Боремся с вирусами (autorun'ом, и пр. гадостью)

[0xFF]

Al_lexx
Зараза эта внедряется в систему по-разному. И лечится, сответственно, с разными затратами.
Пока рекомендован как наиболее универсальный Каспер 2010 с билдом старше 463, но ...

вот тут с помощью avz лечат абсолютно аналогичный случай

У меня везде Spybot S&D стоит, которым я регулярно проверяюсь и иммунизируюсь, возможно из-за этого ниразу не поселялось ничего похожего

[Al_lexx]

S&D у меня тоже стоит. Эта же машинка не моя. Более того, там весьма проблематично научить людей пользоваться защитными средствами (деревенские барышни, работают гувернантками у папы моего шефа ).

- - - - - - - - - -
Чуть позже.
Если кто столкнется с этой гадостью, рекомендую пару ссылок:
http://www.virusremovalguru.com/?p=3758&lang=ru
http://www.spywares-remove.com/remove-a ... s-pro-2010
(особенно вторую)

[KIL2]

Al_lexx
Так удалось-то избавиться от бяки?
Сам вылечил подобное прогоном в безопасном режиме CureIt, Ad-aware и Spybot S&D. (точно уже и не вспомню, что именно помогло)
Самого АнтивираПро я и не скачивал - меня ооочень позабавило сообщение якобы самой ВиндыХР о заражении (а у главбуха при этом окошке наблюдалось шоковое состояние ).

[Al_lexx]

Вылечится удалось при помощи Process Explorer.
Это первое действие, которое надо делать. Потом зачистка реестра (по рекомендациям в ссылках, которые я привел( S&D, NAV и D.Web Live CD. Примерно в такой очерёдности. AVZ ничего не нашел, но возможно, что я не совсем правильно его использую.
Из потерь - случайно удалил файл конфигурации Skype, со всеми аккаунтами и пр.

[pst]

Наткнулся тут на способ борьбы с гадостью, который показался мне небезинтересным. Пощу сюда, так как поиском у нас не нашел - читать же 15 стр - нет времени. ( народ! если плагиат - тапком не швыряться! шепните - приберу сам или попрошу модеров ( слезно )
Дисклаймер. На выводы прошу не обращать внимание, рассматривайте ТОЛЬКО как руководство.
Оригинал - тут
Вот такая хреновина приключилась - только что от клиента прибыл.
Итак, ситуация та же, что Саша-Банзай описывал в конфе дней 8-10 назад: при загрузке мессага о нелицензионности ПО, призыв отправить СМС. При этом комп оснащен покупным и ежедневно обновляемым ДрВебом (остальное ПО тоже лицензионное, винда XP SP3, обновляется). Вот только в безоп. режиме загрузиться сходу не получается - те же бейцим, только в профиль: шлите смс.
Я пару дней назад лечил подобное - но не по рецепту Саши, а с помощью AVPtool от Касперского: надо всего лишь системную дату перевести чуток назад, и тогда и загрузиться (в том же безоп. режиме), и запустить антивирус можно. AVPtool благополучно вычисляет и убивает гада; но после участия в этом разговоре я решил на принцип пойти: раз уж один "продукт от Данилова" облажался и пропустил вирус, попробую другие его произведения (хотя вообще-то понятно: все эти продукты на одном движке построены, одни базы используют, и принципиальной разницы быть не должно - раз один жидко обгадился, то и остальные вряд ли помогут).
Итак, для начала запускаю LiveCD (свежий) - на него нет ограничений по использованию где хочешь; выбираю загрузку с графической оболочкой. Начинается загрузка, потом монитор гаснет с надписью "Out of range", хотя сист. блок усердно продолжает посвистывать и моргать... что за фигня - с этого диска запускал уже на других компах! Пробую еще раз - та же песня; делаю вывод: LiveCD не подружился с видеокартой данного компа (чипсет SiS третьей свежести со встроенным видео).
Ладно, запускаю текстовый режим, выбираю антивир. сканер - елы палы! Комп без всяких запросов типа "чего сканировать желаете?" минут 40 выдавал текстовые строчки "mnt/hda5/... ... OK", перечисляя файлы и папки - я не знаток unix-подобных систем, и не знаю, то ли это уже сканер заработал (но явно не с того конца - папки-файлы были с раздела D жесткого диска), то ли монтировал тома (но вроде команда mount должна быть); понял только, что окончания этой процедуры ждать придется до утра, плюнул и прервал процесс.

Был у меня свежескачанный (вчерашний) CureIt, который я еще не успел опробовать; да, конечно: по нынешним правилам г.г. Данилова и Ко бесплатный CureIt можно использовать только на домашнем компе, но у людей оплачен ДрВеб для сервера и кучи рабочих станций - думаю, не убудет от вышеупомянутых г.г., если их CureIt'ом разок бесплатно попользуются.
Однако запустилось это чудо программерской мысли тоже не сразу: дату-то я перевел на месяц назад, а "лекарство" вчерашнее - запускаться отказалось; перевел дату на 21-е число; CureIt заработал и минут через 30 порадовал меня: мол, комп чист, аки слеза младенца! Правда, предупредил: мол, нехило бы полную проверку сделать...
Что я и сделал: запустил AVPtool (который в отличие от CureIt не визжал, что его можно использовать только дома, и не предлагал себя купить). Параллельно, кстати, я запустил и полную проверку имевшимся оплаченным сканером DrWeb (уже не CureIt), причем специально задал не удалять/лечить вирусы сразу, а запросить действие по окончании проверки; параллельная работа несколько замедлила процесс, но результат был такой: продукт Касперского благополучно нашел злодея, а даниловское детище опять порадовало меня известием "Намана - всё чисто!".

[Vose]

pst
У "даниловцев" есть и специализированные утилиты для удаления подобной sms-гадости:
Delete_WinLock_01.10.09.rar - специальная форма, в которую можно ввести текст предполагаемого sms-сообщения и получить код разблокировки.
Если бы вы воспользовались ей, то возможно удалось бы победить гадость быстрее.

[pst]

Vose
1.Проблемма в том, что я в этом вопросе далеко не знаток. На работе стоит на входе корпоративный антивирус и прочие инструменты, у юзеров касперский, плюс развитая система бэкапа важных данных. дома - бэкап ( после Оочень горького опыта )
2. Неоднократно натыкался на информацию, что дрвеб очень медленно добавляет в список вирусов которые может лечить новых кандидатов. Отсюда - вопрос: как обрабатывает эта утилита информацию от модифицированного варианта этой гадости? Побочные эффекты? Или предполагается пекревести ситуацию в латентное состояние, и затем лечить традиционными методами?

[Vose]

я в этом вопросе далеко не знаток

Ну так, "мы все учились понемногу, чему-нибудь, и как-нибудь..."
Занимайтесь самообразованием понемногу, имхо, все (интернет) для этого у вас есть

дрвеб очень медленно добавляет в список вирусов которые может лечить новых кандидатов.

Достоверно вам об этом может сказать только ваш шпион в лаборатории Данилова

Вообще, по моему опыту, для лечения ПК, как правило, хватает следующего "джентельменского набора":
1. AVZ
2. Cure-It
3. Infr@CD - (из под родной системы иногда не всё можно убить)
4. kidokiller (от каспера)
5. Набор Руссиновича (processexplorer, autorun.....
6. Unlocker
7. Ручками заразу из реестра иногда приходится...
Ещё можно SpyBoatS&D и Adware (эту не юзаю в последнее время)
В тяжёлых и спецслучаях-спецантивирусы-утилиты от Drweb (см. на сайте)

Ну, а для профилактики "свиного гриппа" твикаем безопасность с помощью:
XP-antispy, SafeXP, wddc, XP-Tweaker, папку autoran.inf - в каждый "корень" + откл-е автозапуска со всего, службы лишние отключаем....
Может ещё забыл чего...ну да - SP3+644upd - must have!

