Борьба с вирусами - Форум Суворовского района

   [ Новые сообщения · Участники · Правила форума · Поиск · RSS ]

  • Страница 1 из 2
  • 1
  • 2
  • »
Форум Суворовского района » Тематические » Компьютеры, ИТ, ПО, Интернет » Борьба с вирусами (Делимся своими методами)
Борьба с вирусами
YoДата: Среда, 27 Мая 2009, 22:05 | Сообщение # 1
Активный участник
Группа: Пользователи
Сообщений: 136
Награды: 1
Репутация: 5
Замечания: 0%
Статус: где-то там
По роду занятий часто приходится возится с зараженными домашними компьютерами. Информации в интернете - море. Здесь выкладываю свою методику. У кого есть свои методы - не стесняйтесь: давайте поможем друг другу.
Начнем сначала.
1. Выбор антивируса. Тут - куча вариантов, но что какой-либо должен присутствовать на компе является обязаловкой. Сам использую NOD32 3.0 с официальным обновлением, но, скорее всего, у каждого есть свое мнение на этот счет . Обновляется 1-2 раза в сутки. Пока меня устраивает. Устраивает своим отношением к проверяемым файлам - так как он проверяет только те файлы, которые используются в данный момент, что сказывается на быстродействии системы в целом. Минус - зараженные фалы могут долго жить в компе не проверенные - нет к ним доступа, нет и вируса значит.
2. Обязательная проверка (хотя бы раз в месяц) сторонними антивирусами. В качестве сторонних использую в первую очередь Бесплатную лечащую утилиту Dr.Web CureIt! (прямая ссылка http://www.freedrweb.com/download+cureit/ ), обновляется раз в день, поэтому содержит самые последние базы. Во вторую очередь давно и успешно юзаю утилитку AVZ (прямая ссылка http://z-oleg.com/avz4.zip ,после распаковки рекомендуется обновить базы, работает без установки, поэтому может жиь на флешке). Чем хороша AVZ - бесплатна, очень неплохо лечит, поддерживает скрипты (очень много есть их на сайте разработчика http://z-oleg.com ). Очень большой плюс данной утилиты - замечательная поддержка. Достаточно прислать логи сканирования на форум ресурса http://www.spyware-ru.com/forum....71d931d Там сидят очень толковые ребята, обязательно помогут, да еще и скрипт для лечения напишут. Хотя это уже в последнюю очередь, так как на форуме Спайваре очень много расписано про лечение вирусов.
Еще один момент: прежде чем конкретно лечить комп, все-таки рекомендуется сохранить ценные данные на нем - так, на всякий случай. И проверку, и лечение производить на системе, работающей в безопасном режиме (нажатие F8 при загрузке системы).
Очень сильно понравился (и периодически им пользуюсь) сканер, работающий с компакт-диска на операционной системе Linux (которая не подвержена атакам вирусов) DrWebLiveCD (прямая ссылка ftp://ftp.drweb.com/pub/drweb/livecd/ ). Лечение у него своеобразное - нарезать диск (лучше с компа, который здоров), загрузиться с этого диска - а там все понятно будет, так как все на русском языке. Он тоже обновляется 1 раз в день, так что лучше скачивать его, когда наступит такая необходимость.
Вроде пока все, какие то дополнения, и то, что вспомнится, буду дописывать.
Да, еще момент, вспомнил про порноинформер на полстраницы в IE. Так как это не вирус, лечится простым отключением надстроек в InternetExplorer'e.


 
chizДата: Среда, 27 Мая 2009, 22:34 | Сообщение # 2
Ветеран форума
Группа: Пользователи
Сообщений: 1173
Награды: 2
Репутация: 17
Замечания: 0%
Статус: где-то там
использую Outpost Security Suite Pro.как основную защиту.
ну и дополнительная проверка AVZ.
пробовал касперского,но он мне систему тормозит.также пробовал avast!не то!panda вещь не плохая,но дорого стоит.


Устой традиций надо соблюдать,
Пускай не раз ответят Вам отказом,
Конечно дама может и не дать,
Но предложить ты ей всегда обязан.
 
