Обсуждение статьи:
Компьютерные вирусы: совсем всё плохо стало

страницы: 1 2   >>

1  onoi гость	22.09.2007 11:53
Еще такой прикол есть по поводу борьбы - можете спокойно удалять ВСЕ скрытые файлы в папке системс32. В одно время тож никакой антивирь не находил вирусной деятельности, приходилось вручную вырубать процес с таким именем и файлик удалять.
+0

2  SaAnVi гость	24.09.2007 09:19
Иногда эти процессы не убиваются, либо где-то запрятан ещё один, который тут же убиенный восстанавливает. И ещё, очень часто стали встречаться проги, которые внедряются в системные важные процессы (всякий там svсhost.exe), которые тоже иногда или не убить, или если убьёшь - то и комп повиснет. Суки хитрые.
+0

3  onoi гость	24.09.2007 13:51
Толь с такими не встречался, смотри точно название. Например они бывает шифруются как svhost, svссhost ... Вариантов много. А вот о внедрении в системный процес пока не увижу, не поверю. По поводу востановления убиенного, тоже бывало, просто пересмотри на предмет скрытых файлов папки system, system32, корень дисков, обязательно темп. Пока ни одно сцуко так не выжило.
+0

4  SaAnVi гость	24.09.2007 14:00
Под внедрением я понимаю то, что сам виндовский (легальный) svchost.exe (не svhost.exe и им подобные клоны) рассылает напропалую спам. ХЗ как это там, но - вот так. :) А в описанном в блоге случае и того хуже... Всё чисто, файры ничо не видят - а спам шлётся.
+0

5  onoi гость	24.09.2007 14:03
Видел вирус который специально даже изменял настройки вида чтобы не отображались скрытые файлы. Кстати если хорошо понимаеш в процесах и видишь там какоето незнакомое название - делай поиск по названию, а там уж по ситуации. Иногда правда можно удалить только в безопасном режиме. Не подумай, что я дурак, у меня стоят тоже всякие антивирусы и файрволы. Вышеописанными способами я пользуюсь только в крайнем случае
+0

6  onoi гость	24.09.2007 15:03
Еще прикол: не помню в какой папке тоже лежал как-бы родной с правильным названием svchost.exe, но фича в том что его там не должно было быть. Делаем так: в эту папку кидаем свой с 0 байт svchost.exe (просто создаем такой файл с таким расширением) и он что самое интересное не перезапишется вирусом. По крайней мере тогдашняя версия этого вируса такого не могла сделать.
+0

7  SaAnVi гость	24.09.2007 15:47
Ну я обычно как делаю - захожу в диспетчер задач так называемый, да и грохаю напропалую все незнакомые процессы. Чаще всего помогает, но изредка встречаются 'восстанавливающиеся' и прочие убегающие от справедливой кары. Раз было - пока не удалил эксплорерские Temporary Internet Files - вечно подкачивалось что-то, и антивирус не сёк это. Как удалил - всё, никаких больше вирусов. Короче, нет предела изобретательности. :)
+0

8  gloom гость	26.09.2007 09:10
Угу, тут целая тема - однако вступать не буду - скажу только что деспетчер задач незабвенного FAR`а на цать порядков информативнее виндовозного (что очень полезно в пределах, например, поднятой Анатоликом темы)
+0

9  SaAnVi гость	26.09.2007 09:46
Насчёт FAR'ского диспетчера задач - +1024.
+0

10  onoi гость	28.09.2007 11:29
Еще о вирусах. Думаю многим известна програмка длс работы с почтой Mail.Ru Agent. Скачал, установил, юзал. Потом чото впадло стало, решил отменить автозапуск при входе в систему. Типа когда надо будет, сам врублю. Снял в настройках/автозапуск/запускать программу при включении компютера. Но видимо програмка так жить не захотела. На следующий день при входе в винду горит в низу значок. Ну думаю уберу значок с пуск/все программы/автозагрузка/Mail.Ru Agent. Перезапуск системы. Ах ты ж сцуко! Опять висит ждет выхода в нет. Действия(заметьте принципиально не удаляю, ведь там и контакты нужные есть, да и пользуюсь время от времени):пуск/выполнить/msconfig/автозагрузка/убираю галочку MAgent (остаются точно лишь системные)/применить/закрыть/перезагрузка (думаю буду делать все сразу). Светится внизу сцуко!!! Захожу в msconfig - галочка сирано стоит. :-Е
+0

11  SaAnVi гость	28.09.2007 14:39
Про сей агент ничо не скажу, единственное, что с ним делать приходилось - это удалять нахрен. :)
+0

12  onoi гость	28.09.2007 15:08
Просто люблю интересные (мистические) ситуации, а так же разбирать их при наличии свободного времени. Да и сдаваться не хотелось. А вообще эт я все к тому что есть 'полезные, качественно сделанные' программы которые по некоторым функциям (и в некоторых случаях) вирусам не уступают.
+0

13  SaAnVi гость	28.09.2007 15:25
Да, есть такая фигня.
+0

14  EnDrY гость	28.09.2007 20:43
Зачем вы гемеритесь, установите винду и необходимые проги, поставьте «ShadowUser» и будет вам счастье. (Главное незабыть снять с защиты диски D; E… и папки: рабочего стола, «мои документы», базы антивиря) В двух словах: у вас получается что то на подобии виртуальной винды в которой вы работаете (снапшот) и каждый раз при включении компа монтируется новая чистая от мусора и вирей винда, всё происходит настолько быстро, что разница между обычной системой и защищённой Shadow незаметна. У меня сейчас включена функция «продолжать сессию» то есть после перезагрузки не исчезают изменения винды и те проги которые ставились после активации (экспериментальные) P.S: У меня ShadowUser уже больше года и я в ней души не чаю ;)
+0

15  SaAnVi гость	29.09.2007 10:21
Да мне-то зачем такое счастье - у меня самого на компе ни мусора, ни вирей нету. Уже три года система стоит. Собственно, после того, как я с NT4 на XP пересел.
+0

16  onoi гость	29.09.2007 10:45
Я тож не о своем компе говорю. А поставить незнакомому челу «ShadowUser» и затем еще пол года ходить к нему обьяснять что да чего... П.С. После того как с утра опять выскочил MAgent - рубанул к чертовой материи. :)
+0

17  EnDrY гость	29.09.2007 23:06
Мда уш, пожалуй для вас это будет лишнее я просто подумал, мож ещё на белом свете есть юзвери любящие всяческие эксперименты и опыты… после такого винда обычно становится неисцелима, виртуальная машина тоже неудобно. У меня на работе есть отдел ПКД (Интернет-кафе по-русски), там такая штука незаменима… ну да ладно, хэ бы с ней, а то какая-то пропаганда уже получается  Насчёт неведомого трафика: если это просто беспорядочно летящие пакеты из-за ставшей кривой сетевой службы после посещения машины трояном , то может помочь не раз выручавшая меня микро-прогулька под названием «LSP-FIX» исправляющая ошибки в файлах отвечающих за сеть (интиресно, если поснифать эти пакеты, что в них будет…). А ежели сыплется откровенный спам в виде мессаг с нелепыми посланиями, яб тогда заменил библиотеки mswsock.dll winrnr.dll wshbth.dll DRWEBSP.DLL rsvpsp.dll и прочую файлу причастную к этому.
+0

18  EnDrY гость	29.09.2007 23:11
Я вообще всегда призывал к автоматизации всего, что возможно, это и быстрей и качественней (в промышленных масштабах) Руками пока делаю то, что пока не встречал в прогах. Например (естественно для тех кто не в курсе), бывает после лечения Трояна обнаруживается следующие: неработает авторан, тогда ставим [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CDRom] 'Autorun'=dword:1 Бывает непускает в редактор реестра (REGEDIT) (Пуск > Выполнить > gpedit.msc). Слева выбераем ветвь Конфигурация пользователя > Административные шаблоны > система Справа ищем параметр Сделать недоступными средства редактирования реестра применяем нескалько раз 'не задан' 'включен', 'отключен' Ещё может помочь команда reg delete HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System /v DisableRegistryTools
+0

19  EnDrY гость	29.09.2007 23:16
Если троян заразил csrss.exe и зарегился отладчиком explorer.exe то после лечения системы незапускается проводник от раб. стола тока одна картинка :) (но CRTL+ALT+DEL а то бывают Трояны после которых непашет аккорд но это другие уже совсем), с помощью AVZ (обновившись) удалить отладчики процессовЕщё чтоб Трояна неудалили в ручную, он убирает «свойства папки» отовсюду и выключает «отображение скрытых файлов» тогда: Показать - спрятать в эксплорере \'Сервис - Свойства папки\' HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer параметр NoFolderOptions тип REG_DWORD: 1 - спрятать, 0 – показать.Если пропали принтеры значит троян подменил sfc_os.dll (140 кб) собой (19-20 кб) удаляем его (System32\sfc_os.dll) и взяв из Windows\DllCache (скрытая) новый закидываем если там нету DllCache то надо с виндовского дистрибутива брать (для неискушённых: на болване с виндой папка I386 открыть её и выполнить команду expand SFC_OS.DL_ %windir%\System32\SFC_OS.DLL то есть вверху окна
+0

