МОСКОВСКАЯ ВСТРЕЧА
Форум самогонщиков Сайт Барахолка Магазин МОСКОВСКАЯ ВСТРЕЧА

Восстановление работы ОС В

Форум самогонщиков Общение по интересам Современные технологии
1 2 3 4 ... 36 1
SpankyHam Доцент Kiev 1.6K 384
09 Марта 10, 22:32
В данной теме освещаю вопросы борьбы с заразой и восстановления работоспособности ОС БЕЗ переустановки таковой.
Приборы и материалы:
1. Флэшноситель с записаной на него Антивирусной утилитой Зайцева
2. Компакт диск или загрузочный флэшноситель с portable ОС Windows PE.
3. SAS, будь то Free Edition или Portable.
Показания к применению:
Всевозможные "глюки": зависания, перезагрузки, неконтролируемый сетевой трафик, всплывающие сообщения, не понятно откуда взявшиеся программы, файлы, ярлыки.
Последовательность действий:
1. Поиск и удаление инфекции;

Если у Вас есть подозрение, что ПК инфицирован, ОТКЛЮЧАЕМ службу восстановления системы и запускаем АВЗ.
(для отключения СВС правыйклик по значку Мой Компьютер - Управление; Службы и приложения - Службы; Служба восстановления системы - даблклик; Тип запуска - Отключено; Кнопка Стоп; ОК)
В АВЗ
Файл - Исследование системы. (Для выкладывания отчета в этом посте ставим птичку "создать zip-архив...") Нажимаем ПУСК, выбираем, куда сохранить файл отчета.
Для самостоятельного просмотра отчета открываем созданный программой avz_sysinfo.htm при помощи Internet Explorer (это единственное, для чего годиться этот браузер).
Правой кнопкой мыши по avz_sysinfo.htm, "открыть с помощью - Internet Explorer".
Разрешаем заблокированное содержимое.
Анализируем файл отчета.
Вас интересуют пункты, выделенные желтым, но это не значит, что эти файлы вредоносные, они просто не содержатся в базе данных АВЗ, как "чистые", или их параметры не совпадают с параметрами таких файлов в базе АВЗ.
Нажатие на ссылку УДАЛИТЬ, в соответствующем пункте составляет команды скрипта, которые формируются в конце отчета. Найдя зловред, сформируйте команду скрипта на его удаление.
Удаление ч-з BC (BootCleaner) - Удаление файлов на раннем этапе загрузки ОС (для неубиваемых)
Добавляем команды из заготовок:
Нейтрализация перехватов функций при помощи антируткита
Включить AVZGuard
Управление AVZPM (true-включить,false-отключить)
BootCleaner - импорт списка удаленных файлов
Чистка реестра после удаления файлов
BootCleaner - активация

При использовании ВС еще и заготовку на перезагрузку.
Сформировав скрипт, его можно скопировать в буфер обмена.
Можете прикрепить zip-архив в этой теме, я его посмотрю и порекомендую скрипт.
В основном окне АВЗ. Файл - Выполнить скрипт.
Вставляем текст нашего скрипта в окно и запускаем.

2. Очистка временных папок.
Файл - мастер поиска и устранения проблем. Категория проблемы - чистка системы - Пуск. Отмечаем все пункты. Исправить отмеченные проблемы.
3. Перезагрузка.
Возвращаемся к окну отчета, выбираем заготовку Перезагрузка, добавляем ее в наш скрипт. Снова копируем скрипт в окно запуска скриптов и запускаем.

4. Устранение последствий вмешательства вирусов в систему.
В основном окне АВЗ
Файл - Восстановление системы.
Думаю все ясно...

При загрузке на этапе ЛогОн матерится на отсутствие файла.
Пуск+R - regedit - OK
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
В параметре Userinit должно быть C:\WINDOWS\system32\userinit.exe,
Все остальное, что после запятой - нах
Ну и поиском: Ctrl+F "имя файла или шаблон" F3

Отключаем ДЫРЫ для бацил:
В основном окне АВЗ
Файл - Мастер поиска и устранения проблем
Системные проблемы - Пуск.
Смело отмечаем все. - Исправить отмеченные проблемы.

5. Повторное исследование.
Повторяем первый пункт, убеждаемся, что цель достигнута.

6. Тяжелые случаи.
Не запускается АВЗ.
Делаем несколько копий файла avz.exe, переименовываем их, задавая произвольные имена и следующие расширения: 51763.exe ybfiuy.com wioeyf.bat diep86716.cmd 671dfovu.pif
Пробуем запустить их.

Неубиваемый вирус.
Загружаемся с флешки или СД ВинПЕ. В При помощи ТоталКоммандера, который содержится в сборке удаляем файл вручную.
Заодно
Чистим папки:
C:\Documents and Settings\ИМЯ\Local Settings\Temp
C:\Documents and Settings\ИМЯ\Local Settings\Temporary Internet Files
C:\WINDOWS\Temp
C:\System Volume Information (прощаемся со всеми точками восстановления, зато получаем управляемую машину)
Если жалко РесторПоинтов, значит убиваем последние. Там точно ваши бацилы, как зайчики в трамвайчике, катаються.
В корнях дисков убиваем autorun.inf и скрытые exe-шники
В C:\WINDOWS\system32 , C:\WINDOWS , C:\WINDOWS\system32\drivers и C:\WINDOWS\system32\dllcache
убиваем файлы типов exe sys dll с датой создания сегодня-вчера-когда_начались_проблемы.
Закрываем ТС, очищаем корзину ч-з ПЕ-шный проводник.
Перезагрузка.

7. SAS
Устанавливаем, запускаем, или просто запускаем, если используем Portable, утилиту SAS. Обновляем ее и делаем быстрое сканирование системного диска. Удаляем оставшихся неактивных паразитов, исправляем ошибки в реестре.

Скриншоты делать не буду. Читайте и упражняйтесь. На сайте разработчика масса информации и хелп-форум.
Я не буду в этой теме обсуждать достоинства и недостатки различного ПО.
Знаю, что от зловредов страдают все пользователи ОС Вин, знаю, что 99% пользователей не подозревают, что их ПК заражен. Просто хочу поделиться с коллегами своим опытом борьбы с инфекцией при помощи замечательной утилиты Зайцева. Благодаря ей я забыл, что такое переустановки, и легко поддерживаю несколько фирм с парком ПК 5-20 машин.

Далее будет в этом посте...
Bitner Научный сотрудник NN 919 400
Отв.0  10 Марта 10, 06:56
Хорошая приблуда есть у DrWeb. Бесплатный загрузочный диск для борьбы с нечистью и мелкая утилита для востановления в реестре последствий от пакостей. Типа разблокировка диспетчера задач, реестра и т.д.
SpankyHam Доцент Kiev 1.6K 384
Отв.1  10 Марта 10, 08:58
Дополнено в первом посте.

Аксиомы:
1. НЕТ антивируса, который на 100% гарантирует защиту от инфицирования.
2. НЕТ антивируса, который на 100% автоматически излечит ваш ПК.
3. Лучший антивирус это компетентный пользователь.

Х. Есть еще один способ лечения...
SpankyHam Доцент Kiev 1.6K 384
Отв.2  10 Марта 10, 18:25
Один из интереснейших боев с бацилой.
Симптомы:
Через минуту после загрузки на  экран выводиться окно с порно и предложением отправить платный СМС. Даже в безопасном режиме. Все антивирусы блокируются.

После трехчасового перебора удалось подсунуть HiJackThis.exe переименованный в произвольное_имя.com в папку C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка, и, перезагрузившись в безопасном режиме, успеть выполнить фастскан и "выцепить" имя подозрительного файла до появления злосчастного окна.
Зловред представлял собой скрытый .dll файл со случайным именем из 5-ти лат. символов.
Далее перезагрузка в ВинПЕ и в ТотКом-ре находим искомый файл. Запишем его размер. Что интересно, дата создания файла совпадает с датой системных файлов. Прекрасная способность к маскировке. Далее удаляем его, его резервную копию в dllcache, его тень в папках temp.
Далее, зная признаки (размер и атрибуты), рубим бацилы еще на 2-х машинах.
Три с половиной часа сплошного кайфа и, как бонус, оплаченный счет. Улыбающийся
сообщение удалено
SpankyHam Доцент Kiev 1.6K 384
Отв.3  10 Марта 10, 19:48
хоть бы одна зучкаengine, 10 Марта 10, 19:13
Это самообман. Просто у тебя провайдер за своей сетью хорошо следит.
сообщение удалено
P-Alex Научный сотрудник пгт.Палех 1.2K 172
Отв.4  10 Марта 10, 21:11
Через минуту после загрузки на  экран выводиться окно с порно и предложением отправить платный СМС. Даже в безопасном режиме. Все антивирусы блокируются.SpankyHam, 10 Марта 10, 18:25
на данный момент проще всего позвонить другу с интернетом... а там он у себя дома, например на сайте касперского, зайдет на сервис генераторов кодов для этих смс вымогателей: http://support.kaspersky.ru/viruses/deblocker ... ну либо с чего то мобильного зайти... из обратившихся пары десятков человек помог этим всем... но это естественно пока...
Gagarin Научный сотрудник Денис 1.9K 1K
Отв.5  10 Марта 10, 21:44, через 33 мин
engine, Сам уже 8 с лишним лет исключительно Симантековскими корпоративными антивирусами пользуюсь под виндой, которым ни серийников, ни активации не надо. В Убунту без антивиря пока сижу.  А вообще, антивирус не первичен, первичен юзер с его головой - главное не работать под админом без необходимости, не запускать браузер с административными привелегиями, не пользоваться IE, не лазить по порнухе, держать винду пропатченной последними обновлениями по безопасности и не ставить софт со всякими патчами и кейгенами, которые на 90% трояны. Даже если сегодня их антивирус не видит как вирусы, позже с большой вероятностью увидит.
D1N Научный сотрудник SPB 2.2K 447
Отв.6  10 Марта 10, 22:03, через 19 мин
3. Лучший антивирус это компетентный пользователь.SpankyHam, 10 Марта 10, 08:58
нееее..) лучший антивирус " формат цэ"!
а что такое "ОС В"?