YVASДата: Среда, 27 Мая 2009, 22:39 | Сообщение # 3
ЗЛЫДЕНЬ
Группа: Пользователи
Сообщений: 1058
Награды: 5
Репутация: 8
Замечания: 0%
Статус: где-то там
Что ж, дрюкать комп различными антивирусами не всегда приводит к результату. NOD32 по моему самый лучший антивирус (Simantec Endpoint скромно умолчим - он слишком дорог). Так вот не было такого случая, где NOD32 не нашел, адругие бы нашли. Ну по краней мере, вмоей скромной практике.
Quote (Yo)
И проверку, и лечение производить на системе, работающей в безопасном режиме (нажатие F8 при загрузке системы).

Ерунда. Самы эффективный способ - это проверка из под загрузки с помощью LiveCD (ОС Windows XP), либо вообще тупо вынимаем винт, подключаем к другому компу и сканируем. В общем делаем все чтобы проверка проводилась не под загруженной зараженной ОС. Будь то нормальная загрузка или в безопасном режиме.

Желаю удачи в борьбе с червячками )))

Добавлено (27 Май 2009, 22:39)
---------------------------------------------

Quote (Yo)
Да, еще момент, вспомнил про порноинформер на полстраницы в IE. Так как это не вирус, лечится простым отключением надстроек в InternetExplorer'e.

Ха, а если на компе стоит Windows XP Sp1....???? Именно 1-ый сервис пак


Информационные технологии никогда дешевы не были ®
 
YoДата: Среда, 27 Мая 2009, 22:48 | Сообщение # 4
Активный участник
Группа: Пользователи
Сообщений: 136
Награды: 1
Репутация: 5
Замечания: 0%
Статус: где-то там
Quote (YVAS)
Самы эффективный способ - это проверка из под загрузки с помощью LiveCD

Про это я тоже писал - drweb LiveCD.
Но соглашусь - LiveCD самый эффектвный способ. Но иногда после него не загружается система (в моей практике такое было)


 
AleksДата: Четверг, 28 Мая 2009, 07:41 | Сообщение # 5
Ветеран форума
Группа: Пользователи
Сообщений: 1321
Награды: 11
Репутация: 25
Замечания: 0%
Статус: где-то там
Quote (Yo)
Сам использую NOD32 3.0 с официальным обновлением

Пропускает NOD много, примерно 30%, особенно червей и троянов (пример KIDO, ну или как-то так, не помню уже. Или XPAntivirus, тоже та еще штучка), Каспер 8, хоть и тормозит (умеренно), но адекватно реагирует практически на все (KIDO не лечит, но видит в отличии от NODa), ну и Symantec 10 форева.
На счет AVZ согласен, полезная прога и Adaware еще впридачу.
Quote (Yo)
Да, еще момент, вспомнил про порноинформер на полстраницы в IE. Так как это не вирус, лечится простым отключением надстроек в InternetExplorer'e.

Лечится именно там. В закладке ПРОГРАММЫ находишь его и отрубаешь, и будет счастье.
Quote (YVAS)
Ха, а если на компе стоит Windows XP Sp1....???? Именно 1-ый сервис пак

Это уже не компетентность, нада 2 сервпак накатить и кучу заплаток еще сверху.


Ишь чего откаблучивают.
 
YVASДата: Четверг, 28 Мая 2009, 08:20 | Сообщение # 6
ЗЛЫДЕНЬ
Группа: Пользователи
Сообщений: 1058
Награды: 5
Репутация: 8
Замечания: 0%
Статус: где-то там
Quote (Yo)
Но соглашусь - LiveCD самый эффектвный способ. Но иногда после него не загружается система (в моей практике такое было)

Если после этого не загружается, значит судьба. Очень часто бывает, что после лечения и удаления вирусов система не будет грузиться. Это может произойти когда вирус поражает системные файлы операционки. Тогда требуется произвести так называемую "прокатку" - установка винды поверх старой. В меню нужно выбрать R - восстановление системы. Но это, если установщик найдет предыдущую копию.
Quote (Aleks)
Лечится именно там. В закладке ПРОГРАММЫ находишь его и отрубаешь, и будет счастье.

сразу его не найдешь. Сколько этих информеров перевидал у всех в надстройках используются разные dll-лины. Сразу следует обращать внимание на библиотеки без подписи и автора.
Quote (Aleks)
Это уже не компетентность, нада 2 сервпак накатить и кучу заплаток еще сверху.

и все же. Реально столкнулся с задачей, что словили информер, но на машине стоял SP1. Я тоже не ожидал сего. Так и не смог на SP1 отключить его. Главным образом юзал утилиту Process Explorer.


Информационные технологии никогда дешевы не были ®
 
ГостьДата: Воскресенье, 07 Марта 2010, 01:04 | Сообщение # 7
Группа: Зрители





Если вам не нужны вирусы просто передите на ОС Линукс
 
AleksДата: Четверг, 31 Марта 2011, 17:11 | Сообщение # 8
Ветеран форума
Группа: Пользователи
Сообщений: 1321
Награды: 11
Репутация: 25
Замечания: 0%
Статус: где-то там
Вчера наверно была вирусная активность, сегодня принесли три компа с порно-банерами.

Добавлено (31 Март 2011, 17:11)
---------------------------------------------
Вот, кстати полезная ссылка, правда не всегда помогает. http://www.kaspersky.ru/support/viruses/deblocker
Ну и вот первый помошник http://www.freedrweb.com/cureit/


Ишь чего откаблучивают.

Сообщение отредактировал Aleks - Четверг, 31 Марта 2011, 17:13
 
славянинДата: Четверг, 31 Марта 2011, 22:02 | Сообщение # 9
Активный участник
Группа: Пользователи
Сообщений: 150
Награды: 1
Репутация: 0
Замечания: 40%
Статус: где-то там
Quote (Aleks)
была вирусная активность, сегодня принесли три компа с порно-банерами.

Нет,тут симптомы совсем не вирусной активности,тут что то гораздо активнее.


Не надо бегать от снайпера. Умрёш уставшим.
 
YVASДата: Пятница, 01 Апреля 2011, 09:31 | Сообщение # 10
ЗЛЫДЕНЬ
Группа: Пользователи
Сообщений: 1058
Награды: 5
Репутация: 8
Замечания: 0%
Статус: где-то там
Хочу поделиться опытом в борьбе с порноинформерами, блокирующие загрузку операционной системы.
90% таких информеров прописываются в реестре ОС.
1) загружаемся из под LiveCD
2) загружаем удаленный реeстр ОС, которая заражена
3) заходим в ветку
HLM - SOFTWARE - Microsoft - Windows NT - CurrentVersion - WinLogon
4) Смотрим параметр SHELL. Он ОБЯЗАТЕЛЬНО должен иметь одно значение explorer.exe.
Никаких других значения - ни вместо себя, ни после запятой. Если имеет какое то отличное значение просто прописываем руками правильное. Перезагружаем компьютер. Все.


Информационные технологии никогда дешевы не были ®
 
ujinДата: Пятница, 01 Апреля 2011, 09:57 | Сообщение # 11
Гиперактивный участник
Группа: Пользователи
Сообщений: 397
Награды: 3
Репутация: 1
Замечания: 0%
Статус: где-то там
Я бы еще посоветовал посмотреть userinit в той же ветке, должно быть "C:\WINDOWS\system32\userinit.exe," . После исправления этих параметров загрузить родную винду и проверить этим "Malwarebytes' Anti-Malware"(http://www.spyware-ru.com/malwarebytes-antimalware/) и сделать восстановление системы через "AVZ"(http://z-oleg.com/secur/avz/download.php)

Добавлено (01 Апрель 2011, 09:57)
---------------------------------------------
Кстати на этой неделе притащили тоже пару компов. Имел место порнобаннер с просьбой положить денег на мобилу через терминал.
У обоих стоял Avast 5 free не обновлен до 6й версии, похоже не справился.


-Кашу маслом не испортишь!
Сказал тракторист, слив отработку на гречишное поле.



Сообщение отредактировал ujin - Пятница, 01 Апреля 2011, 09:58
 
AleksДата: Пятница, 15 Апреля 2011, 15:46 | Сообщение # 12
Ветеран форума
Группа: Пользователи
Сообщений: 1321
Награды: 11
Репутация: 25
Замечания: 0%
Статус: где-то там
Quote (YVAS)
3) заходим в ветку
HLM - SOFTWARE - Microsoft - Windows NT - CurrentVersion - WinLogon
4) Смотрим параметр SHELL. Он ОБЯЗАТЕЛЬНО должен иметь одно значение explorer.exe.

Quote (ujin)
Я бы еще посоветовал посмотреть userinit в той же ветке, должно быть "C:\WINDOWS\system32\userinit.exe

Вот попался все на месте. Все ветки правильно прописаны, все файлы присутствуют, а комп падает при загрузке пользователя.
Оказалось Userinit не тот. Пришлось взять с аналогичной винды и тупо переписать, комп ожил.


Ишь чего откаблучивают.
 
YVASДата: Четверг, 02 Июня 2011, 16:13 | Сообщение # 13
ЗЛЫДЕНЬ
Группа: Пользователи
Сообщений: 1058
Награды: 5
Репутация: 8
Замечания: 0%
Статус: где-то там
Бывают такие ситуации, что вирус перекрыл обновления анивирусного ПО. Более того невозможно зайти ни на один официальный сайт производителей антивирусов. После удаления вируса, обновление все равно могут не проходить
Что делаем.
1) Проверяем файл c:\Windows\System32\drivers\etc\hosts

Кроме как 127.0.0.1 не должно быть никаких адресов. Файл откроется в блокноте. Просматривайте его до упора крутите вниз и вправо. Левые ip-адреса могут прятаться вне зоны видимости.

2) В командной строке последователно набираем

route /f энтер
ipconfig /flushdns энтер

Первая команда очищает таблицу маршрутов, вторая кэш dns-ов

3) перезагружаем компьютер




Информационные технологии никогда дешевы не были ®
 
ujinДата: Пятница, 03 Июня 2011, 15:19 | Сообщение # 14
Гиперактивный участник
Группа: Пользователи
Сообщений: 397
Награды: 3
Репутация: 1
Замечания: 0%
Статус: где-то там
Тогда уж и "Netsh winsock reset" для кучи

-Кашу маслом не испортишь!
Сказал тракторист, слив отработку на гречишное поле.

 
AleksДата: Четверг, 01 Декабря 2011, 22:49 | Сообщение # 15
Ветеран форума
Группа: Пользователи
Сообщений: 1321
Награды: 11
Репутация: 25
Замечания: 0%
Статус: где-то там
Тут на халтуре столкнулся с такой гадостью.
Симптомы: браузеры не открывают страниц, пишут что недоступны. Пинги тоже не проходят. Перестановка USB модема никчему не привела.
Запустил Каррет, обнаружился Trojan.Mayachok.1 в памяти. Комп тормозит безбожно. Каррет пишет что обезвредил, но после перезагрузки все повторяется.
Нашел такое описание и способ борьбы http://forums.ferra.ru/index.php?showtopic=40873&st=0
После очистки веткм реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
В параметре AppInit_DLLs очистил данные (записав куда ссылается) перегрузился в безопастном режиме и прибил указанный файл. Причем этот файл, который подгружался в память сидел в корне Каспера. Остальные в System32/
После перезагрузки опять не работает, снова запустил Каррет и тот нашет в System32 сам вирус (dll-ка) и несколько tmp файлов тоже обозванных данным вирусом.
Все заработало.


Ишь чего откаблучивают.

Сообщение отредактировал Aleks - Четверг, 01 Декабря 2011, 23:16
 
Форум Суворовского района » Тематические » Компьютеры, ИТ, ПО, Интернет » Борьба с вирусами (Делимся своими методами)
  • Страница 1 из 2
  • 1
  • 2
  • »
Поиск:

Мини-чат :)
Сайт управляется системой uCoz