Показать полную графическую версию : Защита от вируса
Surkin64
20-12-2010, 22:33
Здравствуйте!Ребята,у меня вот какая проблема.Сын зашел в социалку(В контакте)и подхватил вот заразу.У него сейчас на компе высвечивается окно в котором требуют перевести на определенный номер деньги.Только после этого вышлют код и можно будет убрать эту херню(извиняюсь за грубость).Я уже где-то слышал про это,но как с этим бороться незнаю.Клава на кнопки не реагирует.Подскажите как быть в данной ситуации.Не систему же переустанавливать,или всё же платить?Дайте совет.
Surkin64, попробуй вот это:
http://www.drweb.com/unlocker/index/?lng=ru
или почитайти эту тему:
http://forum.oszone.net/thread-148188.html
Если не поможет, тогда воспользуйтесь Dr.Web LiveCD! (http://www.freedrweb.com/livecd/?lng=ru) и проверьте пк на вирусы!
А если и это не поможет тогда вам сюда (http://forum.oszone.net/forum-87.html)
http://virusinfo.info/deblocker/
http://support.kaspersky.ru/viruses/deblocker
http://www.esetnod32.ru/.support/winlock/
Бывает не помогает.
Surkin64,
Ещё один трюк (когда нет под рукой дисков и т.п.)
как закрыть окно баннера-вымогателя (если не на весь экран)
1. как обычно вызываем диспетчер задач (Ctrl+Alt+Del)
2. окно диспетчера закрыто баннером
3. правой кнопкой мыши по панели задач и выбираем "Окна сверху вниз"
4. закрываем баннер
5. чистим реестр и удаляем файлы
работает в большинстве случаев и практически голыми руками
1. запускаем диспетчер процессов и убиваем "svcgoost"
2. идём в windows (или, как там она у вас...) и убиваем "svcgoost.exe"
3. идём в автозапуск (но не в этот, а в другой ) и убиваем "ATI Helper"
4.
Цитата:необходимо отредактировать файл hosts,
расположенный по умолчанию в папке C:\WINDOWS\system32\drivers\etc.
Это умолчание задается в реестре в ветке
hkey_local_machine\system\currentControlSet\Services\Tcpip\Parameters в
расширяемом строковом параметре DataBasePath, его значение должно
быть %SystemRoot%\System32\drivers\etc. В данном файле hosts необходимо
оставить текстовую «шапку», расположенную в начале файла
(строки, начинающиеся со знака #), а после «шапки» оставить только строку
127.0.0.1 localhost (между IP и именем табуляция) и те строки, которые
вы сами когда-то вносили в данный файл. Остальные строки необходимо удалить.
Установите на этот файл атрибут «только для чтения»
именно в такой последовательности
Surkin64,
биваются такие вирусы за 10 минут работы ручками. Алгоритм работы проверен несколько раз
на различных компах и всегда с одинаковым результатом.
1. Перезагрузка в безопасном режиме (ОБЯЗАТЕЛЬНО без поддержки сети).
В этом режиме вирус не активен.
2. При помощи бесплатной программы RevoUnistaller (или ей подобной) удалить
все установки всех браузеров (IE в этот список не входит). С очистткой всех следов
в реестре и на винте.
3. Почистить все временные папки. Удалить все файлы относящиеся к браузерам.
4. Найти в сервисах "странные" службы которые запускаются автоматически и отключить
их (запретить любой их запуск).
5. Отключить из автостарта программы которые вам не знакомы или есть странности
в казалось бы стандартном имени.
6. Почистить корзину. И проверить комп на вирусы (проверка может ничего не дать
но не помешает).
7. Почистить реестр (поиск ошибок в ключах и удаление битых ссылок).
Чистка реестра должна быть последней.
После всех этих манипуляций вирус не проявится. А если попытаться вирусу подсунуть
какой нибудь код, то можно только отключить вирус на время. Он может затаится и
проявится через какоето время. И тогда снова начнутся проблемы. Да антивирусами
эту проблему я так и не смог решить. С первым вирусом пришлось переустанавливать ОСь.
А после этого алгоритма вирус пропадал.
Surkin64
21-12-2010, 12:07
Ребята,спасибо за советы.Но по некоторым из советов невозможно провести манипуляции,т.к. клавиатура не отвечает.Вечером сын придет домой и будет пробовать через безопасный режим.Потом отпишусь.Сам не могу помочь ему,он живет в Туапсе,а я по-другую сторону хребта.Общаемся по тлф.
myhouse_1991
21-12-2010, 19:58
Сын зашел в социалку(В контакте)и подхватил вот заразу
В следующий раз настройте систему так, чтобы браузер не имел полного доступа к системе - лишний функционал и широко используется не для хороших целей.
1. как обычно вызываем диспетчер задач (Ctrl+Alt+Del) »
Гм, сколько блокеров повидал, все отключали возможность вызова диспетчера..
1. Перезагрузка в безопасном режиме (ОБЯЗАТЕЛЬНО без поддержки сети).
В этом режиме вирус не активен. »
.. равно как или совсем отключен safe mode, или там такой-же блокер.
