Вирус-баннер

[Teddybear]

Цитата:

Сообщение от Part!zan

тогда, боюсь, вирь не уничтожен до конца.

Ни курит, ни AVZ ничего не нашел.
Появление ссылки на файл в реестре происходит бессистемно - может раз в неделю, может раз в месяц. Все флешки проверены и провакцинированы.

[Spectator]

Цитата:

Сообщение от Writer

Просто в интернете гляньте из скольких мест в реестре можно запустить зловреда. Даже из CLASSES_ROOT его можно запустить легко и непринуждённо.

При старте системы?)))) Давайте начнем с того что я, в отличие от некоторых, знаю о чем говорю)))

[Spectator]

Цитата:

Сообщение от Teddybear

Ни курит, ни AVZ ничего не нашел.
Появление ссылки на файл в реестре происходит бессистемно - может раз в неделю, может раз в месяц. Все флешки проверены и провакцинированы.

Тогда есть только один способ. Нажимай Win + F, ищи "*.exe", выбери "Когда были произведены последние изменения" - поставь месяц назад. И смотри все найденные exe'шники, их не должно быть очень много. Подозрительные проверяй. Много раз меня этот способ выручал, потому что я не держу антивирусов вовсе, ибо скидывают производительность в два раза, а она мне как воздух нужна. И при всей моей осторожности хоть и раз в год но всякую бяку ловлю.
Найденные удаляй Shift+Del'ом, тогда они не попадут в корзину (а из нее они могут запуститься даже при том что будут находиться в другой папке, из-за того что кто-то со странной фамилией Гейтс шибко умный).

[Writer]

Цитата:

Сообщение от Teddybear

Ни курит, ни AVZ ничего не нашел.
Появление ссылки на файл в реестре происходит бессистемно - может раз в неделю, может раз в месяц. Все флешки проверены и провакцинированы.

Если бэкапы не нужны, то я бы порекомендовал их уничтожить.

Вообще алгоритм такой:
Убить всё в Temp папках включая Temporary Internet Files
Удалить папки Recycler (не очистить корзину, а именно что удалить корзину)
Удалить System Volume Information из-под лайвсиди, или очистить их отключив систему восстановления. Потом включить её обратно и создать ручками точку восстановления.

[Writer]

Цитата:

Сообщение от Spectator

При старте системы?)))) Давайте начнем с того что я, в отличие от некоторых, знаю о чем говорю)))

Ага, при старте системы.
В автозагрузке у всех есть хоть один ехешник.

[Spectator]

Цитата:

Сообщение от Writer

Ага, при старте системы.
В автозагрузке у всех есть хоть один ехешник.

И что с того? Если для Вас все "ехешники" на одно лицо, то это Ваши проблемы)))

[Writer]

Цитата:

Сообщение от Spectator

И что с того? Если для Вас все "ехешники" на одно лицо, то это Ваши проблемы)))

А это вы к чему вообще? Извольте объяснится.

[Spectator]

Цитата:

Сообщение от Writer

А это вы к чему вообще? Извольте объяснится.

К тому что я при поиске вирусов всегда проверяю - что за экзешник, должен ли он тут быть, какая у него должна быть дата создания, отличается ли она от даты создания близлежащих DLL, адекватна ли эта дата времени установки программы, какая у него версия и т.д. Обычно у вируса уши торчат так что видно за версту)))

[Writer]

Цитата:

Сообщение от Spectator

К тому что я при поиске вирусов всегда проверяю - что за экзешник, должен ли он тут быть, какая у него должна быть дата создания, отличается ли она от даты создания близлежащих DLL, адекватна ли эта дата времени установки программы, какая у него версия и т.д. Обычно у вируса уши торчат так что видно за версту)))

Ааа. Понятно.
Собственно я говорил про то, что вирус может быть запущен из CLASSES_ROOT\exefile
Но раз вы считаете, что всё знаете лучше всех, то я пожалуй оставлю вас в этом счастливом состоянии.

[Spectator]

Цитата:

Сообщение от Writer

Ааа. Понятно.
Собственно я говорил про то, что вирус может быть запущен из CLASSES_ROOT\exefile
Но раз вы считаете, что всё знаете лучше всех, то я пожалуй оставлю вас в этом счастливом состоянии.

Забавно. Действительно это способ, о котором я не знал. Спасибо. Тем не менее, exe файлы существуют на диске, их всегда можно найти все и проверить на адекватность, я обычно и уже давно делаю только так. Мне достаточно, уже раз двадцать так всё находил, с десяток на своем компьютере, с десяток - у знакомых. Безо всяких антивирусов.

[Teddybear]

Цитата:

Сообщение от Part!zan

Системные бакапы реестра сами по себе не восстанавливаются. Это происходит либо в результате загрузки "последней успешной конфигурации", либо при откате точек восстановления

Кстати, заметил, что последний раз он там появился после того, как жена выключила комп "через чужую" - пилотом (игрушка зависла).

[mishel13]

вот такое вчера обнаружил у родственницы,инет работает,мозилла не запускается,диспетчер задач включается на секунду.как то удалил доктором(после обновления)

[catsman]

mishel13, в помощь Dr.Web CureIt

[mishel13]

Цитата:

Сообщение от catsman

mishel13, в помощь Dr.Web CureIt

не,там только формат С ,тем более девчёнке win7 хочется,так что пускай ХР домучивает до конца

[Teddybear]

Цитата:

Сообщение от mishel13

не,там только формат С

Может и комп заодно поменять?

[Lazy_lemial]

И девчёнку...

*а ведь началось всё с вируса*

[Part!zan]

Цитата:

Сообщение от Writer

Но будет известно имя процесса, имя файла и путь до тела вируса, что значительно облегчит последующую чистку

Возможно... Лично я и так могу определить виря в списке автозагрузки. У них методы "шифрования" одинаковые, просечь легко.

Цитата:

Сообщение от Spectator

Обычно настройки, определяющие автозагружаемые приложения, размещаются в четырех разных местах: две из них - в разделе HKEY_LOCAL_MACHINE, а еще две - в HKEY_CURRENT_USER

Наивный чукотский юноша... Авторы вирусов - не дураки и ищут нестандартные способы автозапуска, которые не указаны в документации. Пора бы уже поумнеть немного или, хотя бы, набраться опыта.

Цитата:

Сообщение от Spectator

я, в отличие от некоторых, знаю о чем говорю

Очередное растопыривание пальцев... Если б ты знал, тебя бы не записали в местного ламера.

Цитата:

Сообщение от Spectator

Действительно это способ, о котором я не знал.

Да ты и десяти процентов способов не знаешь, судя по твоим "перлам".

Цитата:

Сообщение от Teddybear

жена выключила комп "через чужую" - пилотом

Эээ. Это че значит? Я, конечно, интуитивно догадываюсь, но хотелось бы узнать точно. )

[Teddybear]

Цитата:

Сообщение от Part!zan

Эээ. Это че значит?

Как утюг выключают..

[Part!zan]

Teddybear, я так и подумал... А кнопку питания компа удерживать 5 секунд не проще?

[Teddybear]

Цитата:

Сообщение от Part!zan

А кнопку питания компа удерживать 5 секунд не проще?

Женщины и техника - это отдельная, очень обширная тема...
До сих пор всерьез не воспринимаю офисных куриц за рулем авто.. Да, я ретроград и шовинист

[Part!zan]

Цитата:

Сообщение от Teddybear

Женщины и техника - это отдельная, очень обширная тема

Ну, если смотреть на проблему с этой стороны... ) Хотя, бывают приятные исключения.

[Teddybear]

Цитата:

Сообщение от Part!zan

отя, бывают приятные исключения.

Согласен.. Недавно понес дочкин телефон в ремонт, оказалось ремонтом занимается девушка.. Я бы конечно и сам починил, но: паяльная станция, микроскоп, навыки..

[lebedelankol]

Цитата:

Сообщение от shmel

Нод32...отлично ловит все

А вообще у ДоктораВебера на сайте есть возможность задать вопрос в тех.поддержку
Даже если биннер очень свежий и кода разблокировки нигде еще нет, то пишите туда...минут 10 - вам ответят
Пробовал, сам удивился.

.потому что они сами их и пишут там - Касперман вместе с Др. Вебером, за поллитрой по вечерам...

[Virt.]

Anti-WINLOCK 1.0.3.7
Anti-WINLOCK for WinXP - основное назначение программы - это защита компьютера от заражения так называемыми троянскими программами (вирусами) Winlock. Особенности программы - защита от trojan.winlock, зашита режима безопасной загрузки, разблокировка реестра, антивирусных сайтов и диспетчера задач

[Part!zan]

Цитата:

Сообщение от Anti-WINLOCK

Инструкция:
При заражении компьютера (Появилось окно с просьбой отослать смс /пополнить счет и т.д.)

Перезагружаемся:

три способа:

1. - для этого нажимаем клавиши Win+L и далее перезагрузка;
2. - нажимаем кнопку выключения на системном блоке (не держать) - через некоторое время компьютер выключиться;
3. - кнопка Reset на системном блоке.
далее загружаемся в обычном режиме - окно вируса должно исчезнуть.

Если не помогло:
при начальной загрузке нажимать F8 и выбрать загрузку в безопасном режиме...

далее
- если заблокирован реестр воспользоваться этой утилитой для снятия ограничений, и удалить вирус из автозагрузки (Run);
- скачиваем утилиту Dr.Web CureIt и сканируем компьютер.

Кто-нть че-нть понял? В чем смысл?

[Virt.]

действия этих вирусов
1. прописываться в винлогене
2. в авто загрузке - при этом блокируется безопасник

для первого типа хватит просто перезагрузки
для второго - восстанавливает безопасник ... а там хочешь удали ключ загрузки вируса и грузись в нормальном режиме и проверяйся или ... проверь на вирусы в безопаснике

[X0R]

Virt., как ты запустишь Anti-WINLOCK?

[Virt.]

X0R,
его нужно поставить до него ... т.е. на не зараженную машину ... и забыть про него... если если произойдет заражение она сама все сделает ... в зависимости от типа или загрузишься в нормальном режиме или в безопаснике (на а там дело техники)

[Part!zan]

Цитата:

Сообщение от Virt.

его нужно поставить до него ... т.е. на не зараженную машину

Типа, вакцина... Полезно. Но надо было автору сразу все так и написать, а то инструкция малость непонятная без этого пояснения. Интересно, чем обусловлено ограничение ев работоспособности только в ХР.

[Катя.]

Part!zan, X0R, вам же черным по белому написали:

Цитата:

Сообщение от Virt.

основное назначение программы - это защита компьютера

у меня инструкция по началу тоже улыбку вызвала.