20  SaAnVi гость	30.09.2007 08:21
Из всех перечисленных только с пропаданием рабочего стола связывался, но я это побеждал без AVZ а лазал в реестр и правил один ключик. Какой правда - уже и не помню, давно этого виря не видел.
+0

21  SaAnVi гость	30.09.2007 08:23
А насчёт спама через сетевуху - получается, что в этом случае легче сразу переставить винду, потому что, пока допрёшь, что антивирями ты это не вылечишь - как раз пару часов уже и проходит, а я винду за часа полтора успею 'насвежо' переставить. :)))
+0

22  onoi гость	01.10.2007 18:38
Да пропадание стола было и у мя тоже :). Ох помню я и обозлился тогда. Сразу не нащупал тогда в чем дело. Я ему русским языком выполнить/explorer, а оно антихрист мне одну картинку... Решил тогда более тупым методом - восстановил систему на дату + антивирь.
+0

23  vit246vit гость	09.10.2007 22:31
трафик уходит в никуда поставил skyware terminator все прикрасно но заразу которая трафик крадет он не нашол ведать хитрая тварь
+0

24  KiRiK гость	01.11.2007 17:09
ShadowUser - великолепная вещь, сам им пользуюсь не первый год. Но сын-балбес за каким-то хреном выключил его недавно на своем десктопе. Результат: пошел дикий аплоад, 13 гиг за сутки (хорошо еще, что IP динамический :)). Выяснилось, что в этот день изменился svchost.exe и получил соответствующую дату. НО - замена его на нормальный файл ничего не дала. Минут несколько система вела себя хорошо, а потом опять пошла качать на уже другой IP. Ясен пень, стандартные антивири и пр. ничего криминального не видят. Винду переставлять влом, но придется видимо, если сегодня-завтра не найду эту дрянь.
+0

25  Мария гость	19.11.2007 10:02
Какое же огромное вам спасибо, люди добрые!!! :)) буквально спасли! :)))
+0

26  Alex гость	01.03.2008 18:11
Каждый вирус посвоему интересен и опасен. каспер самы лучшый, но и он невылечит всё так самый лучшый способ форматирувать винта, а чтоб ето делать надо иметь всё на СД Диска!!
+0

27  Наполеон гость	25.03.2008 22:04
ESET Smart Security все найдет и все вылечет '
+0

28  qwe гость	03.04.2008 16:38
Короче ситуация AVZ ругается на скрытый маскирующийся процесс в svchost.exe Даже не ругается, а говорит что 'подозрение' Перегружаюсь с LiveCD, восстановить значит этот файл с дистрибутива Перед этим решил проверить дату и размер Совпадает с оригинальным Я озадачился, делаю побитовое сравнение... файлы идентичны Пожимаю плечами, меняю файл, перегружаюсь - все отлично, спама нет Но файлы же были одинаковые!!!!! КАК????
+0

29  SaAnVi гость	03.04.2008 17:38
Ситуация, когда в процесс svchost.exe внедряется другой код - нередка, причём внедряется он после загрузки системы - т.е., сам исполняемый файл - Ок, просто к нему дрянь цепляется. Только непонятно, почему после перезагрузки всё не возобновилось... Должно было. :)
+0

30  учитесь нормальному русскомк язы гость	19.09.2008 15:54
Ваш текст читать, мозги напрягаются. научитесь писать по русски, по нормальному. так могут писать МАЛОобразованные люмпенны, нормальные люди не будут засорять свой родной язык разной чушью.
+0

страницы: 1 2   >>

↑ к началу комментариев    ↑↑ к началу страницы

Вы не зарегистрированы. Зарегистрируйтесь или войдите в систему, чтобы не набирать каждый раз проверочный код (и иметь другие приятные функции на сайте). Действует суточный лимит анонимных комментариев для защиты от троллей, школоло-хакеров и спам-ботов. На текущий момент осталось комментариев: 10.

Добавить комментарий

Фулюганствовать не надо: соблюдайте правила приличия. Я не люблю комментариев не по делу типа "Оццтой!" и им подобных. Если хотите что-то покритиковать или поучить кого-то жизни - делайте это с чувством, с толком и с расстановкой.