pinnacle studio  

Вернуться   pinnacle studio > Информационный раздел > Флеймиловка
Флеймиловка Разговоры за жизнь...



Недвижимость в Йошкар-Оле
Ответ
 
LinkBack Опции темы
  (#51) Старый
Отзывов: (0)
 
Аватар для zett
 
Сообщений: 791
Благодарностей: 1724
Регистрация: 13.04.2006
Адрес: Чита Russian Federation
Конфигурация компа:
Фото/видео:
Отправить сообщение для zett с помощью Skype™
По умолчанию 20.03.2008, 16:19

Согласен, эпидемия в разгаре. Способов как говорится много: поставить антивирусник, не втыкать флешки, не включать комп и т.д. Все это не то. Мой метод такой (просто делюсь мнением): отключил полностью автозапуск
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
навсякий случай здесь тоже
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
Переодически запускаю (когда втыкаю флешку) для проверки Security Task Manager, установил твик, который вместо регистрации файлов .reg запускает блокнот.
Вот пример чистки одного компа у человека. Правда он не полный, ибо я забыл снять скрин:
[Для просмотра данной ссылки нужно ]
Также на рисунке видно, что прога не зарегистрирована. Под действием какого-то вируса изменены ключи в реестре и последний не запускается. Все, кирдык системе, но пока еще дышит.
По памяти там еще были RavMon.exe - угроза 97%, Autorun.exe и еще что-то. Пока не отключить зараженные процессы, хоть до дыр удаляй файлы, они все равно появляются. Характерным признаком зараженного файла является иконка папки с расширением .exe Файл появляется во время запуска какого-нибудь .exe.
Если вдруг запустили зараженный файл, то как вариант можно отследить его путь с помощью пуск - поиск -- файлы и папки -- когда были произведены изменения -- выбираем диапазон и пуск. Также после отключения зараженных процессов запустить AVZ на проверку. Если не отключить процессы, то он на каком то месте вырубается.
Если что еще вспомню напишу.


- Мысль опережает действия, а последствия отстают.
-Чем богаче язык, тем больше разница в понимании информации.
Ответить с цитированием
 
  (#52) Старый


Отзывов: (8)
 
Аватар для Маклауд
 
Сообщений: 6,967
Благодарностей: 11867
Регистрация: 08.11.2005
Страна: Russian Federation
Конфигурация компа:
По умолчанию 20.03.2008, 18:47

Вобщем-то я тоже вариант с восстановлением системы использую. Сначала загружаюсь в безопасном режиме и в TotalCommander удаляю все пары авторанов на всех дисках. Удаляется без вопросов. После этого сразу загружаю с CD Acronis и возвращаю образ чистой и рабочей системы.
Потому как просто удалением вируса не могу вернуть в рабочее состояние испорченое им. В частности невозможно включить отображение скрытых и системных файлов в проводнике Windows и не удаётся отключить автозагрузку дисков.
Возможно что-то ещё, но это наиболее наглядно. Не известно что будет дальше. Поэтому и откат системы. По времени 15 минут все манипуляции, но всё-равно достало уже!
Вот и хочется найти этакий файрвол для авторанов. Они, гады, ещё и всякие-разные ...
Ответить с цитированием
Эти 2 пользователей(ля) поблагодарили Маклауд за это полезное сообщение:
  (#53) Старый
Отзывов: (6)
 
Сообщений: 6,743
Благодарностей: 22888
Регистрация: 04.01.2006
Страна: Russian Federation
Конфигурация компа:
Фото/видео:
По умолчанию 20.03.2008, 20:17

Может, у нас тут автораны попроще.. втыкал флешку при запущеном SpIDer Guard (Dr.Web) потом следы добивал вручную на флешке.. Та разновидность, с которой я встречался, при попадании на комп копировалась только в те папки/директории, которые открывались пользователем после заражения. Если его душить на флешке, предотвратив автозапуск флешки, сам вирус не размножается. Но, повторюсь,- может только наша, comic-версия (от слова Коми) :-)

Ну, раз так плохо с вирусами, могу подкинуть пару матёрых ... :)))
Маклауд


..счастья ищешь, или ночь скоротать?

