Вирус(ы) в ОС Windows. Проблемы. Решения. (II) - [1] :: Microsoft Windows

Предыдущие части: -I-

Вирусы в Windows XP, Vista, 7, 8, 8.1, 10.
Проблемы. Решения.

Стандартные действия

Вариант №1

1. Скачиваем Dr.Web LiveDisk — Ссылка ведёт на страницу загрузки, записываем диск, загружаемся и проверяем системы на вирусы.
И\или
Скачиваем Kaspersky Rescue Disk — Ссылка ведёт на страницу загрузки: на ядре Linux (вирусы под win не пройдут, а под *nix их нет, по крайней мере живых), ядро от десятой версии и изменена "никсовая" оболочка. Обновление происходит раз в неделю. Записываем диск, загружаемся, обновляем базы и проверяем системы на вирусы.

Вариант №2

1. Скачиваем загрузочный диск на базе LiveCD (Ссылки в Варезнике LiveCD/BootCD (DVD/USB) на базе OPK WinPE)
2. Скачиваем антивирусы работающие без инсталляции.
2.1 Dr.Web CureIT! — Ссылка ведёт на страницу загрузки
2.2 Kaspersky Virus Removal Tool (AVPTool) — Ссылка ведёт на страницу загрузки
3. Прожигаем скачанный LiveCD на болванку, перезагружаемся, выставляем в биосе загрузку с CD\DVD(Что бы зайти в биос, нужно нажимать после включения компьютера кнопки Del или F2, зависит от производителя материнской платы.) На некоторых материнских платах, возможно вызвать Boot Menu нажав F8 при загрузке и выбрать загрузку с CD\DVD не заходя в биос.
4. Проверяем одной утилитой, перезагружаемся, проверяем второй утилитой, пытаемся загрузить систему.
Желательно отключить систему восстановления. Свойства системы-система восстановления.

Разница между вариантом №1 и вариантом №2 заключается в следующем:

Если нет возможности скачать LiveCD, то проверяйте компьютер в безопасном режиме. При загрузке нажимать F8, выбрать верхний пункт(Safe Mode или безопасный режим). В этом случае при сохранение CureIt и AVPTool к себе на компьютер переименовывайте файлы. Ряд вирус блокирует запуск при стандартном имени файла.
Это стандартные действия, которые не гарантируют восстановление работоспособности ОС, НО! 90% проблем решается таким способом.
Если не помогает, то скачиваем AVZ, сканируем и выкладываем лог. Обязательно указываем какая версия Windows.

Антивирусы и вендоры

Полезные инструменты(утилиты)

Sysinternals (Microsoft) Process Explorer — Выдает подробнейшую информацию обо всех запущенных процессах, включая владельца, использование памяти, задействованные библиотеки и т.д.
Sysinternals (Microsoft) Autoruns — Позволяет контролировать автозагрузку запускающихся при старте операционной системы сервисов, приложений и других компонентов.
Sysinternals (Microsoft) Process Monitor — программа для мониторинга файловой системы, реестра и процессов в оперативной памяти. Filemon+Regmon
HijackThis — программа для удаления невидимых spyware
AutoLogger — автоматический сборщик логов, более подробное описание утилиты смотрите на странице скачивания.
AdwCleaner — программа для удаления тулбаров, adware и другого рекламного мусора.
RegASSASSIN — Программа для удаления "заблокированных" веток и ключей в реестре из-за mailware
SOS — Комплект программ для диагностики/реанимации/оптимизации/защиты/профилактики Windows. Скачать
SmartFix — Эффективная программа для быстрого автоматического исправления неполадок Оф.сайт

Темы на форуме

Обсуждение wannaCry в админском разделе..
Помощь при лечении компьютера от вирусов — ~~помощь от "хелперов" с "VirusInfo". В топике строгие правила. Внимательно читаем шапку.~~
Антивирусы (Antivirus'ы) не требующие инсталяции — кому не хватает CureIT и AVPTool
AVZ - Anti-SpyWare, Anti-AdWare
Восстановление Windows — Как вернуть Windows к жизни без переустановки
Windows заблокирован! — отдельный топик по решению проблем с вирусом блокирующим запуск ОС и требующем выслать денег по СМС.
Обзор антивирусов (и др. средств безопасности на их основе) под Windоws 98/XP/Vista/7/8/8.1/10

Полезные ссылки в интернете

Закрываемся от вируса-шифровальщика WannaCry
VirusTotal — бесплатная служба, осуществляющая анализ подозрительных файлов и ссылок (URL) на предмет выявления вирусов, червей, троянов и всевозможных вредоносных программ.
Чистые системные файлы Windows, которые заражают блокеры — ссылка ведёт на страницу закачки
Поиск описания вирусов по названию
Советы по лечению ПК от Олега Зайцева, автора Avz
Ручное лечение компьютера от вирусов — Спец.форум по проблемам с вирусамих.
Очистка Windows от вирусов — Статья от FuzzyL
Список "левых" служб, ссылающихся на svchost.exe, для WindowsXP
Страница VirusHunter`a — "Диспетчер задач\реестр\настройки рабочего стола заблокирован(ы) .." Подборка полезных "точечных" утилит.
Безопасный Интернет. Универсальная защита для Windows ME - Vista — автор-составитель антивирусный эксперт, золотой бета-тестер Лаборатории Касперского Николай Головко

Прежде чем изменять шапку спроси здесь. Не спросил-запрет на пост! KLASS

Всем добрый день, тут довольно часто появляются вопросы по поводу того как защитить свои бэкапы от возможного заражения вирусами шифровальщиками.

