» Вирус(ы) в Windows XP,Vista,7,8,8.1. Проблемы. Решения.

Цитата:

Лив СД не подойдёт, т.к. там линукс и нет редактора не активного реестра

Я пользуюсь Alkid Live CD, там есть ERD, которым можно работать с неактивной Виндой

Сервис деактивации вымогателей-блокеров

(На Каспере) _http://support.kaspersky.ru/viruses/deblocker

Сам не проверял , но вроде работает .

Focusrite
zmkltr
нащёт лив-сд..
то, что по варианту №1 (из шапки) - исключительно инструмент зачистки, а не восстановления системы.. вы используете, по большому щёту, вариант №2.. и точно знаете, что/где/как искать.. и уж совсем не факт, что метода рукопашной чистки дисков/реестра сработает всегда.. если повреждены/удалены системные файлы, всё равно придёцца восстанавливать венду с дистриба - никакой вынь-пе или ерд-командир это не сделает..

jonvarvar
Цитата:

Сервис деактивации вымогателей-блокеров

походу, ща все производители ав, вслед за дрвебом, кинуцца подобные "кейгены" ваять.. ;)
и в теме Windows заблокирован твоя сцыла в шапке уже добавлена.. :)

TheBarmaley

Цитата:

походу, ща все производители ав, вслед за дрвебом, кинуцца подобные "кейгены" ваять..

Что то грустно от этого - вирусописаки в ответ на "кейгены" при правильном вводе кода могут и удалить все мимо корзины по маске типа *.doc
((непонятно почему антивирусы не распознают эту заразу на подходе
(((а может это чья то направленная дискредитация Windows - кем?

Цитата:

и в теме Windows заблокирован твоя сцыла в шапке уже добавлена..

Недоглядел (хотя особо и не вглядывался).Нам бы на , на Руборде хоршую map , да с
перекрестными ссылочками , а то так - кусочками , да обрывочками , без гуглы вообще б была каша...Тока хто ж тем займётся...


Цитата:

непонятно почему антивирусы не распознают эту заразу на подходе

Нет (и пока не предвидится) достойного алгоритма для эвристического анализа . Судя по всему , пока нет даже чёткой его концепции. Звиняюсь за банальность .

Теперича в сабж . Углядел в Сети UnOfficial McAfee SiteAdvisor Widget для Opera
_http://widgets.opera.com/widget/14871/ - очень прикольная полезняшка . В отличие от
официального аддона SiteAdvisor (весящего 7.2 Мб ! и убивающего на "тонком" канале своими тормозами любой браузер) - крохотулька и совсем не грузит систему.
Думаю , ходящим на Опере очень пригодится , так сказать , для превентивной гигиены.

У кого-нибудь такое было?
На рутере tcpdump показывает от windows7 примерно следующее:


Код:
....
14:48:06.645470 IP 85.104.18.95.dynamic.jazztel.es.10222 > homosap.hostname.ru.23281: UDP, length 62
14:48:06.645696 IP homosap.hostname.ru > 85.104.18.95.dynamic.jazztel.es: ICMP homosap.hostname.ru udp port 23281 unreachable, length 98

14:48:06.876264 IP 220.157.89.76.49926 > homosap.hostname.ru.23281: UDP, length 103
14:48:06.876500 IP homosap.hostname.ru > 220.157.89.76: ICMP homosap.hostname.ru udp port 23281 unreachable, length 139

14:48:09.042693 IP 35.190.143.61.broad.st.gd.dynamic.163data.com.cn.19578 > homosap.hostname.ru.23281: UDP, length 101
14:48:09.042946 IP homosap.hostname.ru > 35.190.143.61.broad.st.gd.dynamic.163data.com.cn: ICMP homosap.hostname.ru udp port 23281 unreachable, length 137

14:48:12.031839 IP 117.195.170.150.19167 > homosap.hostname.ru.23281: UDP, length 103
14:48:12.032104 IP homosap.hostname.ru > 117.195.170.150: ICMP homosap.hostname.ru udp port 23281 unreachable, length 139

14:52:06.526047 IP mvl44-1-78-228-200-70.fbx.proxad.net.1225 > homosap.hostname.ru.23281: UDP, length 101
14:52:07.591654 IP adsl-065-013-141-140.sip.bna.bellsouth.net.15240 > homosap.hostname.ru.23281: UDP, length 62

14:52:08.492936 IP homosap.hostname.ru > S010600132072aa60.gv.shawcable.net: ICMP homosap.hostname.ru udp port 23281 unreachable, length 98
14:52:08.953670 IP g74044.upc-g.chello.nl.8546 > homosap.hostname.ru.23281: UDP, length 98
14:52:08.953893 IP homosap.hostname.ru > g74044.upc-g.chello.nl: ICMP homosap.hostname.ru udp port 23281 unreachable, length 134
14:52:09.000956 IP homosap.hostname.ru.57578 > 239.255.255.250.1900: UDP, length 133
14:52:09.083322 IP 114-42-77-174.dynamic.hinet.net.19984 > homosap.hostname.ru.23281: UDP, length 101
14:52:09.083547 IP homosap.hostname.ru > 114-42-77-174.dynamic.hinet.net: ICMP homosap.hostname.ru udp port 23281 unreachable, length 137
.....

jonvarvar
Цитата:

Нам бы на , на Руборде хоршую map , да с перекрестными ссылочками

смысл? в принципе, достаточно инфы из шапок.. смежные темы, как правило, там есть..
к тому же "смотрящие" шапку достаточно оперативно правят..

---

homosap
Цитата:

У кого-нибудь такое было?

чес гря, ваще не понял, каким боком тут вирусы.. обычный "инет-шум"..
у меня от хостов с "shawcable.net" и "dynamic.hinet.net" тоже много "фонит".. я их обрезал, диапазонами..
кста, не поленился - от меня ни один из ип-шников из твоего дампа не пингуеццо..
что касаемо "анричибл" твоего ип - отрабатывают какие-то правила в файерволе.. у тебя..
вопчем, ты правильно сказал:
Цитата:

фигня

всё это.. забудь и забей.. ;)

Цитата:

в ipfw прописать что то типа

возможно, в область "deny ip" попал днс-серв прова.. или его шлюз..
и, соответссно, кури бамбук, т.к. "зарезал сам себя".. :)

Цитата:

возможно, в область "deny ip" попал днс-серв прова.. или его шлюз..
и, соответссно, кури бамбук, т.к. "зарезал сам себя"..

дык в том то и дело, что для ДНС запросов используется (должен использоваться, если я правильно понимаю) только 53 порт, а правилом

Код:
/sbin/ipfw add 10 deny ip from any to homosap.ip 41000-65535

homosap
вопчем, борьба с вирусами здесь точно никаким боком.. ;)
и штоп тут не хулиганить, предлагаю перебежать сюда.. ответил там же..

HDD
может, есть смысл в шапке в раздел
Цитата:

Полезные ссылки

добавить http://www.viruslist.com/ru/?
штоп, так сказать, "знать врага в лицо", прежде чем его замочить.. :)

TheBarmaley

Цитата:

может, есть смысл в шапке в раздел

Добавил. Сейчас думаю ,что надобы как-то их структурировать. На днях что-то сделаю.
SergeyGolubev

Цитата:

я так понимаю ты шапкоправ основной...

И шапкодел

Цитата:

поправь немного размеры утилит

Поправил.

HDD
я так понимаю ты шапкоправ основной...
чтоб не лезть в несобой созданное - поправь немного размеры утилит...
вот только скачал...

Цитата:

AVPTool (9.0.0.722 с сегодняшними базами) < 60Mb
Dr.Web CureIT! (вчерашняя) < 30Mb

HDD
Цитата:

Добавил

не настаиваю, ессно.. но..
может где-нить рядом ещё добавить сцылу сразу на поиск в описаниях?
как правило, аналитика и ньюсы в экстренных ситуациях мало кого интересуют..

TheBarmaley

Цитата:

может где-нить рядом ещё добавить сцылу сразу на поиск в описаниях?
как правило, аналитика и ньюсы в экстренных ситуациях мало кого интересуют..

Я тогда ссылку только на поиск оставлю? На главную страничку уберу. Потому как две ссылки на один сайт...

HDD
Цитата:

ссылку только на поиск оставлю?

самое оно.. так даже лучче будет, я думаю..
тока тогда как-нить переобзови сцылу, штоп понятно было.. ну.. фраза
Цитата:

Всё об интернет-безопастности

немного дезориентирует, имха..

TheBarmaley
Добавил. Кому нужно и так поймёт, а новичкам фиолетово будет.
P.s. Ты не мог бы внятнее писать, ну так, просто что б читать было удобнее. Явно же не студент-птушник

Наверно впервые за 10 лет лично подхватил вредоносное ПО в явном виде...
Это неоднократно упоминаемый "банер на 30 дней" c предложением отправить SMS.
Предыстория такова: вчера вечером в поисках нужного материала ненароком перебрался через парочку сайтов развлекательной тематики (кстати оба на слуху), поработал, выключил ПК. А сегодня после загрузки оси эта красотень...
Были блокированы браузеры, диспетчер задач. Однако я без проблем обновил базы АВ.
Посредством "быстрой проверки" был обнаружен некий plugin.exe где-то в папках на C, а вместе с ним и вот эти вещи:
"Trojan.Win32.Freqee.l" в файле WINDOWS\system32\ecrm.goo и нек. других
"HEUR:Worm.Win32.Generic" в неск. файлах
Kaspersky предложил какой-то специальный метод лечения (дословно не помню) с последующим рестартом ОС. Результат этой полностью автоматической операции оказался успешен.
Теперь хотелось бы понять, каким образом зловред проник в систему. Почему антивирус не отреагировал на тот же "plugin" вчера, а заголосил только сегодня? Базы сигнатур обновляю ежедневно. На оси последние хотфиксы, IE не пользуюсь. Работаю, правда, с админскими правами. Залатать бы "лазейку", через которую произошло заражение...
Также буду благодарен за инфу о том, где этот вредитель мог еще напакостить..

Цитата:

Также буду благодарен за инфу о том, где этот вредитель мог еще напакостить..

Подробнее в теме из шапки.
Цитата:

Windows заблокирован! - отдельный топик по решению проблем с вирусом блокирующим запуск ОС и требующем выслать денег по СМС.

HDD

Цитата:

Windows заблокирован!

Я как раз оттуда )
Хотел запостить там, но вроде как розовый баннер и блокировка Windows -- это несколько разного рода ээ.. недуги.

Привет, форумчане!
Возник у меня недавно вопрос, следующего характера:
Где в WinXP могут блокироваться хосты (или перенаправляться на другие IP), кроме стандартного файла hosts?
Дело в том, что видны первые симптомы вирусной инфекции (в любых браузерах не открываются поисковки и сайты антивирусной тематики). Проверка с LiveCD на вирусы дала небольшие результаты (был найден и удален один зараженный файл), проверял KAV7 и AVZ cо свежими базами. Файл Hosts поправил - удалил всё лишнее. Но проблема так и осталась. Кстати Касперский в самой системе никак не прореагировал на заражение.
Подскажите плиз - где копать?

Цитата:

Хотел запостить там, но вроде как розовый баннер и блокировка Windows -- это несколько разного рода ээ.. недуги.

Да нет. Денег просит, значит туда

Добавлено:

Цитата:

проверял KAV7 и AVZ cо свежими базами.

А если CureIT прогнать?

вот удалить вирусы это хорошо..и лайв сидикаспера это делает.. а что если вирь чтонить в системе удалил?.. как проверить целостность системы?

menand

Цитата:

3. Проверка целостности системных файлов запускается командой sfc /scannow. При проверке система затребует оригинальный установочный компакт-диск
Если у вас по какой-то причине нету под рукой установочного диска либо система не принимает его, но сам дистрибутив находится на жестком диске можно в реестре прописать путь к нему
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup параметр SourcePath, где указывается путь к нему.

Добавлю может слететь активация, если у вас OEM винда с патчем.

IvANANvI
Цитата:

винда с патчем

имеется в виду - взломанная? или на "честной" такое тоже случается?

HDD
11:22 30-01-2010
Цитата:

Да нет. Денег просит, значит туда

Понятно. Пожалуй, продублирую свой пост там..

menand
12:24 30-01-2010
Цитата:

вот удалить вирусы это хорошо..и лайв сидикаспера это делает.. а что если вирь чтонить в системе удалил?.. как проверить целостность системы?

Вот, именно это меня и волнует.
"sfc"-то я прогнал, но есть еще регистры, несистемные файлы...

Добавлено:
Ни для одного из пойманных накануне зловредов описания на securelist нет

Betauser RC
Цитата:

есть еще регистры, несистемные файлы

какие-то косяки после лечения/восстановления появились?
ищи решения по конкретным глюкам, часть решений есть в шапке:
Цитата:

Советы по лечению ПК от Олега Зайцева, автора Avz
.......
Страница VirusHunter`a

или пробей проблему в гугле.. :)

TheBarmaley

Цитата:

какие-то косяки после лечения/восстановления появились?

Явных косяков (пока?) нет, но не покидает мысль, что враг вполне мог где-то "наложить" )
Кое-что в реестре я за ним подчистил, но нет уверенности что это всё...

Сделай стандартный скрип информации AVZ для раздела "Помогите" и выложи на Virusinfo.info. Там тебе помогут вычистить все хвосты.

Добавлено:
TheBarmaley

Цитата:

имеется в виду - взломанная? или на "честной" такое тоже случается?

1. Да.
2. На честной как и на VL такого не случается.