Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Вирус(ы) в ОС Windows. Проблемы. Решения. (II)

Модерирует : KLASS, IFkO

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39

Открыть новую тему     Написать ответ в эту тему

KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Предыдущие части: -I-

Вирусы в Windows XP, Vista, 7, 8, 8.1, 10.
Проблемы. Решения.


Стандартные действия

Вариант №1

1. Скачиваем Dr.Web LiveDiskСсылка ведёт на страницу загрузки, записываем диск, загружаемся и проверяем системы на вирусы.  
И\или
Скачиваем Kaspersky Rescue DiskСсылка ведёт на страницу загрузки: на ядре Linux (вирусы под win не пройдут, а под *nix их нет, по крайней мере живых), ядро от десятой версии и изменена "никсовая" оболочка. Обновление происходит раз в неделю. Записываем диск, загружаемся, обновляем базы и проверяем системы на вирусы.
Вариант №2

1. Скачиваем загрузочный диск на базе LiveCD (Ссылки в Варезнике LiveCD/BootCD (DVD/USB) на базе OPK WinPE)
2. Скачиваем антивирусы работающие без инсталляции.
2.1 Dr.Web CureIT!Ссылка ведёт на страницу загрузки  
2.2 Kaspersky Virus Removal Tool (AVPTool)Ссылка ведёт на страницу загрузки  
3. Прожигаем скачанный LiveCD на болванку, перезагружаемся, выставляем в биосе загрузку с CD\DVD(Что бы зайти в биос, нужно нажимать после включения компьютера кнопки Del или F2, зависит от производителя материнской платы.) На некоторых материнских платах, возможно вызвать Boot Menu нажав F8 при загрузке и выбрать загрузку с CD\DVD не заходя в биос.  
4. Проверяем одной утилитой, перезагружаемся, проверяем второй утилитой, пытаемся загрузить систему.  
Желательно отключить систему восстановления. Свойства системы-система восстановления.

Разница между вариантом №1 и вариантом №2 заключается в следующем:
Если нет возможности скачать LiveCD, то проверяйте компьютер в безопасном режиме. При загрузке нажимать F8, выбрать верхний пункт(Safe Mode или безопасный режим). В этом случае при сохранение CureIt и AVPTool к себе на компьютер переименовывайте файлы. Ряд вирус блокирует запуск при стандартном имени файла.
Это стандартные действия, которые не гарантируют восстановление работоспособности ОС, НО! 90% проблем решается таким способом.
Если не помогает, то скачиваем AVZ, сканируем и выкладываем лог. Обязательно указываем какая версия Windows.

Полезные инструменты(утилиты)

Sysinternals (Microsoft) Process ExplorerВыдает подробнейшую информацию обо всех запущенных процессах, включая владельца, использование памяти, задействованные библиотеки и т.д.
Sysinternals (Microsoft) AutorunsПозволяет контролировать автозагрузку запускающихся при старте операционной системы сервисов, приложений и других компонентов.
Sysinternals (Microsoft) Process Monitorпрограмма для мониторинга файловой системы, реестра и процессов в оперативной памяти. Filemon+Regmon
HijackThisпрограмма для удаления невидимых spyware
AutoLoggerавтоматический сборщик логов, более подробное описание утилиты смотрите на странице скачивания.
AdwCleanerпрограмма для удаления тулбаров, adware и другого рекламного мусора.
RegASSASSINПрограмма для удаления "заблокированных" веток и ключей в реестре из-за mailware
SOSКомплект программ  для диагностики/реанимации/оптимизации/защиты/профилактики Windows. Скачать
SmartFixЭффективная программа для быстрого автоматического исправления неполадок Оф.сайт

Темы на форуме

Обсуждение wannaCry в админском разделе..
Помощь при лечении компьютера от вирусовпомощь от "хелперов" с "VirusInfo". В топике строгие правила. Внимательно читаем шапку.
Антивирусы (Antivirus'ы) не требующие инсталяциикому не хватает CureIT и AVPTool
AVZ - Anti-SpyWare, Anti-AdWare
Восстановление WindowsКак вернуть Windows к жизни без переустановки
Windows заблокирован!отдельный топик по решению проблем с вирусом блокирующим запуск ОС и требующем выслать денег по СМС.
Обзор антивирусов (и др. средств безопасности на их основе) под Windоws 98/XP/Vista/7/8/8.1/10
Полезные ссылки в интернете

Закрываемся от вируса-шифровальщика WannaCry
VirusTotal — бесплатная служба, осуществляющая анализ подозрительных файлов и ссылок (URL) на предмет выявления вирусов, червей, троянов и всевозможных вредоносных программ.  
Чистые системные файлы Windows, которые заражают блокерыссылка ведёт на страницу закачки
Поиск описания  вирусов по названию
Советы по лечению ПК от Олега Зайцева, автора Avz
Ручное лечение компьютера от вирусовСпец.форум по проблемам с вирусамих.
Очистка Windows от вирусовСтатья от FuzzyL
Список "левых" служб, ссылающихся на svchost.exe, для WindowsXP
Страница VirusHunter`a — "Диспетчер задач\реестр\настройки рабочего стола  заблокирован(ы) .." Подборка полезных "точечных" утилит.  
Безопасный Интернет. Универсальная защита для Windows ME - Vista — автор-составитель антивирусный эксперт, золотой бета-тестер Лаборатории Касперского Николай Головко
 
Прежде чем изменять шапку спроси здесь. Не спросил-запрет на пост! KLASS

Всего записей: 11448 | Зарегистр. 12-10-2001 | Отправлено: 18:31 16-02-2017 | Исправлено: 526549, 18:38 09-01-2019
Bort_Nick



Full Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
del

Всего записей: 564 | Зарегистр. 26-08-2012 | Отправлено: 22:25 13-05-2017 | Исправлено: Bort_Nick, 22:27 13-05-2017
Nilslis



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору


Закрываемся от вируса-шифровальщика WannaCry

(WannaCrypt, WannaCry, WanaCrypt0r, WCrypt, WCRY) Подробнее..., wikipedia
Вирус-вымогатель по имени Wanna Cry («Хочу плакать») не щадит никого.
Под ударом — больницы, железные дороги, правительственные учреждения.  
сюжет 1tv.ru, Россия 24 (2, 3), BBC, euronews, Настоящее Время

Атака происходит с использованием уязвимости в протоколе SMB версии SMBv1, позволяющей удалённо запускать программный код.
В его основе лежит эксплойт EternalBlue, созданный в стенах Агентства национальной безопасности США (АНБ) и выложенный хакерами в открытый доступ.
 
Карта распространения WannaCry в реальном времени | Ещё карта
 
Внимание! Дешифратора файлов для WannaCry на данный момент НЕТ!  
В сети участились случаи когда мошенники предлагают якобы дешифровать файлы за деньги и размещают ссылки на покупку дешифратора. Это обман!

 



 
Способ 1. Установите официальный патч MS17-010 от Microsoft, который закрывает уязвимость сервера SMB, используемую в атаке шифровальщика WannaCry.  
 
Прямые ссылки на обновления безопасности MS17-010:
 
 
 
Как проверить установлен ли патч закрывающий данную уязвимость в вашей системе:
 
Установка патча MS17-010 не требуется, если у вас включено автоматическое обновление Windows, и установлены последние обновления после 14 марта 2017 года для следующих операционных систем: Подробнее...
 



 
Способ 2. Закрыть порт 445 (служба «Сервер»).
Эксперты отмечают, что самый простой способ обезопасить себя от атаки — это закрыть порт 445.
 
 
Запустите Командную строку (cmd.exe) от имени Администратора
Введите:
Код:
sc stop lanmanserver
и нажмите Enter
 
Введите для Windows 10:
Код:
sc config lanmanserver start=disabled

Для других версий Windows:
Код:
sc config lanmanserver start= disabled
и нажмите Enter
Перезагрузите компьютер
 
 
В командной строке введите:
Код:
netstat -n -a | findstr "LISTENING" | findstr ":445"
чтобы убедиться, что порт отключен. Если будут пустые строчки, порт не прослушивается.
 
