Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Вирус(ы) в ОС Windows. Проблемы. Решения. (II)

Модерирует : KLASS, IFkO

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38

Открыть новую тему     Написать ответ в эту тему

KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Предыдущие части: -I-

Вирусы в Windows XP, Vista, 7, 8, 8.1, 10.
Проблемы. Решения.


Стандартные действия

Вариант №1

1. Скачиваем Dr.Web LiveDiskСсылка ведёт на страницу загрузки, записываем диск, загружаемся и проверяем системы на вирусы.  
И\или
Скачиваем Kaspersky Rescue DiskСсылка ведёт на страницу загрузки: на ядре Linux (вирусы под win не пройдут, а под *nix их нет, по крайней мере живых), ядро от десятой версии и изменена "никсовая" оболочка. Обновление происходит раз в неделю. Записываем диск, загружаемся, обновляем базы и проверяем системы на вирусы.
Вариант №2

1. Скачиваем загрузочный диск на базе LiveCD (Ссылки в Варезнике LiveCD/BootCD (DVD/USB) на базе OPK WinPE)
2. Скачиваем антивирусы работающие без инсталляции.
2.1 Dr.Web CureIT!Ссылка ведёт на страницу загрузки  
2.2 Kaspersky Virus Removal Tool (AVPTool)Ссылка ведёт на страницу загрузки  
3. Прожигаем скачанный LiveCD на болванку, перезагружаемся, выставляем в биосе загрузку с CD\DVD(Что бы зайти в биос, нужно нажимать после включения компьютера кнопки Del или F2, зависит от производителя материнской платы.) На некоторых материнских платах, возможно вызвать Boot Menu нажав F8 при загрузке и выбрать загрузку с CD\DVD не заходя в биос.  
4. Проверяем одной утилитой, перезагружаемся, проверяем второй утилитой, пытаемся загрузить систему.  
Желательно отключить систему восстановления. Свойства системы-система восстановления.

Разница между вариантом №1 и вариантом №2 заключается в следующем:
Если нет возможности скачать LiveCD, то проверяйте компьютер в безопасном режиме. При загрузке нажимать F8, выбрать верхний пункт(Safe Mode или безопасный режим). В этом случае при сохранение CureIt и AVPTool к себе на компьютер переименовывайте файлы. Ряд вирус блокирует запуск при стандартном имени файла.
Это стандартные действия, которые не гарантируют восстановление работоспособности ОС, НО! 90% проблем решается таким способом.
Если не помогает, то скачиваем AVZ, сканируем и выкладываем лог. Обязательно указываем какая версия Windows.

Полезные инструменты(утилиты)

Sysinternals (Microsoft) Process ExplorerВыдает подробнейшую информацию обо всех запущенных процессах, включая владельца, использование памяти, задействованные библиотеки и т.д.
Sysinternals (Microsoft) AutorunsПозволяет контролировать автозагрузку запускающихся при старте операционной системы сервисов, приложений и других компонентов.
Sysinternals (Microsoft) Process Monitorпрограмма для мониторинга файловой системы, реестра и процессов в оперативной памяти. Filemon+Regmon
HijackThisпрограмма для удаления невидимых spyware
AutoLoggerавтоматический сборщик логов, более подробное описание утилиты смотрите на странице скачивания.
AdwCleanerпрограмма для удаления тулбаров, adware и другого рекламного мусора.
RegASSASSINПрограмма для удаления "заблокированных" веток и ключей в реестре из-за mailware
SOSКомплект программ  для диагностики/реанимации/оптимизации/защиты/профилактики Windows. Скачать
SmartFixЭффективная программа для быстрого автоматического исправления неполадок Оф.сайт

Темы на форуме

Обсуждение wannaCry в админском разделе..
Помощь при лечении компьютера от вирусовпомощь от "хелперов" с "VirusInfo". В топике строгие правила. Внимательно читаем шапку.
Антивирусы (Antivirus'ы) не требующие инсталяциикому не хватает CureIT и AVPTool
AVZ - Anti-SpyWare, Anti-AdWare
Восстановление WindowsКак вернуть Windows к жизни без переустановки
Windows заблокирован!отдельный топик по решению проблем с вирусом блокирующим запуск ОС и требующем выслать денег по СМС.
Обзор антивирусов (и др. средств безопасности на их основе) под Windоws 98/XP/Vista/7/8/8.1/10
Полезные ссылки в интернете

Закрываемся от вируса-шифровальщика WannaCry
VirusTotal — бесплатная служба, осуществляющая анализ подозрительных файлов и ссылок (URL) на предмет выявления вирусов, червей, троянов и всевозможных вредоносных программ.  
Чистые системные файлы Windows, которые заражают блокерыссылка ведёт на страницу закачки
Поиск описания  вирусов по названию
Советы по лечению ПК от Олега Зайцева, автора Avz
Ручное лечение компьютера от вирусовСпец.форум по проблемам с вирусамих.
Очистка Windows от вирусовСтатья от FuzzyL
Список "левых" служб, ссылающихся на svchost.exe, для WindowsXP
Страница VirusHunter`a — "Диспетчер задач\реестр\настройки рабочего стола  заблокирован(ы) .." Подборка полезных "точечных" утилит.  
Безопасный Интернет. Универсальная защита для Windows ME - Vista — автор-составитель антивирусный эксперт, золотой бета-тестер Лаборатории Касперского Николай Головко
 
Прежде чем изменять шапку спроси здесь. Не спросил-запрет на пост! KLASS

Всего записей: 11062 | Зарегистр. 12-10-2001 | Отправлено: 18:31 16-02-2017 | Исправлено: 526549, 18:38 09-01-2019
Us2002

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Nilslis
по способам зашиты... уж очень стрёмный какойто метод 445й порт (и иные) в локальной сети закрыть... или отключить общий доступ к шарам...
кстати поставил апдейт на вынь 7, после перезагрузки ключа "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 не обнаружено
значит ли это что он таки включен и работает, просто уязвимость типо в коде закрыли?
 
https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012

Всего записей: 1810 | Зарегистр. 03-02-2005 | Отправлено: 13:04 15-05-2017 | Исправлено: Us2002, 13:46 15-05-2017
KismetT_v3



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
значит ли это что он таки включен и работает, просто уязвимость типо в коде закрыли?

Если SMB1 =0, то значит для серверной части SMBv1 отключён. А вообще патчем просто закрыли уязвимость в SMB1.


----------
Это я .... И это тоже я .... Мы из этих

Всего записей: 2471 | Зарегистр. 08-04-2016 | Отправлено: 13:16 15-05-2017
regist123



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
20:31 14-05-2017
Цитата:
Среди пострадавших обратившихся на форум касперского были и пользователи и др. Веба и остальных антивирусов.

просто сейчас попалась тема https://forum.kasperskyclub.ru/index.php?showtopic=55574&hl=
У пользователя стоит  

Код:
Dr.Web Anti-virus for Windows (HKLM\...\{937CFD3F-8BFB-4208-81CB-F5004CD7B000}) (Version: 11.0.3.05270 - Doctor Web, Ltd.)
 

так что как видите др. Веб тоже не смог защитить пользователей.
 
Добавлено:
kvark484kvark484 13:59 15-05-2017
Цитата:
Пытался неоднократно этот SP3 поставить - безуспешно - часа полтора идет установка - в конце вылазит сообщение об ошибке - текст его уже не помню ("обновление неуспешно" или что-то в этом роде). Пробовал неоднократно.

Ставили из безопасного режима? Рекомендуется ставить из него. И с этим вопросом лучше в тему по XP переехать.

Всего записей: 7189 | Зарегистр. 20-03-2009 | Отправлено: 14:20 15-05-2017
7sh3

Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KismetT_v3

Цитата:
Почему это нет? По умолчанию включено на системном диске (где кстати большинство и хранит свои файлы) от Vista до 8.1.

те кто отключают uac - отключают и восстановление системы, это и есть у них по умолчанию, для примера можно взять любую ховносборку с торрентов
пример ms со святой 10-кой тоже не способствует "нужности" всей этой системы восстановления
честно говоря, даже не могу вспомнить когда я последний раз видел 7-ку с включенным восстановлением системы, это при том, что всякого рода ховносборки я вообще не вижу )

Всего записей: 13879 | Зарегистр. 16-10-2005 | Отправлено: 14:39 15-05-2017
KismetT_v3



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Обычные пользователи хомяки, особенно среднего и старшего возраста, купившие ноут, как правило ничего там не крутят. Это всякая школота, не понимающая что делает, ставит сборки и отключает функционал, думая про свою продвинутость. Я наоборот больше вижу включенный функционал, правда со школотой не пересекаюсь.

----------
Это я .... И это тоже я .... Мы из этих

Всего записей: 2471 | Зарегистр. 08-04-2016 | Отправлено: 14:58 15-05-2017
emil9



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Интересная петрушка, кумулятивные апдейты безопасности стоят за май, а патч все равно ставится, это как так? вроде даже прочитал на сайте что если кумулятивные стоят то отдельно патч не поставится

Всего записей: 2090 | Зарегистр. 16-10-2002 | Отправлено: 15:01 15-05-2017 | Исправлено: emil9, 15:02 15-05-2017
Kaber



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Как я понял достаточно закрыть 445 порт в локалке и снаружи?

Цитата:
Если закроем  ТСР 445, то обмена файлами в локальной сети не будет.  

Порт в брандмуэре закрыл, расшаренные ресурсы открываются...

Всего записей: 1356 | Зарегистр. 14-03-2014 | Отправлено: 15:02 15-05-2017
KismetT_v3



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Порт в брандмуэре закрыл, расшаренные ресурсы открываются...

Свои шары с другого компа в локалке открываются? Закрыл то на вход.  
 
 
Добавлено:
Не понимаю, а сейчас то зачем порты закрывать.? Установил патч и проблем нет.

----------
Это я .... И это тоже я .... Мы из этих

Всего записей: 2471 | Зарегистр. 08-04-2016 | Отправлено: 15:05 15-05-2017
Kaber



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KismetT_v3

Цитата:
Свои шары с другого компа в локалке открываются? Закрыл то на вход.

Да, порт 445 не отвечает, но шары открываются, закрыл на WinServer 2012 R2.

Цитата:
Не понимаю, а сейчас то зачем порты закрывать.? Установил патч и проблем нет.

Не хочется для всех версий винды этот патч ставить, проще было б на шлюзе заблокировать 445 порт. Но вроде как, дела не только в 445 порту, а в общей ошибке протокола SMB

Всего записей: 1356 | Зарегистр. 14-03-2014 | Отправлено: 15:14 15-05-2017
KismetT_v3



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
а в общей ошибке протокола SMB

Так эту проблему и решает патч.
Вместе с ТСР 445 ещё рекомендовали закрыть и ТСР 139.

----------
Это я .... И это тоже я .... Мы из этих

Всего записей: 2471 | Зарегистр. 08-04-2016 | Отправлено: 15:18 15-05-2017 | Исправлено: KismetT_v3, 15:20 15-05-2017
Nilslis



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Kaber
Цитата:
дела не только в 445 порту, а в общей ошибке протокола SMB

SMB1 давно пора на пенсию

Всего записей: 1854 | Зарегистр. 06-10-2008 | Отправлено: 15:22 15-05-2017
MisHel64



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Опасность его заключается в том, что он может восстановиться после полного форматирования жёсткого диска. Следовательно, он записывается в некую область HDD, недоступную системе и пользователям соответственно.
bereng75 Если область не доступна, то как он туда записывается? А главное, как он оттуда запускается?
Бред то репостить не надо.

Всего записей: 2307 | Зарегистр. 21-09-2006 | Отправлено: 15:53 15-05-2017
NeNeko



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Есть же PowerShell скрипт для быстрой проверки сети
https://github.com/R-Vision/ms17-010
Единственное, надо поправить в 715 строчке вхождения перекрывающих комулятивов, а так даже удобно...
 

Код:
 
$result = $item.HotfixID -match "4012212|4012213|4012214|4012215|4012216|4012217|4012598|4012606|4013198|4013429|4019472|4015549|4019264"
 



----------
Perpetuum Mobile

Всего записей: 822 | Зарегистр. 08-02-2006 | Отправлено: 16:07 15-05-2017 | Исправлено: NeNeko, 16:14 15-05-2017
maksbazhin

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Как все таки WannaCry изначально попадает в локальную сеть?
Последние недели три нас атаковали шифровальщики в день было по три - пять писем от сбербанка и ВТБ в них ссылка на "счет" под ссылкой совсем другая, левая ссылка один раз нажали: похерили все документы на компе сеть не зацепили (благо на компе было мусору много и успели остановить Kasper Workstation 6.0 не отреагировал, но к нему претензий нет). Заплатки я так понял не дают попасть на комп вирусу из локальной сети, но сам он все равно под угрозой. До этого год назад акт сверки присылали, но там как раз вирус брал контрагентов 1С и рассылал письма. Кто под угрозой сейчас? Почему пострадали крупные организации они все разом скачали вирусы заранее и он активировался в нужное время или атаковали целенаправленно.

Всего записей: 29 | Зарегистр. 18-12-2007 | Отправлено: 16:58 15-05-2017
GromKiller1985



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Подскажите, если WannaCry запустился на каком-то из компов сети, а потом пошел по ней "гулять" и наткнулся на комп у которого есть уязвимость, но посредством фаервола полностью запрещен доступ в инет, то он там тоже отработает ? Или ему обязательно нужен доступ в инет для связи с командным сервером (получение - отправка ключей, например) ?

Всего записей: 385 | Зарегистр. 19-09-2008 | Отправлено: 17:01 15-05-2017 | Исправлено: GromKiller1985, 17:04 15-05-2017
MisHel64



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
maksbazhin Из крупных организаций пострадали единицы. Только те, кто берет на работу некомпетентных сотрудников. Вон мегазвон со своей новостью "мы рухнули но быстро восстановились". Это зацепило в таком масштабе РостТелеком, БиЛайн, ТЕЛЕ2? НЕТ!  Там хоть местами, но умные люди встречаются. А если сетку администрят кнопкодавы, то достаточно одной тупой секретутки, что бы вся корпоративная сеть рухнула.

Всего записей: 2307 | Зарегистр. 21-09-2006 | Отправлено: 17:12 15-05-2017
zivstack

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Kasper Workstation 6.0 не отреагировал

 
на собственном опыте убедился, что Каспер вообще бесполезн против  WannaCry , все зашифровал у меня на домашнем ПК не смотря на его защиту, кроме экзешников и ряда системных файлов, теперь сейчас заново приходиться переустанавливать ОС

Всего записей: 510 | Зарегистр. 29-11-2015 | Отправлено: 17:22 15-05-2017
Bort_Nick



Full Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Цитата:
Или ему обязательно нужен доступ в инет для связи с командным сервером (получение - отправка ключей, например) ?

не нужны ему командные сервера (как видимо и функция обратной расшифровки не предусмотрена...)
 
на данный момент по сети гуляет три разных билда:
один резолвит DNS iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
второй - ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com
а третьему ничего не нужно.
 
так вот, первые два если получают положительный ответ - прекращают тут же работу.
если отрицательный (локалка без инета, или фаерволом всё задушено) - тут же начинает  искать новых жертв в локалке и по рандомным адресам в интернете.
и шифровать всё до чего может дотянуться
 
третьему вообще все побоку, но как сказал Kaspersky - не работоспособен. 7zipSFX архив с телом битый и полностью не распаковывается. (но это только вопрос времени...)

Всего записей: 564 | Зарегистр. 26-08-2012 | Отправлено: 17:28 15-05-2017 | Исправлено: Bort_Nick, 18:03 15-05-2017
maksbazhin

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
то достаточно одной тупой секретутки

все таки вопрос откуда ноги растут и как давно остался
 
 
Добавлено:
если у архива удалить расширение или поменять на .exe поможет?

Всего записей: 29 | Зарегистр. 18-12-2007 | Отправлено: 17:30 15-05-2017
MisHel64



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
maksbazhin Обычно называют вложения в почту.

Всего записей: 2307 | Зарегистр. 21-09-2006 | Отправлено: 17:36 15-05-2017
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Вирус(ы) в ОС Windows. Проблемы. Решения. (II)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru