» Вирус(ы) в Windows XP,Vista,7,8,8.1. Проблемы. Решения.

IvANANvI
про слёт спс, ясно, отлегло.. :)

---

Betauser RC
Цитата:

враг вполне мог где-то "наложить"

да не переживай ты так.. когда всплывёт - тогда и будешь править, а щас смысла нет..
всё одно венду рано или поздно придёццо с нуля переставлять.. :)

TheBarmaley
Спасибо за поддержку )
Просто потрачена уйма времени на настройку оси и всех компонентов, все оптимизировано и подогнано, и тут вдруг появляется какой-нибудь гад с полным доступом и творит что хочет..
Активировал контроль прог и регистров в avp, теперь придется чаще общаться с его окошками, но что поделать...

Betauser RC
Цитата:

потрачена уйма времени на настройку оси и всех компонентов, все оптимизировано и подогнано

вопрос в лоб - полный бэкап системы после этого был сделан?
если "нет" - учти набитые шишки, потерю времени и (на будущее) смотри в сторону нортон госта или акрониса..
с ними система восстанавливается за 5 минут в первозданный вид.. проблем = 0..

Цитата:

Активировал контроль прог и регистров в avp

посмотри ещё средства резервирования реестра, например Wise Registry Cleaner.. полезно при откате..

TheBarmaley
Цитата:

вопрос в лоб - полный бэкап системы после этого был сделан?

Полный - нет. Только неполный

Цитата:

смотри в сторону нортон госта или акрониса

Все было лень освоить эти инструменты, да и доверия не вызывали, но раз говоришь
Цитата:

проблем = 0

, то нада заюзать

Цитата:

посмотри ещё средства резервирования реестра, например Wise Registry Cleaner..

мм.. в принципе, как я понял, вышеприведенных вещей должно быть достаточно....

Betauser RC
Цитата:

Только неполный

и то хлеб.. делай всегда хотя бы одну полную копию - откат за 5 мин и никакого гимора..
Цитата:

вышеприведенных вещей должно быть достаточно

да, но только размер образа диска и размер бэкапа реестра сущессно различаются.. как минимум на два порядка.. в твоей ситуации, когда глистов нет и система уже восстановлена и работает, достаточно сравнить копии реестра до и после аварии.. и проанализировать изменения в ключиках, что, сопссна, ты и хотел.. :)

возможно и шлейф...можно поптобовать переконвертировать диск D в NTFS через cmd без потери данных соответсвенно.!!!!мне и такое и помогало.!!!

dimablin
Цитата:

возможно и шлейф

возможно.. наверное.. не знаю.. ты о чём ваще?.. :)
Цитата:

мне и такое и помогало.!!!

а мне очень помогает цитирование поста, на который отвечаешь..

TheBarmaley

Цитата:

вопрос в лоб - полный бэкап системы после этого был сделан?
если "нет" - учти набитые шишки, потерю времени и (на будущее) смотри в сторону нортон госта или акрониса..
с ними система восстанавливается за 5 минут в первозданный вид.. проблем = 0..

ИМХО, не всё так просто.
Нужно ещё определить тот момент, когда было заражение. Я, например, нашёл эту тварь - "Internet Security обнаружил ..." на одном из домашних компов до её активизации, когда оне проникло, может быть и месяц назад. Так что поиск незаражённого бэкапа может оказаться проблемой.

Сейчас вот думаю, как побороть некоторые из последствий, оставшихся после лечения:
1. сайт dr-web.com не открывается по-прежнему, несмотря на почищенный hosts, не открываются ещё несколько сайтов и создаётся впечатление, что их список растёт;

2. со всех аккаунтов на mail.ru ms outlook 2003 не может получить почту по pop3, я уж было подумал, что mail.ru решил отказаться от поддержки pop... на gmail и др. всё работает нормально.

Есть идеи этим двум казусам?

1.
Цитата:

сайт dr-web.com

А что это за сайт, может нужен http://www.drweb.com/
2. может с настройками какими, какой код ошибки хоть пишет

mp65
Цитата:

Нужно ещё определить тот момент, когда было заражение

имелось в виду - после установки с нуля и предварительной настройки - полный бэкап ещё чистой системы..
всякие куки и прочая дребедень, изменившаяся потом, интересует намного меньше..
Цитата:

поиск незаражённого бэкапа может оказаться проблемой

ещё раз - проблем = 0..
никто мешает в каментах к образу диска написать чо/каг/када.. потом выберешь нужный, делов-то..
Цитата:

Есть идеи этим двум казусам?

если "их список растёт", похоже не добил кого-то.. ребут с лив-сд - и с песней.. :)

TheBarmaley

Цитата:

если "их список растёт", похоже не добил кого-то.. ребут с лив-сд - и с песней..

Увы, все антивирусы говорят о чистоте, как после ливня в воздухе...
Речь идёт, конечно, о проверках с LiveCD и в защищённом режиме.

Кроме hosts, что ещё может блокировать доступ к определённым сайтам (файерфоллы проверены)? Может быть запреты где-то ещё в реестре прописываются?

Ну нереально мне сейчас систему сносить, слишком много чего настроено.


Цитата:

имелось в виду - после установки с нуля и предварительной настройки - полный бэкап ещё чистой системы..
всякие куки и прочая дребедень, изменившаяся потом, интересует намного меньше..

Здесь ты прав, нужно не лениться это планировать и делать регулярно, но вот задним числом не очень получается - у меня система с 2001 года живёт на обновлениях с 3 переносами на новые motherboards.

mp65
Цитата:

Здесь ты прав, нужно не лениться это планировать и делать регулярно, но вот задним числом не очень получается - у меня система с 2001 года живёт на обновлениях с 3 переносами на новые motherboards.

нда.. знаешь.. а это круто - 9 лет и не найти хотя бы 15 минут на бэкап.. ниипически круто.. ;)
Цитата:

Кроме hosts, что ещё может блокировать доступ к определённым сайтам (файерфоллы проверены)? Может быть запреты где-то ещё в реестре прописываются?

поиск в самом реестре по именам "перекрытых" сайтов ничё не даёт?
настройки браузера сбрасывал в дефольт?

TheBarmaley

Цитата:

нда.. знаешь.. а это круто - 9 лет и не найти хотя бы 15 минут на бэкап.. ниипически круто.. ;)

Ты неправильно понял, я делаю еженедельный бэкап: клон системного диска + важные файлы, иначе, как бы я пережил 2 падежа винтов за эти годы :). Но это не помогло, вирус проник в систему значительно раньше и затаился до поры до времени.

Поиск в реестре по адресам блокируемых сайтов ничего не дал. Что интересно, блокируются drweb, z-oleg.com, а вот касперский (http://www.kaspersky.ru/) нет, к чему бы это? :)
Сайты блокируются во всех используемых браузерах: Chrome, Safari, Firefox, Opera, IE.
Сбрасывал IE в default, не помогло.

mp65
уберите статические маршруты. Последня галка в обновленном AVZ.
И все таки хост проверьте еще раз.

mp65
Цитата:

у меня система с 2001 года живёт

+
Цитата:

я делаю еженедельный бэкап

+
Цитата:

вирус проник в систему значительно раньше и затаился до поры до времени

ну.. это ваще супер-ку-у-ул!.. просто нет слов.. ж:)
я чё-т тогда совсем не пойму - выходит, што у тя вирус с 2001 года (как минимум) лежит и до сих пор ничем не продетектился, так что-ль? и што, разве в 2001 году уже были глисты, блочащие тырнет??? или ты в рабочей системе никакой "презерватив" по идейным соображениям не ставишь и лечишься только после того, как "с конца закапало"?.. ;)

сдаёцца мне - где-то гоните вы, батенька, ей богу.. или кто-то из нас логику обсуждения потерял, нет?

вопчем, IvANANvI прав, я бы на твоём месте так и сделал бы, ещё раз и повнимательнее:
Цитата:

И все таки хост проверьте еще раз.

иначе чё-то не срастается..

Ура! До меня дошло! Посмотрел таблицы маршрутов: route print
Там оказалась туева хуча, которую прописал вирус.
Потёр маршруты: route -f
Перезагрузился. И всё стало благодатно... заработали и сайты и почта

TheBarmaley

Цитата:

сдаёцца мне - где-то гоните вы, батенька, ей богу.. или кто-то из нас логику обсуждения потерял, нет?

Логика, как мне показалось, была очевидной.
Ну что тут непонятного? -
1. Еженедельно делаю бэкап - клон системного диска.
2. В какой-то момент времени обнаруживаю заражение
3. Откатываю до бэкапа - около недели назад, оказывается, что ситема уже была на тот момент заражена.
Вывод: бэкап не помог мне восстановить систему в безвирусном состоянии.
Мораль: надо изменить систему бэкапа и периодически делать ревизии.

Повторюсь, от момента заражения до активации вируса могут пройти недели и даже месяцы.

Удивляет то, что антивирусы, через которые я пропустил систему после обнаружения заражения (касперский, др.веб, битдефендер, авз), не обращали внимания на наличие в системе огромного числа статических маршрутов.

mp65
Цитата:

3. Откатываю до бэкапа - около недели назад, оказывается, что ситема уже была на тот момент заражена.
Вывод: бэкап не помог мне восстановить систему в безвирусном состоянии

а дальше - на две недели, на месяц откатить? или нету уже тех бэкапов, ты их стёр/поверх перезаписал?
где же золотой принцип - хранить как минимум 2 копии? и, в нашем случае, лучше - с хорошим разрывом?
Цитата:

от момента заражения до даты активации вируса могут пройти недели и даже месяцы

так в чём проблема - за это время можно на сто раз систему свежим (!) антиглистином прогнать..
а уж тока потом её, чистенькую (!), забэкапить..