Severny,
Я только написал алгоритм, а уж прислушиваться или нет ваше дело...
В безопасном режиме вирус блокер не активен, что дает некоторое преимущество в его удалении
xoxmodav
23-12-2010, 08:36
В безопасном режиме вирус блокер не активен, что дает некоторое преимущество в его удалении »
Кто это сказал? Они уже давно себя нормально чувствуют и в безопасном режиме - также не дают ничего сделать, вот только буквально позавчера такой удалял.
pavel111
23-12-2010, 09:18
мало того вряд ли в безопасный режим "войдешь"... вылетит в "синяк" или в перезагруз уйдет.
только грузиться с лайва или подгружать реестр с другой системы.
а все манипуляции в системе (после вычистки автозапуска зловредов) это уже дело техники.....
myhouse_1991
23-12-2010, 09:27
Честно говоря я бы просто переустанавливал систему - еще непонятно, что эти программы творят и какой руткит они могут подсунуть (проблема руткитов в том, что в неактивном состоянии они плохо находятся, а в активном состоянии они перехватывают большинство функций ОС и заведомо ложно выдает программе информацию, из-за чего руткит становится невидимым). Конечно можно сделать внешний вид, что система работает и послушно выполняет команды пользователя, но вот что творится внутри...
В безопасном режиме вирус блокер не активен, что дает некоторое преимущество в его удалении
Заразил драйвер или ядро системы - он будет всегда в активном состоянии.
P.S. Таких лишних проблем можно было бы избежать, если просто сделали самое примитивное - файловая система в NTFS + запуск браузера без прав администратора. В этом случаи после действия эксплоита нужно будет вычищать только пользователя, а не всю систему.
Surkin64
23-12-2010, 11:09
Спасибо за советы.Многие информативны,но мне кажется переустановка ОС это крайний случай.Ведь мы не меняем машину,если у нее пробилось колесо или забился карбюратор,согласитесь.Я,конечно,не силен в программировании,но в любом случае должно быть средство от этой напасти.Др.ВЕБ помогает,но вдруг (а может и просто)у человека нет подрукой этого диска.Я так же понимаю,что 90%пользователей,приобретают комп.только для развлечений и посещения всяких там сайтов(во многом опасных),но хотябы элементарные познания нужны.И ещё,а если человек живет в глуши,и до ближайшего СЦ только по турпутевке можно доехать,как ему быть?А вообще-то спасибо за помощь.Сын взял у друга диск с Вебом и сегодня вроде бы должен почистить комп.Что получится,пока не знаю.Сообщит мне,я сообщу на форум.Всех с Наступающим!
xoxmodav
23-12-2010, 15:28
Surkin64, рекомендую также взять (для уверенности) диск аварийного восстановления от Касперского с последними базами.
myhouse_1991
23-12-2010, 22:30
Ведь мы не меняем машину,если у нее пробилось колесо или забился карбюратор,согласитесь
Одно дело, когда это произошло из-за истечении срок службы. Другое дело когда машина попадает в специально созданную ловушку и она начинает магическим образом вести себя иначе. Вы можете её "вылечить", но она уже не будет такой, как была прежде, и что потом дальше будет...
Я,конечно,не силен в программировании,но в любом случае должно быть средство от этой напасти.
1) Знание языка программирования в сфере познания безопасности не поможет - вы все равно не увидите разницу между "Администратор" и "Пользователь", не узнаете, что такое права доступа у файловой системы NTFS и так далее.
2) Всегда было средство - используйте правило наименьших полномочий, настройте политику безопасности и ставьте обновления безопасности (Windows 7 эту задачу уже итак максимально упростила) - на словах это просто, на деле - зависит уже от ваших привычек + придется исправлять LUA баги, если программа написана с нарушением правил безопасности из-за незнаний программиста. Большинство это правило не использует и наивно полагается на антивирус, потому что настраивать Windows сложно или не знают, что такое возможно - вот и результат плачевный.
myhouse_1991,
xoxmodav,
С данном случае это не подходит, тут драйвер или ядро системы не заражено, поэтому safe mode должно помочь.
Ну или в конце концов зайти через Live CD
xoxmodav
24-12-2010, 08:28
setwolk, какие есть гарантии того, что ничего из перечисленного не заражено? К тому же большинство блокеров (на моей практике) прекрасно себя чувствовало в защищённом режиме и полтора месяца назад.
xoxmodav,
Нет гарантии, даже если установлен АВ, нет гарантии что нету виря...
Видимо использовать avz С его скриптами, и будет нормально
xoxmodav
24-12-2010, 14:15
Нет гарантии, даже если установлен АВ, нет гарантии что нету виря... »
Если вернуться к изначальному вопросу, то исходя из того, что система уже заражена, то проверять её лучше всё же с LiveCD.
pavel111
25-12-2010, 10:51
Если вернуться к изначальному вопросу, то исходя из того, что система уже заражена, то проверять её лучше всё же с LiveCD. »
единственное, что мониторинг процессов с лайв не проведешь.
в любом случае добивать гада надо в системе.
© OSzone.net 2001-2012
vBulletin v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.