Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Вирус(ы) в ОС Windows. Проблемы. Решения. (II)

Модерирует : KLASS, IFkO

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39

Открыть новую тему     Написать ответ в эту тему

KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Предыдущие части: -I-

Вирусы в Windows XP, Vista, 7, 8, 8.1, 10.
Проблемы. Решения.


Стандартные действия

Вариант №1

1. Скачиваем Dr.Web LiveDiskСсылка ведёт на страницу загрузки, записываем диск, загружаемся и проверяем системы на вирусы.  
И\или
Скачиваем Kaspersky Rescue DiskСсылка ведёт на страницу загрузки: на ядре Linux (вирусы под win не пройдут, а под *nix их нет, по крайней мере живых), ядро от десятой версии и изменена "никсовая" оболочка. Обновление происходит раз в неделю. Записываем диск, загружаемся, обновляем базы и проверяем системы на вирусы.
Вариант №2

1. Скачиваем загрузочный диск на базе LiveCD (Ссылки в Варезнике LiveCD/BootCD (DVD/USB) на базе OPK WinPE)
2. Скачиваем антивирусы работающие без инсталляции.
2.1 Dr.Web CureIT!Ссылка ведёт на страницу загрузки  
2.2 Kaspersky Virus Removal Tool (AVPTool)Ссылка ведёт на страницу загрузки  
3. Прожигаем скачанный LiveCD на болванку, перезагружаемся, выставляем в биосе загрузку с CD\DVD(Что бы зайти в биос, нужно нажимать после включения компьютера кнопки Del или F2, зависит от производителя материнской платы.) На некоторых материнских платах, возможно вызвать Boot Menu нажав F8 при загрузке и выбрать загрузку с CD\DVD не заходя в биос.  
4. Проверяем одной утилитой, перезагружаемся, проверяем второй утилитой, пытаемся загрузить систему.  
Желательно отключить систему восстановления. Свойства системы-система восстановления.

Разница между вариантом №1 и вариантом №2 заключается в следующем:
Если нет возможности скачать LiveCD, то проверяйте компьютер в безопасном режиме. При загрузке нажимать F8, выбрать верхний пункт(Safe Mode или безопасный режим). В этом случае при сохранение CureIt и AVPTool к себе на компьютер переименовывайте файлы. Ряд вирус блокирует запуск при стандартном имени файла.
Это стандартные действия, которые не гарантируют восстановление работоспособности ОС, НО! 90% проблем решается таким способом.
Если не помогает, то скачиваем AVZ, сканируем и выкладываем лог. Обязательно указываем какая версия Windows.

Полезные инструменты(утилиты)

Sysinternals (Microsoft) Process ExplorerВыдает подробнейшую информацию обо всех запущенных процессах, включая владельца, использование памяти, задействованные библиотеки и т.д.
Sysinternals (Microsoft) AutorunsПозволяет контролировать автозагрузку запускающихся при старте операционной системы сервисов, приложений и других компонентов.
Sysinternals (Microsoft) Process Monitorпрограмма для мониторинга файловой системы, реестра и процессов в оперативной памяти. Filemon+Regmon
HijackThisпрограмма для удаления невидимых spyware
AutoLoggerавтоматический сборщик логов, более подробное описание утилиты смотрите на странице скачивания.
AdwCleanerпрограмма для удаления тулбаров, adware и другого рекламного мусора.
RegASSASSINПрограмма для удаления "заблокированных" веток и ключей в реестре из-за mailware
SOSКомплект программ  для диагностики/реанимации/оптимизации/защиты/профилактики Windows. Скачать
SmartFixЭффективная программа для быстрого автоматического исправления неполадок Оф.сайт

Темы на форуме

Обсуждение wannaCry в админском разделе..
Помощь при лечении компьютера от вирусовпомощь от "хелперов" с "VirusInfo". В топике строгие правила. Внимательно читаем шапку.
Антивирусы (Antivirus'ы) не требующие инсталяциикому не хватает CureIT и AVPTool
AVZ - Anti-SpyWare, Anti-AdWare
Восстановление WindowsКак вернуть Windows к жизни без переустановки
Windows заблокирован!отдельный топик по решению проблем с вирусом блокирующим запуск ОС и требующем выслать денег по СМС.
Обзор антивирусов (и др. средств безопасности на их основе) под Windоws 98/XP/Vista/7/8/8.1/10
Полезные ссылки в интернете

Закрываемся от вируса-шифровальщика WannaCry
VirusTotal — бесплатная служба, осуществляющая анализ подозрительных файлов и ссылок (URL) на предмет выявления вирусов, червей, троянов и всевозможных вредоносных программ.  
Чистые системные файлы Windows, которые заражают блокерыссылка ведёт на страницу закачки
Поиск описания  вирусов по названию
Советы по лечению ПК от Олега Зайцева, автора Avz
Ручное лечение компьютера от вирусовСпец.форум по проблемам с вирусамих.
Очистка Windows от вирусовСтатья от FuzzyL
Список "левых" служб, ссылающихся на svchost.exe, для WindowsXP
Страница VirusHunter`a — "Диспетчер задач\реестр\настройки рабочего стола  заблокирован(ы) .." Подборка полезных "точечных" утилит.  
Безопасный Интернет. Универсальная защита для Windows ME - Vista — автор-составитель антивирусный эксперт, золотой бета-тестер Лаборатории Касперского Николай Головко
 
Прежде чем изменять шапку спроси здесь. Не спросил-запрет на пост! KLASS

Всего записей: 11450 | Зарегистр. 12-10-2001 | Отправлено: 18:31 16-02-2017 | Исправлено: 526549, 18:38 09-01-2019
dt100

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
prmt81
Цитата:
зачем в МВД, Мегафоне, Сбербанке, МЧС, РЖД на компьютерах, смотрящих в инет, была включена "Служба доступа к файлам и принтерам сетей Microsoft"
На машинах в локальной сети эта служба, как правило всегда включена, поскольку нужен перекрёстный доступ к принтерам, сканерам и общим каталогам. В Интернет, как правило, так-же есть доступ с каждой локальной машины - но уже через сетевой Прокси или Маршрутизатор - а вот как они настроены, другой вопрос.
Цитата:
этот вирус распространялся не через почту, а именно через уязвимые сетевые интерфейсы
Так он и заражает все машины по локальной Сети, если хотя-бы на одну машину Сети ему удалось попасть через Почту.
 

Всего записей: 782 | Зарегистр. 25-08-2009 | Отправлено: 18:43 27-05-2017 | Исправлено: dt100, 18:49 27-05-2017
prmt81

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
с тем как происходит заражение в локальной сети всё понятно. Не понятно, как можно проникнуть в локальную сеть без инсайдерства и открытия заражённого почтового вложения. Во всех статьях утверждается, что вирус проникал в сети организаций через уязвимые сетевые интерфейсы, смотревшие в инет. На них была запущена та служба, открыт SMB порт. Зачем?

Всего записей: 274 | Зарегистр. 11-12-2009 | Отправлено: 19:00 27-05-2017
Firza

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Во всех статьях утверждается, что вирус проникал в сети организаций через уязвимые сетевые интерфейсы, смотревшие в инет.

Самая лудящая реклама антивирусов - это постоянное запугивание пользователей, через общественные СМИ.
А для чего в какой не будь организации, на роутере был открыт доступ в локальную сеть, надо спрашивать у администраторов этих сетей. Нет таких роутеров, в которых по умолкаю был бы настроен переброс 445 порта на компьютер в локальной сети.

Всего записей: 273 | Зарегистр. 01-09-2004 | Отправлено: 19:13 27-05-2017
regist123



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Firza 19:22 27-05-2017
Цитата:
Чтобы вирус попал в локальную сеть за NAT, в этой сети должен быть инсайдер который запустить самый обычный EXE файл. И хватить одной секретарши, запустившей документ nakladnaja.pdf.exe, чтобы легла сеть из 1000 компьютеров.

В случае с МВД оказалось всё намного проще, корпоративный прокси через который у них был настроен интернет блокировал порно, поэтому пострадавшие подлючали свои рабочие машинки через юсб-свистки для выхода в интернет. Вот это их и сгубило.

Всего записей: 7198 | Зарегистр. 20-03-2009 | Отправлено: 19:40 27-05-2017
prmt81

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
regist123
 

Цитата:
В случае с МВД оказалось всё намного проще, корпоративный прокси через который у них был настроен интернет блокировал порно, поэтому пострадавшие подлючали свои рабочие машинки через юсб-свистки для выхода в интернет. Вот это их и сгубило.
 

 
это довольно странно. Насколько помню, драйвера свистков создают интерфейс подключения к инету с выключенной по-умолчаний "Службой доступа к файлам и принтерам сети Майкрософт". Понятно, что можно эту галку включить вручную. Но... Утырки в погонах, которым нужно порно, вряд ли будут её включать. Значит это делали ихние сисадмины, получается?

Всего записей: 274 | Зарегистр. 11-12-2009 | Отправлено: 20:30 27-05-2017
regist123



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
По поводу службы вам выше уже написали, что она наверняка была у них включена для работы сетевых принтеров, обмена файлов по сети и т.д. То есть служба и так у них была включена.

Всего записей: 7198 | Зарегистр. 20-03-2009 | Отправлено: 21:57 27-05-2017
Firza

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Начиная с Windows 7 (возможно и с Vista) при подключение другого интерфейса компьютера к сети, надо заново настраивать профиль сетевое подключение. Эти настройки разделены по типом сети: домашняя, работа, гость или публичная сеть, и это разделение как раз относится к безопасности и к тому нужно или ненужно в той или иной случать "Служба доступа к файлам и принтерам сетей Microsoft". По умалчанию там вроде предлогается "гость или публичная сеть".

Всего записей: 273 | Зарегистр. 01-09-2004 | Отправлено: 22:23 27-05-2017
regist123



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Большинство бездумно тыкают в доверенная сеть ))).

Всего записей: 7198 | Зарегистр. 20-03-2009 | Отправлено: 22:40 27-05-2017
9285

BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Большинство бездумно тыкают в доверенная сеть )))

Насколько помню, в 7-ке есть чекбокс считать все подключаемые сети общественными.
Что мешало его задействовать?
Я писал чуть ранее про комп из структур, который попал мне в руки - правда достаточно времени  рассмотреть что там и как не было. Одно точно - один раздел 4хх гигов на весь диск, при том что занято всего гигов 30-40. Вот что мешало поделить диск и настроить архивацию штатными средствами.? Он что, денег просит или как?

Всего записей: 4833 | Зарегистр. 06-10-2010 | Отправлено: 23:01 27-05-2017
prmt81

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
насчет свистков какая-то лажа... Разве свистки не в локалке провайдера? Т.е. свистки работают тоже через NAT - NAT провайдера (МТС/Билайн/Мегафон/кто там ещё). Поправте, если не прав. Сейчас припоминаю, что один из свистков у меня создавал интерфейс с адресом 10.0.0.Х.

Всего записей: 274 | Зарегистр. 11-12-2009 | Отправлено: 23:59 27-05-2017
Firza

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
То какого типа IP адрес будет у пользователя мобильного интернета зависит от оператора. Есть операторы которые дают только IP адреса за NAT типа 10.0.0.Х, но есть и такие которые дают "настояшие" IP адреса. Но то что пользователи находится за NAT незищает их от сетевых червей использующих уязвимость в SMBv1. В такой "локальной сети" очень много пользователей и будет достаточного одно заражённой комютера чтобы заразить всех тех кто решил разшарить свои файлы и принтеры для всех остальных пользователей данной "локальной сети".

Всего записей: 273 | Зарегистр. 01-09-2004 | Отправлено: 02:22 28-05-2017
emil9



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
а какая разница за натом адрес при использовании свистка , запущена ли служба или открыт доступ? если ленивые сисадмины не запретили чужие флешки вставлять. за это канделябром бить надо больно. что угодно могут принести на флешках. а на домашних компах часто и антивируса нет.

Всего записей: 2092 | Зарегистр. 16-10-2002 | Отправлено: 08:32 28-05-2017
prmt81

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Но то что пользователи находится за NAT незищает их от сетевых червей использующих уязвимость в SMBv1.

 
Почему? Как раз в случае WannaCry - локальная сеть за NAT защищена. Очевидно жеж, что эпидемия 12 мая не имеет отношения к способу распространения почтовыми вложениями. Вирус проникал в сети через уязвимые сетевые интерфейсы, смотрящие в инет белыми IP.

Всего записей: 274 | Зарегистр. 11-12-2009 | Отправлено: 08:32 28-05-2017
dt100

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
emil9
Цитата:
не запретили чужие флешки вставлять
Это не закроет основной и, НМВ самый опасный путь заражения - через Почту.  
На Почтовом сервере можно отфильтровать все опасные вложения, НО архивы и ссылки  приходится пропускать, поскольку это используется в переписке с разными конторами. И ничего с этим не поделать.  
Инструктажи персонала так-же имеют ограниченный эффект.

Всего записей: 782 | Зарегистр. 25-08-2009 | Отправлено: 10:08 28-05-2017
emil9



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
dt100
ну это само собой, речь про максимально возможное ограничение прав.из моего опыта инструктаж персонала во многом никак не влияет на безопасность. Некоторые и не хотят вникать, "это не моя работа, я бухгалтер " , у других память рыбок : 5 секунд, другие (включая большую часть первых и вторых просто патологически туповаты.

Всего записей: 2092 | Зарегистр. 16-10-2002 | Отправлено: 11:12 28-05-2017 | Исправлено: emil9, 11:12 28-05-2017
GREENcode

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Является ли малварью скачивалка с YouTube "YTD"? Emsisoft её детектит как "Application", но говорит, что риска нет. Кто с ней сталкивался?

Всего записей: 455 | Зарегистр. 03-10-2015 | Отправлено: 21:27 04-06-2017
TheBarmaley



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
GREENcode
Цитата:
Является ли малварью скачивалка  
ну так натрави на ссылку вирус-тотал и посмотри результаты.. )
на всякий - если это с оф.сайта веб-загрузчик, вполне может и разная рекламная хрень попутно садиться..

----------
..the one of.. ··· ..sam-&-pol..

Всего записей: 17806 | Зарегистр. 07-06-2006 | Отправлено: 21:41 04-06-2017
Living things



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
GREENcode
я вообще против любых качалок.  
Что касается Ютуба, то для загрузки оттуда есть замечательный сервис
В адресе любого видео ролика на Ютубе добавить ss:
_ https://www. ss youtube.com/watch?v=pu6o25CKbnU

Всего записей: 2675 | Зарегистр. 12-07-2012 | Отправлено: 14:58 05-06-2017 | Исправлено: Living things, 14:59 05-06-2017
docNemo



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Чуток не в тему, но около нее.  
Анализ всей движухи по WannaCry Игоря Ашманова
 
Подробнее...
Особенно доставляет самая последняя фраза

Всего записей: 1200 | Зарегистр. 09-10-2016 | Отправлено: 14:11 06-06-2017 | Исправлено: docNemo, 14:14 06-06-2017
prmt81

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Атака – довольно мелкая. Заражено 200-300 тысяч компьютеров по миру.

ИМХО конечно, но заражено было несколько миллионов компов, т.к. 300 тысяч - это количество внешних IP  с уязвимостью SMB, которые можно посчитать. На данный момент карта https://intel.malwaretech.com/botnet/wcrypt показывает 522 тысячи. Т.е. это количество шлюзов с уязвимостью, смотрящих в инет белым IP. Сколько заражено в локальных сетях за шлюзами? Скорее всего миллионы.
 
 

Цитата:
Атака спецслужб на критическую инфраструктуру и/или госучреждения, с выведением из строя или препятствованием работе – это акт войны. Все, кто нужно, поймёт, кто это сделал, а это может привести к войне.

Помилуйте, какая война??? эрэфия утратила суверенность с 93-го года. Все акты войны - мычание озабоченностей лошадью МИДа. Да и зачем атаковать колонию, которая и так в полном подчинении и исправно платит оброк миллиардами, "вкладываясь" в трежерисы? Иран суверенная страна, его атаковать логично. А рф-ю то зачем?

Всего записей: 274 | Зарегистр. 11-12-2009 | Отправлено: 10:16 08-06-2017
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Вирус(ы) в ОС Windows. Проблемы. Решения. (II)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru