Показано с 1 по 11 из 11

Тема: Если ваш компьютер заражен вредоносными программами

  1. #1
    Администратор, Консультант по математике
      За вклад в развитие форума 2006, Лучший знаток физики 2007, Самый активный автор месяца. Август 2007, Лучший консультант 2007, Лучший супермодератор 2007, Народный модератор раздела "Наука и Образование" 2008, Лучший супермодератор 2008, Лучший консультант 2008
    Аватар для Trotil
    Регистрация
    15.12.2005
    Адрес
    град Москва
    Сообщений
    5,890
    Записей в блоге
    26
    Спасибо
    я - 57; мне - 380

    Если ваш компьютер заражен вредоносными программами

    Уважаемые пользователи!

    Если ваш компьютер заражен, или вы подозреваете у себя заражение, но ваш антивирус не может определить или уничтожить угрозу, вы можете обратиться в эту ветку форума за помощью.

    Для диагностики вашего компьютера консультантам на форуме требуются протоколы исследования системы. Пожалуйста, выполните инструкции, изложенные ниже. В результате у вас должны иметься четыре протокола: virusinfo_syscheck.zip, virusinfo_syscure.zip и hijackthis.log. Прикрепите эти протоколы в создаваемой вами теме с просьбой о помощи.

    Мы обязательно постараемся вам помочь.

    -------------------------- Правила оформления запроса --------------------------

    Прочитайте и выполните всё, что написано ниже.
    Делая запрос Вы должны открыть новую тему в разделе.
    Как отключить восстановление системы, описано в Приложении 1.

    Что потребуется:

    - Антивирусная утилита AVZ, около 3 МБ.
    http://z-oleg.com/avz4.zip

    - Утилита HiJackThis, около 300 кБ.
    http://www.trendsecure.com/portal/en...HiJackThis.zip

    Примерное время исследования перечисленными инструментами - около 5-10 минут.

    Выполните проверку своего компьютера:

    1. Если у Вас есть антивирус - обновите его базы и проверьте компьютер.

    2. Если у Вас нет антивируса - воспользуйтесь бесплатными утилитами:

    - либо CureIT! (от DrWeb) (имеется ввиду полная проверка всех дисков, желательно записав перед этим саму утилиту на CD и уже из CD запустить утилиту) в безопасном режиме.
    - либо воспользоваться онлайн сканером: http://www.kaspersky.ru/virusscanner и проверьте систему.

    3. Скачайте Антивирусную утилиту AVZ. Даже если у Вас есть AVZ, скачайте её заново, в утилиту постоянно добавляются новые опции поиска вредоносного ПО.

    4. Распакуйте из архива и поместите в новую отдельную папку.
    * Запустите AVZ и обновите базы ("Файл" => "Обновление баз"). Закройте AVZ.

    5. Скачайте последнюю версию HijackThis.
    *Даже если у Вас есть HijackThis скачайте его заново, чтобы убедиться, что у Вас последняя версия.

    6. Распакуйте из архива HijackThis и поместите в новую отдельную папку.

    7. Пропускаем.

    8. Отключите восстановление системы (Windows Me/XP).

    Перед выполнением следующих пунктов (9, 11, 13) закройте свои антивирусные программы, игры, тектовые редакторы и любые другие программы, оставьте запущенным только программу-браузер!!!

    -- Протоколы AVZ --

    9. Запустите AVZ. Выберите из меню "Файл"=>"Стандартные скрипты" и поставьте галку напротив "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info". Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое сканирование, лечение и исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscure.zip.

    10. Обязательно перезагрузите компьютер, так как AVZ в ходе проверки системы может нарушить работу некоторого ПО (в частности антивирусов и фаерволов). После перезагрузки ПО продолжит корректную работу.

    11. Запустите AVZ. Выберите из меню "Файл"=>"Стандартные скрипты" и поставьте галку напротив "Скрипт сбора информации для раздела "Помогите!" virusinfo.info". Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscheck.zip.

    -- Протокол HiJackThis --

    12. Запустите HijackThis. Если программа не запускается или прекращает работу после запуска, скачайте переименованный файл программы HijackThis (http://virusinfo.info/soft/1.zip) и в дальнейшем используйте его.

    13. Нажмите на кнопку "Do a system scan and save a logfile".

    14. Сохраните лог. По умолчанию лог сохраняется в папке программы с именем hijackthis.log

    15. Откройте тему с кратким описанием проблемы в заголовке и подробным описанием в сообщении, вложите в сообщение файлы логов, полученных в пп.9 (AVZ - virusinfo_syscure.zip), 11 (AVZ - virusinfo_syscheck.zip), 13 (HJT - hijackthis.log) - всего должно быть 3 лога.

    © Использованы правила оформления запроса в разделе Помогите! портала VirusInfo.Info.
    Ленивый дурак - это полбеды; деятельный дурак - это для всех головная боль, но нет ничего хуже, чем дурак с инициативой, да ещё и при должности.

  2. Сказали спасибо 4 раз(а):


  3. #2
    Администратор, Консультант по математике
      За вклад в развитие форума 2006, Лучший знаток физики 2007, Самый активный автор месяца. Август 2007, Лучший консультант 2007, Лучший супермодератор 2007, Народный модератор раздела "Наука и Образование" 2008, Лучший супермодератор 2008, Лучший консультант 2008
    Аватар для Trotil
    Регистрация
    15.12.2005
    Адрес
    град Москва
    Сообщений
    5,890
    Записей в блоге
    26
    Спасибо
    я - 57; мне - 380
    Приложение 1. Как отключить восстановление системы.

    1. "Восстановление системных файлов" (System restore) (Windows Me/XP)
    Windows защищает папки восстановления системы от всех внешних пpогpамм. Когда виpусы попадают на компьютеp, Windows может также сохpанить их в папке восстановления системы. Антивиpусы и утилиты не могут удалить виpусы из этих папок. Для лечения необходимо вpеменно отключить опцию восстановления системы. После лечения необходимо включить ее обpатно.

    Windows Me:
    Пуск > Hастpойки > Панель упpавления (Start > Programs > Accessories > Windows Explorer).
    Двойной клик на иконке "Система" (System).(Если иконка "Система" не видна, щелкнуть мышью на "Показывать все опции Панели упpавления" (View all Control Panel options))
    Hа вкладке "Быстpодействие" (Performance) нажать кнопку "Файловая система" (File System).
    Hа вкладке "Дополнительно" (Troubleshooting) поставить птичку напpотив
    "Запpетить восстановление системных файлов" (Disable System Restore).
    Hажать ОК. Появится пpедложение пеpезагpузить Windows - также нажать ОК.

    Windows XP:
    Пуск > Пpогpаммы > Стандаpтные > Пpоводник Windows. (Start > Programs > Accessories > Windows Explorer)
    Кликнуть пpавой кнопкой мыши на "Мой компьютеp" (My Computer). Выбpать "Свойства" (Properties).
    Вкладка "Восстановление системы" (System Restore). Поставить птичку на "Запpетить восстановление системных файлов на всех дисках" (Turn off System Restore on all drives)
    Hажать "Пpименить" (Apply). Появится сообщение, пpедупpеждающее об удалении всех точек восстановления. Подтвеpдить, нажав "ОК".

    2. Более корректная очистка папок восстановления системы.

    Квалифицированным пользователям, а также всем в случае когда на компьютере имеется ценная информация не рекомендуется сразу отключать восстановление системы. Предварительно стоит убедиться что директория восстановления системы заражена. Если в ней есть чистые копии, их следует использовать для восстановления чистых файлов.
    Ленивый дурак - это полбеды; деятельный дурак - это для всех головная боль, но нет ничего хуже, чем дурак с инициативой, да ещё и при должности.

  4. Сказали спасибо 4 раз(а):


  5. #3
    Asgard
    Гость
    Что бы компьютер НЕ БЫЛ заражен всякими вирусами, нужно прежде всего принять меры для предотвращения заражению.
    Однако, если все же такое случилось, то можно все же попытаться удалить заразу.
    Итак, какие бывают основные симптомы заражения трояном при посещении некоторых сайтов.(Кстати могут появляться, как все вместе, так и по отдельности)
    1) меняется стартовая страница
    2) на рабочем столе появляются ярлыки, которых Вы не создавали
    3) самопроизвольно появляются окна обозревателя с рекламным или порнографическим содержанием.
    4) Система вдруг начинает что то сама загружать
    5) Перестают работать некоторые программы

    Что же делать, что бы этого не происходило?

    После пробования различных вариантов, был выработан некий алгоритм. (Не одним мною, а после взаимных консультаций и обменов опытами с другими сисадминами).

    Во-первых забыть, что Internet Explorer можно использовать для просмотра интернет страниц. Большинство вирусов/троянов/червей в инете пишется именно под него. Безусловно, что чем менее известный браузер, тем меньше вероятность того, что вы подхватите что-нибудь неприятное.
    Во-вторых, в случае если вы бороздите неизведанные (для вас) просторы интернета, то настоятельно рекомендую поставить какой-нибудь, пусть и самый простенький антивирус с монитором (желательно с монитором изменений реестра).

    Ладно, допустим все эти меры не помогли и вирус проник все же. Что можно сделать!
    Можно попробовать обезвредить вирус. т.е. физически он будет на вашей машине, но не будет при этом активизирован. Помогает в том случае, когда антивирусная программа не смогла опознать или вылечить вирус.
    Итак, что делаем:
    1. Перезагружаемся в безопасном режиме
    2. Проверяем запущенные процессы. В NT системах (NT/2000/XP/2003) нажимаем Ctrl+Alt+DEL, идем в Диспетчер задач на закладку процессы и смотрим нету ли там чего-нибудь лишнего. Если есть - убиваем (останавливаем)
    3. Проверяем запущенные сервисы/службы (должны быть права администратора).
    Идем в Панель управления-> Администрирование -> Службы.
    Здесь делаем сортировку по виду запуска. Ищем то, что лишнее и сначала меняем тип включения на "Отключено", а потом останавливаем. Проверять надо как службы, которые стоят в режиме "Авто". так и в режиме "Вручную"
    4. Удаляем временные файлы и кукисы в обозревателе
    Идем в Панель управления-> свойства обозревателя. Там нажимаем сначала Удалить Cookies, а потом Удалить файлы. На закладке Конфиденциальность рекомендуется поставить галку Блокировать всплывающие окна. Так же не забудьте проверить, что в качестве домашней страницы стоит проверенный сайт или (удобнее) написано about:blank (т.е. стартовать с пустой страницы)
    5. Проверяем автозагрузку.
    в очень глубокие дебри (такие как изменение системных файлов и библиотек и аналоги autoexec) лезть я не буду. Опишу основные места. где искать стартующие программы (не забудьте включить отображение скрытых файлов):
    - c:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузк а\ это папка общая для всех пользователей. самый простой и банальный способ
    - c:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузк а\ это аналогичная папка, но для каждого пользователя (в приведенном примере пользователь Администратор)
    - ветки реестра HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURR ENTVERSION\
    * Run
    * RunOnce
    * RunOnceEx
    * RunServices
    * RunServicesOnce
    - ветки реестра HKEY_CURENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURREN TVERSION\
    * Run
    * RunOnce
    Далее проверяем дефолтовый префикс:
    Часто трояны вместо дефолтного http пририсовывают адрес, пройдя по которому пользователь накручивает кому-то счетчик и заново получает вирь. Для проверки дефолтового значения зайдем в реестр (Пуск - Выполнить - regedit) и посмотрим значение
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\URL\DefaultPrefix
    по умолчанию должно быть http://
    также проверить HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\URL\Prefixes там все по названиям понятно. главное, что бы там не было непонятных сайтов
    И еще HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
    Тут не должно быть непонятных программ автозапуска.
    По идее все, перезагружаемся и у Вас должны исчезнуть многие глюки.

  6. Сказали спасибо 4 раз(а):


  7. #4
    awe2150
    Гость

    Вирус в оперативной памяти (помогите плз!!!!)

    комьютер тормозит виснут проги еороч ваще все плохо помогите. сначала у меня стоял антивирус аваст он говорил что у меня есть вирус в оперативной памяти но удалить его он не смог, после чего я установил касперского но он не смог обнаружить вирус((( что мне делать?(((

  8. #5
    Администратор, Консультант по математике
      За вклад в развитие форума 2006, Лучший знаток физики 2007, Самый активный автор месяца. Август 2007, Лучший консультант 2007, Лучший супермодератор 2007, Народный модератор раздела "Наука и Образование" 2008, Лучший супермодератор 2008, Лучший консультант 2008
    Аватар для Trotil
    Регистрация
    15.12.2005
    Адрес
    град Москва
    Сообщений
    5,890
    Записей в блоге
    26
    Спасибо
    я - 57; мне - 380
    И HiJackThis нужен.
    C утра на свежую голову посмотрю.
    Беглый просмотр ничего не дал.

