» Вирус(ы) в Windows XP,Vista,7,8,8.1. Проблемы. Решения.

Мой способ борьбы с порно-информерами:
После долгих поисков и испытании остановился на программе PROWiSe Manager 1.8.0.1
У меня уже целый сборник всяких разных информеров и все они как один:
1. Выскакивают поверх всех окон
2. Не дают запустить диспетчер задач, то есть глушат работу файла taskmgr.exe

А эта программа, которую я рекомендую, выскакивает еще выше окон-информеров. Даже поверх тех, которые во весь экран сообщают вам о том, что ваш виндовс заблокирован.
В настройках программы нужно СРАЗУ после установки поставить галочку напротив "Подменить Диспетчера Задач", а в "Файл"- "Выполнить" вписать команду explorer.
Вид -> Настройки -> Процессы -> Показывать процессы всех пользователей
Надо установить галочку.

Теперь, когда вы неожиданно поймаете баннер, то без особого труда можете убить его процесс и исполняемый файл.
Для этого нужно нажать сочетание клавиш Ctrl + Alt + Esc и окно с процессами предстанет перед вами.
Далее нужно просто "убивать" все процессы, которые были запущены от имени вашей учетной записи на компе. Например User, Администратор и так далее.
Но перед тем, как убить какой-либо процесс надо разведать, а что за файл запустил этот процесс и запомнить его местонахождение на вашем компе.
С помощью правой кнопки мыши щелкаем по каждому процессу, запущенного от вашего имени, и открываем свойства. Там будет прописан путь.
Например: процесс называется uTorrent.exe, а исполняемый файл лежит по пути: C:\Program Files\uTorrent\uTorrent.exe
Нужно запомнить, при убийстве какого процесса у вас исчезнет этот банер.
Затем перезагрузиться, дождаться нового появления банера (вы же только процесс убивали), снова его вышибить и, зная его местонахождение, удалить файл.
Часто убивая процесс перед вами может возникнуть просто фон рабочего стола, а нужных для работы ярлыков на нем не будет.
Вот тут то нам и пригодится тот самый "Файл"- "Выполнить" вписываем команду explorer
Дело в том, что если сразу не вписать эту команду, то после убийства процесса в той строке невозможно прописать что либо английскими буквами. Поэтому это нужно сделать сразу после установки программы при ее настройке.

Все, что я тут описал, испытал лично с помощью библиотеки информеров.
За все время борьбы с ними у меня уже собралась приличная коллекция.

В последнее время все винлоки стал лечить связкой AVZ+HijackThis, тем более что обучают этому бесплатно. Винлоки, которые все блокируют преодолевал грузясь в безопасном режиме (иногда с поддержкой командной строки) и добирался до экплорера с помощью комбинации Win+U. Это для меня получается самый быстрый способ.

Винлоки обычно работают по разному механизму. Есть версии, с руткит-технологией и заражением системного драйвера. Есть - с подгрузкой библиотеки в системные процессы (explorer.exe, winlogon.exe, svchost.exe), библиотека может при этом прятаться в потоке. Есть - просто тупо запуск процесса в autorun или на уровне appinit_dlls. Суть не меняется. Хуже становится тогда, когда

1. Используются руткит-технологии.
2. Идентифицируется антивирусный утиль по имени файла и/или имени ресурсов в РЕ-заголовке с последующим прибиванием.
3. Блокируется запуск regedit, cmd и прочего "неугодного".
4. Устанавливается загрузка в безопасном режиме.

Вот с такими версиями выходит заминка. При том, что бывают версии с нарочито "лёгким" способом снятия блокировки - окно исчезает, чувствуешь себя суперхацкером, а реально - на машине уже сидит ZBot...

Ребята подскажите (я юзер)
в компе вирис можно конечно форматнуть и инстал
Win xp-sp2 корзины заполнены длянью при удалении папок из корзины (с unlosker) они появляются в корзине под другими именеми (номерами)
Может кто скажет какой вирис (ТРИПЕР) и как с ним бороться
КИС 2010 не видит саит Касперского доступен (ключик куплен) обновление видимо проходит
Заранее СПАСИБО Валерий

Walery
Думаю, у тебя там целый зверинец. Лечиться лучше всего, ИМХО с LiveCD.

Walery
Ну с сп2 немудрено зверинец в сети нахватать. Чего систему не обновляли - на дворе 2010 год!
Попробуйте тут пролечиться.

Walery

Цитата:

Может кто скажет какой вирис (ТРИПЕР) и как с ним бороться

100% вариант лечения - FORMAT C:
Ну а в будущем, SP3 + все критические обновления обязательны к установке, иначе удачи не видать. Съедят твою машинку глисты и очухаться не успеешь.

Stalker61

Цитата:

100% вариант лечения - FORMAT C:

Да ну не пугай человека, может без формата обойдёмся
А на счёт обновлений - это точно.

добрые люди подскажите
формат для меня не проблема
я и сам понимаю чтот здесь зверинец
LiveCD - их столько версий какая для XP-sp3(я так паниммаю самая стабильная XP)
и откуда взять чистый (без гадости ) дистрибутив именно SP3
пока комп в руках Инет работает
на SEVEN если чесно не стоит (стоит на работе и мне кажется сырая и глючная версия)
для меня не проблема сделать CD а вот
зашел на сайт крыша едет от такого обилия LiveCD(помните фильм)
Заранее благодарен Валерий

Walery
Я Вам уже выше ссылку даже дал, где пролечиться. Может и без LiveCD обойдёмся.

Walery

Цитата:

добрые люди подскажите

Если серьезно, то слушай камрада gjf-а. Он компетентный в данном вопросе человек и действительно может реально помочь в твоей проблеме борьбы с глистами. "Нерешаемых проблем нет. Есть нежелание их решать."(С)
Срочненько перебирайся в эту тему для конкретного решения проблемы.

Walery

Цитата:

LiveCD - их столько версий какая для XP-sp3(я так паниммаю самая стабильная XP)

Любой.

Цитата:

и откуда взять чистый (без гадости ) дистрибутив именно SP3

В Варезнике тема по дистрибутивам. Microsoft Windows XP

Ребята,кто что знает про вирус psxss.exe? Подробной инфы в Инете так и не нашел. Советуют выполнить скрипт в AVZ,но зараза все равно остается!!! Расскажите,плз как эта вирусня работает и как ее вытравить-я этот файл даже поиском в винде найти не могу!!!!

vov4ka
Как вариант, попробуй это.

Внимание! Новый вирус!
Здесь описание: http://kupiantivirus.spb.ru/news/83-20100401000000.html

vov4ka

Цитата:

Подробной инфы в Инете так и не нашел

Прям на 1 странице гугля:
Подсистема Posix предназначена для запуска в операционной системе Windows программ, созданных для операционных систем семейства Unix (и в дальнейшем специальным образом подготовленных для запуска в Windows). Она запускается по требованию. То есть, в тот момент, когда пользователь пытается запустить программу, работающую на основе подсистемы Posix.

Настройки подсистемы Posix содержатся в следующих параметрах строкового типа.

Posix Данный параметр определяет файл, реализующий работу подсистемы Posix. Чтобы отключить подсистему Posix, достаточно удалить или переименовать этот параметр.

Подсистема Posix реализована на основе файла psxss.exe

Какие основания для удаления этого файла? Он не обязательно является вирусом.
Делай логи как здесь показано. Тогда можно будет что-то сказать

SergeIV2005

Цитата:

Внимание! Новый вирус!
Здесь описание: http://kupiantivirus.spb.ru/news/83-20100401000000.html

Цитата:

Используя ошибку во встроенной в процессоры системе управления питанием, злоумышленники повышают напряжение питания до такого уровня, когда ядро процессора входит в резонанс с его корпусом, и, через 30 секунд работы в таком состоянии ядро процессора разрушается на наноуровне.

1-е апреля сегодня.

Цитата:

Ребята,кто что знает про вирус psxss.exe? Подробной инфы в Инете так и не нашел. Советуют выполнить скрипт в AVZ,но зараза все равно остается!!! Расскажите,плз как эта вирусня работает и как ее вытравить-я этот файл даже поиском в винде найти не могу!!!!

Нашел я таки способ как убивать банеры, блокирующие винду, и вирусы, когда антивирус про них ЕЩЕ не знает..))))))))))))))

Рекомендую сохранить и распечатать:

Инструкция по нападению на банер и его уничтожению!

1. Скачиваем сборку WimPe_Delete-Banner.ISO. (68.1 Мб)
2. Записываем ее у кого-нибудь на компе на обычный CD диск

А теперь самое интересное:
1. В БИОСе выставляем загрузку с DVD/CD привода
2. Вставляем диск и ждем, когда загрузится с него привычный нам Windows XP
3. Открываем "Мой компьютер"
4. Открываем диск с названием WimPe
5. Находим в корне папку PROWiSe
6. Копируем ее в корень диска C:\ на вашем компьютере
7. Из этой, уже скопированной папки, копируем Ярлык для PROWiSe.exe в C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка
8. Перезагружаемся и вытаскиваем загрузочный диск.
9. В БИОСе поставьте обратно загрузку с жесткого диска (HDD)

А теперь ЕЩЕ интереснее:
1. Ждем когда загрузится ваша Windows, а вместе с ней баннер и... программа PROWiSe Manager
2. Сразу же лезем в ее настройки, а именно:
Вид -> Настройки -> Диспетчер -> Подменить Диспетчера Задач
Вид -> Настройки -> Процессы -> Показывать процессы всех пользователей
3. Щелкаем по названию столбика Пользователь. Все процессы отсортируются по именам, под которыми они были запущщены
4. Дальше продублирую то, что уже писал:

Цитата:

Нужно просто "убивать" все процессы, которые были запущены от имени вашей учетной записи на компе. Например User, Администратор и так далее.
Но перед тем, как убить какой-либо процесс надо разведать, а что за файл запустил этот процесс и запомнить его местонахождение на вашем компе.
С помощью правой кнопки мыши щелкаем по каждому процессу, запущенного от вашего имени, и открываем свойства. Там будет прописан путь.
Например: процесс называется uTorrent.exe, а исполняемый файл лежит по пути: C:\Program Files\uTorrent\uTorrent.exe
Нужно запомнить, при убийстве какого процесса у вас исчезнет этот банер.
Затем перезагрузиться, дождаться нового появления банера (вы же только процесс убивали), снова его вышибить и, зная его местонахождение, удалить файл.

5. И снова перезагрузиться!

ВСЕ! Банер побежден на все 100%.

Тут же скачиваем и устанавливаем на свой комп эту же программу PROWiSe Manager 1.8.0.1, делаем в ней все те же настройки, но желательно в Файл -> Выполнить вписать сразу же команду Explorer.
Почему - тоже процитирую:

Цитата:

Часто убивая процесс перед вами может возникнуть просто фон рабочего стола, а нужных для работы ярлыков на нем не будет.
Вот тут то нам и пригодится тот самый "Файл"- "Выполнить" вписываем команду explorer
Дело в том, что если сразу не вписать эту команду, то после убийства процесса в той строке невозможно прописать что либо английскими буквами. Поэтому это нужно сделать сразу после установки программы при ее настройке.

Но как выяснилось, эта функция в этой версии программы иногда почему-то вылетает с ошибкой (не дает вписать нужную команду) да и не нужна она особо.
Достаточно просто выключить-включить/перезагрузить компьютер и ентот самый explorer у вас сам заработает.

А в довершение скачать самые свежие базы для вашего антивирусника и проверить свой комп на вирусы!!!

P.S. На первый взгляд кажется все сложным и опасным.
Но вам нужно лишь один раз проделать все мои рекомендации по пунктам и сразу все станет просто и понятно.

Удачи!


Добавлено:
P.S.S. Есть умельцы, которые смогут "допинать" программку PROWiSe Manager 1.8.0.1?
А то нет мониторинга сети. Не мешало бы добавить функцию, какие файлы ее грузят.
Загрузку по ядрам ну и ошибку бы ту исправить с "Файл"- "Выполнить".
До автора программы не могу достучаться, а он обещал давно правда, 2-ую версию сделать..(((

vzhik777
Сработает , но отнюдь не в 100% случаев.

1. Зловред находит PROWiSe Manager 1.8.0.1 по именам ресурсов в РЕ и прибивает при загрузке (пример - iLite).
2. Зловред - не запускаемый файл, а внедряемая во все процессы библиотека (пример - eKAV).
3. Зловред - не запускаемый файл, а системный файл (пример - Digital Access).

Так что в реале - где-то 70-80% кейсов, и то - не самый убойных. Их вполне можно вылечить и с помощью ERD Commander, LiveCD и даже безопасного режима

Хм... У тебя есть такой "живой" зловред?
Скинь мне на мыло...
Я их пытаю и коллекционирую ..))))

vzhik777
Извините, я не распространяю зловредов - это запрещено этикой группы, в которой я состою. В интернете полно ресурсов, с которых их можно скачать. К сожалению, некоторые из них перед установкой запрашивают сервера на "разрешение" - в итоге, сейчас дропперы при запуске не заражают систему - "срок годности истёк".

Если посмотрите логи AVZ времён бума эпидемии винлоков, то увидите, что при eKAV, к примеру, зловред прятался в виде библиотеки в ADS-потоке папки фонтов и других системных файлов. Очевидно, что Ваш подход в этом случае никак не сработает.

Всем здрасьте!!!Люди,кто-нибудь сталкивался с таким:просканировал Windows XP CureIt в безопасном режиме-он нашел вирусы,жахнул их,попросил перезагрузки.

После перезагрузки в XP оформление стало классическим,перестали отображаться кпопки открытых приложений на панели задач,список служб опустел-т.е. там ввобще ничего нет,невозможно зайти в систему под другим юзером.

Исправлялка AVZ не помогла и sfc/scannow тоже(((Никто с таким не встречался?

А создать другого юзера тоже не дает?
Если нет - то винду по новой надо устанавливать...

Добавлено:

Цитата:

Если посмотрите логи AVZ времён бума эпидемии винлоков, то увидите, что при eKAV, к примеру, зловред прятался в виде библиотеки в ADS-потоке папки фонтов и других системных файлов. Очевидно, что Ваш подход в этом случае никак не сработает.

Ну что ж, вполне согласен, что мой способ не сработает против такой напасти..
Но с окнами, которые выскакивают на весь экран с предложением отправить SMS и угрозой, что щас компу придут кранты - пока здорово выручает.
Потому антивирусник всегда должен быть. А его обновление кстати теми же банерами глушатся - не дают выйти в инет... Потому пока банер не вышибешь - антивирус не обновится, хотя в нем тоже может быть уже лекарство от этих окон.

P.S. Про ресурсы на вирусные базы - они все уже довольно старые..
Пока поступаю как все - специально лазию с вируальной машины с абсолюно голой и незащищенной виндой по опасным ресурсам и умышленно ловлю вирусы... Уже парочку подобных, о которых вы говорили, поймал... На днях начну их пытать..)))

vzhik777

Цитата:

А его обновление кстати теми же банерами глушатся

Старый способ - редактирование host-файла. Новый (ну не новый, а недавно освоенный ) - прописывание статических маршрутов. И то и то должен ловить и блокировать любой, даже самый дохлый хипс

Цитата:

Старый способ - редактирование host-файла. Новый (ну не новый, а недавно освоенный ) - прописывание статических маршрутов.

А можно поподробнее. Это как то и что то прописывается в файле C:\WINDOWS\system32\drivers\etc\hosts открывая с помощью блокнота?
У меня он вообще с атрибутами "только чтение", а то блокируются всякие в контакте и одноклассники.

Цитата:

И то и то должен ловить и блокировать любой, даже самый дохлый хипс

Ты про это имел ввиду:
http://www.interface.ru/home.asp?artId=16462
?

Ребята, подскажите плиз, как поступить: Dr.Web находит якобы вирус Trojan.Backdoor, причем в регистре, файлик типа _restore.exe. Соглащаюсь удалить, а после перезагрузки он снова появляется. Как устраняются такие штуки? ТНХ

cuneiform в безопасном режиме сканируй

Нужно загрузится с загрузочного диска или флэшки с возможностью править реестр (у меня RusLive на 44МВ), там подсоединить куст реестра своего Windows и подправить значения которые изменил вирус. Можно с него сразу и просканировать антивирусом Сureit!

cuneiform

Цитата:

Как устраняются такие штуки?

А шапка для кого? В ней и ответы на такие вопросы.

Цитата:

Инструкция по нападению на банер и его уничтожению!

У меня есть продолжение - сегодня попался ноут с баннером.

Итак, часть 2..

Порно-банер не запускается сразу, как только входишь в винду. Он, гад такой, теперь умный стал..
Он появляется примерно через 2-3 минуты, когда начинаешь ею вовсю уже пользоваться..
Выловил следующим образом:

1. Согласно вышеприведенной мною инструкции воткнул в ноут, надеюсь уже многими любимую, PROWiSe Manager 1.8.0.1

2. Стал поочередно убивать процессы, запущенные из-под юзера и...
А теперь ВНИМАНИЕ!!!
Банер исчез после убийства процесса под названием explorer.exe.
А раз так, то исполняемый файл, находящийся по пути C:\WINDOWS\explorer.exe УБИВАТЬ НЕЛЬЗЯ!!!.
Иначе вы никогда ничего не сможете делать в виндовсе...

Ну если только у вас не установлен какой-нибуть Total или Windows Commander или им подобное приложение. Но тогда его придется запускать ручками с помощью командной строки. А для непросвященного пользователя это тот еще гемор!...
Ну это я так, к сведению...

3. На чем я остановился то?... Ах, да...
C:\WINDOWS\explorer.exe УБИВАТЬ НЕЛЬЗЯ!!!
Процесс explorer.exe мы просто ПЕРЕЗАПУСКАЕМ: правой кнопкой мыши по названию процесса, выбрать "Перезапустить" и банер исчезнет...

Но погодите радоваться! При следующем запуске виндовса он появится снова и примерно через такое же время, равное в 2-3 минуты!
И тут меня осенило, почему ентот банер стал таким умным, срабатывая с задержкой!

4. Лезем в "Пуск"-> "Настройка" -> "Панель управления" - > "Назначенные задания" и обнаруживаем, что кроме значка "Добавить задание" у нас уже есть созданное кем то задание под названием "WindowsCheck".

Оба-на! Спрашивается, а кто его создал? Вы? Нет? Вы и понятия про эту штуку раньше не имели?
А тогда кто же? Правильно! Проникший на ваш комп пока еще неизвестный вашему антивирусу "лазутчик" в виде вражеского файла.

5. В моем случае это оказался файл Install_Flash-Player_build2x21x2.exe.
Кто там у вас по порносайтам то любит лазить? Ентот файл скачивается с них, предлагая вам установить нужный проигрыватель для просмотра роликов.

6. Он сидел в папке C:\Documents and Settings\User\Local Settings\Temporary Internet Files
А вот в уже созданном задании "WindowsCheck" в строке "Выполнить" имелась занятная команда:
C:\DOCUME~1\User\LOCALS~1\Temp\htwx.exe C:\DOCUME~1\User\LOCALS~1\Temp\vsyn.dll
Из под пользователя Admin в строке имелась уже другая запись:
C:\DOCUME~1\Admin\LOCALS~1\Temp\dbbd.exe C:\DOCUME~1\Admin\LOCALS~1\Temp\cbigt.dll
Но банер выскакивал тот же самый и с такой же "умной" задержкой.

Получается, что одни и те же исполняемые файлы создаются под разными именами..

7. Но есть управа на них! Есть!

Если вы заметили, то все строки содержат название папки Temp.
Да и сам установочный файл Install_Flash-Player_build2x21x2.exe сидел в Temporary Internet Files.

8. Отсюда вывод: после исчезновения банера НЕЗАМЕДЛИТЕЛЬНО добираемся до скрытых папок, в названии которых содержится слово Temp и без жалости убиваем все, что в них имеется!!!
Зачистке местности также безжалостно подвергаем и папку C:\WINDOWS\TEMP

9. И все также не забываем обновить базу антивируса и прогнать свой комп на проверку/лечение от вирусов!

Ну вот так как то... ))))))))))))))