Jump to content
Arena V
Nidhekk

Компьютерные вирусы и способы избавления от них.

Recommended Posts

Типа день добрый.

Не нашел куда бы написать подобное по этому написал сюда.

Да и вполне может быть что кто-то ещё сталкнется с подобным, или прочими вирусными программами на копьютерах. В общем идея этой темы в которую можно вписывать разное описалово, всякого ужаса про вирусы и найденные способы избавления своего ПЭВМ от всякогого лево – софта.

Вот моя история.

Я по хоже подцепил на комп какой то супер ужас.

Вирь, основа которого сидит где - то в системе, ну и эта основа множит левые файлы с такими вот названиями и по следующим адресам.

c:Document and SettingsNetworkServiceLocal SettingsTemporary Internet FilesContent. ieGDEJ49EJ61[1]exe

В концовке названия папок, могут быть самые разные, и из набора файлов в папках файлы с нумерацией 1 - 71[1 - 91].exe

Или вот в этой части системы.

С:windowssistem32_______ те же файлы, + ещё некая гадость с названиями просто 1- 34.exe и некое х. ехе.

Антивири справляются только с создаваемыми снова и снова файлами, которые возникают только чуть с другой нумерацией и антивири не моугут удалить основу виря который это создает.

Антивири: «Отдельный» сканер от dr.Web, с обновленными базами на момент сегодняшнего дня; Avira; встроенный антивирусник в Outpost Firewall; ad-Aware.

Все антивири с обновленными базами на момент сегодняшнего числа.

Все антивири могут только удалять последствия и блокировать распространение заразы по компу но не добираются до самой основы, которая засоряет комп.

Переустановка винды не помогает. После переустановки вылезает то же самое, достаточно запустить скан системы одним из антивирей. Находятся те же самые файлы, вновь появившиеся но под немного другими названиями.

Вчера отформатировал основной винт где была винда на глухо, и потер разделы партишином. После переустановки винды стало даже чуть веселее. Теперь если воткнуть в комп флешку, некая гадость создает на ней авторунник, для распространения заразы на другие компы…

Ну сейчас попробовал кое что другое. может и поможет. Может… Эдак часов через 10 напишу ещё.

----------------------

В общем вопрос к знатокам, компьютерщикам. Быть может, кто сталкивался с подобным чем-то?

Как и чем можно вытереть из компа злопроклятый вирь?

Я подозреваю, что он вписан в МБР ник.

Вот, в общем мне интересны любые предложения о том как можно вытереть из МБР ника всю заразу (если конечно вирь там). Полное удаление всех разделов на глухо всех винтов не предлогать. На них не скопированные некоторые, представляющие ценность данные на 3 винтах 200 + 320 + 1500 Gb данные примерно емкостью ~ 460Gb. Нужен способ не повреждая инфу на разделах избавиться от заразы.

Надеюсь, кто -нибудь чего нибудь знает про это, или может сталкивался с в точности таким же вирем и как то у себя его уже удалял...

Share this post


Link to post
Share on other sites

Я, конечно, не профессионал, но с вирусами сталкивался.

Первое: поищи в инете про этот вирус (антивирь должен показывать название перед удалением появлющихся файлов). В частности на сайтах вроде http://www.viruslist.com или подобных. Скорее всего там уже написано как с ним бороться.

Второе: установи еще какой-нибудь антивирус, например, касперского - что не находит один, найдет другой.

Третье: просканируй систему в безопасном режиме (F8 при загрузке -> безопасных режим). Скорее всего так вирус не будет запущен и, соответственно, не сможет маскироваться от антивиря. Не знаю только dr.Web может работать в безопасном режиме или нет.

Четвертое: Попробуй вручную порыться в папке windows/system32 на предмет подозрительных DLL и EXE-файлов (с названиями типа sdfgheed.dll). Лучше это делать в безопасном режиме, иначе фиг что с ними сделаешь. Эти файлы лучше не удалять, а открывать каким-нибудь текстовым редактором (на худой конец можно и блокнотом) и удалять из него все кроме пары первых символов. Потом файл делаешь "только для чтения" - если вирь еще где-то остался он будет пытаться запустить эти файлы, а не создаст новый, обнаружив пропажу.

Надеюсь поможет :)

Share this post


Link to post
Share on other sites

Да, для гарантированного "незапуска" особо рекомендую использовать DrWeb LiveCD

Который представляет из себя linux-сборку. Windows-вирусы там по определению запуститься не смогут.

А еще есть замечательная утилитка AVZ, которая не антивирус, но против руткитов и автозапусков замечательно помогает. Хотя там уже нужно более суровое знание системы...

Share this post


Link to post
Share on other sites
Guest Рей Ряурх

scratch, расскажи как сделать DrWeb LiveCD на флешке. Мой дисковод глючит и писать отказывается. Образ из инета уже есть. Но в биосе я не могу найти автозапуска с флешки.

Share this post


Link to post
Share on other sites

Рей Фалькорр,

я делал для другой проги, но похожим образом:

форматируешь специальной программой флешку под NTFS. Затем тупо копируешь содержимое образа на флешку и вставляешь её в комп.

Для автозапуска при включении, нужно запуск этой самой флешки поставить в биосе, т.е. что то типа Removable USB Device

Share this post


Link to post
Share on other sites

форматируешь специальной программой флешку под NTFS.

По-моему и сама Ось с этим неплохо справлялась :-)

Подсказка

: достаточно старая утилита для работы с дискетами WinImage умеет писать загрузочные сектора на флеш-драйвы

Share this post


Link to post
Share on other sites

Линупс однозначно поможет! Главное в нем - сообразить как выйти в интернет, чтобы загуглить, как же все-таки выйти в интернет :)

Из под него скопировать на чистый винт потенциально неопасные данные и отформатить остальное, если ничто другое не помогает.

ЗЫ

"МБР ник" - это что-то связанное с межконтинентальными баллистическими ракетами?

Share this post


Link to post
Share on other sites

Jef-F,

По-моему и сама Ось с этим неплохо справлялась

семерка может и справляется, но икспи флешки под нтфс форматировать не умеет

Share this post


Link to post
Share on other sites

Дракон-недомерок, линупсы и так неплохо интернет подхватывают. Тем более, открыть значок с двумя компами и вбить туда данные о сети -- не так уж и сложно.

Рей Фалькорр, если загрузки с флешки в биосе нет -- то загрузочная флешка не поможет. Единственный выход -- это найти кого-нибудь с пишущим сидюком и нормально записать LiveCD

Share this post


Link to post
Share on other sites

Nidhekk, не всё так просто... этих загрузочных вирусов просто море... есть очень опасные, есть сравнительно безобидные: http://www.tver.mesi.ru/e-lib/res/334/3 ... /2BOOT.HTM

Обычно производится запись вредоносного кода вместо MBR, или boot-сектора, или модификация пути (адреса) активного загрузочного сектора в MBR. При заражении винчестера вирус, как правило, переносит родной MBR куда-нибудь в другое место на диске.

Стандартная процедура перезаписи МБР-ника это вход в BIOS, установка системного загрузочного диска, открытие консоли восстановления системы, затем вводятся консольные команды fixmbr - перезапись мбр, подтверждается это действие, затем FIXBOOT - запись нового загрузочного сектора, подтверждение действия. Пишут, что процедура потенциально опасная и можно угробить винт, но если терять нечего, то думаю попробовать всё равно стоит!

В общем вот подробнее: http://netler.ru/pc/boot-vir.htm

Share this post


Link to post
Share on other sites

Все дело в том, что загрузочный вирус не может создавать exe файлы в директориях ntfs-а :)

Его ума на это не хватит.

Share this post


Link to post
Share on other sites

семерка может и справляется, но икспи флешки под нтфс форматировать не умеет

*саркастически хихикает* :twisted:

Share this post


Link to post
Share on other sites

Альтирр

Второе: установи еще какой-нибудь антивирус, например, касперского - что не находит один, найдет другой.

Я так и сделал. Поставил антивирь который как заверили находит гадости в системе на типа той что образовалась в компе. Вроде как кое кто с подобным сталкивался, ну и скинули антивирусник.

Вот сейчас проверяю свои железяки. Антивирь Нод, он вроде как может убрать из компа мой супер вирус

Первое: поищи в инете про этот вирус (антивирь должен показывать название перед удалением появлющихся файлов). В частности на сайтах вроде http://www.viruslist.com или подобных. Скорее всего там уже написано как с ним бороться.

Пожалуй да. Однако довольно фигово работает Интернет на древнем компе с которого сейчас и пишу это сообщение. Хотя все же довольно интересно посмотреть инфу что и сделаю. Название вируса вполне определялось Авирой. Вернее кусков вируса, которые она находила.

Третье: просканируй систему в безопасном режиме (F8 при загрузке -> безопасных режим). Скорее всего так вирус не будет запущен и, соответственно, не сможет маскироваться от антивиря. Не знаю только dr.Web может работать в безопасном режиме или нет.

А вот про это не догадался, Спасибо. Если нод не поможет о запущу доктор веб в безопасном режиме

Ну или другие антивири.

Что касается, удаления в ручнуювсяких левых подозрительных файлов из папок винды и с разделов. Это я делал, там же появляется через некоторое время то же. И много. Хотя можно пойти на крайности. Например на создавать пустых папок с полностью повторяющими названиями файлов. Такое вроде как помогает.

Scorn

Стандартная процедура перезаписи МБР-ника это вход в BIOS, установка системного загрузочного диска, открытие консоли восстановления системы, затем вводятся консольные команды fixmbr - перезапись мбр, подтверждается это действие, затем FIXBOOT - запись нового загрузочного сектора, подтверждение действия. Пишут, что процедура потенциально опасная и можно угробить винт, но если терять нечего, то думаю попробовать всё равно стоит!

Это можно сделать и проще.

просто запустив комп с загрузочного диска нужно вписать это

c:format c: / mbr

Или это

c:format c: / mbr 0.0.0.1

после этого затирается весь мбр ну и может точно так же рухнуть вся инфа с разделов.

Если на винте не было чего то такого особого, то я просто снес бы мбр и потер все разделы партишином. Но пока это не буду делать. Пока. если же комп добесит то поищу куда бы залить на файлобменник все почти 400 гигов данных что не скопированы и просто на глухо сотру все разделы и потру все мбр ники на всех винтах. :evil:

И кстати на счет форматирования флешек под нтфс.

Для форматирования достаточно вписать в командной строке это:

f:/ FS: NTFS

для конвертирования

convert f:/ FS: NTFS

Хотя сам форматировал флешки прогой ну и ей же заливал образы установочников операционок на флешки.

По идее флешка с перешитой файловой системой не цепляет всякую гадость авторунную если её всовыватьв левые компы (своего рода предохранение при втыкании флешки абы куда) :-D

Однако есть одно очень большое но. Есть интересные глюки связанныке с флешками в другой файловой системе. Ну и по этому просто перед тем как воткнуть флешку без предохранения вырубаю автозапуск её.

Share this post


Link to post
Share on other sites

Nidhekk, Ну чисто теоретически, после переформатирования винта, и переустановки винды вирус сохранится не может (MBR, как и Boot-сектор загрузочного раздела, винда (XP), по умолчанию, перезаписывает при установке). Значит он у вас сохраняется , вместе со "спасаемыми" данными, либо приходит с какойто вашей флешки, или карточки. Еесли у вас есть образец файла вируса, есть такой "рабоче-крестьянский" метод - поискать по всему диску (любым "нортоном") файлы с такоже ( с точностью до байта) длинной, и сравнив по содержимому - удалить (либо найти в нем характерную строку, и поискать по диску(дискам) файлы с такой-же строкой ). Но маску имени файла - задавайте *.* :!: Против полиморфников конечно не прокатит, но прикол в том, что авторы вирусов нынче обленились, и потеряли квалификацию :mrgreen: Таких "шедевров" как в DOS-овские времена - нынче днем с огнем не сыщешь. Мне этот трюк не раз помогал, несмотря на всю его примитивность. Еще прочитайте вот это : http://www.insidepro.com/kk/220/220r.shtml , тоже хороший метод, особенно если винда "свежеустановленная". Вам главное найти "откуда он приходит".

А вообще у меня проблема вирусов, отпала посе того как я:

1) Выбросил нафиг "интернет эксплорер" (сижу под Оперой)

2) Выбросил нафиг оутлок (пользуюсь веб-интерфейсом почтовых серверов)

3) Брутально запретил запускать всяческие "автораны" (кроме того, в автозагрузку добавлено del /y c:autorun*.*, на всякий случай)

Это конечно не 100% защита, но я, вот уже 4 года, как ни одного вируса не словил, хотя даже антивирь запускаю только эпизодически (1-2 раза в месяц) :wink: .

Share this post


Link to post
Share on other sites

Хм... После установки линукса с проблемой вирусов вообще не сталкиваюсь )

Но все же, повторю свой совет -- LiveCD от Доктора Веба, и прогнать весь комп.

А также http://virusinfo.info/pravila.html -- там можно попросить посмотреть что с компом. :)

удаленно, по логам :)

Share this post


Link to post
Share on other sites

Дракон-недомерок, линупсы и так неплохо интернет подхватывают. Тем более, открыть значок с двумя компами и вбить туда данные о сети -- не так уж и сложно.

Это если не иметь дело с различными экзотическими модемными устройствами и этими хитроумными ВПНами... ::hyper

Share this post


Link to post
Share on other sites

Дракон-недомерок, мне повезло -- я не имею.

Конечно, винмодемы оно не подхватит... Но -- наличие нормального роутера (да хотя бы DLink) решает проблему с впн-ами, и бОльшей частью "модемных устройств".

А сетевки линух видит почти все современные.

Share this post


Link to post
Share on other sites

Всем спасибо за советы. Некоторые советы помогли ;-)

И спасибо друзьям за некоторые чудо антивирусники. Я некотрые проги возьму пожалуй что называется на вооружение.

Хотя всё вышло далеко не так как хотелось бы.

Довольно интересный вирусняк это был заведшийся на аппаратуре (компов несколько). Ну и довольно долго пришлось йиффаца хвостом, прежде чем потер это с компов. Вроде все пока чисто и глухо. Нету признаков вируса. Хотя есть паранойя теперь, и кажется что в компе все же что - то ещё есть, скрытое...

История, если кому это интересно. Вкратце это все было так.

Запуск компа в безопасном режиме, и запуск сканировалки от доктора веба, не помогла. Вернее сканировалка находила злополучные файлы, которые уже даже запомнил как выглядят и где находятся. Но через некоторое время все эти же файлы снова были на своих местах и вирус снова на компе был..

Нод успешно что - то нашел в мбр нике и затер судя по логам. Но зато после перезапуска компа, свалился винчестер со всеми данными на ноуте... (который все же оживил)

Подмена файлов от вируса на свои, "пустые" ни чего особо хорошего не дало. Вирус просто создавал новые левые файлы с чуть другим названием. Отключение всякой левоты в винде и затирание адресов, по которым обращался вирус также ни чего не дало. Хотя после того как подменил приличное количество файлов от вируса на свои, он немного заглох, и появление его после затирания гадостей на компе антивирусниками стало чуть более интересным. И не понятно до конца каким образом это чудо само себя восстанавливало ::shocked

И как ни странно помогло это.

Так называемый аваст, которому воткнул свежие базы.

В нем есть настройка для сканирования компа при загрузке винды, пока она не успела полностью включиться. Ну и эта штука затерла вирус окончательно. По крайней мере уже часа 3 все тихо %)

Share this post


Link to post
Share on other sites

По крайней мере уже часа 3 все тихо %)

Попробуй поперезагружать комп несколько раз, погоняй антивирусы на быстрой проверке (если очень-очень хочется, то можно и полные проверки делать). Может что найдется еще, а нет - спокойней будет.

Share this post


Link to post
Share on other sites

AVZ с недавнего времени обнаруживает:

Анализ ntdll.dll, таблица экспорта найдена в секции .text

Функция ntdll.dll:LdrUnloadDll (80) перехвачена, метод APICodeHijack.JmpTo[10004F86]

Функция ntdll.dll:NtClose (111) перехвачена, метод APICodeHijack.JmpTo[10005056]

Функция ntdll.dll:ZwClose (921) перехвачена, метод APICodeHijack.JmpTo[10005056]

Анализ user32.dll, таблица экспорта найдена в секции .text

Функция user32.dll:EndTask (202) перехвачена, метод APICodeHijack.JmpTo[10004C26]

Функция user32.dll:keybd_event (727) перехвачена, метод APICodeHijack.JmpTo[10001546]

Функция user32.dll:mouse_event (728) перехвачена, метод APICodeHijack.JmpTo[100016C6]

Анализ advapi32.dll, таблица экспорта найдена в секции .text

Удалить вроде не получается, каждый раз заново находит.

Share this post


Link to post
Share on other sites

Значит есть что-то что снова и снова заново создаёт эту красоту. ::sad

Это если только поковырять комп несколькими антивирусниками. ::sad

В прошлый раз свой комп спас только лишь тем что запускал проверку компа авастом при страрте винды.

Share this post


Link to post
Share on other sites

У меня кроме AVZ еще Panda Cloud antivirus и Comodo firewall.

Что – то у меня последнее время паранойя развивается, есть подозрение, что моя электронная почта была взломана посторонним с целью отправки сообщений от моего имени. Теперь я там пароль поставил значков двадцать

(не забыть бы его ::shocked ).

Share this post


Link to post
Share on other sites

Что – то у меня последнее время паранойя развивается, есть подозрение, что моя электронная почта была взломана посторонним с целью отправки сообщений от моего имени. Теперь я там пароль поставил значков двадцать

Это еще не паранойя. ::bouncy

Это осторожность.

А осторожность ни когда не помешает ;-)

Просто мало ли что ::blah

Share this post


Link to post
Share on other sites
Guest Рей Ряурх

Есть ли у кого на примете хорроший бесплатный файрвол без глюков? Или хотя бы антивирусник. Желательно чтобы не седьмой винде пошёл....

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...

×
×
  • Create New...