 
 
При необходимости можно открыть порт обратно
Запустите Командную строку (cmd.exe) от имени Администратора
Введите для Windows 10:
Код:
sc config lanmanserver start=auto

Для других версий Windows:
Код:
sc config lanmanserver start= auto
и нажмите Enter
Перезагрузите компьютер
 
 
 
Дополнительно:
1. Панель управления > Администрирование > ПКМ на "Службы" > Выбираем "Запуск от имени администратора"
2. Находим службу "Сервер (Имя службы: LanmanServer)" > ПКМ выбрать "Свойства" > Ставим "Тип запуска: Отключена" > Ок
3. Перезагрузите компьютер
 
 
Примечание: Порт 445 используется Windows для совместной работы с файлами. Закрытие этого порта не мешает соединению ПК с другими удаленными ресурсами, однако другие ПК не смогут подключиться к данной системе.
 
 



 
Способ 3. Отключить поддержку протокола SMB1 Подробнее...
Для этого достаточно выполнить следующую команду в командной строке (cmd.exe) запущенной от имени Администратора (работает в Windows 8.1 и более старших версиях):
Код:
dism /online /norestart /disable-feature /featurename:SMB1Protocol
и нажмите Enter
Перезагрузите компьютер
 
 
Дополнительно:
Отключить/Включить протокол SMB 1.0 на стороне клиента
Отключить/Включить протокол SMB 1.0 на стороне сервера
 
 
Дополнительно:
1. Панель управления > Программы и компоненты > Включение или отключение компонентов Windows
2. Снять галку с «Поддержка общего доступа к файлам SMB 1.0/CIFSt»
3. Перезагрузите компьютер
 
 
Дополнительно:
1. Центр управления сетями и общим доступом
2. Свойства сетевого адаптера (Изменение параметров сетевого адаптера) и убираем галочки напротив строчек:
«Клиент для сетей Microsoft»
«Служба доступа к файлам и принтерам сетей Microsoft»
5. «Изменить дополнительные параметры общего доступа» и везде ставим отключить.
6. Перезагрузите компьютер
 
 
Дополнительно:
1. Панель управления > Центр управления сетями и общим доступом > Дополнительные параметры общего доступа
2. Сетевое обнаружение: ставим "Отключить сетевое обнаружение"
4. Общий доступ к файлам и принтерам: ставим "Отключить общий доступ к файлам и принтерам"
Сохранить изменения
 



 
Способ 4. Если в системе включёны Защитник Windows (Windows Defender) и «Брандмауэр Windows», если не используются сторонние антивирусы и файрволы.
 
1. Выполнить обновление вирусных баз защитника windows.
2. В командной строке (cmd.exe) запущенной от имени Администратора:
Код:
netsh advfirewall firewall addrule dir=in action= blockprotocol=tcp localport=445 name="Block_TCP-445"
и нажмите Enter
 
Далее можно закрыть другие уязвимые порты
 
 



Протестируйте уязвимые порты: 445, 139, 135, в командной строке следующими командами.
Тест открытых портов в AVZ: Меню "Сервис" » "Открытые порты TCP/UDP"
 
Сканер портов на portscan.ru | Проверка порта на portscan.ru | Проверка порта на 2ip.ru | Безопасность вашего компьютера
 
Описание уязвимых портов:
Порт 445 | SMB Server Message Block. | Протокол удалённого доступа к файлам, принтерам и сетевым ресурсам.
Порт 135 | Remote Procedure Call (RPC) | Удаленный вызов процедур (RPC)
Порт 139 | NetBIOS | Network Basic Input/Output System. | Протокол обеспечения сетевых операций ввода/вывода. Служба сессий.
 



 
Данная информация взята из различных источников: comss.ru | geektimes.ru | safezone.cc | pikabu.ru | forum.kasperskyclub.ru
 
статьи:
Итоги WannaCry: подборка основных материалов на «Хабрахабре» и не только
Все самое важное о шифровальщике WannaCry
Программа-шантажист WannaCrypt атакует необновлённые системы
«Лаборатория Касперского» о шифровальщике “WannaCry”
Информация по вредоносным программам WannaCry и инструкции по борьбе с ними на support.kaspersky.ru
Wana Decryptor (WannaCry, WanaCrypt0r, WNCRY, WannaCrypt), что это и как расшифровать файлы
Как обезопасить себя от вируса, заразившего компьютеры по всему миру
Wana Decryptor, что это и как расшифровать файлы

Всего записей: 1854 | Зарегистр. 06-10-2008 | Отправлено: 00:51 14-05-2017 | Исправлено: Nilslis, 14:21 28-05-2017
Bort_Nick



Full Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Nilslis,
Вам же на прошлой странице несколько раз написали - ошибка в синтаксисе:

Цитата:
sc config lanmanserver start=disabled

вот так - не работает

 
а вот так - работает

 
соответственно и команда

Цитата:
sc config lanmanserver start=auto


Всего записей: 564 | Зарегистр. 26-08-2012 | Отправлено: 01:29 14-05-2017 | Исправлено: Bort_Nick, 01:34 14-05-2017
Nilslis



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Bort_Nick
Цитата:
ошибка в синтаксисе

Так у вас Windows XP. На Windows 10 команда работает без пробелов "sc config lanmanserver start=disabled"
Ок. Просто пока редактирую копипасту. Пишите если увидите ещё какие ошибки/дополнения.

Всего записей: 1854 | Зарегистр. 06-10-2008 | Отправлено: 01:39 14-05-2017 | Исправлено: Nilslis, 01:44 14-05-2017
anteya4

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
После установки официального патча  MS17-010 от Microsoft не запускался проводник - чёрный экран. После удаления обновления - всё нормально .  
Windows 8.1 64bit

Всего записей: 12 | Зарегистр. 31-05-2011 | Отправлено: 08:46 14-05-2017 | Исправлено: anteya4, 09:11 14-05-2017
SergantSerg

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Обновление безопасности поставил.
Интересен другой вопрос.
Анализ форумов антивирусов показал, что на форуме Касперского
гора обращений с просьбой помочь в расшифровке. В то время как
на форуме DrWeb всего одна тема: мол никак не удается вылечить вирус,
постоянно появляется предупреждение антивируса, но файлы не шифруются.
Получается, что проактивная защита Касперского не смогла остановить атаку, в то
время как DrWeb не допустил шифрования файлов. Странно это все, т.к. я всегда  
считал, что у Касперского хорошая проактивная защита, а у DrWeb ее почти нет.
На работе используются оба антивируса. Критически важные узлы сети защищает KSOS.
Но на отдельных старых машинах стоит DrWeb.  
Вот думаю, поменять на своем ПК KSOS  на DrWeb.

Всего записей: 16 | Зарегистр. 22-09-2013 | Отправлено: 12:29 14-05-2017
VV2006

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
SergantSerg, зависит от умолчальных настроек антивирусов, а далее - как накрутишь, так и поедет. От Каспера об этой напасти.
Интересно, вот тут пишут, что создание мьютекса с именем "MsWinZonesCacheCounterMutexA" блокирует запуск зловреда.
 
Добавлено:
Детальный разбор процесса заражения, понятно, что вариации не заставят себя долго ждать.

Всего записей: 2158 | Зарегистр. 10-02-2006 | Отправлено: 13:23 14-05-2017
bereng75

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
У меня Windows 10 Enterprise 2016 LTSB  1607  
 MS17-010  это обновление KB4019472??

Всего записей: 205 | Зарегистр. 13-04-2010 | Отправлено: 15:36 14-05-2017
MisHel64



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Вот думаю, поменять на своем ПК KSOS  на DrWeb.
Давно пора.

Всего записей: 2307 | Зарегистр. 21-09-2006 | Отправлено: 15:45 14-05-2017
dortmund



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bereng75

Цитата:
MS17-010  это обновление KB4019472??

Это KB4013429

Всего записей: 2306 | Зарегистр. 28-04-2008 | Отправлено: 16:24 14-05-2017
bereng75

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
dortmund почему??KB4019472 новей
Microsoft выпустила накопительный пакет обновления KB4019472 для Windows 10 Anniversary Update (версия 1607) в рамках ежемесячного "Вторника патчей". После обновления номер сборки Windows 10 меняется на 14393.1198

Всего записей: 205 | Зарегистр. 13-04-2010 | Отправлено: 16:47 14-05-2017
Abs62



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bereng75

Цитата:
почему??KB4019472 новей

Потому что в бюллетене MS17-010 указан именно KB4013429, это мартовский кумулятив. Апрельский и майский выходили уже потом.

----------
0 программистов ругал сердитый шеф
Потом уволил одного, и стало их FF

Всего записей: 6092 | Зарегистр. 22-10-2005 | Отправлено: 17:30 14-05-2017
regist123



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
SergantSerg 13:29 14-05-2017
Цитата:
Получается, что проактивная защита Касперского не смогла остановить атаку, в то  
 время как DrWeb не допустил шифрования файлов.

Нет, это просто означает, что форум касперского сразу попал на первое место в индексе Яндекса и Гугла.
Среди пострадавших обратившихся на форум касперского были и пользователи и др. Веба и остальных антивирусов.
PS. это не реклама какого-либо антивирусов, а просто пояснение.

Всего записей: 7198 | Зарегистр. 20-03-2009 | Отправлено: 19:31 14-05-2017 | Исправлено: regist123, 19:33 14-05-2017
SergantSerg

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
regist123
Я смотрел тему с запросами на расшифровку. Они принимаются только от клиентов Касперского, у которых на момент заражения стоял лицензионный Каспер.

Всего записей: 16 | Зарегистр. 22-09-2013 | Отправлено: 19:52 14-05-2017
Nilslis



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Каспер пропустил WannaCry как и большинство антивирусов. Такова работа инструментов эксплуатирующих уязвимость. Тут можно ознакомится подробнее.

Всего записей: 1854 | Зарегистр. 06-10-2008 | Отправлено: 20:00 14-05-2017
bereng75

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Abs62
И что делать??С 14393.1198 откатываться на 14393.953??
 
А как с этим бороться?? Винт менять и всё..

Цитата:
Опасность его заключается в том, что он может восстановиться после полного форматирования жёсткого диска. Следовательно, он записывается в некую область HDD, недоступную системе и пользователям соответственно.

Всего записей: 205 | Зарегистр. 13-04-2010 | Отправлено: 20:09 14-05-2017 | Исправлено: bereng75, 20:13 14-05-2017
VV2006

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bereng75
Цитата:
он
Он  - кто?

Всего записей: 2158 | Зарегистр. 10-02-2006 | Отправлено: 20:35 14-05-2017
Nilslis



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
VV2006
Цитата:
кто?

Он.
 
bereng75
Цитата:
он может восстановиться после полного форматирования жёсткого диска.

А про что идёт речь, можно ссылку?

Всего записей: 1854 | Зарегистр. 06-10-2008 | Отправлено: 20:38 14-05-2017 | Исправлено: Nilslis, 20:53 14-05-2017
OprsT777



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
имхо бредом попахивает, взято у яблочников:
https://www.iphones.ru/iNotes/707474
или отсюда:
http://wi-fi.ru/desktop/news/7/1673773

Всего записей: 132 | Зарегистр. 04-01-2006 | Отправлено: 21:00 14-05-2017 | Исправлено: OprsT777, 21:01 14-05-2017
Abs62



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bereng75

Цитата:
И что делать??С 14393.1198 откатываться на 14393.953??

Зачем? Кумулятив на то и кумулятив, что включает в себя предыдущие обновления. То бишь всё необходимое и в майском кумулятиве имеется.

----------
0 программистов ругал сердитый шеф
Потом уволил одного, и стало их FF

Всего записей: 6092 | Зарегистр. 22-10-2005 | Отправлено: 21:01 14-05-2017
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Вирус(ы) в ОС Windows. Проблемы. Решения. (II)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru