После вируса в vista

Еще в ноябре 2006 года, когда Windows Vista из бета-версии превратилась в RTM, Джим Олчин (Jim Allchin) из Microsoft, предлагал пользователям, не использовать антивирусное программное обеспечение.

Такая возможность появилась благодаря новой, усиленной защите операционной системы. Но до сих пор не ясно, требуется ли пользователям Vista антивирусная программа, все время работающая в фоновом режиме?

В Vista полно встроенных средств против вредоносных программ, и одно из наиболее мощных является UAC (User Account Control), о котором уже не мало говорилось. UAC будет вызывать окно подтверждения практически каждый раз, когда вы попытаетесь запустить программу, которая может изменить состояния системы.

Вы наверно видели, что при попытке установить программу, при запуске диспетчера устройств или других программ, требующих администраторские права, экран темнеет, и появляется диалоговое окно с просьбой о разрешении продолжить.

Хотя многие пользователи считают, что UAC лишь раздражает, он все-таки помогает в борьбе с вредоносными программами, тем более бесплатно. Вирусы, трояны, черви и шпионские программы часто попадают в компьютер в виде вложений в сообщения электронной почты, и, хотя опытные пользователи знают, что нельзя запускать исполняемые файлы, пришедшие по электронной почте от неизвестных источников, много неопытных пользователей ежедневно попадаются на это.

Если UAC включен, и вывел диалоговое окно, в котором спрашивает, действительно ли вы хотите установить или запустить программу, о которой вы даже не знали, поможет ли это спасти вашу систему от мерзкой инфекции? Это уникальная возможность. Прежде чем вы удалите свой AVG или Avast, я все же расскажу о риске.

UAC
Когда UAC включен, он останавливает большой процент программ и процессов, при попытке установить или запустить что-либо с администраторскими привилегиями.

Windows Vista также поступает и с другими приложениями безопасности. Обновленная версия брандмауэра Windows Firewall может остановить как входящий, так и исходящий трафик. Некоторые из предыдущих версий не могли этого сделать, из-за чего система была подвержена DoS-атакам. Еще есть Windows Defender, который старается очищать Vista от некоторых типов вредоносных программ, включая шпионов.

Также не малую роль в безопасности системы играет автоматического обновления, Automatic Updates. Microsoft регулярно выпускает патчи и исправления для закрытия уязвимостей, которые вы сможете скачать с помощью Windows Update.

Когда дело доходит до борьбы с вирусами на системе без антивирусного программного обеспечения, основная работа ложится на UAC. Но не исключено, что без ведома пользователя UAC тоже может стать жертвой вируса.

Вирусы могут вторгнуться в компьютер через электронную почту (если пользователь запускает приложенные к письму файлы, содержащие вирус) или другие программы. Одним очень популярным методом, который используют злоумышленники для распространения вирусов, является заражение взломанного коммерческого программного обеспечения (так называемый "warez"), который в дальнейшем распространяется на Web-сайтх, FTP, пиринговых сетях, и даже IRC. Без сканирования этого программного обеспечение с помощью антивирусной программы, пользователь не узнает, если ПО инфицировано.

Чтобы усугубить ситуацию, вирусы часто "мутируют". Большинство антивирусов ищут вирусы, сравнивая их со своей базой вирусов. Если вирус изменит код, то станет неузнаваемым для большинства антивирусных программ.

Быстрое тестирование UAC
Чтобы проверить способность UAC защитить систему без антивирусной программы, мы загрузили на Windows Vista партию электронных писем, а затем физически изолировали компьютер от сети, отсоединив кабель.

В спаме мы обнаружила два подозрительных сообщения с вложенными исполняемыми файлами. Мы сохранили вложенные файлы в папку и запустили.

В обоих случаях UAC немедленно среагировал. Он поймал каждую программу в попытке установить себя. Одна из программ, называла себя . EXE, что достаточно подозрительно. Всегда отказывайте в доступе подобным программам. Другая вредоносная программа называлась BANK.EXE.

Фактор здравого смысла
UAC будет очень часто напоминать пользователям Vista о себе. Это практически войдет в привычку, при установке игры или обновления драйвера, главное читать диалоговое окно UAC, прежде чем разрешить доступ. Сколько неопытных пользователей, увидев BANK.EXE, либо из-за привычки, или просто потому, что они не знают, что это такое, могут разрешить доступ?

Программное обеспечение является одной стороны антивирусной защиты. Другая сторона состоит из пользовательского опыта и здравого смысла. Некоторые пользователи утверждают, что у них работает Windows XP в течение четырех лет без антивирусной программы и каких-либо вирусов. Они просто избегают незаконное программное обеспечение, подозрительных вложений в письма электронной почты и прочих возможностей заразить компьютер.

Суть
Windows Vista с UAC достаточно хорошо защищен от вредоносных программ. Однако пользователи, которые используют Windows без антивирусной защиты и не попали в беду, достаточно опытные.

Таким образом, антивирусные программы по-прежнему необходимы. Пока пользователь не наберет достаточно знаний и опыта, чтобы не открывать вложения и другие подозрительные файлы, которые зачастую приводят к инфекции, будет лучше, чтобы за всем следил антивирус. Как только пользователь наберется опыта, чтобы избежать инфекции без антивирусной программы, можно будет использовать только UAC.

Самая лучшая защита от компьютерных вирусов не UAC и даже не антивирусное программное обеспечение, а сочетание знаний, программного обеспечения и здравого смысла.

Антивирусные программы, даже при обнаружении и удалении вредоносного программного обеспечения, далеко не всегда восстанавливают полную работоспособность системы. Нередко, после удаления вируса, пользователь компьютера получает пустой рабочий стол, полное отсутствие доступа в Интернет (или блокировку доступа к некоторым сайтам), неработающую мышку и т.п. Вызвано это, как правило, тем, что остались нетронутыми некоторые системные или пользовательские настройки, измененные вредоносной программой под свои нужды.

Восстановление системы, в случае, когда загрузка или вход в систему невозможны.

Самым простым и действенным способом восстановления поврежденной вредоносным программным обеспечением системы является откат на точку восстановления (Restore Point) когда система еще была в работоспособном состоянии. Кстати, этот же прием можно использовать и для нейтрализации вируса. Откат выполняется таким образом, что изменяются только системные файлы Windows и содержимое реестра. Естественно, восстанавливаются и те элементы, которые, после заражения, позволяют вредоносной программе выполнять свой запуск. Другими словами, откат системы на момент до возникновения вирусного заражения дает возможность изолировать исполняемые файлы вируса и даже, если они остаются в системе, их автоматический запуск не производится, и они никоим образом не могут влиять на работу ОС. Откат на точку восстановления выполняется в среде самой Windows XP (Меню Пуск - Программы - Стандартные - Служебные - Восстановление системы )и в случаях, когда вход в систему невозможен, становится также невыполнимым. Однако, существует инструмент под названием ERD Commander (ERDC) , позволяющий выполнить восстановление системы, даже в случае невозможности запуска штатных средств. Подробное описание ERD Commander и примеры практической работы с ним найдете в статье Инструкция по использованию ERD Commander (Microsoft DaRT).
А в общих чертах, восстановление выполняется с помощью средства ERDC под названием System Restore Wizard . Сначала выполняется загрузка ERD Commander, который представляет собой усеченный вариант Windows (WinPE - Windows Preinstall Edition) и набор специальных программных инструментов для работы с ОС установленной на жестком диске. Затем запускается инструмент System Restore Wizard , с помощью которого состояние системы восстанавливается на созданную ранее ( вручную или автоматически ) точку восстановления. При наличии кондиционных данных точки восстановления, в подавляющем большинстве случаев, система возвращается к работоспособному состоянию.

Восстановление работоспособности с помощью антивирусной утилиты AVZ.

Это самый простой, не требующий особой квалификации, способ. Антивирусная утилита AVZ Олега Зайцева, кроме основных функций обнаружения и удаления вредоносного ПО, имеет и дополнительную - восстановление работоспособности системы, с помощью специальных подпрограмм, или, по терминологии AVZ - микропрограмм. Утилита AVZ позволяет легко восстановить некоторые системные настройки, поврежденные вирусами. Помогает в случаях, когда не запускаются программы, при подмене страниц, открываемых обозревателем, подмене домашней страницы, страницы поиска, при изменении настроек рабочего стола, невозможности запуска редактора реестра, отсутствии доступа в Интернет и т.п.

