Форум Иара Эльтерруса
Текущее время Чт, 28 Мар, 2024 17:45

Трояны - способы защиты и уничтожения
На страницу Пред.  1, 2, 3, 4, 5  След.
 
Ответить на тему    Список форумов Ветер Фантазии -> ТехЦентр
Предыдущая тема :: Следующая тема  

Автор Сообщение
ИИиии
Лор-лейтенант
Лор-лейтенант

Возраст: 31
Пол: Пол:Мужской

Зарегистрирован: 18.06.2008
Сообщения: 36
Откуда: Харьков


СообщениеДобавлено: Пт, 20 Июн, 2008 19:57    Заголовок сообщения: Ответить с цитатой

У меня он успел изменить пароль, но у меня вход в квип на автомате такчто мне пока нестрашо))

Нет. Если бы пароль на самом деле изменился, вход "на автомате" не сработал бы
Вернуться к началу
Посмотреть профиль Отправить личное сообщение  
Автор Сообщение
Natrio
Наблюдатель
Наблюдатель

Возраст: 44


Зарегистрирован: 27.01.2008
Сообщения: 1015
Откуда: Извне


СообщениеДобавлено: Пт, 20 Июн, 2008 20:12    Заголовок сообщения: Ответить с цитатой

Без паники!
Таинственный номер в контакт-листы добавила сама ICQ
Как я и думал с самого начала, насмотря на жутчайшие (и глупейшие) слухи об этом в сети Wink
Вернуться к началу
Посмотреть профиль Отправить личное сообщение [ скрыт ]
Автор Сообщение
PredatorAlpha
Забанен
Забанен

Возраст: 46
Пол: Пол:Мужской

Зарегистрирован: 13.03.2008
Сообщения: 306
Откуда: Винница, Украина


СообщениеДобавлено: Пт, 20 Июн, 2008 21:31    Заголовок сообщения: Ответить с цитатой

Цитата:
Вот решил спросить.
Кто нибудь знает эффективные способы защиты от троянов, а главное способы их удаления (кроме форматирования харда).
Если имеются ссылки на полезные ресурсы плиз!


Самый лучший способ - это по лохонутости не подцепить чего нибудь, а то никакой антивирус не поможет. Вот здесь про руткит, который почти год никакой антивирус не ловил.
http://www.computerra.ru/focus/359295/

_________________
Я виступаю за створення українського розділа на форумі Ельтерруса. Якщо ти "за" - додай цей рядок у підпис під повідомленнями у профілі.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение  
Автор Сообщение
Санкир
Предпоследняя сволочь

Возраст: 41
Пол: Пол:Мужской

Зарегистрирован: 02.05.2008
Сообщения: 66


СообщениеДобавлено: Сб, 28 Июн, 2008 09:42    Заголовок сообщения: Ответить с цитатой

Цитата:
Кстати, уважаемый Iar! Кажется существуют вирусы, которые поражают и linux, существует же lin-версия антивируса Касперского.


Отвечу я =))
1- вири под *nix есть, но по большей части распространяются методом "дай посмотреть", т.к. платформы разные, и то что запустилось в ubuntu намертво встанет в Mandriva или наоборот.
2- при грамотном разделении прав (ну или при разделении по умолчанию) вири дальше папки Home не пройдут, а в ней они работать не смогут.
3- Антивирусы (каспер, аваст и т.п.) под *nix нужны для проверки почтовых серверов и вообще файлов которые потом пойдут на Win машины.
4- под *nix могут сработать виндовые вири, если вы активно используете wine и виндовый софт в нем, но опять же, дальше этого самого виндового софта они не пройдут, да и т.к. wine это не полноценная винда, то у меня заведомо троянчик, запущенный ради интереса- в панике завопил про не найденные dll и вообще "куда я попал" =))

_________________
P.S. Звание "Предпоследней сволочи" я буду отстаивать до посинения, а последней сволочью будет тот, кто попробует мое звание оспорить!!
Вернуться к началу
Посмотреть профиль Отправить личное сообщение  
Автор Сообщение
Prorok
Дварх-полковник
Дварх-полковник

Возраст: 54
Пол: Пол:Мужской

Зарегистрирован: 12.02.2008
Сообщения: 520
Откуда: Moscow


СообщениеДобавлено: Сб, 28 Июн, 2008 11:01    Заголовок сообщения: Ответить с цитатой

Вирусы бывают для всех платформ, и даже для автомобильных компьютеров (неск. новостей на эту тему пробегало в СМИ). И если для Линуксов вирусов сейчас значительно меньше, чем для Виндовс, то это - дело времени: Линукс все больше распространяется (сейчас и в Российских школах начал внедряться).
И глупо говорить, что для Юникса (и др. ОС) вирусов нет или почти нет. При неграмотном администрировании (да и при некот. др. случайностях) вирус можно словить и в Линуксе. И первые компьютерные вирусы появились именно для ОС Юникс еще в 1970-х г.г. Посмотрите, например в антивирусной БД Др.Веб (да и в любом др. антивирусе) - вирусы для Юниксов (в т.ч. и для Линукса) там присутствуют в должном количестве (в т.ч. руткиты и трояны). В Юниксах также используются скриптовые языки (Перл, в частности), а также развитый конмандный шелл-язык.
Виндовые вирусы для Юникса практически не страшны, т.к. Вин-программы всегда исполняются в изолированной среде (в песочнице или виртуальной машине).

_________________
Жизнь прекрасна, если не вспоминать о прошлом и не думать о будущем.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение  
Автор Сообщение
geher
Идущий
Идущий

Возраст: 53
Пол: Пол:Мужской

Зарегистрирован: 29.01.2008
Сообщения: 2406
Откуда: Курск


СообщениеДобавлено: Сб, 28 Июн, 2008 19:18    Заголовок сообщения: Ответить с цитатой

Проблема вирусов под виндовс и почти полное отсутствие ее под *nix в раздаче прав по умолчанию и работе отдельных программ.
Во всяких юниксах народ с самого начала приучен к грамотной раздаче прав и написанию программ, которые эту грамотную раздачу учитывают. В результате практически все дистрибутивы юникс-подобных систем относительно вирусобезопасны.
В винде же другая картина. В десктопных версиях настройки безопасности по умолчанию - можно все. Это разбаловало разработчиков программ, в результате многие популярные продукты, расчитанные на конечного пользователя просто не могут работать без прав администратора (что приводит к проблеме с установкой и использованием подобных продуктов на последних серверных версиях, где безопасность по умолчанию настроена по человечески). Но большинство начинающих пользователей имеет дома ХР, используя ее с правами администратора, со всеми отсюда вытекающими.
Что характерно, даже Microsoft Word без прав администратора иногда взбрыкивает. Я уже не говорю о софте для записи дисков, разных программах, которые любят хранить настройки в папке, где установлены (Program Files) и т.д.
В Висте сделаны определенные выводы, но там явный перебор. Безопасность приобрела параноидальных характер, что заставляет ее отключать к чертовой бабушке и работать по старинке (к чему склоняют и требования к системе многих популярных программ, нарушающие требования безопасности).

_________________
Тот, кто еще в пути, уже в пути.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение  
Автор Сообщение
Insider
Лор-лейтенант
Лор-лейтенант




Зарегистрирован: 05.07.2008
Сообщения: 39


СообщениеДобавлено: Сб, 05 Июл, 2008 20:06    Заголовок сообщения: Ответить с цитатой

Много пользовался Касперским - монстр, не люблю его, много ложных срабатываний, что не есть гуд. Нортон - дырявый как сито. BitDefender Вызвал уважение, но последнее время и он, как и Касперский, потяжелел.
Сейчас на все машины ставлю пакет из NOD32 + Antivir + BlackIce (firewall, но не на все железо идет, в качестве альтернативы как firewall использую NetLimiter или Agnitum)
по поводу 12111 - у меня небыло ничего такого, помню, что-то там спрашивал Лимитер о каком то подлкючении, так как аська уже была настроена и все права прописанны, то я просто запретил доступ и все, не появился контакт, хотя я его здал, начитавшись "ужасов" об этом контакте Smile

_________________
Мы, пацифисты, народ простой. Предупредительный выстрел в голову и шесть контрольных в затылок. (С)
Вернуться к началу
Посмотреть профиль Отправить личное сообщение  
Автор Сообщение
GarretShadow
Оптимист

Возраст: 32
Пол: Пол:Мужской

Зарегистрирован: 16.03.2008
Сообщения: 2068
Откуда: Нижегородская обл., г.Павлово


СообщениеДобавлено: Вс, 06 Июл, 2008 00:19    Заголовок сообщения: Ответить с цитатой

Insider писал(а):
по поводу 12111 - у меня небыло ничего такого, помню, что-то там спрашивал Лимитер о каком то подлкючении, так как аська уже была настроена и все права прописанны, то я просто запретил доступ и все, не появился контакт, хотя я его здал, начитавшись "ужасов" об этом контакте Smile

Он не у всех, только у 99% (кажется)...

_________________
Весь мир - театр, а люди в нём - актёры...
Жизнь - это спектакль и важно не то как долго он длиться, а будут ли в конце аплодисменты...
Вернуться к началу
Посмотреть профиль Отправить личное сообщение [ скрыт ]
Автор Сообщение
dobryiviewer
Лор-лейтенант
Лор-лейтенант

Возраст: 70
Пол: Пол:Мужской

Зарегистрирован: 29.01.2008
Сообщения: 43
Откуда: Россия, Санкт-Петербург


СообщениеДобавлено: Пн, 04 Авг, 2008 16:34    Заголовок сообщения: Ответить с цитатой

NOD32 + Antivir + BlackIce
А что такое "Antivir"? Это не NOD32?

_________________
Видеть везде врагов - смешно. Видеть везде друзей - еще смешнее.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение  
Автор Сообщение
geher
Идущий
Идущий

Возраст: 53
Пол: Пол:Мужской

Зарегистрирован: 29.01.2008
Сообщения: 2406
Откуда: Курск


СообщениеДобавлено: Пн, 04 Авг, 2008 19:55    Заголовок сообщения: Ответить с цитатой

dobryiviewer писал(а):
NOD32 + Antivir + BlackIce
А что такое "Antivir"? Это не NOD32?
Скорее всего имеется ввиду Avira Antivir, вроде как бесплатный антивирус
_________________
Тот, кто еще в пути, уже в пути.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение  
Автор Сообщение
Insider
Лор-лейтенант
Лор-лейтенант




Зарегистрирован: 05.07.2008
Сообщения: 39


СообщениеДобавлено: Вт, 05 Авг, 2008 14:29    Заголовок сообщения: Ответить с цитатой

geher писал(а):

dobryiviewer писал(а):

NOD32 + Antivir + BlackIce
А что такое "Antivir"? Это не NOD32?


Скорее всего имеется ввиду Avira Antivir, вроде как бесплатный антивирус

Он самый Avira Antivir (avira.de), хорошо уживается с NOD-ом и дополняет его, всю мелкую заразу отстреливает, ну а если не справится то там уж и NOD подключается. Правда autorun прохлопали, точнее Antivir определил его но было уже поздно, пришлось вручную выковыривать Cool
Вернуться к началу
Посмотреть профиль Отправить личное сообщение  
Автор Сообщение
agrael
Бета-координатор
Бета-координатор


Пол: Пол:Мужской

Зарегистрирован: 14.07.2008
Сообщения: 2816
Откуда: Город 313


СообщениеДобавлено: Вт, 05 Авг, 2008 18:01    Заголовок сообщения: Ответить с цитатой

Insider писал(а):
Правда autorun прохлопали

Авторан - зло, посему подлежит запрету на всех драйвах, в особенности на вставляемых (я пользуюсь TweakUI XP для этого, чтобы ручками не лазить). Twisted Evil

_________________
Все будет так, как должно быть, даже если будет иначе
Вернуться к началу
Посмотреть профиль Отправить личное сообщение  
Автор Сообщение
Вадим
Бета-координатор
Бета-координатор

Возраст: 53
Пол: Пол:Мужской

Зарегистрирован: 01.02.2008
Сообщения: 2044
Откуда: Правый берег США


СообщениеДобавлено: Вт, 05 Авг, 2008 19:09    Заголовок сообщения: Ответить с цитатой

А чем авторан так не нравится? Отлично работает, автоматически монтирует устройство, рефрешит KDEшный десктоп, запускает плейер, конфигурируется. Никаких нареканий. Shocked

http://autorun.sourceforge.net/

_________________
If I sit the way other people do, my reasoning ability drops by 40 percent.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение  
Автор Сообщение
geher
Идущий
Идущий

Возраст: 53
Пол: Пол:Мужской

Зарегистрирован: 29.01.2008
Сообщения: 2406
Откуда: Курск


СообщениеДобавлено: Вт, 05 Авг, 2008 20:20    Заголовок сообщения: Ответить с цитатой

В висте много проблем, но с автораном они, похоже, подумали и сделали более по человечески.
Теперь оно всегда спрашивает, что делать (по крайней мере поначалу), а не бросается выполнять всякие подозрительные исполняемые файлы с флэшки.

_________________
Тот, кто еще в пути, уже в пути.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение  
Автор Сообщение
agrael
Бета-координатор
Бета-координатор


Пол: Пол:Мужской

Зарегистрирован: 14.07.2008
Сообщения: 2816
Откуда: Город 313


СообщениеДобавлено: Ср, 06 Авг, 2008 18:29    Заголовок сообщения: Ответить с цитатой

Вадим писал(а):
рефрешит KDEшный десктоп

ржунимагу! +1

_________________
Все будет так, как должно быть, даже если будет иначе
Вернуться к началу
Посмотреть профиль Отправить личное сообщение  
Автор Сообщение
Insider
Лор-лейтенант
Лор-лейтенант




Зарегистрирован: 05.07.2008
Сообщения: 39


СообщениеДобавлено: Ср, 06 Авг, 2008 20:05    Заголовок сообщения: Ответить с цитатой

Вадим писал(а):
Никаких нареканий.

Laughing Mr. Green

_________________
Мы, пацифисты, народ простой. Предупредительный выстрел в голову и шесть контрольных в затылок. (С)
Вернуться к началу
Посмотреть профиль Отправить личное сообщение  
Автор Сообщение
VICTOR
Бета-координатор
Бета-координатор

Возраст: 33
Пол: Пол:Мужской

Зарегистрирован: 12.05.2011
Сообщения: 2563
Откуда: Украина, Киев(точный номер вселенной не скажу)


СообщениеДобавлено: Сб, 24 Мар, 2012 20:27    Заголовок сообщения: Ответить с цитатой

Цитата:
Данная DLL никогда не существует в виде файла на диске и присутствует только в памяти компьютера.

Крутой вирус. При множестве зараженных файлов у себя на компе, только один неизвестный вирус создал файл типа .dll.new.
А руткит (зараженный загрузчиком) у меня видимо один валялся в драйверах с декабря по сентябрь.

_________________
Четыре планеты Веги совершенно безжизненны...
В две тысячи сто двенадцатом году начал эксплуатироваться на трассах Земля — Сириус, Земля — Фомальгаут.
http://www.astronet.ru/db/msg/1222187/sect33.html
Вернуться к началу
Посмотреть профиль Отправить личное сообщение [ скрыт ]
Автор Сообщение
VICTOR
Бета-координатор
Бета-координатор

Возраст: 33
Пол: Пол:Мужской

Зарегистрирован: 12.05.2011
Сообщения: 2563
Откуда: Украина, Киев(точный номер вселенной не скажу)


СообщениеДобавлено: Пт, 18 Янв, 2013 13:41    Заголовок сообщения: Ответить с цитатой

ИИиии писал(а):
Нет. Если бы пароль на самом деле изменился, вход "на автомате" не сработал бы

А ВК после бана и смены пароля легко заходил браузер через куки.

_________________
Четыре планеты Веги совершенно безжизненны...
В две тысячи сто двенадцатом году начал эксплуатироваться на трассах Земля — Сириус, Земля — Фомальгаут.
http://www.astronet.ru/db/msg/1222187/sect33.html
Вернуться к началу
Посмотреть профиль Отправить личное сообщение [ скрыт ]
Автор Сообщение
Imbalance
Дварх-майор
Дварх-майор

Возраст: 37


Зарегистрирован: 31.03.2012
Сообщения: 468


СообщениеДобавлено: Пт, 18 Янв, 2013 14:03    Заголовок сообщения: Ответить с цитатой

Санкир писал(а):
вири под *nix есть, но по большей части распространяются методом "дай посмотреть

Угу. Их даже можно, при большом желании запустить! Только сначала нужно соответствующим образом настроить iptables, SELinux и вручную запустить его через sudo.
*задумался*
Точно! А не попробовать ли мне позапускать win-трояны в виртуалке под вайном? Этакая компьютерная энтомология, буду наблюдать как бедняжки стараются что-то сделать во враждебной среде. Записки о наблюдении за всей этой фауной, если хотите, выложу сюда же Smile

_________________
Когда боишься того, что ты можешь увидеть за дверью, биться о стену, наверное, безопаснее.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение  
Автор Сообщение
VICTOR
Бета-координатор
Бета-координатор

Возраст: 33
Пол: Пол:Мужской

Зарегистрирован: 12.05.2011
Сообщения: 2563
Откуда: Украина, Киев(точный номер вселенной не скажу)


СообщениеДобавлено: Пт, 18 Янв, 2013 14:35    Заголовок сообщения: Ответить с цитатой

Imbalance писал(а):
win-трояны в виртуалке под вайном?

Жаль, что я удалил себе драйвер один. Как по Вашему, если кинуть в папку system32/drivers/ .sys файл, который заражен загрузчиком и не дает себя найти не самому лучшему антивирусу, он что-то начнет делать?

_________________
Четыре планеты Веги совершенно безжизненны...
В две тысячи сто двенадцатом году начал эксплуатироваться на трассах Земля — Сириус, Земля — Фомальгаут.
http://www.astronet.ru/db/msg/1222187/sect33.html
Вернуться к началу
Посмотреть профиль Отправить личное сообщение [ скрыт ]
Автор Сообщение
VICTOR
Бета-координатор
Бета-координатор

Возраст: 33
Пол: Пол:Мужской

Зарегистрирован: 12.05.2011
Сообщения: 2563
Откуда: Украина, Киев(точный номер вселенной не скажу)


СообщениеДобавлено: Пт, 14 Июн, 2013 09:28    Заголовок сообщения: Ответить с цитатой

Я как бы подозреваю, что Symantec Antivirus (http://img149.imageshack.us/img149/7792/kkhl1.jpg) будет получше, чем AVG будет.
А теперь история. Появилась у меня как-то проблема на ноуте (где стоит AVG) - броузеры не заходили в инет. При этом при заходе из под user я легко просканил D&S/Chef и нашел в нем secupdat.dat с вирусом BackDoor.Graybird - все нормально удалил и все стало работать. Потом внезапно себе сохранил с десктопа логи Symantec Antivirus и нашел в нем 2 вещи:
1) secupdat.dat с вирусом Trojan.Ascesso (почему-то отдельные сайты дают не такое название в терминах Сумантека) в Documents and Settings\sysadmin\ (так там называется юзер);
2) тот же файл, тот же вирус, та же дата обнаружения - в D:\WINDOWS\system32\.

Внезапно вчера обнаружил этот факт и провел такой фокус на ноуте - искал в WINDOWS\system32\ все файлы *.dat и натравил на них AVG. И - о чудо - нашел таки его там. Причем с нахождением вирусов в C:\Windows\System32 у меня всегда проблемы на ноуте - видимо они круче, чем AVG. А Сумантек про этот вирус говорит "Injects code into services.exe", где как раз в папке этой по даным одного сайта:
Если services.exe находится в подпапках C:\Windows\System32, тогда рейтинг надежности 65% опасности. То есть хоть я и не нашел никаких .exe с вирусами (там таких файлов около 400), но что-то таки нашел.
И вообще видимо часто у людей есть secupdat.dat с каким-то BackDoor (в терминах AVG) есть и там, и там.

_________________
Четыре планеты Веги совершенно безжизненны...
В две тысячи сто двенадцатом году начал эксплуатироваться на трассах Земля — Сириус, Земля — Фомальгаут.
http://www.astronet.ru/db/msg/1222187/sect33.html
Вернуться к началу
Посмотреть профиль Отправить личное сообщение [ скрыт ]
Автор Сообщение
Кархайм
Лор-майор
Лор-майор

Возраст: 43
Пол: Пол:Мужской

Зарегистрирован: 01.06.2013
Сообщения: 240


СообщениеДобавлено: Пт, 14 Июн, 2013 10:44    Заголовок сообщения: Ответить с цитатой

Вопрос по червям и троянам:
В системе сидит какая-та зараза,не удаляется ни одной из программ.Называется Trashes.
Начал искать вручную где сия пакость находится-нашёл=удалил.Пара-тройка дней нормально и опять он,отсылал описание и тд и тп в службы поддержки разных кампаний: Касперский/Нортон/Нод/Авира и Аваст и Веб.Толку ноль,систему осталось только снести разве что...
Суть вопроса:Как мне убрать это из системы,чтобы не пришлось сносить всё?
И может или есть ли такие черви иль трояны что и в этом случае могут остаться?
Вернуться к началу
Посмотреть профиль Отправить личное сообщение  
Автор Сообщение
VICTOR
Бета-координатор
Бета-координатор

Возраст: 33
Пол: Пол:Мужской

Зарегистрирован: 12.05.2011
Сообщения: 2563
Откуда: Украина, Киев(точный номер вселенной не скажу)


СообщениеДобавлено: Пт, 14 Июн, 2013 11:34    Заголовок сообщения: Ответить с цитатой

Кархайм какой у Вас антивирус (весьма важный вопрос)? Где конкретно нашли пакость (именно знаете где, но антивирус удалить не может или даже ручками удалить нельзя?)?
Кажется один раз переустанавливали XP, но не помню почему.
Наиболее надежный способ найти вирус сильно спрятанный - это запустится с LiveCD со свежими базами. По идее, если в системе спрятан вирус, то он может периодически подгружать новые вирусы или сами Вы из инета загрузите. У меня 2 раза появлялись вирусы в C:\Documents and Settings\<user_name>\Local Settings\Temp и Local Settings\Temporary Internet Files. Не знаю, связанно ли это с тем, что в системе висел драйвер с вирусом типа Dropper Smile .

Кому-то больше везет: my regular AVG scan found a "hidden driver".
Как найти драйвера плохие: в папке WINDOWS\system32 найдите все файлы *.sys и попытайтесь их все просканировать. Если количество просканированных файлов и сканированных совпало - то все возможно хорошо.

_________________
Четыре планеты Веги совершенно безжизненны...
В две тысячи сто двенадцатом году начал эксплуатироваться на трассах Земля — Сириус, Земля — Фомальгаут.
http://www.astronet.ru/db/msg/1222187/sect33.html
Вернуться к началу
Посмотреть профиль Отправить личное сообщение [ скрыт ]
Автор Сообщение
Кархайм
Лор-майор
Лор-майор

Возраст: 43
Пол: Пол:Мужской

Зарегистрирован: 01.06.2013
Сообщения: 240


СообщениеДобавлено: Пт, 14 Июн, 2013 11:58    Заголовок сообщения: Ответить с цитатой

VICTOR
Виктор давай на ты,мне не сто лет чтобы на выSmile
По вирусу:стоял Каспер 2012.Он ничего не нашёл что странно.После ставил все те что описал в первом своём посте.
Толку ноль,после чего плюнув на всё полез ручками в системные файлы.
Нашёл сначала в папке WINDOWS,думал всё...потом вылез опять,полез снова искать и нашёл там же + ещё он размножился,часов 5 где-то провозился с этим делом.Вроде удалил всё что нашёл,но понятно что найти всё нереально вручную.Хотя даже в скрытых папках и файлах искал.
Ни одна из программ ничего поделать не может,они его банально не видят.
Кстати в чём прикол этой заразы не сказал:Копируется сама на видео файлы и документы.Причём,при заражении видео создаёт: Ярлык корзины+ещё каких то 4 файла с цифровым обозначением Shocked
Я за столько лет пользованием интернетом и встречами с вирусами такое вижу впервые.
Даже у знакомого (он в Сбербанке работает и больной на голову по этим делам)спрашивал что и как делать,он тоже ничего не смог подсказать.Даже программы хитрые притаскивал какие то чтобы найти и удалить...Эффекту ноль.
Получается что вирус или троян или червь удаляется вручную если найти,но спустя какое то время он снова у системе.
Склоняюсь к мысли снести винду,не ключом так ломом
Вернуться к началу
Посмотреть профиль Отправить личное сообщение  
Автор Сообщение
VICTOR
Бета-координатор
Бета-координатор

Возраст: 33
Пол: Пол:Мужской

Зарегистрирован: 12.05.2011
Сообщения: 2563
Откуда: Украина, Киев(точный номер вселенной не скажу)


СообщениеДобавлено: Пт, 14 Июн, 2013 13:24    Заголовок сообщения: Ответить с цитатой

Кархайм писал(а):
Склоняюсь к мысли снести винду,не ключом так ломом

Я бы все же сделал так:
1) есть ли у Каспера специальный режим поиска руткитов и используется ли он при стандартном сканировании? Например у AVG (с 12-ой версии) быстрый поиск руткитов (несколько тысяч объектов, а не 100 тысяч файлов, как при полном) входит в запланированное сканирование (как опция). Если режим поиска руткитов (отдельный или в общем сканировании) есть но не включен - включите и смотрите, не будет ли синих оконSmile
2) если ничего из этого нет или есть синие окна - либо делай как я в прошлом посте писал, либо делай так:
- в WINDOWS\system32\drivers выводишь колонки "дата создания" и "дата изменения" и сортируешь по первой;
- самые подозрительные файлы - те у кого эта дата сильно свежее остальных, для них смотришь, есть ли у них описание (например - что это - вполне легальный драйвер от AMD на системе Core Duo+GeForce Smile );
- если нет описания (и скорее всего - дата изменения равна дате создания, то есть по этой дате они могут не быть самыми новыми), то на файл нужно натравить антивирус;
- если сканировать не удалось (количество сканированных файлов меньше, чем ты выбрал) - то это подозрительно, но это может быть вполне честный драйвер, например - Daemon Tools, использующий драйвер минипорта SCSI, но мне вышло его нагло переместить в другую папку (руткит этого точно не даст);
- потом нужно перезагрузить винду и зайти с LiveCD (если есть) или другой оси (если есть);
- переместить в другую папку подозрительные файлы (естественно - не в папку WINDOWS), если это не вышло (ось диска не хочет удалять "важный системный файл") - ищите другой диск;
- загрузится опять в винду обычную; //если у тебя не прошел изначально вариант "запустится с LiveCD со свежими базами"
- сканировать антивирусом все эти подозрительные файлы;
- если в каком-то нашел вирус, вылечился, а сам файл не удалился - пошли другу на мыло, попроси скопировать в папку system32/drivers/ (это была шутка);
- если в каких-то файлах нет вирусов - тогда думай, если есть - удаляй драйвера к черту эти;
3) если пункт 1 выдавал синие окна - запускай заново поиск руткитов;

Идеальный случай - если ты примерно знаешь, что вирус появился где-то с d1.m1.y2 по d2.m2.y3 - ищешь все файлы, измененные в этом диапазоне. Собственно основные места обитания:
- Documents and Settings\sysadmin\... (корень и папки Local Settings\Temporary Internet Files, Local Settings\Temp, Application Data - включая Local Settings\Application Data и другие места, где найдешь);
- C:\Temp\ (где имеется в виду диск, где винда);
- собственно C:\WINDOWS\System32\, так же WINDOWS\Temp\ и всякие .exe в самом корне C:\WINDOWS\.

_________________
Четыре планеты Веги совершенно безжизненны...
В две тысячи сто двенадцатом году начал эксплуатироваться на трассах Земля — Сириус, Земля — Фомальгаут.
http://www.astronet.ru/db/msg/1222187/sect33.html
Вернуться к началу
Посмотреть профиль Отправить личное сообщение [ скрыт ]

Показать сообщения:   
Ответить на тему    Список форумов Ветер Фантазии -> ТехЦентр Часовой пояс: GMT + 3
На страницу Пред.  1, 2, 3, 4, 5  След.
Страница 2 из 5

 
Перейти:  
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете вкладывать файлы
Вы можете скачивать файлы

Powered by phpBB © 2001, 2005 phpBB Group.
Theme Designed By Arthur Forum