» Вирус(ы) в Windows XP,Vista,7,8,8.1. Проблемы. Решения.

angelin88

Цитата:

Просьба к модератору: включите пож., в шапку 3-Й ВАРИАНТ с Aronis Disk Director Suite!
Ибо самый лучший способ борьбы с вирусом - форматирование диска С:

Шапкой занимаюсь я. Я так понимаю это шутка?

gjf
Вопрос к Вам, как к весьма грамотному спецу по борьбя со всякой гадостью.

WinXP SP2 Home Rus, IE6, OE6 с обновами примерно прошлого года, Avira Free 8.0

Позавчера юзерь словил поронобаннер, который удалось без проблем деактивировать через Radmin, используя сервис деактивации вымогателей-блокеров, прокатило.

А вчера он словил уже другой баннер, полупрозрачный, который через Radmin был просто не виден. Сам юзерь попробовал через тот же сервис деактивировать баннер, ноль на массу.

Virus Removal Tool просто не запускался.

Пришлось пиликать в офис.

Загрузил с LiveCD KAV7 со свежими базами, просканил, нашёл какого-то троя, прибил. Напрягло то, что при попытке из-под LiveCD через ERD Сommander 2005 посмотреть системный автозапуск Commander просто закрывался. То же самое происходило при потыке восстановить MBR Акронисом из образа из-под LiveCD. Восстановил MBR из-под BootCD ATIES.

Загружаю винду, отключив сеть, здрасьте, я ваша тётя, - вот он, родной, как ни в чём не бывало, прям наваждение какое-то, с таким вперые столкнулся...

Откатил прошлогодний образ, поставил Avira Free 9.0.

Теперь несколько вопросов:

1. Что, по Вашему предположению, это могло быть?

2. Что я делал не так?

3. Спасёт ли установленный антивирь от повторения случившегося?

Заранее спасибо!

Добавлено:
Маленькое уточнение: с LiveCD был загружен BartPE.

Sish
0.
Цитата:

WinXP SP2 Home Rus, IE6

- это уже очень плохо. Начните с обновлений.

1. Понятия не имею Порнобаннеров много, MBR мог быть модифицирован легитимным софтом. А зачем MBR вообще было восстанавливать?
Никто не сможет сформулировать универсального пути лечения, равно как никто не скажет рекомендаций, пока не увидит логи исследования системы. Иначе можно не только не вылечить, но и просто завалить систему.
Кстати, через удалённый доступ никто не лечит, слишком много заразы в терминале не видно.

2. Если я не знаю, что там было - то не знаю, что и делали не так

3. Он повысит вероятность, что такое не случится. Обновления - повысят ещё больше. Файервол+хипс - ещё. Ну и так далее На 100% не спасает ничего, но приблизиться к этой цифре можно.

Если проблема всё ещё актуальна - ссылка в моей подписи. делайте логи, попробуем решить Вашу проблему. Но опять же: логи делать под админом с локальной системы.

gjf
Спасибо. Обновления планирую накатить уже сегодня.

Понятное дело, что факт личного пристутсвия уже устрашает многие вири, но... увеличивает километраж

Проблема была решена расктываением образа системы, о чём я уже писал выше, хотя, честно признаться, когда раскатывал, был даже не совсем уверен в успехе сего действа... Почему? да потому, что этот зверь ухитрился даже виндой, загруженной с LiveCD (BartPE), частично управлять (см. мой пространный пост выше).

MBR восстанавливал лишь с той целью, чтоб прибить заразу, которая, как я думал, засела примерно там.

Sish

Цитата:

да потому, что этот зверь ухитрился даже виндой, загруженной с LiveCD (BartPE), частично управлять (см. мой пространный пост выше).

Это технически невозможно. Даже в случае заражения файловым вирусом, чтобы зараза перекинулась на выполняемые файлы LiveCD в памяти нужно было что-либо запустить с заражённой системы.

MBR прибивать сразу не нужно, сначала её надо сдампить и потом лишь оценивать. И реально в таких случаях чаще всего достаточно fixmbr.

gjf

Цитата:

Это технически невозможно.

Полностью согласен, и тем не менее, факт, как говорят, на лицо.

Ведь не мог же вирь перекинуться с зараженной системы из-за того, что я из-под BartPE прибил RECYCLER и "System Volume Information" на системном разделе?

Ну да ладно, спасибо за внимание: сейчас (и, надеюсь, в дальнейшем) эту ситуацию уже не воспроизведёшь...

Sish
Перекинуться при удалении не мог. А вот баги и повреждения реестра могли быть запросто. При открытии которых ERD зависал

Я в таких случаях пробую другие LiveCD и подключаю реестр.

gjf
Так в том-то и фишка, что реестр через ERD Commander открылся без проблем, а вот системный авторан, который я пытался открыть через управлением компьютером ERD "схлопывался", что навело мысль о страшном и ужасном рутките...

Самым первым делом, грузанув BartPE я сделал чекдиск, который ошибок FS не обнаружил.

Sish
Ну не может быть такого руткита - не-мо-жет! Да Вы ж сами это понимаете, верно ведь?
Может ERD проглючил. Вон вроде OSAM может автозапуск удалённо проверять (или только это планируется?), я лично не тестил.

Для меня важно запустить систему и сделать логи. Если по каким-то причинам не удаётся - лезу в безопасный, ковыряю там. Нет - LiveCD. Целью "ковыряний" не является вылечить всё, а просто получить возможность взять логи. И уже по логам - лечим всё

А потому в LiveCD обычно удаляю записи в реестре руками, там не так много мест нужно проверить, чтобы это сделать.

Sish
ERD Commander на закладке Автозапуска "скопытывается" регулярно (но не постоянно) ничего удивительного в этом нет.

IvANANvI

Цитата:

ERD Commander на закладке Автозапуска "скопытывается" регулярно (но не постоянно) ничего удивительного в этом нет.

У меня такое было впервые. Сегодня ещё раз проверил на другом компе - работает, как часики.

Плагин брал отсюда.

Добавлено:
И ещё, к слову: по непонятным причинам споткнулся и ATIES при развёртывании MBR из-под BartPE, что за ним (ATIES) ранее никогда не замечалось. Я об этом писал здесь.

Прямо-таки какая-то цепь странно совпавших обстоятельств

gjf
Я в личку забросил ссылку на файлик. Если необходимо сделать какие-либо логи с машинки, то сделаем.

Всем доброго времени суток! Знающих решения проблем с вирусами, а в особенности вируса Net-Worm.Win32.Kido, огромная просьба откликнуться!!!
Имеется две машины (ноуты Dell Inspiron 1501 и Aser Aspire 5110, на обоих стоит система Win XP Prof SP2) с признаками заражения данным вирусом, а именно:
- на одной машине (Aser) невозможно обновить базы антивируса (Nod32) и зайти на офсайты известных антивирусных программ (с любого браузера);
- на второй (Dell) активный сетевой экран Каспера сообщает об атаке Intrusion.Win.NETAPI.buffer-overflow.exploit. и блокирует. При этом обновляется и заходит на офсайты антивиров без проблем.
Что я сделал:
Скачал с офсайта Каспера утилиту для удаления данного вируса KidoKiller.exe. Запустил, она просканировала систему и действительно нашла и удалила несколько вирусов на одном и втором компе. Перезагружаюсь, не помогло... Сканирую ещё раз, найдено и вылечено ноль. Перезагружаюсь, результат тот же...На всякий случай скачиваю ДоктораВеба и Касперский ремувит туул, Сканирую и тем и тем в безопастном режиме, находит на одном (Aser) пару троянов и вылечивает. Перезагружаюсь, не помогло... Скачиваю Доктор Веб Лайф сиди, прожигаю на болванку, сканирую обе машины, вирусов ноль. Опять перезагрузка, не помогло...
Подскажите, каким ещё способом можно его достать и убить? А так же как обезопаситься от данного вируса в дальнейшем?
Заранее чрезмерно благодарен откликнувшимся!!!

devis177, скачиваете AVZ, распаковываете и запускаете, меню Файл - Восстановление системы, отметить пункт 15, применить и перезагрузить компьютер. Также не мешает посмотреть-почитать за что отвечают другие пункты.

devis177
+ ещё обязательные заплатки на винду поставить необходимо от кидо: WindowsXP-KB957097-x86-RUS.exe, WindowsXP-KB958644-x86-RUS.exe, WindowsXP-KB958687-x86-RUS.exe

devis177
"Не помогло" в чем выражается? В невозможности обновить базы и зайти на сайты антивирусных вендоров?

Если да, тогда вам нужно почистить файл hosts. Находится в c:\windows\system32\drivers\etc
Удалите от туда записи вида
127.0.0.1 kaspersky.ru
и т.д.

Насчет обезапасить, читайте литературу, если вкратце то:
1. Работать под учеткой пользователя а не админа
2. Обновлять windows всегда по мере вызода заплаток
3. Держать антивирус обновленным и не отключать его на время (поиграть в игрушку, а то комп тормозит и т.д.)
Думаю этого хватит, что б жить спокойно

devis177
Лечение ПК от Kido/Conficker/Shadow.based и Sality
(C) Annymann
[more=Подробнее...]Лечение ПК от Kido/Conficker/Shadow.based и Sality
(C) Annymann

Удаление с ПК kido/conficker/shadow.based как раз намного проще, чем Sality, т.к. кидо заражает некоторые exe файлы и всё, а салити заражает все exe, до которых может дотянутся + блокирует диспетчер задач, редактор реестра, загрузку в безопасном режиме.
Т.е. пока хоть одна инфицированная программа запущена - компьютер заражается заново, причём он заражает и svchost и explorer и даже касперского(если тот был отключен) и ставит свой драйвер.

Проще всего выличится от салити, если салити офф не помогает - загрузившись с загрузочного cd проверить всю систему. Загрузочные cd можно взять здесь: http://www.freedrweb.com/livecd - dr.web live cd;
http://dnl-eu2.kaspersky-labs.com/devbuilds/RescueDisk/kav_rescue_2008.iso - kav live cd;
http://rapidshare.com/files/243281370/Hirens.BootCD.9.9.incl.keyboard_patch.rar - hiren's boot cd

если вы не можете воспользоваться лайв cd, скачайте одну из антивирусных утилит (они бесплатны):
http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/ - avp tool от kaspersky
http://www.freedrweb.com/ - Dr.Web CureIt
Затем запишите их на cd (или любой другой носитель, защищенный от перезаписи).
Отключитесь от ВСЕХ сетей, кроме сети электропитания и просканируйте всю систему (все диски зараженного компьютера).

ВАЖНО: скачивайте файлы и записывайте на cd только на заведомо чистой машине.
Во время сканирования, не запускайте НИЧЕГО на проверяемой машине.

---

Необходмо понимать - если компьютер инфицирован, то любые файлы, с которыми работали на нём, с большой вероятностью будут также инфицированы (не важно, открыли ли файл или просто вставили флеш диск с файлами).
Поэтому не вставляйте флеш-носители, подключавшиеся к инфицированному компьютеру в другие компьютеры, чтобы избежать их заражения.
Проверьте сначала эти флеш-носители на заведомо чистом компьютере, антивирусом с недавно обновлёнными базами.

---

Салити блокирует загрузку в безопасном режиме, вот решение: http://www.z-oleg.com/secur/advice/adv1205.php
Чтобы разблокировать диспетчер задач и редактирование реестра, скачайте avz: http://z-oleg.com/avz4.zip
Следуйте указаниям с: http://www.z-oleg.com/secur/advice/adv1231.php

также, возможно у некоторых возникнут другие проблемы, вот как их решить: http://www.z-oleg.com/secur/advice/

Вот как лечить Kido:
http://support.kaspersky.ru/wks6mp3/error?qid=208636215
http://vms.drweb.com/virus/?i=172457
1. Скачать на чистом компьютере
http://data2.kaspersky.com:8080/special/KK_v3.4.7.zip
http://www.microsoft.com/rus/technet/security/bulletin/MS08-067.mspx
http://www.microsoft.com/rus/technet/security/bulletin/MS08-068.mspx
http://www.microsoft.com/rus/technet/security/bulletin/MS09-001.mspx
2. Отключится от всех сетей.
3. Запустить утилиту KK_v3.4.7.
4. Установить все три заплатки.
5. Проверить компьютер антивирусом с обновлёнными базами.

Добавлено:
Чуть не забыл: салити, как и многие выводит из строя отображение скрытых файлов и папок, вот как это исправить (вирусы уже должны быть вылечены):
1) Находим ключик:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
Удаляем параметр CheckedValue
2) «создать --> параметр DWORD»
Называем его CheckedValue. Cтавим значение «1» (0x00000001)[/more]

Добавлено:

Цитата:

ВАЖНО: скачивайте файлы и записывайте на cd только на заведомо чистой машине.
Во время сканирования, не запускайте НИЧЕГО на проверяемой машине.

devis177
1. Вырубаете машину от сети.
2. Запускаете Kido Killer.
3. Ставите (обязательно!!!) SP3. До этого момента в сеть машину не включать!!!
4. Включаете в сеть, ставите последние обновления.