Для запуска процедур восстановления выбираем меню Файл - Восстановление системы и отмечаем галочкой нужную микропрограмму восстановления:

Если не работают некоторые устройства после лечения системы от вирусов.

Клавиатурные шпионы и вирусы, использующие руткит-технологии для маскировки своего присутствия в зараженной системе, нередко устанавливают свой драйвер как дополнение к реальному драйверу, обслуживающему какое-либо устройство (чаще всего клавиатуру или мышь). Простое удаление файла "вирусного" драйвера без удаления из реестра записи, ссылающейся на него, приведет к неработоспособности "обслуживаемого" устройства.
Подобное же явление имеет место при неудачном удалении антивируса Касперского, кода перестает работать мышь, и в диспетчере устройств она отображается как устройство с ошибкой, для которого не были загружены все драйверы. Проблема возникает по причине использования антивирусом дополнительного драйвера klmouflt, который устанавливался при инсталляции антивируса. При деинсталляции файл драйвера был удален, но ссылка в реестре на драйвер klmouflt, осталась.

Подобное явление наблюдается и при удалении файла драйвера руткита и оставшейся в реестре ссылке на него. Для устранения проблемы нужно сделать поиск в реестре по строке UpperFilters.
Везде, где в ключах реестра встретится значение

klmouflt - для драйвера от антивируса Касперского
или другое название - для драйвера руткита
mouclass

удалить ненужное klmouflt и перезагрузиться.

Обычно при неработающей клавиатуре и мыши нужно чтобы были восстановлены ключи реестра

Клавиатура:
HKLM\SYSTEM\CurrentControlSet\Control\Class\<4D36E96B-E325-11CE-BFC1-08002BE10318>
UpperFilters=kbdclass

Мышь:
HKLM\SYSTEM\CurrentControlSet\Control\Class\<4D36E96F-E325-11CE-BFC1-08002BE10318>
UpperFilters=mouclass

Если проблема осталась, можно поискать аналогичные значения в LowerFilters

Кто что может посоветовать?! Кто чем пользуется для удаления этой порнухи?! Я обычно руками числил, а тут что то прям в тупике.

P.S. Когда люди уйдут с это XP? 100% моих клиентов цепляют эту гадость на XP, ни один комп с Vista и 7 заражены подобной хренью небыли! Всего записей: 53 | Зарегистр. 13-09-2008 | Отправлено: 17:35 29-11-2009 | Исправлено: DeadAnarchist, 17:37 29-11-2009

krserv

Далее мною были замечены СМС вымогатели проявляющиеся в любом браузере при подключенном интернете, при заходе многие на популярные сайты. Здесь антивирусами ничего не находилось на компе, дело оказалось в банальной модификации файла HOSTS (drivers\etc\host). В котром обнаружилось около 1500 дорполнительных строчек перенаправления популярных сайтов на один внешний IP сайта Украины вымогателя. Вымогательство было подкреплено информацией о тяжелой болезни ребенка.
Далее встречалось более изощеренное исправление файла хоста добавлением перенаправлений после около 100 пустых строк (список перенаправлений меньше). Будьте внимальны при просмотре HOSTS, бывает полезно перейти сразу в конец файла.

Ну и наконец это настоящие вирусы, запускающиеся с загрузкой винды и Информер появляется сразу при появлении рабочего стола. По первому времени лекго отлавливались, поскольку встраивались ввиде запускаемых фалов в обычные ключи автозапуска.(вплоть до меню автозагрузка). Легко отлавливались антивирусами правда иногда с задержкой в 2-3 дня. Сам не раз отправлял в лабораторию касперского для занесения в базу. Самостоятельно находятся либо msconfig либо autoruns от SysInternals.
В последнее время способы автозагрузки куда более изощренные: dll файлы, стартуемые через rundll, либо службы, либо драйверы sys. (Get accelerator) Самостоятельно найти уже сложнее, поскольку поиск среди большого числа нужных. (опыт) Могут детектироваться только свежими антивирусами Российского производства (Поскольку импорным это нифиг не нать- да и не на их кошельки они направлены.)
Удаляться и детектироваться могут с помощью AVZ или KAVRemovtools? DrWeb CureIt.
P.S. Забытый (с 98 винды) полноэкранный режим
FAR (ALT+ENTER) лучший вариант от любых окон поверх всего.

Всего записей: 760 | Зарегистр. 29-11-2007 | Отправлено: 17:21 03-12-2009

HDD

----------
"Чем больше я узнаю, тем больше понимаю как мало я знаю."
А.Эйнштейн

Всего записей: 2069 | Зарегистр. 25-04-2006 | Отправлено: 23:24 04-12-2009

IvANANvI

Цитата:

Угу только подправить можно загрузивший с другого носителя и подгрузив реестр зараженного компа.

А вот это под вопросом. Была ситуация,грузился под одним из вариантов LiveCD, так РР в этой записи ссылался вместо
%WINDIR%\System32\userinit.exe,
на
X:\LiveCD

----------
"Чем больше я узнаю, тем больше понимаю как мало я знаю."
А.Эйнштейн

Всего записей: 2069 | Зарегистр. 25-04-2006 | Отправлено: 15:41 05-12-2009

regkz

Цитата:

Поймал ЭТО - Get Accelerator (для глубокомыслящих - на порно не лазил).

C:\Users\кламас\AppData\Roaming\Microsoft\Windows\Cookies\userlib.dll
Win32/LockScreen.DB троян

Все бы ничего, нод его нашел, но что то пошло не так, в общем машина заражена. Лекарство для нода от этой заразы появилось только на следущий день.

Сейчас твариться такая штука. подключение к нету есть, но по именам никого не видит. могу пропинговать по ip кого угодно, но не более того. как исправить такую засаду?

06.04.2013, 13:34

Как расшифровать файлы дампов?
После запуска компьютера, вылетает экран смерти, и система перезагружается. Каждый раз, после.

Надо расшифровать файлы после работы вируса-криптора!
Улиты с сайтов антивирусников перепробовал, результат печальный. Есть оригинал файла и испорченная.

Как расшифровать данные после вируса hola@all-ransomware ?
Здравствуйте! Пользователь открыл письмо и были зашифрованы файлы. Прошу помощи в расшифровке.

После вируса не открываются файлы
Словили дети трояна монстра 6 на майкрософт7,я его удалила,я так думаю,при помощи доктора.

06.04.2013, 13:49

b19782501, а обрезать простынь и выложить только изображение можно ?

А то мой микроскоп сломался

Видимо зашифрованы файлы ? Если так, то нужно отправить несколько файлов в антивирусные лаборатории и ждать ответа

06.04.2013, 14:05 [ТС]

b19782501, а обрезать простынь и выложить только изображение можно ?

А то мой микроскоп сломался

06.04.2013, 14:12

06.04.2013, 15:05 [ТС]

06.04.2013, 15:10

06.04.2013, 15:18 [ТС]

06.04.2013, 18:56

Заказываю контрольные, курсовые, дипломные и любые другие студенческие работы здесь.

Не скачиваются файлы из интернета после вируса!
система виста, браузер firefox. на одном из сайтов подцепили вирус, как обычно порно окно на весь.

После вируса файлы с флешки исчезли
я как-то подцепил вирус(не помню как называется но суть в том что вместо папок - ярлыки на них). он.

Не открываются файлы Word, Excel & pdf после вируса
Всем, привет! Помогите, пожалуйста. Ситуация такая: на рабочую почту пришло письмо с какой-то.

Восстановление инфы (XLS-файлы) после атаки вируса на флешку
Если ли какой-то специфичный подход к восстановлению информации (XLS-файлы в моём случае нужны) в.

Не скачиваются файлы после удаления вируса, так же проблемы с youtube!
система Windows 7, браузер firefox. на одном из сайтов подцепили вирус, как обычно порно окно на.

После удаления вируса в Windows 7 блокируются все файлы загружаемые из интернета
Удалил Вирус троян теперь не закчиваются файлы из интернета, выдаёт ошибку: "Этот файл.

Как удалить вирус самостоятельно

Здесь мы покажем вам, как можно самостоятельно обнаружить и затем удалить файлы, способные нанести вред вашему компьютеру, или вирусы самостоятельно (вручную) без использования каких-либо антивирусных программ.

Это несложно . Давайте начнём!

Как удалить вирус самостоятельно

Действовать необходимо на правах администратора.

Для начала надо открыть командную строку. Для этого нажмите сочетание клавиш WINDOWS + R и в появившемся окне в строке введите cmd и нажмите ОК .

Команда cmd в командной строке

Вызов командной строки через поиск

Запуск командной строки от имени администратора

Кратко о том, какие цели у наших будущих действий:

С помощью команды attrib нужно найти такие файлы, которые не должны находиться среди системных файлов и потому могут быть подозрительными.

Вообще, в C: / drive не должно содержаться никаких .exe или .inf файлов. И в папке C:\Windows\System32 также не должны содержаться какие-либо, кроме системных, скрытые или только для чтения файлы с атрибутами i, e S H R .

Итак, начнём ручной поиск подозрительных, файлов, то есть вероятных вирусов, самостоятельно, без использования специальных программ.

Откройте командную строку и вставьте cmd . Запустите этот файл от имени администратора.

Открываем cmd

Прописываем в строке cd/ для доступа к диску. Затем вводим команду attrib . После каждой команды не забываем нажимать ENTER:

Команда attrib в командной строке

Как видим из последнего рисунка, файлов с расширениями .exe или .inf не обнаружено.

А вот пример с обнаруженными подозрительными файлами:

Вирусы в системе Windows

Диск С не содержит никаких файлов .еxе и .inf, пока вы не загрузите эти файлы вручную сами . Если вы найдёте какой-либо файл, подобный тем, которые мы нашли, и он отобразит S H R, тогда это может быть вирус.

Здесь обнаружились 2 таких файла:

autorun.inf

sscv.exe

Эти файлы имеют расширения .еxе и . inf и имеют атрибуты S H R . Значит, эти файлы могут быть вирусами .

Теперь наберите attrib -s -h -г -а -i filename.extension. Или в нашем примере это:

attrib —s —h —г —а -i autorun.inf

Эта команда изменит их свойства, сделав из них обычные файлы. Дальше их можно будет удалить.

Для удаления этих файлов введите del filename.extension или в нашем случае:

del autorun.inf

То же самое надо проделать со вторым файлом:

Удаление вирусов вручную

Теперь перейдём к папке System32.

Продолжим далее поиск, вписывая следующие команды внизу:

Впишите cd win* и нажмите ENTER.

Снова введите s ystem32. Нажмите ENTER.

Затем впишите команду attrib . Нажмите ENTER.

Ищем вирусы в папке System32

Появился вот такой длинный список:

Ищем вирусы в папке System32

Снова вводим внизу команду attrib , не забывая нажать потом ENTER :

Самостоятельное удаление вирусов с компьютера | Интернет-профи

И находим вот такие файлы:

Подозрительные файлы в папке Windows

При перемещении вверх-вниз экран перемещается очень быстро, поэтому когда мелькнёт что-то новое, приостановитесь и вернитесь назад‚ чтобы проверить каждый файл, не пропустив ни одного.

Подозрительные файлы в папке Windows

Выписываем себе все найденные S H R файлы:

atr.inf
dcr.exe
desktop.ini
idsev.exe

Выполните команду attrib 3 или 4 раза, чтобы убедиться, что вы проверили всё.

Ну, вот. Мы самостоятельно нашли целых 4 вредоносных файла! Теперь нам нужно удалить эти 4 вируса.

Для этого дальше в командной строке вписываем и каждый раз нажимаем ENTER следующее:

C:\Windows\System32>attrib -s -h -r -a -i atr.inf

C:\Windows\System32>del atr.inf

C:\Windows\System32>attrib -s -h -r -a -i dcr.exe

C:\Windows\System32>del dcr.exe

C:\Windows\System32>attrih -s -h -r -a -i desktop.ini

C:\Windows\\System32>del desktop.ini

C:\Windows\System32>attrib -s -h -r -a -i idsev.exe

C:\Windows\System32>del idsev.exe

Удаляем вирусы с компьютера самостоятельно

Аналогичную операцию надо провести с другими папками, вложенными в каталог Windows.

Нужно просканировать ещё несколько таких каталогов, как Appdata и Temp. Используйте команду attrib, как показано в этой статье, и удалите все файлы с атрибутами S H R, которые не имеют отношения к системным файлам и могут заразить ваш компьютер.

Читайте также: