлы, но не всегда этого достаточно.

Поэтому пользуюсь FAR Manager, видит и показывает гораздо больше и проще чем Win.

После установки настраиваем Язык РУССКИЙ , язык помощи РУССКИЙ

Потом открываем наши папки (не системные, там чёрт ногу сломит и Microsoft) в паке Users  или на флешках (Alt-F1 или Alt-F2) СМЕНИТЬ ДИСК, выделяем нужные файлы или папки (Insert) и смотрим их АТРИБУТЫ (Ctrl-A)

 и при необходимости меняем нужные нам АТРИБУТЫ файлов

 

После нужно на флешках точно, а на HDD поискать если есть папки типа C:\jim\carry\jIm.exe, C:\AKON\BYONC\AKON.exe и т.п. атакже файлы E:\Recycled.exe, E:\autorun.inf на флешках, причем в FAR  можно не только удалять файлы но и (некоторые не удаляются обычными средствами) УНИЧТОЖИТЬ (Alt-Del) если вы точно уверены что такого файла тут не должно быть.

Пока клацкал тут по клаве нарыл в инете еще один вариант восстановления ПАПОК на флешках после вирусни, полнная статья тут.

 

Дополнительно к сказанному, сам не проверял, но сталкивался.

 

Каталог E2E2~1

Некоторые вирусы пошли дальше — они
переименовывают или перемещают папки в каталог E2E2~1, который не
отображается в проводнике Windows. Это актуально лишь при условии, что
файловая система носителя — FAT32, в NTFS данной проблемы не существует.
Чтобы выяснить, какая файловая система на флешке, откройте «Мой
компьютер», нажмите правой кнопкой мыши на флешке, из выпадающего меню
выберите пункт «Свойства». В открывшемся окне смотрите строку «Файловая
система».

Если указана NTFS, значит дальше можете не читать. В случае с FAT32 необходимо сделать следующее…

Например, если ваша флешка подключена как диск «E», тогда идете в:

Пуск -> Выполнить -> cmd -> OK

В открывшемся черном окошке необходимо поочередно вводить команды, подтверждая каждую клавишей Enter:

1) e:

2) dir /x

Первая команда делает диск Е активным. Если буква носителя отличается, вместо Е перед двоеточием указывайте Вашу букву.

Вторая команда отображает список папок и файлов на носителе. Если в
списке присутствует E2E2~1, выполните команду, которая переименует
папку:

3) ren E2E2~1 NewFolder

После этого в Проводнике появится папка NewFolder. Вместо NewFolder можете указать любое другое название папки, по желанию.

В завершение

Вот вроде и все о том, что касается восстановления исчезнувшей
информации после вируса. Только не забывайте, что перед перечисленными
действиями необходимо, чтобы сам вирус был нейтрализован антивирусом,
иначе проблема повторится.

У меня фсё пока, алес махет п......ц цузамен.

 

Главное напишите что, сделали а что нет, что помогло а что нет и т.п.

Изменено 24 марта, 2013 пользователем Eraser

[zema]

мне только этот текст читать неделю

[Eraser]

Ну уж извини как сумел ...