Боремся с вирусами (autorun'ом, и пр. гадостью)
Модераторы: Al_lexx, Sharp, ionika, Happy_MAN, 0xFF, Atom, Serega S.U.
Уважаемые господа! Объясняю подробнее, доступа к Интернету на работе нет (нет! нет!! нет вообще!!!), я не могу поставить бесплатный, не могу поставить и платный, т.к. его нужно активировать и обновлять, поэтому этот вариант не подходит (нет! нет!! нет вообще!!! еще раз).
При открывании флешки обычным способом на нем есть все папки, которые были у владельца, но они пустые, при сканировании они объявляются вирусными. При открытии флешки Тоталом, где отображаются и скрытые, есть по 2 экземпляла вышеозначенных папок, одни пустые с расширением .ехе , другие отмечены как скрытые, оба экземпляра примерно одинаково весят, только время создания-изменения разное..
Я дома проверяю их антивиром, он удаляет как вирус папки .ехе, а те которые скрытые оставляет. Но они так и остаются скрытыми, обратно они в нормальное (видимое) состояние не возвращаются.
ЗЫ: Я работаю с учителями, которые носят флешки в школы, учебные заведения, и тащат оттуда все что возможно. А мне уже приходится с этим разбираться и как-то решать... А если бы начальство само работало на компьютере, оно может быть и прониклось моей проблемой, а так... но это не обсуждается
При открывании флешки обычным способом на нем есть все папки, которые были у владельца, но они пустые, при сканировании они объявляются вирусными. При открытии флешки Тоталом, где отображаются и скрытые, есть по 2 экземпляла вышеозначенных папок, одни пустые с расширением .ехе , другие отмечены как скрытые, оба экземпляра примерно одинаково весят, только время создания-изменения разное..
Я дома проверяю их антивиром, он удаляет как вирус папки .ехе, а те которые скрытые оставляет. Но они так и остаются скрытыми, обратно они в нормальное (видимое) состояние не возвращаются.
ЗЫ: Я работаю с учителями, которые носят флешки в школы, учебные заведения, и тащат оттуда все что возможно. А мне уже приходится с этим разбираться и как-то решать... А если бы начальство само работало на компьютере, оно может быть и прониклось моей проблемой, а так... но это не обсуждается
ФайрузаДля локального обновления AVASTa идёте сюда
http://www.avast.com/ Скачиваете VPS , копируете этот файлик на комп и кликаете по нему... База локально обновится...
http://www.avast.com/ Скачиваете VPS , копируете этот файлик на комп и кликаете по нему... База локально обновится...
"Ask not what your country can do for you, ask what you can do for your country." JFK
"Красивые папочки" с расширением .ехе - не совсем папочки, а вирусняк. Убить все, после этого поменять атрибуты настоящих папок на не скрытые (не только для чтения, не системные - какие они там стали). Делается это в проводнике, если всключить отображение скрытых и системных папок (которое, имхо лучше держать включенным всегда). Кроме того, поубивайте все, что не относится к файлам данных из корневой папки флешек - всякие .inf и прочие.
Далее - автозапуск на всех носителях стоит запретить навсегда (два раза нажать на иконку диска в проводнике - небольшая плата за безопасность). Сделайте в реестре так -
;Отключить автозапуск CD-ROM
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CDRom]
"Autorun"=dword:0
;Отключить автозапуск Audio CD
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AudioCD\shell]
@=""
и так -
;Запретить автозапуск на сменных носителях (Floppy, ZIP, Flashdrive)
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:253
;Запретить автозапуск на Жестких дисках
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:253
;Запретить автозапуск на Сетевых дисках
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:253
;Запретить автозапуск на CD-ROM
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:253
;Запретить автозапуск на Виртуальных дисках (RAM)
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:253
можно все приведенные строки скопировать в блокнот, влепить вверху надпись REGEDIT4, сохранить в расширением .reg и применить полученный файл.
По поводу касперского и др.веба Вам советуют не зря - они таки лидеры. Про др. веб не знаю, но обновления для каспера можно качать как отдельно с сайта, так и используя опцию "Копировать в папку" на машине с установленным касперским.
З.Ы. Как весьма действенная полумера - создать на всех разделах и флешкпх папки с названием "Autorun.inf", присвоив им атрибуты "только для чтения" и "системный"; а для тех, что разместите на жестком диске можно еще сменить владельца так, чтобы даже активный пользователь не мог их открыть/изменить.
Далее - автозапуск на всех носителях стоит запретить навсегда (два раза нажать на иконку диска в проводнике - небольшая плата за безопасность). Сделайте в реестре так -
;Отключить автозапуск CD-ROM
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CDRom]
"Autorun"=dword:0
;Отключить автозапуск Audio CD
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AudioCD\shell]
@=""
и так -
;Запретить автозапуск на сменных носителях (Floppy, ZIP, Flashdrive)
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:253
;Запретить автозапуск на Жестких дисках
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:253
;Запретить автозапуск на Сетевых дисках
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:253
;Запретить автозапуск на CD-ROM
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:253
;Запретить автозапуск на Виртуальных дисках (RAM)
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:253
можно все приведенные строки скопировать в блокнот, влепить вверху надпись REGEDIT4, сохранить в расширением .reg и применить полученный файл.
По поводу касперского и др.веба Вам советуют не зря - они таки лидеры. Про др. веб не знаю, но обновления для каспера можно качать как отдельно с сайта, так и используя опцию "Копировать в папку" на машине с установленным касперским.
З.Ы. Как весьма действенная полумера - создать на всех разделах и флешкпх папки с названием "Autorun.inf", присвоив им атрибуты "только для чтения" и "системный"; а для тех, что разместите на жестком диске можно еще сменить владельца так, чтобы даже активный пользователь не мог их открыть/изменить.
Привет всем!
Про "красивые папочки" я вроде бы уже сказала - вирус. Автооткрывание всех съемных носителей уже давно снято, уже с начала этой темы, но только с моего компа, на работе еще 10 машин, которыми пользуются другие пользователи, объяснить им про автоотккрытие, Тоталы, скрыттые файлы несколько проблематично (читать: практически невозможно!).
Когда проявился autorun, я с ним благополучно справилась, правда потом выяснилось, что отображение скрытых файлов не происходит, на отметку в свойствах папки никакой реакции. Мне то особо это не доставляет проблем, а вот сейчас, с этим вирусом, когда папки отмечаются скрытыми и их не видно, проблемы возникли у пользователей. Я бы могла на это не обращать внимания, но они прибегают, просят открыть, достать, посмотреть.. на основную работу времени не остается.
Так вот в реестре вроде бы все правильно, все нолики и единички стоят на местах, может я не все знаю, может кто-то пропишет пошагово, чтобы видны были эти скрытые папки, а потом уже буду решать следующую проблему.
А как скачать эту VPS
Про "красивые папочки" я вроде бы уже сказала - вирус. Автооткрывание всех съемных носителей уже давно снято, уже с начала этой темы, но только с моего компа, на работе еще 10 машин, которыми пользуются другие пользователи, объяснить им про автоотккрытие, Тоталы, скрыттые файлы несколько проблематично (читать: практически невозможно!).
Когда проявился autorun, я с ним благополучно справилась, правда потом выяснилось, что отображение скрытых файлов не происходит, на отметку в свойствах папки никакой реакции. Мне то особо это не доставляет проблем, а вот сейчас, с этим вирусом, когда папки отмечаются скрытыми и их не видно, проблемы возникли у пользователей. Я бы могла на это не обращать внимания, но они прибегают, просят открыть, достать, посмотреть.. на основную работу времени не остается.
Так вот в реестре вроде бы все правильно, все нолики и единички стоят на местах, может я не все знаю, может кто-то пропишет пошагово, чтобы видны были эти скрытые папки, а потом уже буду решать следующую проблему.
А как скачать эту VPS
Согласен, погорячился, просто так в проводнике атрибут "системный " не поставишь.MegaAf писал(а):вот покажите мне в XP как ставится атрибут системный файл через проводник...
Я использую ShellToysXP, он в проводник интегрируется; есть такая возможность и в Total Commander.
попробуйте так:Файруза писал(а):отображение скрытых файлов не происходит
;Показывать скрытые системные файлы
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:1
;Показывать скрытые файлы и папки
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:1
или ответ смотрите несколькими страницами ранее:
http://conf.computery.ru/viewtopic.php? ... sc&start=0
Для того чтобы поставить антивирь и обновлять его интернет не нужен - нужно желание и осознание, что это нужно ВАМ, а поставить можно с практически с любого диска, продающегося с компьютерными журналами. Там же есть и базы (отстающие правда на 1-2 месяца от реальной жизни). Если нужны свежие базы, то носим их на флэшке, например с "домашнего" компа. Те же KAV и KIS легко настраиваются, чтобы копировать и сохранять обновления в отдельной папке и аналогично также легко настроить их на рабочем компе, чтобы обновлялся с флэшки. В DrWeb базы вообще просто копируются через флэшку с одного компа на другой. Триальные ключи раз в 1-2 месяца можно менять с тех же журнальных дисков или не поленится поискать в инете "нетриальные". Для Drweb есть проги, позволяющие обновлять его, даже при триальном или забаненом ключе.Файруза писал(а):Объясняю подробнее, доступа к Интернету на работе нет (нет! нет!! нет вообще!!!), я не могу поставить бесплатный, не могу поставить и платный
Но первоначально, перед установкой антивируса, необходимо скачать на ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe свежий антивирусную утилиту Cure-It b переписав её на флэшку проверить и очистить рабочий компьютер от гадости (лучше в безопасном режиме ). Также рекомендуется проверить комп с помощью AVZ - http://z-oleg.com/secur/avz/download.php, а также отключить с её помощью автозапуск со всего, что можно - CD, HDD< сетевых дисков. И только после этого ставить "стационарный" антивирус.
Тут есть несколько вариантовФайруза писал(а):Я бы могла на это не обращать внимания, но они прибегают, просят открыть, достать, посмотреть.. на основную работу времени не остается.
1. Отсылать всех к руководству, объясняя просто, что у вас своей работы по-горло (за которую вам зарплату собственно платят), чтобы нанял таки админа (или изредка вызывал), чтобы решать эти проблемы.
2. Пойти к руководству самой и попросить доплату за решение этих проблем во всём оффисе
3. Посоветовать сослуживцам читать и выполнять советы, хотя бы этой ветки этой конференции.
4. Помогать всем бескорыстно и не плакаться здесь по этому поводу.
Глупый пингвин робко прячет, умный - смело достаёт...
Файруза про VPS// Дам ссылочку попрямее
http://avast.com/eng/update_avast_4_vps.html Кликаете по Download и база у вас в компе. Потом этот файл запускаете. В настройках AVAST поставьте отметку на "Выполнять обновления вручную"
http://avast.com/eng/update_avast_4_vps.html Кликаете по Download и база у вас в компе. Потом этот файл запускаете. В настройках AVAST поставьте отметку на "Выполнять обновления вручную"
"Ask not what your country can do for you, ask what you can do for your country." JFK
Как-то смахивает на наличие руткитов. Я обычно в непонятных случаях использую сразу три лечилки: Кьюрит, АВЗ, и РемувИтПро, и еще какую-нибудь антируткит утилитку. К тому же АВЗ умеет восстанавливать систему после заражения в случаях когда, например, после лечения вируса невозможно изменить свойства папок, загрузиться в режиме защиты от сбоев и т.п.Файруза писал(а):отображение скрытых файлов не происходит, на отметку в свойствах папки никакой реакции
Потом этот файл запускаете. В настройках AVAST поставьте отметку на "Выполнять обновления вручную"[/quote]
Спасибо, все сделала.
Я же не могу без новостей. На работе один за другим слетели 2 машины. На флешке есть запакованный файл, название самое безобидное, (у одной - свое имя, у другой "Аттестация", т.е. вполне рабочие), то ли они его кликают, то ли он сам как- распаковывается(!), видимо все-таки сами пользователи в него заглядывают, а там "Обновление для Виндовса", потом говорит, что обновления готовы, надо перезагрузить, ОК - и загрузочных файлов нет. Сначала одна машина, затем вторая, на третьей я уже почти все увидела.
Вот таки дела...
Спасибо, все сделала.
Я же не могу без новостей. На работе один за другим слетели 2 машины. На флешке есть запакованный файл, название самое безобидное, (у одной - свое имя, у другой "Аттестация", т.е. вполне рабочие), то ли они его кликают, то ли он сам как- распаковывается(!), видимо все-таки сами пользователи в него заглядывают, а там "Обновление для Виндовса", потом говорит, что обновления готовы, надо перезагрузить, ОК - и загрузочных файлов нет. Сначала одна машина, затем вторая, на третьей я уже почти все увидела.
Вот таки дела...
Непонятки.
Вчера нужно было найти дрова для сетевухи, залез на drivers.ru, перешёл по ссылке ADMTek.com, тут начали всплывать окошки с какой-то хренью, мне хватило реакции, чтоб их позакрывать и отключить соединение с инетом. Каспера не включал, т.к. не предполагал "грязных" ссылок на известном ресурсе. Конечно, сам виноват... Так вот после этого пытался запустить Каспера - вылезло окно "введите путь к лиц. ключу", задаю путь (ключ честно купленный у дистрибутора, жить ему ещё 11 месяцев!), вылазит окно "ключ повреждён и не может быть установлен". Всё! Из доступных кнопок - только "выход".
Далее качнул свежий CureIt с ftp провайдера, пытался запустить - "ошибка приложения kernel.exe". Затем выяснилось, что из всех .exe запускаются только мелкософтовые и WinRAR. Вот WinRAR-ом открываю папку Temporary Internet Files, сортирую файлы по времени и вижу, что последние имеют дату 29.11.14608!!!. Глядь на системные часы - внатуре 14608-й год на дворе. Ну тут я понял, что сделала зараза, изменил год на 2008, сразу запустились и Каспер и "курить", проверил всё полностью (заразы не оказалось!), удалил нафик всё из Temporary Internet Files, перезагрузился, почистил реестр, снова перезагрузился - в общем весело провёл время.
Остаётся, как тут говорят, чисто академический вопросец: какая "падшая женщина" это сделала? Может у кого такое бывало, или кто просто в курсе?..
З.Ы.: Дрова потом всё же нашел, совсем в другом месте. Сейчас система работает нормально.
Вчера нужно было найти дрова для сетевухи, залез на drivers.ru, перешёл по ссылке ADMTek.com, тут начали всплывать окошки с какой-то хренью, мне хватило реакции, чтоб их позакрывать и отключить соединение с инетом. Каспера не включал, т.к. не предполагал "грязных" ссылок на известном ресурсе. Конечно, сам виноват... Так вот после этого пытался запустить Каспера - вылезло окно "введите путь к лиц. ключу", задаю путь (ключ честно купленный у дистрибутора, жить ему ещё 11 месяцев!), вылазит окно "ключ повреждён и не может быть установлен". Всё! Из доступных кнопок - только "выход".
Далее качнул свежий CureIt с ftp провайдера, пытался запустить - "ошибка приложения kernel.exe". Затем выяснилось, что из всех .exe запускаются только мелкософтовые и WinRAR. Вот WinRAR-ом открываю папку Temporary Internet Files, сортирую файлы по времени и вижу, что последние имеют дату 29.11.14608!!!. Глядь на системные часы - внатуре 14608-й год на дворе. Ну тут я понял, что сделала зараза, изменил год на 2008, сразу запустились и Каспер и "курить", проверил всё полностью (заразы не оказалось!), удалил нафик всё из Temporary Internet Files, перезагрузился, почистил реестр, снова перезагрузился - в общем весело провёл время.
Остаётся, как тут говорят, чисто академический вопросец: какая "падшая женщина" это сделала? Может у кого такое бывало, или кто просто в курсе?..
З.Ы.: Дрова потом всё же нашел, совсем в другом месте. Сейчас система работает нормально.
Я не знаю, за что мне платят деньги. Но я удивляюсь, почему так мало?..