Если есть подозрения, что засела зараза ещё - делать логи и выкладывать в теме в моей подписи.

Stalker61
07:01 26-05-2010
Цитата:

Bolenic
XRANITELNICA

Цитата:Ну, можете перед этим попробовать вот что.
Скачайте Dr.Web 5 portable - отсюда

Ну уж тогда предпочтительней будет вариант с Dr.Web CureIt! и запускать его в безопасном режиме предварительно отключив восстановление системы.

Stalker61!
А не предложить ли XRANITELNICA какой-то из Live CD,
чтобы загрузилась с него?

P.S.
Хотя, судя по этому сообщению -

XRANITELNICA
09:29 26-05-2010
Цитата:

Stalker61
скачала...просканировала ..быстрая проверка....обнаружил ...Trojan.AdultBan.26...наверное это и был след того бана..что просил смс..

дело уже сдвинулось.

Bolenic

Цитата:

А не предложить ли XRANITELNICA какой-то из Live CD,
чтобы загрузилась с него?

Сразу, думается, не надо. Правильнее идти от простого к сложному, а посему F8 > Безопасный режим > Отключаем Восстановление системы > Быстрое сканирование > Полное сканирование = И всех глистов к ногтю.

Stalker61
поставила на полное сканирование...как вы сказали..полезли глисты из всех щелей...и сканер их давит

Добавлено:
Bolenic
Stalker61

поставила на полное сканирование...как вы сказали..полезли глисты из всех щелей...и сканер их давит

XRANITELNICA
Умничка!

Добавлено:
После сканирования удали все файлы *.tmp, cookies и временные файлы интернета (Temporary Internet Files)

Stalker61
cookies и временные файлы интернета ...я знаю как удалять....а вот *.tmp...незнаю

XRANITELNICA

Цитата:

cookies и временные файлы интернета ...я знаю как удалять....а вот *.tmp...незнаю

Можно воспользоваться прогой Anti Tracks
http://forum.ru-board.com/topic.cgi?forum=35&bm=1&topic=20536&start=100#lt
Удобная прога для "ежедневной уборки пыли",имхо.
Мне больше нравится версия 6.9.40.9. Нажал Start Erasing Now и все. В вер. 7 этой опции не нашел.
Несколько
ЗЫ
Ну и по Settings пробежаться.

AlexIva
узнаю все больше нового..но для меня все это сделать сложно..я же простой пользователь..

XRANITELNICA
Эту прогу посоветовал как раз из соображения ее относительной несложности,имхо. Если заинтересовала, можем перейти в ее топик, попробую ответить на вопросы.

Цитата:

я же простой пользователь..

Ну все с этого начинают. Главное иметь желание,имхо.

XRANITELNICA
Ты не стесняйся и спрашивай чего непонятно. Все с чайников начинали, а на борде принцип помогать ближнему. Файлики *.tmp валяются туточки - C:\WINDOWS\Temp

Добавлено:
Можно еще ч/з Пуск > Найти > Файлы и папки (указываешь диск и расширение)

Stalker61

Цитата:

Файлики *.tmp валяются туточки - C:\WINDOWS\Temp

Ну не только, в Documents and Settings... еще. В каких-то случаях (заразы?) и свои папки Temp могут создаваться.

AlexIva

Цитата:

в Documents and Settings... еще. В каких-то случаях (заразы?) и свои папки Temp могут создаваться.

Не отрицаю. Есть такое дело.

Цитата:

Файлики *.tmp валяются туточки - C:\WINDOWS\Temp

Цитата:

и свои папки Temp могут создаваться

а не проще ли, посмотреть переменные Temp и TMP например так:
Win+R
cmd
в окне набираем: set
и смотрим переменные
TEMP=...
TMP=...
дальше чистим содержимое этих папок

Весь "хлам" прекрасно чистит CCleaner http://forum.ru-board.com/topic.cgi?forum=5&topic=15300&start=540#lt(к тому же бесплатно...)