Последний раз редактировалось Маклауд; 20.03.2008 в 21:47.
Ответить с цитированием
  (#54) Старый
stranik
Гость
 
Сообщений: n/a
По умолчанию 20.03.2008, 21:05

Просто и надежно-UnHackMe.Проверяет при загрузке и удаляет,может мониторить.Помог мне при неудаче AVZ.Еще дополнительно-Flashcontrol,проверяет флешку,реестр,комп на наличие Autorun.
Ответить с цитированием
  (#55) Старый
15 HARD 3


Отзывов: (0)
 
Аватар для лурик
 
Сообщений: 2,546
Благодарностей: 5250
Регистрация: 14.11.2005
Адрес: Самарская область Russian Federation
Конфигурация компа:
Фото/видео:
Отправить сообщение для лурик с помощью ICQ Отправить сообщение для лурик с помощью Skype™
По умолчанию 21.03.2008, 00:20

Сегодня целый день возился со всей этой лабудой.Сначала думал что Касперский глючит а потом глянул и правда не открываются скрытые папки .скачал и Flashcontrol и Антирун ни чего не помогло только удалишь тут же опять появляется с полчаса нажимал кнопку "удалить" так до конца и не удалялось.затем востановил Ахрониксом образ -та же фигня на обоих компах.Вообщем получилось только как у Маклауда в 52 посту,только я загружался не в безопасном режиме(Тотал командер не установлен)а с диска Винду РЕ загружал удалял все ненужное и сразу с диска Ахрониксом образ Восстанавливал(ладно хоть делал бэкап месяц назад)на весь процесс 20 минут- и пол дня еще потеряного времени на остальные процессы которые не помогли.Считаю этот вариант оптимальным.Только вот не пойму откуда эта зараза взялась и как теперь на будущее от нее предостеречся (откуда ждать вероятнее всего эту заразу?)
Ответить с цитированием
  (#56) Старый
Отзывов: (0)
 
Аватар для zett
 
Сообщений: 791
Благодарностей: 1724
Регистрация: 13.04.2006
Адрес: Чита Russian Federation
Конфигурация компа:
Фото/видео:
Отправить сообщение для zett с помощью Skype™
По умолчанию 21.03.2008, 01:08

У меня такое ощущение, что я пост состряпал для себя. Если ничего не делать на компе, то можно и откатами спасаться. Флешку воткнул - откат и так по кругу. Вирус это таже программа, которой нужен доступ к реестру. Не пропишется - при перезагрузке или включении компа не будет активным.
Каким должен быть реально экран от этой заразы? Без мониторинга, - только запрет на все Autorun(ы). Ну так и отключите автозагрузку.
Допустим запустили вы вирус, который умеет удалять атрибут скрытых файлов. Как правило имеются пакетные файлы типа: REGEDIT /S %systemdrive%\install\xxxx.reg. Или REG ADD..... И ну что будет с этими командами, если кислород к реестру перекрыт?


- Мысль опережает действия, а последствия отстают.
-Чем богаче язык, тем больше разница в понимании информации.
Ответить с цитированием
  (#57) Старый


Отзывов: (8)
 
Аватар для Маклауд
 
Сообщений: 6,967
Благодарностей: 11867
Регистрация: 08.11.2005
Страна: Russian Federation
Конфигурация компа:
По умолчанию 21.03.2008, 02:26

Цитата:
zett:
Мой метод такой: отключил полностью автозапуск ...
... Файл появляется во время запуска какого-нибудь .exe.
Ну и как в таком случае быть, раз зараза появляется при запуске "какого-нибудь .exe"? Автозагрузку всего отключаю сразу, просто потому что не нравится когда что-то запускается без моего указания. Но как быть, раз зараза появляется при запуске "какого-нибудь .exe"? Да и просто при открытии папки (флешки) система же что-то там сканирует, идентифицирует. Расставляет (вытаскивает) нужные иконки. Это же тоже практически запуск "программы открытия папки".

Цитата:
Пока не отключить зараженные процессы, хоть до дыр удаляй файлы, они все равно появляются.
А я вот, например, 90% названий процессов просто не понимаю. И как мне отключить именно заражённые?

Но главная проблема всё-таки не в удалении вирусов, а в том, что даже удалив их имеем проблемы с тем, что они что-то уже испортили в системе.
Ответить с цитированием
Этот участник поблагодарил(а) Маклауд за это полезное сообщение:
  (#58) Старый
Отзывов: (0)
 
Сообщений: 1
Благодарностей: 0
Регистрация: 02.02.2006
Страна: Russian Federation
По умолчанию 22.03.2008, 04:38

А я пользуюсь Пандой и вопросов и каких либо проблем с авторанами никогда не было
Ответить с цитированием
  (#59) Старый


Отзывов: (8)
 
Аватар для Маклауд
 
Сообщений: 6,967
Благодарностей: 11867
Регистрация: 08.11.2005
Страна: Russian Federation
Конфигурация компа:
По умолчанию 23.03.2008, 21:57

А проблем нет потому, что Панда вылавливает автораны или может быть вы просто на них никогда и не натыкались? Могу прислать - потестите свою Панду ;)

Цитата:
zett:
Переодически запускаю Security Task Manager (когда втыкаю флешку) для проверки , установил твик, который вместо регистрации файлов .reg запускает блокнот.
А можно поподробнее, что за Security Task Manager и где этот твик?

И у меня нет в реестре ветки
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\Explorer
А в HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Policies\Explorer для ключа NoDriveTypeAutoRun стоит значение 0х00000091 (145)
Это нормально?
Ответить с цитированием
Этот участник поблагодарил(а) Маклауд за это полезное сообщение:
  (#60) Старый
Отзывов: (0)
 
Сообщений: 24
Благодарностей: 12
Регистрация: 03.01.2006
Страна: Russian Federation
Конфигурация компа:
По умолчанию 23.03.2008, 23:47

Ребята, прочитал ветку и подумал, как вы любите усложнять себе жизнь... По долгу службы и мне приходится часто пользоваться флешками. Каких только "авторанов" не приходилось видеть. А ведь у меня 4 винта. Но метод моей защиты очень прост. Установлен доктор Веб (тестер), который сидит в трее и на дух не переносит автораны, спокойно удаляя их с флешки и системы в ту же секунду, как только вставляется флешка. Естественно, веб обновляется раз в пару дней (но это, скорее, для порядка). А для подстраховки, если доктор веб при вставки флешки промолчит, открываю Nero Burning ROM с рабочего стола, кликаю на флешноситель и просматриваю содержимое флешки. Если вижу подозрительные файлы, удаляю, не "отходя от кассы" и "сплю спокойно". Никаких других заморочек не использую. Чего и вам желаю. Да, забыл сказать что впервые заразившись когда-то, вылечился от вирусов двумя программами. В безопасном режиме скан всех дисков Cureit и AVZ. А на счёт возможности включения скрытых файлов нужно пройти по ветке и присвоить значение "1" параметру реестра: KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\Advanced\Folder\Hidden\SHO WALL\CheckedValue
Ответить с цитированием
Ответ

Социальные закладки


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Trackbacks are Выкл.
Pingbacks are Выкл.
Refbacks are Выкл.


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Осторожно: ВИРУС! ahilles555 Интернет 205 19.04.2014 21:45
Autorun для CD дисков DRLIM "Железный" софт 6 08.03.2011 21:46
Внимание - ВИРУС! kornei-net Для новичков 73 17.03.2010 21:41
Новый вирус Муравей Флеймиловка 6 21.05.2008 18:19



Все использованные на сайте названия продуктов и торговые марки принадлежат их законным владельцам.
При перепечатке или ретрансляции материалов с сервера DrBOBAH.com ссылка на сайт обязательна!
SEO by vBSEO ©2011, Crawlability, Inc.1


Принимаем WebMoney Наша кнопка