Я опишу тот механизм который мы используем для резервного копирования баз данных 1с.
Собственно сам механизм резервного копирования мы подробно разбирать не будем не та тема форума))), будем смотреть на механизм работы самого зловреда.

В большинстве своем шифровальщики действуют достаточно прямолинейно, но в тот же момент это дает максимальный урон.
Некоторые форумчане высказывали свою мысль что шифрование начинается с системного диска, включая рабочий стол и другие каталоги профиля жертвы а затем переходит к следующему по списку диску по схеме "A:"-"Z:", назовем их группой A
Другие считают что зловред начинает с обратного конца, то есть с последнего тома до первого по схеме "Z:"-"A:", назовем их группой Z
Вы все правы, есть и те и другие зловреды обитают но у каждого своя цель.

Вирусы шифровальщики из группы A действуют по принципу максимально скоростного блокирования документации расположенной на рабочем столе или иных папках профиля пользователя(тем самым выдавая себя), попутно возможен вариант с блокировкой ОС с красивой заставкой и требованием выкупа (чаще всего встречается в домашнем сегменте).

Вирусы из группы Z действуют немного по другому, в первую очередь создается несколько способов запуска самого себя и укоренение в системе будь то планировщик задач, автозагрузка, подмена ярлыков или просто подмена Shell. Затем начинает поиск доступных дисков начиная с конца алфавита, найдя такой диск и получив к нему доступ начинает свое черное дело, при этом контролируя нагрузку на процессор и оперативную память, дабы не вызвать "лагов" и "тормозов", тем самым скрывая свое присутствие.
В дальнейшем закончим с одним Диском, будь то сетевой или локальный зловред переходит к следующему и продолжает до тех пор пока не доберется до системного диска (причем некоторые не гнушаются проверить A: и B: диски), там уже закончив со своей задачей, только в этот момент привлекает внимание пользователя зашифрованными файлами.

Теперь собственно к защите бэкапов.

Не столь важно, какая у вас версия и тип 1С(старая новая, локальна или на MsSQL), тут в принципе суть одна везде, нужно сформировать файл бэкапа и сунуть его в такое место куда зловред не доберется.

Собственно как мы сделали у себя, у нас 1С на MsSQL...

Не будем вдаваться в подробности резервного копирования на MsSQL, но MsSQL умеет работать с внешними приложениями в данном случае мы использовали CMD, собственно в задачу резервного копирования первым пунктом мы добавляем команду подключить сетевой диск - (Z: ), после выполнения бэкапа, и проведения проверки на целостность, отключаем сетевой диск.

Один нюанс конечно есть, чтобы MsSQL начал работать с CMD ему надо "рассказать" что он умеет так. В планах обслуживания создаем новую задачу, а в ней добавляем инструкцию T-SQL
в который записываем:

Код:

EXEC sp_configure 'show advanced options', 1
GO
RECONFIGURE
GO
EXEC sp_configure 'xp_cmdshell', 1
GO
RECONFIGURE
GO

сохраняем и исполняем... все мускул прокачался

затем в плане бэкапа собственно опять же добавляем инструкцию T-SQL и выставляем ее как выполняемую прямо перед самим бэкапом

Код:

GO
EXEC xp_cmdshell 'net use z: \\192.168.1.6\data2 password /user:Domen\BackUpUser';

Доступ из сети к каталогу data2 должен быть тооолько у пользователя BackUpUser для пущей паранойи.

после выполнения бэкапа

Код:

EXEC xp_cmdshell 'net use z: /delete';

Собственно те кто пользуются локальной версией 1С также вполне могут использовать подобный способ, есть конечно свои нюансы но вовремя исполненный бат-файл или бат-файл с примерно таким

содержимым перед началом резервного копирования:

Код:

net use z: \\192.168.1.6\data2 password /user:Domen\BackUpUser

и Бат-файл с примерно таким содержимым после завершения копирования

Код:

net use z: /delete

Опять же все описанное здесь является только моим мнением и не претендует на звание авторитарной, я опирался на свой опыт по борьбе с вирусами шифровальщиками и опыт попыток обезопасить резервные копии от посягательств.

Модерирует : KLASS, IFkO
Версия для печати • Подписаться • Добавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39