ну и фаер неплохо иметь и настроить, хотя, у меня диалапные юзеры нормально живут и с DrWeb+виндовый фаер (+предварительно проведённые настройки с помощью вышеописанных программ)

[kit]

http://www.softpedia.com/get/Tweak/Syst ... Plus.shtml

Простая тулза с предельно понятным интерфейсом. Практически - это кнопки "исправить то", "исправить это". И все.
Вообще, правильно. Собраны типичные "ситуации", которые помнишь, что исправляются, но как и где - уже забыл. Не упомнишь всего. А тут - пожалуйста.
Ну например кнопка "вернуть пропавшую кнопку Run". Или "вернуть изначальную интеграцию ZIP в виде папок" и т.п.

взято с http://cooler-online.ru

[gurucom]

Всем добрый день.

Существует проблема, подцепил какую-то вирусню. AVG стоящий на компе весело поймал 4 троянов при загрузке после чего система не загружается.

При обычной загрузке появляется окно с выбором профиля администратора, при попытки его загрузки начинают загружаться данные пользователя после чего следует мгновенное завершение сеанса. Итак циклически до бесконечности.

При попытке войти с безопасного режима появляется BSOD.

Просканировал диск прогой CureIT нашлой пару троянов клик и всё. Результатов ноль.

Подскажите есть ли пути решение, очень не хочется сносить систему.

[Vose]

Подскажите есть ли пути решение

Как всегда - сканить другими прогами (100 раз перечислены выше), сканить на другой машине или из под Live-CD, автозапуск вычистить, посмотреть наличие странных файлов в корнях дисков, если есть, то изучить и использовать для поиска заразы содержимое файлов autorun.inf, брошенных вирусом в корень диска.

очень не хочется сносить систему.

Это практически всегда быстрее, менее геморройно и даёт в результате свежую безглючную систему (только если вы не ставите какую-либо кривую "зверскую" и т.п. сборку и не заражаете систему при установке дров и прог из заражённых дистрибов, ну и папочки autorun.inf перед установкой ОС должны в корнях отальных (несистемных) дисков быть (а системный мы форматируем начисто)...

[gurucom]

Просканировал всем чем можно, каждый что-то нашел, но ничего не сиправил))))

Получил повод перейти на Висту.

[dolyk]

есть злобные проги автодозвонщики на платные сайты.у меня вопрос они страшны только для телефоного способа
соединения с инет как то dialup\ ADSL или для любых соединений например WI-FI или LAN.

[Serega S.U.]

Ну если это именно дозвонщик (т.е. действует только при настроенном в ОС модемном соединении), и об остальных способах доступа к сети не ведает - то... полагаю, что, соответственно, для других вариантов сети сие должно быть недееспособным.

Я надеюсь, вы понимаете, что тут всё зависит от этого вашего гипотетического дозвонщика... Вы уверены, что он не знает про иные варианты доступа к сети?

[TillLinderman]

Здравствуйте!
Каюсь еще раз ошибочно без злого умысла написал в софте про упавшую и странно работающую после вирусов систему. Это я как-то не подумавши.
На всякий случай ссылка на топик.
Так вот ситуация такая: через предложенный уважаемым Vose способ, в систему влез. Вылезла там дрянь iLite Network Accelerator. (троян-вымогатель) Если кому надо то описание вредятины способ лечения (им я сейчас буду заниматься как раз и отпишусь насколько эффективный) описан здесь.
To Vose
Еще раз спасибо за предложенный способ входа в систему.

Дописал в 11:20 To All! И особенно Vose!
Завел! Ручная чистка плюс avast bart live cd + avp virus removal.(им еще проверяется уже под ожившей системой в нормальном не безопасном режиме).
Добавлено 29.12.2009 13:47
Все. Машина в порядке. Встала в строй. Правда то что нашел под администраторской учеткой kaspersky virus removal tool он сам не смог удалить заявив о недостатке прав на папку пользователя.
НУ да ничего! Зная имена файлов я снес их вручную. Сейчас пока чисто.