впрочем, вижу, ты уже сам к этому пришёл.. ну.. судя по приведённой "морали".. :)

зы.
нащёт маршрутов - ценный совет оказался, и я запомню, на всякий пожарный..
IvANANvI - отдельный решпект!.. :)

Добавлено:
mp65
Цитата:

не обращали внимания на наличие в системе огромного числа статических маршрутов

и что? само по себе наличие любого числа маршрутов никак не доказывает их "вредности"..
другое дело, что антивирусные софтоделы могли бы проверять там хотя бы свои адреса..

IvANANvI
Огромное спасибо!
А я идиот! Твой пост пропустил и потратил лишние 2 часа на размышления, поиск и чтение...

IvANANvI

Спасибо за совет. Действительно, очевидные вещи мы в первую очередь и забываем сделать!

Уважаемые а есть гдето хоть что-то толковое по ekav2 (интернет секурити)? Недавно лечил на 2 компах (xp и w2k стоит sep) долго провозился, не курит не загр диск кис со свежими базами ничего не нашел. Банер висел. Пробовал пускать с автозагрузки авз, запуск блокировщика из него - окно все равно всплывало. В хр прибился быстрее. В 2000 дольше возился - там длл другие и запуск по app_init_dll в другом месте в реестре стоит.
В результате - в ливсд сделал список длл в систем32 и сравнил со со списком на норм машине - лишние снес. После этого банер исчез. Но в удаленных длл никто ничего не находит .
Еще из последствий на в2к перестала сеть работать - вирь полностью блокирнул дрова симантека и в результате сетка вообще встала - помог снос и переустановка сеп. В хр наглухо заблокировался реестр зараженного юзера. Загрузка другим пользователем ( с предварительным сносом профиля) помогла - смог запустить авз и прибить заразу. На каспере и вебе только разблокировщики смс - которые увы не подошли.
В общем непростой вирь

столкнулся с такой проблемой, не один сайт на компьютере не могу открыть пишет ошибка, только вот как то ру-борд пропустил, что это может быть такое? стоит касперский ничего не находит(

перезагрузил комп, если включаешь и пока грузятся процессы, успеваешь зайти на любой сайт то он все время работает нормально, а все другие не работают, похоже вирус с процесса какой то, но пока ничего найти не могу, подскажите чем поискать? операционка windows XP sp3

проверил запущенные процессы в Evereste, получилось вот такое:
[more=Читать дальше..]--------[ Процессы ]----------------------------------------------------------------------------------------------------

avp.exe C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe 32 бит 4540 Кб 16084 Кб
avp.exe C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe 32 бит 16804 Кб 52156 Кб
ctfmon.exe C:\WINDOWS.0\system32\ctfmon.exe 32 бит 3572 Кб 1912 Кб
everest.exe C:\Program Files\Lavalys\EVEREST Ultimate Edition\everest.exe 32 бит 33304 Кб 31820 Кб
Explorer.EXE C:\WINDOWS.0\Explorer.EXE 32 бит 9400 Кб 27620 Кб
jqs.exe C:\Program Files\Java\jre6\bin\jqs.exe 32 бит 1384 Кб 14376 Кб
lsass.exe C:\WINDOWS.0\system32\lsass.exe 32 бит 708 Кб 4160 Кб
NclRSSrv.exe C:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe 32 бит 2120 Кб 560 Кб
NclUSBSrv.exe C:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe 32 бит 3280 Кб 2412 Кб
nvsvc32.exe C:\WINDOWS.0\system32\nvsvc32.exe 32 бит 4692 Кб 2944 Кб
opera.exe C:\Program Files\Opera\opera.exe 32 бит 15028 Кб 50416 Кб
punto.exe C:\Program Files\Yandex\Punto Switcher\punto.exe 32 бит 7832 Кб 3848 Кб
qip.exe C:\Program Files\QIP\qip.exe 32 бит 8048 Кб 57896 Кб
QiPSpeller.exe C:\Program Files\QIP\QiPSpeller\QiPSpeller.exe 32 бит 4596 Кб 2568 Кб
RTHDCPL.EXE C:\WINDOWS.0\RTHDCPL.EXE 32 бит 23036 Кб 19816 Кб
RUNDLL32.EXE C:\WINDOWS.0\system32\RUNDLL32.EXE 32 бит 3924 Кб 2572 Кб
ServiceLayer.exe C:\Program Files\PC Connectivity Solution\ServiceLayer.exe 32 бит 5192 Кб 1668 Кб
services.exe C:\WINDOWS.0\system32\services.exe 32 бит 4084 Кб 1732 Кб
smss.exe C:\WINDOWS.0\System32\smss.exe 32 бит 420 Кб 164 Кб
spoolsv.exe C:\WINDOWS.0\system32\spoolsv.exe 32 бит 5040 Кб 3076 Кб
svchost.exe C:\WINDOWS.0\system32\svchost.exe 32 бит 5608 Кб 3476 Кб
svchost.exe C:\WINDOWS.0\System32\svchost.exe 32 бит 24912 Кб 17504 Кб
svchost.exe C:\WINDOWS.0\system32\svchost.exe 32 бит 3912 Кб 2800 Кб
Totalcmd.exe C:\Program Files\Total Commander\Totalcmd.exe 32 бит 2932 Кб 4892 Кб
uTorrent.exe C:\Program Files\uTorrent\uTorrent.exe 32 бит 12664 Кб 20452 Кб
VistaDrv.exe C:\Program Files\VistaDriveIcon\VistaDrv.exe 32 бит 4480 Кб 2852 Кб
winlogon.exe C:\WINDOWS.0\system32\winlogon.exe [/more]

Добавлено:
сейчас зашел через Еверест в Сеть-Интернет- Текущий прокси-Статус прокси-ЗАПРЕЩЕНО и Lan прокси тоже стоит ЗАПРЕЩЕНО, похоже причина найдена, как это исправить?

DJMC
Думаю, что вируса у тебя нет
Поробуй:
-Отключить Брэндмауэр.
-Отключить веб-экран в антивирусе.

slay1212

Цитата:

В результате - в ливсд сделал список длл в систем32 и сравнил со со списком на норм машине - лишние снес. После этого банер исчез. Но в удаленных длл никто ничего не находит .

Если можно, приведи список обнаруженных "лишних" dll-ок.

slay1212
Это точно. Например, Винлокер часто в dll-ках живет. Autorunner-ом искать не пробовал? Имеется ввиду до сноса лишних.

hohkn
Да не вопрос. Счас смотрел в папке гед я держал все что удалил update.exe
kis 2009 пишет что это packed.win32.krap.ai размер 39936.
Список для w2k:
http://files.mail.ru/JVCPZG


Цитата:

Autorunner-ом искать не пробовал? Имеется ввиду до сноса лишних.

До сноса лишних вся работа тока в ливсд - авз с удаленной загрузкой реестра, кис курит и пр - сборка на ре. Фокус с окошка вируса не сбивается ничем, так что проги запускать бесполезно. Функционал по хр чуть отличался но там ничего не сохранилось - вроде updates.exe там не было - был запуск через app_init_dll

hedgars

Цитата:

Думаю, что вируса у тебя нет

похоже так и оказалось, почистил Cookies, выключил комп на ночь, до этого работал около 50 часов, и сегодня с утра все открывается, страный сбой какой то был...

slay1212
Скопировал себе всю инфу, посмотрю. А *.exe файлы давал запускать? На этот случай (спасибо ynbIpb за скрипт, из которого я сделал exe-шник). Позволяет записать txt-файл, в котором отражены все открытые в данный момент окна, в т.ч. и винлокер. Текстовик можно и под WinPE посмотреть.
Цитата:

Написал я для себя маленький скрипт: В ситуации, когда винлокер перекрывает всё видимое пространство, но не заблокирован запуск *.exe и не отключен Autorun с флешек, создаём на флешке Autorun.inf и кидаем скомпиленый файл скрипта.

Пробовал сейчас залить на файлообменник, но скорее всего прокси на работе не дает, он почти полметра весит. Скину ссылку из дома. Можно и без авторана запустить, например через пуск -> выполнить.

slay1212

Цитата:

Да не вопрос. Счас смотрел в папке гед я держал все что удалил update.exe  
kis 2009 пишет что это packed.win32.krap.ai размер 39936.
  Список для w2k:  
http://files.mail.ru/JVCPZG

ты ничего не перепутал? В C:\WINNT\system32 1875 "лишних" файлов удалил?!

DJMC
Вот и отличненько

mp65
Не понял что должно быть больше файлов? Мне показалось, что список должен быть меньше. Может какие скрытые не показались? Я делал просто dir /s.
Удалил файлов 10-15 в итоге, после нескольких проходов антивирусами. Некоторые может и зря . Нормального списка правильных для w2k не нашел сразу, а потом уже не надо было.
Надо как новом курите какую-нить утиль, делающую альтернативный рабочий стол. Дальше то все просто -авз - блокировка и бей гада . А куда тельце можно для анализа пульнуть на вирусинфо что-ли? Хотя они этим добром уже наверно завалены. Только толку нет пока.