не лазить по порнухе,Gagarin, 10 Марта 10, 21:44
как эта????
Gagarin Научный сотрудник Денис 1.9K 1K
Отв.7  10 Марта 10, 22:16, через 14 мин
D1N, Развивай воображение  Строит глазки
Роман Николаевич Научный сотрудник Днепропетровск 1.8K 333
Отв.8  10 Марта 10, 22:20, через 5 мин
Вот вопросик? Непонимающий
На днях мой почтовик на маилтру (аккаунт) был заблокирован...пришлось менять пароль...тогда заработал...ЧТО энто БЫЛО? Непонимающий
mjStоrm Академик Аджибей 3.2K 2.8K
Отв.9  10 Марта 10, 22:22, через 2 мин
Мне известно только одно средство от вирусов-
когда шнур инетовский выдергиваешь из компьютера,
сносишь браузер и живешь офф-лайн Смеющийся
сообщение удалено
mjStоrm Академик Аджибей 3.2K 2.8K
Отв.10  10 Марта 10, 22:24, через 2 мин
Роман Николаевич , Угнали твой аккаунт, теперь с него спам рассылают
и вирусы. Веселый
сообщение удалено
Роман Николаевич Научный сотрудник Днепропетровск 1.8K 333
Отв.11  10 Марта 10, 22:47, через 23 мин
Угнали твой аккаунт, теперь с него спам рассылаюти вирусы.mjStorm, 10 Марта 10, 22:24
Ё моё, куда заяву бросать! Улыбающийся Улыбающийся
Насилуют! Улыбающийся
SpankyHam Доцент Kiev 1.6K 384
Отв.12  11 Марта 10, 09:47
На днях мой почтовик на маилтру...Роман Николаевич, 10 Марта 10, 22:20

Роман Николаевич, поменяв пароль, смог залогиниться? Если да, то не паникуй. Вчера mail.ru лежал.
А вот ежели не смог, то попробуй написать на mail.ru в саппорт.
Механизм такой. Троян выцепляет из кэша твоего браузера, или клавиатурный шпион считывает комбинации "логин-пароль", и пересылает тому, кто его запустил.
Проделай описанное в 1-м пункте 1-го поста и прикрепи сюда зип. Я посмотрю, кто в теремочке живет.

engine, старина, давай обсуждать достоинства антивирусов в соответствующей теме. Здесь я пытаюсь, по мере сил, помочь коллегам. Утонем в классическом флуде "...а у меня 32 см, ...а я самый, ...а мне пофиг".

живешь офф-лайнmjStorm, 10 Марта 10, 22:22
Сование флэшки куда ни попадя тоже приводит к печальным последствиям. ЮСБ тоже заклеить?
waltor Научный сотрудник Красноярск 1.5K 310
Отв.13  11 Марта 10, 19:27
шнур ... выдергиваешьmjStorm, 11 Марта 10, 02:22
и стекло вадавливаешь.УФФ...ЧИСТО! Смеющийся
mjStоrm Академик Аджибей 3.2K 2.8K
Отв.14  11 Марта 10, 21:01
Чисто не выйдет. Если выдавлю
стекло, вытечет жидкость и высыпятся кристаллы. Смеющийся
Андрей Администратор Бухарест 5K 4.5K 1
Отв.15  15 Марта 10, 23:50
Вот ради интереса запустил на компьютере.
Прикрепляю отчет. SpankyHam посмотришь?

ПС
У меня летом сперли пароль от ящика на мейле с помощью сайта двойника.
Ящик я вернул, но гемороя я себе тогда доставил достаточно! Улыбающийся
Вот думаю может у меня ноуте какой-то троян?
avz_sysinfo.zip 66.5 Кб
SpankyHam Доцент Kiev 1.6K 384
Отв.16  16 Марта 10, 09:36
Андрей, сидят, родные. spku.sys точно руткит.
1. Позакрывай все.
2. Выполни очистку ч-з Мастер поиска и устр. пр. (Пункт 2, первого поста)
3. Выполни скрипт:
begin
SetAVZPMStatus(True);
SetAVZGuardStatus(True);
SearchRootkit(true, true);
BC_DeleteFile('spku.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
3. Ноут перегрузится. Сделай снова отчет и выложи.
Ко всем! Делая исследование, закрывайте все программы, браузеры, и т.д.
SpankyHam Доцент Kiev 1.6K 384
Отв.17  16 Марта 10, 09:46, через 11 мин
На записи в Хостс не реагируй. Это так адобовская активация обходится.
Андрей Администратор Бухарест 5K 4.5K 1
Отв.18  16 Марта 10, 12:18
На записи в Хостс не реагируй. Это так адобовская активация обходится.
SpankyHam, 16 Марта 10, 09:46
Я знаю, я руками туда хосты вбивал.
Кейгенами не пользуюсь стараюсь найти серийник в инете  Строит глазки

ПС
Это не ноут, это комп на котором винда стоит пол года.
А на ноуте винде года 3 наверное, и что только на нем не запускалось
думаю там полная опа Улыбающийся