    А аваст название вируса сообщал?

  9. #6
    Kafka168
    Гость
    Люди...хелп...помогите,посов туйте.что за зверь у меня завелся или мож не все так страшно....дело в том,что чё то с компом непонятное...вернее с Explorer -ом сегодня с утра начались непонятки , каждый раз при закрытии окна Explorer вместо закрытия открывается еще одно окно...вот оно ...это чё?
    http://jomba.ru/

    напоминает гугловский поиск, тока я его не заказывала, а как избавицца не знаю, пожалуйста помогите....

  10. #7
    Администратор, Старший модератор
    Лучший Старший модератор miXei.ru 2010
      Лучший модератор раздела "Информационные Технологии" 2008, Лучший консультант 2009, Самый полезный участник раздела "Компьютерные Игры" 2009, Лучший консультант 2009
    Аватар для CHeL
    Регистрация
    10.09.2004
    Адрес
    Питер, ЮЗ
    Сообщений
    4,286
    Записей в блоге
    4
    Спасибо
    я - 636; мне - 567
    Kafka168
    посмотри, есть ли что-нибудь лишнее в Надстройках IE (Сервис - Управление надстройками). Сделай скриншот того, что там есть.

    Ну и на вирусы проверь.

  11. Пользователь сказал cпасибо:


  12. #8
    Kafka168
    Гость
    CHeL

    огромное спасибо, вирусов не оказалось,а в управлении надстройками,действительн какая-то пакость привязалась....я заблокировала и все успешно заработало....буду знать...еще раз огромное мерси

  13. Пользователь сказал cпасибо:


  14. #9
    Группа удаления Аватар для Natfusik
    Регистрация
    13.08.2009
    Адрес
    Москва, ЮГ
    Сообщений
    59
    Спасибо
    я - 19; мне - 13
    Я с вирусами - исключительно на Вы. То есть они меня добивают, я вяло отстреливаюсь с помощью друзей и знакомых. Поправьте если что не так. Уже 2 раза блокировалась система. Вылезает гадкий порнушный банер, который говорит что "он не блокирует систему" . Но он ее именно блокирует, потому что никуда не возможно попасть и ни одна программа не работает. Спасибо Доктору Вебу (правильно написала?) Приходил приятель , вводил какой-то код, потом ставил какую-то утилиту с паучком и все вроде лечилось.
    НО это уже два раза было. Значит либо лечилось не все , либо опять заражается. Стоит семантек и вроде обновляется сам регулярно. Что посоветуете? Как эту гадость вывести? После второго раза отформатировали винт на котором система стояла. Но я все нужные файлы доблестно перенесла на флешку и заново поставила. Теперь боюсь не переехал ли вирус?

  15. #10
    Администратор, Старший модератор
    Лучший Старший модератор miXei.ru 2010
      Лучший модератор раздела "Информационные Технологии" 2008, Лучший консультант 2009, Самый полезный участник раздела "Компьютерные Игры" 2009, Лучший консультант 2009
    Аватар для CHeL
    Регистрация
    10.09.2004
    Адрес
    Питер, ЮЗ
    Сообщений
    4,286
    Записей в блоге
    4
    Спасибо
    я - 636; мне - 567
    Natfusik
    проверь докторвэбом на вирусы.

  16. #11
    Группа удаления Аватар для Montecito
    Регистрация
    23.11.2008
    Адрес
    Москва
    Сообщений
    27
    Спасибо
    я - 0; мне - 0
    Цитата Сообщение от CHeL Посмотреть сообщение
    Natfusik
    проверь докторвэбом на вирусы.
    Я тоже Кьюр Ит в таких ситуёвинах использую,ибо лень покупать нормальный антивирь,http://drweb-shop.ru/drweb_cure_it тут можно бесплатно качнуть эту утилитку

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •