Осторожно: ВИРУС!

[ahilles555]

Так как мы все являемся активными пользователями интернета, то решил создать тему, где пользователи могли бы предупреждать о появлении новых вирусов.

Попутная тема:

• [Для просмотра данной ссылки нужно ]

[Доктор ВОВАН]

Разхмат.
Только тогда уже лучше

Скрытый текст (вы должны зарегистрироваться или войти под своим логином):

У вас нет прав чтобы видеть скрытый текст, содержащейся здесь.

[Neb4St]

Надо заходить с LiveCD или подобных и чистить ручками. Папки ТЕМР, смотреть реестр по автозапуску. Там всё видно, какие левые файлы грузятся и где они лежат. Но это всё надо уметь. Я смотрю через ERD Commander ветки автозапуска, и в редактор реестра Винды с LiveCD подгружаю куст реестра software заблокированной Винды, и смотрю не дописано ли чего к стандартным загрузкам winlogon. Только это тоже надобно навыки иметь. Грузите AntiWinLocker LiveCD, там все операции делаются нажатиями по кнопочках типа "Сделать всё хорошо".

[Chadaev]

[Для просмотра данной ссылки нужно ],
Ты как думаешь,если при нажатии на диск D:-пишет красным "Отказано в доступе.Приложение не найдено",а в Тотал Командере открывается-это вирус или что?

[kiv67]

Скрытый текст (вы должны зарегистрироваться или войти под своим логином):

У вас нет прав чтобы видеть скрытый текст, содержащейся здесь.

лучше не придумали, не помогает в том случае, если папка виндовс стоит например на диске е:\.
Вирус бывает двух видов, первый вариант, позволяет загрузку, но блакирует рабочий стол, лечится ручками с правкой реестра, второй садится в мбр, лечится утилитой с сайта.

Скрытый текст (вы должны зарегистрироваться или войти под своим логином):

У вас нет прав чтобы видеть скрытый текст, содержащейся здесь.

ну просто все об этом, смотри и не пугайся))))

Скрытый текст (вы должны зарегистрироваться или войти под своим логином):

У вас нет прав чтобы видеть скрытый текст, содержащейся здесь.

Темп здесь не причом, смотрим свой профиль и кещ Вашего проводника, но уже после лечения , а лучше прогоняем все диски антивирусом.)

[Neb4St]

Попадалось много, где сам блокиратор сидел в папке ТЕМР. Просто и банально. Даже мелькнула мысль: Винды настраивать, чтоб автоматом при выходе очищались временные папки. Только это чревато для некоторый установщиков, требующих перегруз для завершения инсталляции. И во временных папках IE попадались, и прямо в корне папки пользователя. Один раз в MBR попался ))) - недоумевал, что это я нигде ничего не нахожу. Прогнал NOD-ом, ан вот оно где!
[Для просмотра данной ссылки нужно ], а autorun.inf в корне диска D нет?

[kiv67]

Neb4St с праздником . Я описал именно для данного вируса, потому как изучил и лечил его. Тело этого вируса лежит в профиле пользователя, так как это "разновидность" попадает на комп клиента после отрабатывания java скрипта (поэтому антивирусы тут бессильны) и не зависимо на "хороший" или "плохой" сайт Вы зашли. Первая его разновидность тупа дописывала в файл explorer.exe строчку, которая и выводила, что Вы были на порно или гей сайтах, кстати маленькое отступление.)))Когда жене клиента объяснил истинное происхождение и даже, да даже на примере показал как это происходит, спас семью от развода.
P.S Значит и меня как защитника с праздником)))))

[Chadaev]

[Для просмотра данной ссылки нужно ],
Нет,авторана нет,я уже винду перебил-все нормально.Спасибо.А вот если троян в MBR прописался,то это очень плохо-и виндовс не поставишь и зайти нельзя.Я раньше его убивал Dr.Web Curiet свеженьким,а теперь есть диск загрузочный с Семеркой,а там мультизагрузка из под ДОСА с программой для удаления таких троянов.Загрузчик такой можно отдельно скачать-называется WinDoza

[zett]

Согласен с Neb4St по использованию ERDCommander. Есть интересный сайт, где люди потрудились выложить руководство по его использованию и подробно разжевали все нюансы. От себя хочу добавить, чтобы нужные значения, даже если они соответствуют нужному, перебивали заново. Это связано с тем, что буквы английского и русского алфавита похожи визуально, но различны по коду. Например, explorer - если вставить русскую букву "Е", то это будет уже вирус.
Выложены методы борьбы с Winlock, но не с MBRlock. nikolajj1 учиться всеравно придеться. Удачи и всех с праздником!!!

Скрытый текст (вы должны зарегистрироваться или войти под своим логином):

У вас нет прав чтобы видеть скрытый текст, содержащейся здесь.

Chado, пишут(сам не пробовал), что для Win7 с помощью ERDCommander проще простого переписать MBR с помощью команды: bootrec.exe /fixmbr

Скрытый текст (вы должны зарегистрироваться или войти под своим логином):

У вас нет прав чтобы видеть скрытый текст, содержащейся здесь.

[Neb4St]

Цитата:

Сообщение от kiv67

Когда жене клиента объяснил

Так это же не спроста такие пугаловки в тексте ))). Дети боятся родителей и шлют деньги, муж понимает "я спалился!!!", и т.д. Особенно смешно про гей-порно ))). Мне когда приносят такие компы, то по невразумительному бормотанию о причинах "ремонта" я уже догадываюсь что именно надо "отрихтовать". Хотя уже народ грамотный пошел, что приятно. Стразу говорят "банер снять можете, чтобы данные не потерялись?". Вот защититься трудно. Правда парочку раз UnHackMe в реальном времени предупреждал, что то и то прописалось в автозагрузку. Сам ни разу не подхватил. Когда появился такой вид угрозы, несколько вечеров попутешествовал по порносайтам, и всё-таки заловил предложение скачать "новый флеш-плеер". Скачал, посмотрел, на виртуалке попробовал - оно ))). Теперь даже качать не обязательно. Всё за тебя сделают. Только на страницу нужную зайди.

[commar]

Цитата:

Сообщение от Neb4St

Надо заходить с LiveCD или подобных и чистить ручками

Совершенно согласен. В безопасном не зайти, зато просто зайти с любого LiveCD, и просто вычистить автозагрузку и папки хранения временных файлов. После этого уже можно загружаться как обычно и запускать антивирусные сканетры.