Боремся с вирусами (autorun'ом, и пр. гадостью)

Обсуждение проблем, связанных с ПО для компьютеров

Модераторы:Al_lexx, Sharp, ionika, Happy_MAN, 0xFF, Atom, Serega S.U.

Файруза
Сообщения:37
Зарегистрирован:23 янв 2008, 15:52
Откуда:Тюмень

Сообщение Файруза » 25 ноя 2008, 21:13

Уважаемые господа! Объясняю подробнее, доступа к Интернету на работе нет (нет! нет!! нет вообще!!!), я не могу поставить бесплатный, не могу поставить и платный, т.к. его нужно активировать и обновлять, поэтому этот вариант не подходит (нет! нет!! нет вообще!!! еще раз).
При открывании флешки обычным способом на нем есть все папки, которые были у владельца, но они пустые, при сканировании они объявляются вирусными. При открытии флешки Тоталом, где отображаются и скрытые, есть по 2 экземпляла вышеозначенных папок, одни пустые с расширением .ехе , другие отмечены как скрытые, оба экземпляра примерно одинаково весят, только время создания-изменения разное..
Я дома проверяю их антивиром, он удаляет как вирус папки .ехе, а те которые скрытые оставляет. Но они так и остаются скрытыми, обратно они в нормальное (видимое) состояние не возвращаются.
ЗЫ: Я работаю с учителями, которые носят флешки в школы, учебные заведения, и тащат оттуда все что возможно. А мне уже приходится с этим разбираться и как-то решать... А если бы начальство само работало на компьютере, оно может быть и прониклось моей проблемой, а так... но это не обсуждается

Аватара пользователя
fant
Сообщения:3799
Зарегистрирован:24 фев 2007, 00:30
Откуда:Дубна.МО
Контактная информация:

Сообщение fant » 25 ноя 2008, 21:33

ФайрузаДля локального обновления AVASTa идёте сюда
http://www.avast.com/ Скачиваете VPS , копируете этот файлик на комп и кликаете по нему... База локально обновится...
"Ask not what your country can do for you, ask what you can do for your country." JFK

Аватара пользователя
sametz
Сообщения:137
Зарегистрирован:04 май 2007, 18:33
Откуда:Украина

Сообщение sametz » 25 ноя 2008, 21:59

"Красивые папочки" с расширением .ехе - не совсем папочки, а вирусняк. Убить все, после этого поменять атрибуты настоящих папок на не скрытые (не только для чтения, не системные - какие они там стали). Делается это в проводнике, если всключить отображение скрытых и системных папок (которое, имхо лучше держать включенным всегда). Кроме того, поубивайте все, что не относится к файлам данных из корневой папки флешек - всякие .inf и прочие.
Далее - автозапуск на всех носителях стоит запретить навсегда (два раза нажать на иконку диска в проводнике - небольшая плата за безопасность). Сделайте в реестре так -

;Отключить автозапуск CD-ROM
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CDRom]
"Autorun"=dword:0

;Отключить автозапуск Audio CD
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AudioCD\shell]
@=""

и так -

;Запретить автозапуск на сменных носителях (Floppy, ZIP, Flashdrive)
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:253

;Запретить автозапуск на Жестких дисках
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:253

;Запретить автозапуск на Сетевых дисках
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:253

;Запретить автозапуск на CD-ROM
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:253

;Запретить автозапуск на Виртуальных дисках (RAM)
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:253


можно все приведенные строки скопировать в блокнот, влепить вверху надпись REGEDIT4, сохранить в расширением .reg и применить полученный файл.

По поводу касперского и др.веба Вам советуют не зря - они таки лидеры. Про др. веб не знаю, но обновления для каспера можно качать как отдельно с сайта, так и используя опцию "Копировать в папку" на машине с установленным касперским.
З.Ы. Как весьма действенная полумера - создать на всех разделах и флешкпх папки с названием "Autorun.inf", присвоив им атрибуты "только для чтения" и "системный"; а для тех, что разместите на жестком диске можно еще сменить владельца так, чтобы даже активный пользователь не мог их открыть/изменить.

Аватара пользователя
MegaAf
Сообщения:772
Зарегистрирован:06 ноя 2006, 00:44

Сообщение MegaAf » 25 ноя 2008, 23:27

sametz, вот покажите мне в XP как ставится атрибут системный файл через проводник... мне даже интересно..
У желания 1000 возможностей, у нежелания 1000 причин!!! :: AMD Athlon XP 2500+ GF5200 -> ATi-AMD Athlon 64 X2 5200+ Ati Radeon 3850

Файруза
Сообщения:37
Зарегистрирован:23 янв 2008, 15:52
Откуда:Тюмень

Сообщение Файруза » 26 ноя 2008, 13:11

Привет всем!
Про "красивые папочки" я вроде бы уже сказала - вирус. Автооткрывание всех съемных носителей уже давно снято, уже с начала этой темы, но только с моего компа, на работе еще 10 машин, которыми пользуются другие пользователи, объяснить им про автоотккрытие, Тоталы, скрыттые файлы несколько проблематично (читать: практически невозможно!).
Когда проявился autorun, я с ним благополучно справилась, правда потом выяснилось, что отображение скрытых файлов не происходит, на отметку в свойствах папки никакой реакции. Мне то особо это не доставляет проблем, а вот сейчас, с этим вирусом, когда папки отмечаются скрытыми и их не видно, проблемы возникли у пользователей. Я бы могла на это не обращать внимания, но они прибегают, просят открыть, достать, посмотреть.. на основную работу времени не остается.
Так вот в реестре вроде бы все правильно, все нолики и единички стоят на местах, может я не все знаю, может кто-то пропишет пошагово, чтобы видны были эти скрытые папки, а потом уже буду решать следующую проблему.

А как скачать эту VPS

Аватара пользователя
sametz
Сообщения:137
Зарегистрирован:04 май 2007, 18:33
Откуда:Украина

Сообщение sametz » 26 ноя 2008, 14:52

MegaAf писал(а):вот покажите мне в XP как ставится атрибут системный файл через проводник...
Согласен, погорячился, просто так в проводнике атрибут "системный " не поставишь.
Я использую ShellToysXP, он в проводник интегрируется; есть такая возможность и в Total Commander.
Файруза писал(а):отображение скрытых файлов не происходит
попробуйте так:

;Показывать скрытые системные файлы
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:1

;Показывать скрытые файлы и папки
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:1

или ответ смотрите несколькими страницами ранее:
http://conf.computery.ru/viewtopic.php? ... sc&start=0

Аватара пользователя
Vose
Сообщения:4347
Зарегистрирован:12 июн 2006, 14:22
Откуда:Свердл. обл.

Сообщение Vose » 27 ноя 2008, 01:31

Файруза писал(а):Объясняю подробнее, доступа к Интернету на работе нет (нет! нет!! нет вообще!!!), я не могу поставить бесплатный, не могу поставить и платный
Для того чтобы поставить антивирь и обновлять его интернет не нужен - нужно желание и осознание, что это нужно ВАМ, а поставить можно с практически с любого диска, продающегося с компьютерными журналами. Там же есть и базы (отстающие правда на 1-2 месяца от реальной жизни). Если нужны свежие базы, то носим их на флэшке, например с "домашнего" компа. Те же KAV и KIS легко настраиваются, чтобы копировать и сохранять обновления в отдельной папке и аналогично также легко настроить их на рабочем компе, чтобы обновлялся с флэшки. В DrWeb базы вообще просто копируются через флэшку с одного компа на другой. Триальные ключи раз в 1-2 месяца можно менять с тех же журнальных дисков или не поленится поискать в инете "нетриальные". Для Drweb есть проги, позволяющие обновлять его, даже при триальном или забаненом ключе.
Но первоначально, перед установкой антивируса, необходимо скачать на ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe свежий антивирусную утилиту Cure-It b переписав её на флэшку проверить и очистить рабочий компьютер от гадости (лучше в безопасном режиме ). Также рекомендуется проверить комп с помощью AVZ - http://z-oleg.com/secur/avz/download.php, а также отключить с её помощью автозапуск со всего, что можно - CD, HDD< сетевых дисков. И только после этого ставить "стационарный" антивирус.
Файруза писал(а):Я бы могла на это не обращать внимания, но они прибегают, просят открыть, достать, посмотреть.. на основную работу времени не остается.
Тут есть несколько вариантов
1. Отсылать всех к руководству, объясняя просто, что у вас своей работы по-горло (за которую вам зарплату собственно платят), чтобы нанял таки админа (или изредка вызывал), чтобы решать эти проблемы.
2. Пойти к руководству самой и попросить доплату за решение этих проблем во всём оффисе
3. Посоветовать сослуживцам читать и выполнять советы, хотя бы этой ветки этой конференции.
4. Помогать всем бескорыстно и не плакаться здесь по этому поводу.
Глупый пингвин робко прячет, умный - смело достаёт...

Аватара пользователя
fant
Сообщения:3799
Зарегистрирован:24 фев 2007, 00:30
Откуда:Дубна.МО
Контактная информация:

Сообщение fant » 27 ноя 2008, 01:45

Файруза про VPS// Дам ссылочку попрямее
http://avast.com/eng/update_avast_4_vps.html Кликаете по Download и база у вас в компе. Потом этот файл запускаете. В настройках AVAST поставьте отметку на "Выполнять обновления вручную"
"Ask not what your country can do for you, ask what you can do for your country." JFK

Аватара пользователя
Petroman
Сообщения:489
Зарегистрирован:25 июн 2006, 22:23
Откуда:Северо-западнее юго-востока

Сообщение Petroman » 27 ноя 2008, 08:36

Файруза писал(а):отображение скрытых файлов не происходит, на отметку в свойствах папки никакой реакции
Как-то смахивает на наличие руткитов. Я обычно в непонятных случаях использую сразу три лечилки: Кьюрит, АВЗ, и РемувИтПро, и еще какую-нибудь антируткит утилитку. К тому же АВЗ умеет восстанавливать систему после заражения в случаях когда, например, после лечения вируса невозможно изменить свойства папок, загрузиться в режиме защиты от сбоев и т.п.
Человека порой приводит к судьбе дорога, которой он от судьбы убегает.
Изображение

Файруза
Сообщения:37
Зарегистрирован:23 янв 2008, 15:52
Откуда:Тюмень

Сообщение Файруза » 27 ноя 2008, 17:51

Доброго всем времени суток!

Спасибо всем за ответы, за помощь.
На заметку, я не плачусь...

Всего хорошего.

Аватара пользователя
fant
Сообщения:3799
Зарегистрирован:24 фев 2007, 00:30
Откуда:Дубна.МО
Контактная информация:

Сообщение fant » 27 ноя 2008, 22:27

Файруза писал(а):На заметку, я не плачусь...
Так я вот, например, этого момента и не заметил )) Удачи.
"Ask not what your country can do for you, ask what you can do for your country." JFK

Файруза
Сообщения:37
Зарегистрирован:23 янв 2008, 15:52
Откуда:Тюмень

Сообщение Файруза » 28 ноя 2008, 16:53

Потом этот файл запускаете. В настройках AVAST поставьте отметку на "Выполнять обновления вручную"[/quote]

Спасибо, все сделала.

Я же не могу без новостей. На работе один за другим слетели 2 машины. На флешке есть запакованный файл, название самое безобидное, (у одной - свое имя, у другой "Аттестация", т.е. вполне рабочие), то ли они его кликают, то ли он сам как- распаковывается(!), видимо все-таки сами пользователи в него заглядывают, а там "Обновление для Виндовса", потом говорит, что обновления готовы, надо перезагрузить, ОК - и загрузочных файлов нет. Сначала одна машина, затем вторая, на третьей я уже почти все увидела.

Вот таки дела...

Файруза
Сообщения:37
Зарегистрирован:23 янв 2008, 15:52
Откуда:Тюмень

Сообщение Файруза » 28 ноя 2008, 16:55

На Др.Вебе есть LiveCD, вроде скачала, а на диск его переписать надо именно каким-то образом?

Аватара пользователя
fant
Сообщения:3799
Зарегистрирован:24 фев 2007, 00:30
Откуда:Дубна.МО
Контактная информация:

Сообщение fant » 28 ноя 2008, 19:28

Какое расширение у скачанного файла, скорее всего ISO. В НЕРО есть опция-"Записать образ на диск". Или какой другой писалкой. Но именно как образ.
"Ask not what your country can do for you, ask what you can do for your country." JFK

Аватара пользователя
Abdulla
Сообщения:649
Зарегистрирован:10 июн 2008, 18:52
Откуда:Роддом №1

Сообщение Abdulla » 30 ноя 2008, 12:58

Непонятки.
Вчера нужно было найти дрова для сетевухи, залез на drivers.ru, перешёл по ссылке ADMTek.com, тут начали всплывать окошки с какой-то хренью, мне хватило реакции, чтоб их позакрывать и отключить соединение с инетом. Каспера не включал, т.к. не предполагал "грязных" ссылок на известном ресурсе. Конечно, сам виноват... :) Так вот после этого пытался запустить Каспера - вылезло окно "введите путь к лиц. ключу", задаю путь (ключ честно купленный у дистрибутора, жить ему ещё 11 месяцев!), вылазит окно "ключ повреждён и не может быть установлен". Всё! Из доступных кнопок - только "выход".
Далее качнул свежий CureIt с ftp провайдера, пытался запустить - "ошибка приложения kernel.exe". Затем выяснилось, что из всех .exe запускаются только мелкософтовые и WinRAR. Вот WinRAR-ом открываю папку Temporary Internet Files, сортирую файлы по времени и вижу, что последние имеют дату 29.11.14608!!!. Глядь на системные часы - внатуре 14608-й год на дворе. Ну тут я понял, что сделала зараза, изменил год на 2008, сразу запустились и Каспер и "курить", проверил всё полностью (заразы не оказалось!), удалил нафик всё из Temporary Internet Files, перезагрузился, почистил реестр, снова перезагрузился - в общем весело провёл время. :)
Остаётся, как тут говорят, чисто академический вопросец: какая "падшая женщина" это сделала? Может у кого такое бывало, или кто просто в курсе?..

З.Ы.: Дрова потом всё же нашел, совсем в другом месте. Сейчас система работает нормально.
Я не знаю, за что мне платят деньги. Но я удивляюсь, почему так мало?..

Ответить