Показать полную графическую версию : Вирус - [Архив]
Самый простой способ
1) Выключаешь Касперского (или выгружаешь с памяти)
2) Панель управления\Система\восстановление системы\отключить »
Именно это почему-то не помогло, но залез в те папки и удалил...после грузанул ком, проверил и все ок...Спасибо!
И еще такой вопросик: Есть ли различия проверки компа на вирусы в безопасном и в обчном режиме?? (мне кажется что незапущеные легче успокоить или я ошибаюсь?)
Ghost Shadow
07-09-2007, 13:53
Проверять вообще лучше в безопасном режиме, а еще лучше с live cd какого-нибудь, потому как вирусы уровня ядра на инфицированной системе сканеру даже обнаружить себя не дадут, не говоря уже о том, чтобы вылечить.
DVDshnik
07-09-2007, 14:10
Или же на незаражённой машине, подключив к ней заражённый винчестер. Причём иногда только безопасный режим и помогает.
мне кажется что незапущеные легче успокоить »
Так действительно легче, вот только Касперский, как в прочем у многие другие антивирусы не работают в Безопасном режиме.
самый надёжный способ подсказал DVDshnik, вот только в таком случаи не работает "система долечивания" которую сейчас всё пытаются реализовать в том же Касперском.
rusaltai
11-09-2007, 08:25
Есть очень хороший форум, где помогут вылечить компьютер http://virusinfo.info/ - обращайтесь вам всегда помогут.
Так действительно легче, вот только Касперский, как в прочем у многие другие антивирусы не работают в Безопасном режиме. »
неправда. каспер работает прекрасно. + к этому на саппорте даже есть инструкция как это делать.
+ avz там же.
Firiel, подавайте конкретные действия, коль я туп, поясните миру.
я до сих пор не мог запустить Каспера( 6 и 7 версии) в Safe Mode, ну блин не получалось! ;)
VladimirB
16-09-2007, 12:07
MadMaks,
Все верно! Ни 6-й ни 7-й в Safe Mode запустить нельзя! Не стартуют службы, которые ему нужны. Так что если вы подозреваете заражение и хотите провериться из-под чистой системы - делайте Диск аварийного восстановления на CD-RW (почему на CD-RW, да потому что каждый раз вам придется его перезаписывать при получении новых баз). Далее - грузитесь с CD и проверяйте из-под чистой системы. Вот и все что нужно делать
MadMaks, вы не тупы. не надо так говорить))
я вам пожалуй скрин покажу. запускать просто надо вручную. компоненты будут не полностью функциональны, но проверка будет работать полностью.
http://img404.imageshack.us/img404/1664/33yj2.th.jpg (http://img404.imageshack.us/my.php?image=33yj2.jpg)
P.S. запуск произведён на ос vista home. версию антивируса видно на скрине)
запускается так же и на других ос. проверялось.
VladimirB, вы правы. лучше всего делать аварийку. неактивная система-она есть неактивная. хоть и безоп. режим, но службы запущены. на случай если диска нет, проверять можно из safe mode. и я привела выше скрин, который это доказывает. другие антивирусы этого не умеют. у них не подгружаются драйвера их. тут касперский выигрывает, так как проверка полностью функциональна. да, компоненты отключены, но в safe mode мы не преследуем своей целью включение например потоковой проверки скачки с инета. главная цель-проверка системы. касперский её делает.
Я делаю иначе.
Если я уверен в том какой вирус/троян сидит, я его руками вырезаю, выгружаю исполняемые файлы если они мешают установке Касперского, а уж потом ставлю антивирусник. Касперский меня не подводил (почти ни когда) в борьбе с активными угрозами.
Если же нет времени и возможности, то я просто беру другой винт, с установленным антивирусником, подключаю его как системный и банально запускаю проверку.
мешают?)
у каспера новая технология по установке на заражённую машину. если вирус не вырезал инсталятор винды, то он установится. другие нет, каспер устанавливается.
Касперский меня не подводил (почти ни когда) в борьбе с активными угрозами. »
ну дык... и тест сдан на отлично))
Если же нет времени и возможности, то я просто беру другой винт, с установленным антивирусником, подключаю его как системный и банально запускаю проверку. »
тоже вариант и более безопасный, чем safe mode)
Вот какая история ...
Работаю в крупной компании . Есть филиалы по Украине. Почтовый сервер находится в центральном офисе. Работает на MDaemon 9.x.x.
Мой руковолидель прислал мне письмо 06.11.2007 и в ответ получил письмо от меня (почти мсразуже), с жаргонно-эротическим содержанием.
Текст письма был на латиннице, причем были указаны фамилии, так сказать, персонажей. Тема была таже, что и при отправке.
Вот мои размышления на эту тему :
1. Письмо было внутренним (в моем офисе), т.к. логи указали бы внешний адрес
2. Письмо содержит фамилии руководящих лиц, которые не указаны в описании ФИО для аккаунтов, что наводит на мысль, что это письмо написано человеком, знающим структуру компании
3. В логах нету и следа об отправке письма от меня за 06.11.2007 в интервале до 12.00.
Если думать о вирусе, то откуда он знает фамилии и должности???
Если думать о человеке, то как его вычислить (слов нету культурных) ???
Помогите найти гада ... :angry2:
SilentSpider
07-11-2007, 19:41
GEugene, заголовки письма смотрели? RFC822 headers.
Вирус скорее всего. Информацию взял вероятно из адресной книги.
3. В логах нету и следа об отправке письма от меня за 06.11.2007 в интервале до 12.00. »
То, что письмо пришло от вашего имени - не значит, что оно отсылалось с вашей машины.
PS. Вообще как-то не очень понимаю ситуацию. Письмо шло во внутренней сети, сервер есть - почему не посмотреть его логи. Станет понятно - с какой реально машины оно пришло. Ну а дальше - либо виря гонять, либо хозяину морду бить.
PS Вообще-то это задача сисадмина :)
Присоединяюсь к SilentSpider по поводу логов сервака и остального.
Ну а так гадать можно долго. Ведь как вариант, вирь может быть и на машине руководителя, к-ый так проявляется...
madmax24
08-11-2007, 09:08
как вариант, вирь может быть и на машине руководителя, к-ый так проявляется »
Интересное предположение. Меня сразу навело на такую мысль: а от других сотрудников не приходили начальнику подобные письма?
Включаете вы свой Windows, а там...
http://img1.liveinternet.ru/images/attach/b/3/7/353/7353962_1194221041_w1.jpg
если ткнуть кнопку с ключиком жёлтым можно увидеть вот это:
http://img0.liveinternet.ru/images/attach/b/3/7/353/7353964_1194221089_w2.jpg
предлагается следующее решение :
— грузимся в безопасном режиме (консоль именно!)
— в консоли набираем (regedit)
— regedit
— по адресу
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
ключ "Shell"="Explorer.exe" < — если не такой а подобие ( …system32\drivers\Vinlogon.exe ) то это вирус, замените на ключ "explorer.exe"
— сканим регистр на наличие "driversVinlogon.exe" и мочим наглухо
— рестарт ( через консоль должно работать C:\WINDOWS\system32\shutdown.exe )
— грузим в нормальном режиме и проходим полный скан антивирем
Доп. сведения:
Оригинал (http://www.pcmag.ru/solutions/detail.php?ID=10988&phrase_id=417198) давно Симантек ловит.
Каспер про него ругнулся, но как-то вяло, надо бы обновить базы... А вот Eset спокойно пропустил
(оригинал информации здесь (http://www.liveinternet.ru/users/varetyras//post56150250/))
В принципе очень верный расчёт вирусописак. Если учесть, что на территории бывшего СССР очень много нелегальных копий Windows, то можна неплохо поживиться. Странно, как это они не додумались "предоставить выбор" пользователю, дабы и кредитной карточкой заплатить можно было.
mapcoxog
18-11-2007, 13:46
предлагается следующее решение : »
Еще лучшее решение использовать вменяемый антивирус + патчить ОС.
Здравствуйте!
У меня возник именно такой вопрос: subj.
После малость неадекватного поведения компа решил провериться на вирусы. Запустил Avast - ничего не нашел (он, в принципе, уже года два как постоянно меня "защищает" и ни гу-гу(!)). Затем решил провериться с помощью AVZ 4.29 и вот, что он красным написал:
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка - не найден файл (F:\WINDOWS\system32\ntoskrnl.exe)
>>>> Обнаружена маскировка процесса 1390784 ?
>>>> Обнаружена маскировка процесса 141568 ?
>>>> Обнаружена маскировка процесса 8388608 ?
>>>> Обнаружена маскировка процесса 1179649 ?
>>>> Обнаружена маскировка процесса 862807412 ?
>>>> Обнаружена маскировка процесса 81 ?
>>>> Обнаружена маскировка процесса 40960 ?
>>>> Обнаружена маскировка процесса 1313429340 ?
>>>> Обнаружена маскировка процесса 1145789490 ?
>>>> Обнаружена маскировка процесса 39843750 ?
>>>> Обнаружена маскировка процесса 19975216 ?
>>>> Обнаружена маскировка процесса 28733 ?
>>>> Обнаружена маскировка процесса 156250 ?
>>>> Обнаружена маскировка процесса -426582848 ?
>>>> Обнаружена маскировка процесса 16792048 ?
>>>> Обнаружена маскировка процесса 16 ?
>>>> Обнаружена маскировка процесса 1250 ?
>>>> Обнаружена маскировка процесса 13593750 ?
>>>> Обнаружена маскировка процесса 20 ?
>>>> Обнаружена маскировка процесса 99615 ?
>>>> Обнаружена маскировка процесса 151011328 ?
>>>> Обнаружена маскировка процесса 1398230852 ?
>>>> Обнаружена маскировка процесса 1230394447 ?
>>>> Обнаружена маскировка процесса 13 ?
>>>> Обнаружена маскировка процесса 38 ?
>>>> Обнаружена маскировка процесса 12 ?
>>>> Обнаружена маскировка процесса 15 ?
>>>> Обнаружена маскировка процесса 9456 ?
>>>> Обнаружена маскировка процесса 36402 ?
>>>> Обнаружена маскировка процесса -1394495488 ?
>>>> Обнаружена маскировка процесса 1703959 ?
>>>> Обнаружена маскировка процесса 1112099913 ?
>>>> Обнаружена маскировка процесса 29910512 ?
>>>> Обнаружена маскировка процесса -2048 ?
>>>> Обнаружена маскировка процесса 200704 ?
>>>> Обнаружена маскировка процесса 1917082674 ?
>>>> Обнаружена маскировка процесса 1395545170 ?
>>>> Обнаружена маскировка процесса 17729840 ?
>>>> Обнаружена маскировка процесса 72 ?
>>>> Обнаружена маскировка процесса 312500 ?
>>>> Обнаружена маскировка процесса 20772800 ?
>>>> Обнаружена маскировка процесса 76 ?
>>>> Обнаружена маскировка процесса 2662 ?
>>>> Обнаружена маскировка процесса 17385696 ?
>>>> Обнаружена маскировка процесса 80 ?
>>>> Обнаружена маскировка процесса 1937339182 ?
>>>> Обнаружена маскировка процесса -1400803328 ?
>>>> Обнаружена маскировка процесса 81920 ?
>>>> Обнаружена маскировка процесса 1380211762 ?
>>>> Обнаружена маскировка процесса 1498623571 ?
>>>> Обнаружена маскировка процесса 1932423278 ?
>>>> Обнаружена маскировка процесса 29561 ?
>>>> Обнаружена маскировка процесса -1394364416 ?
>>>> Обнаружена маскировка процесса 1703937 ?
>>>> Обнаружена маскировка процесса 1162103113 ?
>>>> Обнаружена маскировка процесса 90112 ?
>>>> Обнаружена маскировка процесса 1853189965 ?
>>>> Обнаружена маскировка процесса 1932422003 ?
>>>> Обнаружена маскировка процесса -1401528320 ?
>>>> Обнаружена маскировка процесса 307200 ?
>>>> Обнаружена маскировка процесса 1936486262 ?
>>>> Обнаружена маскировка процесса 779249485 ?
>>>> Обнаружена маскировка процесса 115 ?
>>>> Обнаружена маскировка процесса -1402105856 ?
>>>> Обнаружена маскировка процесса 118784 ?
>>>> Обнаружена маскировка процесса 1395544142 ?
>>>> Обнаружена маскировка процесса 1932423783 ?
>>>> Обнаружена маскировка процесса 24 ?
>>>> Обнаружена маскировка процесса -1394233344 ?
>>>> Обнаружена маскировка процесса 212992 ?
>>>> Обнаружена маскировка процесса 1667584843 ?
>>>> Обнаружена маскировка процесса 28 ?
>>>> Обнаружена маскировка процесса -1392070656 ?
>>>> Обнаружена маскировка процесса 98304 ?
>>>> Обнаружена маскировка процесса 1919182451 ?
>>>> Обнаружена маскировка процесса 7567731 ?
>>>> Обнаружена маскировка процесса 32 ?
>>>> Обнаружена маскировка процесса -1414004736 ?
>>>> Обнаружена маскировка процесса 1900545 ?
>>>> Обнаружена маскировка процесса 1953724787 ?
>>>> Обнаружена маскировка процесса 1684889948 ?
>>>> Обнаружена маскировка процесса 28672 ?
>>>> Обнаружена маскировка процесса 1937331036 ?
>>>> Обнаружена маскировка процесса 842231141 ?
>>>> Обнаружена маскировка процесса 1768122479 ?
>>>> Обнаружена маскировка процесса 1225801728 ?
>>>> Обнаружена маскировка процесса 1382901108 ?
>>>> Обнаружена маскировка процесса 1230128220 ?
>>>> Обнаружена маскировка процесса 1398362926 ?
>>>> Обнаружена маскировка процесса 36 ?
>>>> Обнаружена маскировка процесса 1551134575 ?
>>>> Обнаружена маскировка процесса 1397900630 ?
>>>> Обнаружена маскировка процесса -1417658368 ?
>>>> Обнаружена маскировка процесса 1129070940 ?
>>>> Обнаружена маскировка процесса 262144 ?
>>>> Обнаружена маскировка процесса 1936483188 ?
>>>> Обнаружена маскировка процесса 1769104476 ?
>>>> Обнаружена маскировка процесса 40 ?
>>>> Обнаружена маскировка процесса 1936876918 ?
>>>> Обнаружена маскировка процесса -1418313728 ?
>>>> Обнаружена маскировка процесса 1634560348 ?
>>>> Обнаружена маскировка процесса 110592 ?
>>>> Обнаружена маскировка процесса 1932422511 ?
>>>> Обнаружена маскировка процесса 44 ?
При этом ntoskrnl.exe благополучно присутствует на диске. Я подумал мож удалить его нафик и записать нормальный, не тут-то было... некто при загрузке постоянно генерит новый (свой)... или это так и должно быть?
Помоему, это вирус) И что с ним делать, если антивирусы ничего не предпринимают (Аваст вообще ниче не заподозрил, а АВЗ только написал что-то - и то непонятно как этой инфой можно воспользоваться - ни одного названия)
или это так и должно быть? »
совершенно верно
>>>> Обнаружена маскировка процесса 40 ? »
цитата с сайта разработчика
По поводу маскировки - на сервере такое часто бывает, это не опасно. Просто там есть фоновая активность, скажем процесс X может запуститься и завершиться, а в ходе скана это будет воспринять как маскировка. Чаще всего такое проявляется на Win2k3, причем далеко не всегда - например, на моих серверах с Win2k3 такого эффекта не наблюдается.
посмотри еще тут (http://virusinfo.info/showthread.php?t=7856)
© OSzone.net 2001-2012
vBulletin v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.
Available in ZeroNet 1osznRoVratMCN3bFoFpR2pSV5c9z6sTC