Хмм,спасибо за совет.На выходных будет время попробую сделать как ты сказал.Надеюсь поможет,снести винду недолго,но вот ставить потом всё что нужно...бррр ещё та морока.
Я как бы не знаю, удаляет ли снос винды папки типа Апликейшин Дейта, так как они по идее нужны для работы приложений, которые с вероятностью 50% могут пережить переустановку винды (даже - с 2000 на XP переход). И самая плохая идея - использовать "Live CD" от AVG, так как он кушает свои собственные базы. _________________ Четыре планеты Веги совершенно безжизненны...
В две тысячи сто двенадцатом году начал эксплуатироваться на трассах Земля — Сириус, Земля — Фомальгаут.
http://www.astronet.ru/db/msg/1222187/sect33.html
Кархайм, если ты о том, что делал антивирус, то он видимо сравнил сигнатуры антивирусных баз со своими и нашел явные совпадения. В итоге пришлось что-то вроде 70 МБ баз качать на инете 128 кбит/сек. _________________ Четыре планеты Веги совершенно безжизненны...
В две тысячи сто двенадцатом году начал эксплуатироваться на трассах Земля — Сириус, Земля — Фомальгаут.
http://www.astronet.ru/db/msg/1222187/sect33.html
Проверял антивирусами по полной что они могут,там и руткиты и вся ост. белиберда заумная.Базы я сам не обновляю,мне их приносят,так как сеть только с телефона и даже не 3G а простой мобильный интернет.Сам можешь представить скорость
Я не могу сказать, что это так уж важно делать регулярно. Я конечно могу сказать, что у меня находился вирус прямо в день его открытия, но это был вирус в редакторе Варкрафта, так что я посчитал, что это баг (зачем мне варик убивать?). Я бы все же рекомендовал настроить сканирование на каждые 2 дня (или как там у Вас можно, например - понедельник, среда, пятница и воскресенье).
З.Ы. А что собственно за антивирус? А то я как-то для AVG пытался скачать что-то вроде не столько базы, сколько файлы кажется обновления компонентов с сайта, но они новыми не считались.
Скорость 128 кбит/с слишком большая по сравнению с твоей? Или у тебя базы по мегабайту каждый день выходят? _________________ Четыре планеты Веги совершенно безжизненны...
В две тысячи сто двенадцатом году начал эксплуатироваться на трассах Земля — Сириус, Земля — Фомальгаут.
http://www.astronet.ru/db/msg/1222187/sect33.html
Склоняюсь к мысли снести винду,не ключом так ломом
Не спеши, это всегда успеется (хотя зачастую быстрее будет ).
VICTOR писал(а):
- потом нужно перезагрузить винду и зайти с LiveCD (если есть) или другой оси (если есть);
Низзя "перезагружать"! Только "хард ресет", т.е. попросту "вилка из розетки". Тогда резидентная пакость не сможет записать себя в RunOnce, как это обычно сейчас делается. На всякий случай эти ветки реестра надо просмотреть и из Run и RunOnce выкинуть все подозрительное. Но это все в случае, если червяк не пролез в explorer.exe - тогда либо снос, либо загруз с другой системы и подмена на этот же файл из здоровой системы (или лучше в случае паранойи - найти в кабах дистра и выковырять, потом распокавать спец. прграммкой из _ex в exe). Чаще всего "чистые" червяки (т.е. не заражающие системные файлы) или их "загрузчики" (если сам червь прячется в труднодоступных местах вроде каталога апдейтов) грузятся при запуске системы так:
1. ламерский способ - из автозагрузки программ - удаляется на уровне ламеров
2. средне-продвинутый - сидит в реестре в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
3а. "крутой" - грузится из соседней ветки RunOnce, при выключении/перезагрузке записывается туда же.
3б. крутой вариант первых двух
3с. комбинация вышеперечисленных.
Вариант 4 (сидит в системных файлах) не рассматриваю, потому что червяк, заражающий файлы, это уже вирус, а не червяк. - тут уже поможет только полный скан с другой системы, как предлагает VICTOR.
4б. хотя ладно. как подвариант - в системных файлах встраивается только загрузчик, а сама пакость прячется в мусорке или еще где-нибудь. При нахождениии удалении файла (если при этом четко вычислен и убит резидентный модуль из РАМ) после выключения и загрузки выйдет ошибка "файл не найден", но работать дальше можно. Как временный вариант вполне сойдет.
Кархайм писал(а):
Низкоуровневое форматирование?
зачем так сурово? хороший тон - иметь систему на разделе С, а все нужное - на прочих разделах. тогда обычное высокоуровневое форматирование (format C) при установке подойдет (загрузчик тоже переписывается). _________________ Все будет так, как должно быть, даже если будет иначе
agrael
Run vs RunOnce чисто,нету там этой заразы.Всего раз появлялась иль два и больше не было,вылазит хз где...слов нету уже.
2 способ вроде бы делали со знакомым,надо уточнить ибо не помню точно.Но идея хорошая,спасибо за вариант.
В общем в воскресенье будет день х)потом напишу что и как сделал.Иль секир голова,иль отмычка сработает
ну он какбэ всегда чистый по определению, так сказать. Он не чистый только при выключенном компутере (точнее с момента выгрузки резидентного модуля до времени его загрузки) - поэтому в некоторых случаях "вилка из розетки" помогает сразу же - и пусть само тело червяка прячется сколько угодно - головы-то нет! Хотя у меня как-то был случай, что тело убил, а "голова" осталась - как и описывал выше. Тоже фиг его знает где - в каком-то из системных файлов. Часто маскируется под спулсервис или svchost - их часто несколько, и поди разбери, кто из них враг. я обычно удаляю по одному и смотрю, продолжает ли "плодиться" (чаще всего на флэшках народ тащит - местная налоговоя и соцфонд вечные рассадники, хотя налоговики все же нашли кого прижать, чтобы им забесплатно почистили), пока система не начнет вопити, что без этого файла ей жизня не мила. Да, вспомнил еще "продвинутый" вариант :
5. Сервисы. В хрюше "служебные/администрация", в семерке вроде из таскменеджера можно. _________________ Все будет так, как должно быть, даже если будет иначе
У меня как раз был Dropper и что-то явно появлялось. Но AVG-CD не хотел его удалять. А вот ссылки на реестр у меня как-то не находят антивирусы, спрошу у Вас, если шарите. Если написано, что вирус может создать в [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DeviceControl] ключ DevData, то хорошо, если я его удалил?
agrael писал(а):
хороший тон - иметь систему на разделе С
Винт 80 Гб мне разбили на 2 на ноуте и после прокачки через диск С (большего объема) кучи файлов, ему пришлось проводить проверку и найдено кучу битых кластеров.
Кархайм писал(а):
Всего раз появлялась иль два и больше не было
Каспер помню имеет пароноидальную проактивную защиту и должен находить вирусов часть по их активности (AVG находил вирусы так ещё до скачивания баз первого).
agrael писал(а):
служебные/администрация
Это не "Назначенные задания"? А то я у себя такого не нашел. Я забыл про самое тупое место для вирусов - Chef\Главное меню\Программы\Автозагрузка\, было там аж 14 файлов, похожих версий 2.CFUO, 2.CFUP, 2.CFUQ и 3.GSQ.
З.Ы. А System Volume Information\ - это папка, где удаленные файлы хранятся? _________________ Четыре планеты Веги совершенно безжизненны...
В две тысячи сто двенадцатом году начал эксплуатироваться на трассах Земля — Сириус, Земля — Фомальгаут.
http://www.astronet.ru/db/msg/1222187/sect33.html
ему пришлось проводить проверку и найдено кучу битых кластеров
вот это странно, конечно... хотя я что-то такое тоже замечал и тоже после "прокачки" (торренты залил-грохнул), но грешил на большой диск (1Т - один такой убился по непонятной причине), а раньше что 200Г, что 320Г работали как часы многие годы, а одна 80-ка вообще сначала сдохла, но после форматирования жила под игрушками еще лет 5, да и сейчас жива. Поэтому для "контента" обычно бьют третий раздел. Т.е. 1."система", 2."доки и все нужное" и 3."контентная свалка".
VICTOR писал(а):
то хорошо, если я его удалил
коненчо, хорошо! Все, что плохо вирусу/червю - для нас хорошо!
VICTOR писал(а):
Это не "Назначенные задания"? А то я у себя такого не нашел.
блин, щас хрюши под рукой нет, давно уже в ней не работаю... В общем, через меню пуск-служебные-администрирование искать надо, вроде так и называется "службы" (или "сервисы" по ангельски). ищем все, что подозрительное (или просто излишнее) и пытаемся отключить и сказать "вклювать по требованию" (полезно, если не знаешь - нужен сервис или так, мусор). путь на исполняемый файл там указан.
VICTOR писал(а):
А System Volume Information\ - это папка, где удаленные файлы хранятся?
Не, это папка, где хранится системная информация тома. Кстати, это напомнило про один червяк, который создавал неуничотжимую обычными средствами папку с таким же именем, но с точкой в конце, и там прятал свой "хвост". Удалялось только из командной строки и только с ключом /S. А удаленные файлы хранятся в "корзине" (XP - Recycled вроде как называлась, win7 - $RECYCLE.BIN$)
Вообще, самое лучшее средство для профилактики "флэшковых" червей - блокирование Проводника винды (особенно если это чужой комп - ибо народу не объяснишь, что запускать низзя). И использовать сторонние панельные менеджеры, не завязанные на тот самый Проводник (тотал командер или фар-менеджер с включенным показом скрытых/системных файлов - наилучший выход).
VICTOR писал(а):
спрошу у Вас, если шарите.
такое впечатление, что даже пришпиленные темы никто не читает _________________ Все будет так, как должно быть, даже если будет иначе
Это я нашел в Панель управления/Администрирование.
Вполне нормальные вещи без описаний:
Съемные ЗУ - C:\WINDOWS\system32\svchost.exe -k netsvcs, запуск - вручную. Ну и ещё Matlab Server отключенный есть.
agrael писал(а):
Кстати, это напомнило про один червяк
Так как все вирусы там были в 11-ом году видимо, то уже не вспомню. На диске C: у меня в ней папка _restore{8944C272-7ED6-4112-A38B-2AF1E1E3198E}, а на D: - только вирусы были (кажется как раз был файл, удаленный перед этим антивирусом как раз с папки на том же диске). На диске C: в файлах типа A004xxxx.exe выскакивали вирусы, причем именно таких типов, которые в этот же день были найдены в Chef\Application Data\ (2 вируса); Chef\Local Settings\Temp\ (2 файла) и Chef\Local Settings\Temporary Internet Files\ (2 файла) - это все 3-ий вирус.
А вообще у меня вирусы пачками находились. Например, с 18:00 до 19:20 я сканирую на вирусы и нахожу только 6 штук очередного Dropper - по 3 в Local Settings\Temp\ (.exe) и Temporary Internet Files\ (файл hello[1]). Потом натравляю на папку Local Settings\ AVG и нахожу уже 24 файла - 8 в Temp\ (.tmp и .txt) и 16 - в Temporary Internet Files\, но уже тоже в .txt.
З.Ы. Самая большая глупость, что я сканировал в то время не весь комп, а только "C:\Documents and Settings\;C:\Program Files\;C:\RECYCLER\;C:\Recycled\(не разобрался, в ком из них бывает);C:\System Volume Information\;C:\WINDOWS\;". _________________ Четыре планеты Веги совершенно безжизненны...
В две тысячи сто двенадцатом году начал эксплуатироваться на трассах Земля — Сириус, Земля — Фомальгаут.
http://www.astronet.ru/db/msg/1222187/sect33.html
Я через диск 80 прокачал как минимум 250 ГБ стартерека (плюс/минус Энтерпрайз (точнее - +3/-4 сезона)) и на то время только один битый файл вышел (так и валяется - скопировать нельзя, а при просмотре только один раз виснет, проклацываю 2 секунды (меньше не выходит) - все идет нормально) причем около самого начала процесса закачек. _________________ Четыре планеты Веги совершенно безжизненны...
В две тысячи сто двенадцатом году начал эксплуатироваться на трассах Земля — Сириус, Земля — Фомальгаут.
http://www.astronet.ru/db/msg/1222187/sect33.html
ну можно и так. это собственно один и тот же .cpl, просто ярлыки в разных местах. а еще его можно напрямую с каталога вынь/систем32 запускать _________________ Все будет так, как должно быть, даже если будет иначе
Хвосты и головы где у меня были, не знаю, но вышло у меня так, что одна копия файла с вирусом висела в D&S\Chef, а другая - в WINDOWS\system32. При этом первая мешала браузерам, а вторая - определялась как руткит. Но AVG не может нормально удалить руткит, а только сказать "товарищ админ, у Вас руткит - ищи сам где". _________________ Четыре планеты Веги совершенно безжизненны...
В две тысячи сто двенадцатом году начал эксплуатироваться на трассах Земля — Сириус, Земля — Фомальгаут.
http://www.astronet.ru/db/msg/1222187/sect33.html
Немного не в тему - впервые смог сделать пост на форуме AVG. _________________ Четыре планеты Веги совершенно безжизненны...
В две тысячи сто двенадцатом году начал эксплуатироваться на трассах Земля — Сириус, Земля — Фомальгаут.
http://www.astronet.ru/db/msg/1222187/sect33.html
Самая лучшая защита от всей этой хрени это SpyHunter4. Ничего лучше не найдете. Он даже mail.ru удаляет.
А вообще я пользуюсь в комплексе. dr web cureit проверяю время от времени. А вот SpyHunter4 включен постоянно. И вот уже 5+ лет ни разу никаких проблем не знал. Хотя шастаю в инете по 10+ часов в день _________________ Я - часть той силы, что вечно хочет зла и вечно совершает благо...
Кажется его хвалил кто-то. Почитал рекламку. Про руткиты в БИОСе недавно читал, а с синими окнами тоже знаком. _________________ Четыре планеты Веги совершенно безжизненны...
В две тысячи сто двенадцатом году начал эксплуатироваться на трассах Земля — Сириус, Земля — Фомальгаут.
http://www.astronet.ru/db/msg/1222187/sect33.html
Скачал его, так как возник снова обработчик функции NtMapViewOfSection по версии поиска руткитов (правда я вишу с почти всегда отключенным антивирусом и нормально сканю только 2 раза в неделю). Нашел 2 вируса в 4 файлах в Chef\LS\Temp и третий в Windows\Temp. Не знаю, помогло ли это, но из под профиля User провел скан руткитов (быстрый - только 564 объекта), и нашел в Chef\LS\Temp файл .sys - обработчик всего-то 15-и функций. Так что явно рулит идея создать почти неюзаемого юзера (знаю, что у нормальных людей как раз sysadmin не используется постоянно ), с настроенным правильно доступом к папке Chef.
Применял именно эту прогу, так как с CD ДрВэб запутался в самораскрывающихся зипах и почему-то начал с диска D: .
agrael писал(а):
червяк, заражающий файлы, это уже вирус, а не червяк
Червяк что есть быть - не знаю, у меня обычно трояны, только один HTML/Framer найден изначально и Obfustat.ABBQ (по версии AVG) - в АртМани и опять же в System Volume Information.
Никто тут в смысле функций Nt*** не шарит? _________________ Четыре планеты Веги совершенно безжизненны...
В две тысячи сто двенадцатом году начал эксплуатироваться на трассах Земля — Сириус, Земля — Фомальгаут.
http://www.astronet.ru/db/msg/1222187/sect33.html
Тут писали об усиленной защите и линукс даже советовали как решение
У меня проще, Windows 8 с встроенным антивирусом и фаерволом, плюс еще SOHO раутере стоит свой фаервал. Где RDP, SSH, WEBMIN открыты. Все. Годы проблем не имею вообще с вирусняком.
Раньше стоял Аваст при висте и 7ке, фаерволы стандартные. Откуда вы весь мусор собираете?
ХР помню был головной болью, пока аваст не поставил. Потом усе... С Сервис паком 2 пришел не плохой фаервал да и СП 3 добавил защиты.
Но я противник ХР - защитой 8ки доволен...
Правда как и к Виста/7 NSA на сколько я помню приложила свою руку при разработке сих осей. А учитывая ситуацию со Сноуденом стоит наверное задуматься... _________________ The empires of the future are the empires of the mind.
Sir Winston Churchill, Speech at Harvard University, September 6, 1943
British politician (1874 - 1965)
ХР помню был головной болью, пока аваст не поставил.
Я даже не помню, что у нас появилось раньше на компе - XP или Аваст. Он у нас появился после Касперского, который то ли слишком глючил систему с бедным Пентиум 2.4 (Норзвуд), то ли мы перестали получать диски с ключами. По идее все же с XP мы видимо Сумантек получили, но уже более года та старая версия не получает обновлений. Но сам по себе антивирус неплохой и страшные драйвера (выдающие против антируткита AVG синие окна) легко удалял.
Цитата:
Откуда вы весь мусор собираете?
По хорошему говоря, с начала 12-ого года я поймал мало вирусов. Если не считать вирусов в Варкрафте, я смог найти один в неком swf в контенте браузера, подозрительные инсталяшки во всех Application Data, связку бекдоров в двух secupdat.dat (известный по гуглу файл) и вот этот драйвер.
Ros писал(а):
как и к Виста/7 NSA на сколько я помню приложила свою руку при разработке сих осей.
Не понял, о чем речь, но по слуха в 8-ке весьма хорошо подошли к защите от вирусов. Хотя кажется эти функции как раз антивирусы вроде KIS используют весьма неплохо. _________________ Четыре планеты Веги совершенно безжизненны...
В две тысячи сто двенадцатом году начал эксплуатироваться на трассах Земля — Сириус, Земля — Фомальгаут.
http://www.astronet.ru/db/msg/1222187/sect33.html
Ros писал(а):как и к Виста/7 NSA на сколько я помню приложила свою руку при разработке сих осей.
Не понял, о чем речь, но по слуха в 8-ке весьма хорошо подошли к защите от вирусов. Хотя кажется эти функции как раз антивирусы вроде KIS используют весьма неплохо.
NSA - на Агентство национальной безопасности США. Учитывая события с Сноуденом, есть вероятность что они встроили какую то следящуюю систему в винде. Но я ничего пока не замечал. Правда особо и не искал. _________________ The empires of the future are the empires of the mind.
Sir Winston Churchill, Speech at Harvard University, September 6, 1943
British politician (1874 - 1965)
Ros писал(а):как и к Виста/7 NSA на сколько я помню приложила свою руку при разработке сих осей.
Не понял, о чем речь, но по слуха в 8-ке весьма хорошо подошли к защите от вирусов. Хотя кажется эти функции как раз антивирусы вроде KIS используют весьма неплохо.
NSA - на Агентство национальной безопасности США. Учитывая события с Сноуденом, есть вероятность что они встроили какую то следящуюю систему в винде. Но я ничего пока не замечал. Правда особо и не искал.
что бы искать в винде надо иметь соответствующее оборудование с логированием всех всех пакетов, иначе нефига ты не увидишь _________________
Любая "следящая система" выдаст себя сообщениями вида "Юстас Алексу".
Обнаружить их гораздо проще, чем сами "закладки" в коде, так что кто-нибудь обязательно найдёт, поднимет шум, и будет скандал почище нынешнего, со значительно более тяжелыми последствиями для компании. Кроме того, тут же появятся способы эти сообщения заблокировать.
Гораздо более реалистичным выглядит другой сценарий, озвученный недавно – мелкомягкие дают спецслужбам эксклюзивный доступ к сведениям о способах эксплуатации 0-day уязвимостей в своих программах, что даёт возможность выборочно взламывать конкретные интересующие их системы.
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете голосовать в опросах Вы не можете вкладывать файлы Вы можете скачивать файлы