Форум BMW клуба

Оффтопик => PC-Zone => Тема начата: Raptor от 15:32:43, 13.12.2010

Название: Что за вирус и как от него избавиться?
Отправлено: Raptor от 15:32:43, 13.12.2010

Проблема вот в чем... Эта тварь заменила все папки на всех дисках на ярлыки и не дает их (папки) открывать. Словил я эту вещь у сестренки на компе - подключали фотоаппарат для слива фоток. На ее компе не стал заморачиваться - снес винду, отформатировал С: и установил систему занова - но это его не убило. Когда подключил фотик к себе дабы полечить его - каспер заорал, мол началось выполнение процесса, которое я соответственно запретил, на что каспер ответил, что мол остановить невозможно, удалить тоже. Предложил сделать откат - но все безрезультатно  :( Что примечательно в тот момент вирус, по видимому, не давал открыть диспетчер задач, точнее диспетчер открывался, но через секунду закрывался, даже не возможно было ничего увидеть или сделать. После перезагрузки диспетчер открывается, но при включении комп выдает, что мол невозможно открыть файл, что то там svhost.exe, мол в реестре есть ссылка, а самого файла нет.
вот несколько скринов
на первом видно, что в левой части проводника отсутствуют крестики говорящие о наличии папок, видно, что сами папки вроде есть - но это ярлыки и соответственно свойства этих объектов
(http://i002.radikal.ru/1012/f0/dae31df86b2a.jpg) (https://forum.b-m-w.ru/go.php?url=http://www.radikal.ru)
на втором скрие - то, что выскакивает при попытке открыть эту "папку"
(http://s57.radikal.ru/i157/1012/f3/22dcf84a7a39.jpg) (https://forum.b-m-w.ru/go.php?url=http://www.radikal.ru)
Что примечательно, если в проводнике набрать настоящий адрес папки - то она открывается и все содержимое на месте.
И вот такой еще глюк...
(http://i029.radikal.ru/1012/c9/6bdd5066e8d7.jpg) (https://forum.b-m-w.ru/go.php?url=http://www.radikal.ru)
Подскажите парни как с этим бороться

Название: Что за вирус и как от него избавиться?
Отправлено: iva-a-an от 18:01:42, 13.12.2010

Саня, ты отформативал диск С, а на остальных дисках в автозапуске он остался. Ты установил новую винду щелкнул на диск D, к примеру, и это было уже достаточно. Это о том, как он мог выжить:)

Название: Что за вирус и как от него избавиться?
Отправлено: iva-a-an от 18:31:54, 13.12.2010

О том как это можно лечить:
 http://www.z-oleg.com/secur/avz/download.php  - это тебе полезная утилитка, очень хорошо помогает восстанавливать систему.
 1. Зайди в панель управления -> Учетные записи. Создай пароль для учетной записи Администратора, а свою учетную запись сделай ограниченной.
 2. Перезагрузи комп в безопасный режим, если загружается и зайди под своей учеткой. Для установки программ, а также для использования AVZ запускай программы от имени Администратора т.е. праввая кнопка мыши по файлу-> Запуск от имени, выбираешь Администратора и вводишь пароль. Запускаем AVZ от имени администратора, сначала сканируем всю систему, затем преходим в файл->мастер поиска и устранения проблем. Сканируем, устраняем.
 3. Запускаешь таким образом FAR (если он установлен, если нет рекомендую установить) и проверяешь корни всех дисков на наличие файлов autorun.inf и файлов с расширением VBS и JS удаляешь их смело, главное с другими файлами не перепутай. Еще раз перезагрузи комп в безопасный режим и убедись, что эти файлы заново не пресоздались. Проверять конечно far'ом проводником WINDOWS пока не в коем случае не пользуйся. Если не пересосоздались, то идем дальше.
 4. Судя по всему твои папки стали скрытыми, а на обозрение выставил ярлыки с их именами, которые запускают скрипт и паралеллельно открывают твою папку. Поэтому опять же FAR'om удаляем все файлы с именами твоих папок и расширение .lnk. Поэтому Делаем папки снова видимыми для нас. Заходишь в мой компьютер->сервис->свойства обозревателя->Вторая вкладка снимаешь галку с "скрывать защищенные системные файлы" и ставишь точку в "Показывать скрытые папки и файлы"

  Есть много нюансов, но я бы начал примерно так. Удачи!

Название: Что за вирус и как от него избавиться?
Отправлено: trouble от 18:42:02, 13.12.2010

вообщем если заходить на диски через тотал командер или фар то всё в норме будет,
а как зайдеш удаляй файл autorun.inf, ну и антивирь поставить нужно

Название: Что за вирус и как от него избавиться?
Отправлено: Raptor от 10:40:34, 14.12.2010

вообщем вчера сделал пока так: открыл тоталом, все папки оаказывается стали системными и соответственно в проводнике не видимыми, а те - которые были видны (ярлыки) - это были файлы с расширением .ink я их все грохнул, а так же все автораны в корнях дисков, потом при помощи hijakthis проверил и удалил один процесс, после чего вирус как мне кажется был прибит. После переустановил систему, отформатировав С:В итоге на диске С: порядок папки видны, отображаются как папки, короче все ок, а вот на всех остальных папки так и остались системными - т.е не видимыми

Название: Что за вирус и как от него избавиться?
Отправлено: Raptor от 10:49:15, 14.12.2010

сделал в свойствах папки так, чтобы отображались скрытые папки, теперь я могу их видеть, а как сделать так, чтоб все папки опять стали обыкновенными?

Название: Что за вирус и как от него избавиться?
Отправлено: Raptor от 11:12:05, 14.12.2010

проверил с помощью AVZ - проблем нет... прибил я его чтоль? :dh:

Название: Что за вирус и как от него избавиться?
Отправлено: INJEKTOR от 11:46:27, 14.12.2010

Цитата: Raptor от  10:49:15, 14.12.2010

а как сделать так, чтоб все папки опять стали обыкновенными?

на папке правая мышка, свойства, снимаешь галочку "скрытый" и О.К. Папка будет видимой.

Название: Что за вирус и как от него избавиться?
Отправлено: i.m от 11:47:00, 14.12.2010

у меня паралельно линукс стоит :dh:выручал пару раз.тока вот на днях винду похоронил и цуко вечером вирь залес :( :( про диспечера молчу ни чего делать не давал,дык поставил рядом вторую винду и через нее аккуратно вскрыл гада :dh: :dk:благо не очень гиморный был ,и самое интересное показываю его киборгу,а он п....р тупо его не видит :( :( вот и доверяйся этим докторам :( нада наверно каспера ставить всеж получше :bv:

Название: Что за вирус и как от него избавиться?
Отправлено: Raptor от 12:16:52, 14.12.2010

Цитата: INJEKTOR от  11:46:27, 14.12.2010

на папке правая мышка, свойства, снимаешь галочку "скрытый" и О.К. Папка будет видимой.

если бы? сама галочка не активная и стоит атрибут - только чтение

Название: Что за вирус и как от него избавиться?
Отправлено: trouble от 13:04:56, 14.12.2010

не спеши ты этот вирус не убил еще он хранится в папках со временными файлами,
и в system32 лежат *.dll-ки с непонятными названиями и в реестре он прописывается
 

Цитата: Raptor от  12:16:52, 14.12.2010

если бы? сама галочка не активная и стоит атрибут - только чтение

послеэтого вируса чтоб скрытые папки стали видны нужно реестр править.

P.S. если интересно могу архив с этим вирусом скинуть чтоб в нем покапаться.))

Название: Что за вирус и как от него избавиться?
Отправлено: trouble от 13:06:36, 14.12.2010

еще очень нужная прога unlocker она позволяет разблокировать любой файл и удалить его.
это я к тому что вирус при старте сисемы загружается в память.

Название: Что за вирус и как от него избавиться?
Отправлено: Raptor от 13:20:26, 14.12.2010

ок, что конкретно надо сделать?

Название: Что за вирус и как от него избавиться?
Отправлено: Raptor от 13:32:14, 14.12.2010

ща вот каспера обновил, попробую просканировать, пока обновлялся удалил какогото вируса
(http://s61.radikal.ru/i171/1012/60/89992cb53d36.jpg) (https://forum.b-m-w.ru/go.php?url=http://www.radikal.ru)

Название: Что за вирус и как от него избавиться?
Отправлено: Peter от 17:19:01, 14.12.2010

злостный троян у тебя засел, этоя могу тебе сказать. свхост, я убивал вебером последней версии. Сначала ставил на карантин, потом ждал обнов а только потом вылечил его. Или убил его не помню уже.

Некоторые компьютерные вирусы и трояны маскируются под имя svchost.exe, помещая исполняемый файл в отличный от system32 каталог, например, Net-Worm.Win32.Welchia.a, Virus.Win32.Hidrag.d, Trojan-Clicker.Win32.Delf.cn [1]. Верным признаком наличия такого вируса является запущенный от имени пользователя «svchost.exe». Системный «svchost.exe» никогда не запускается от имени пользователя, а только от SYSTEM, LOCAL SERVICE или NETWORK SERVICE. Также системный «svchost.exe» запускается только посредством механизма системных сервисов, никогда — из раздела Run реестра (таким образом, он не должен присутствовать на вкладке Автозагрузка msconfig). Также возможно создание службы, использующей настоящий Svchost, но выполняющей вредные действия, например, так делает вирус Kido.
http://ru.wikipedia.org/wiki/Svchost (https://forum.b-m-w.ru/go.php?url=http://ru.wikipedia.org/wiki/Svchost)

Название: Что за вирус и как от него избавиться?
Отправлено: iva-a-an от 18:10:20, 14.12.2010

Саня, в том же far'e отмечаешь кнопкой "insert " "системные"  папки, затем нажимаешь комбинацию клавишь ctrl+a и снимаешь все отметки. В тотале тоже так можно сделать. Файл->аттрибуты или чтото в этом роде. Саня и не забывай, в систему с правами админа вообще не заходи, пользуйся запуском от имени.  :bj:

Название: Что за вирус и как от него избавиться?
Отправлено: iva-a-an от 18:12:14, 14.12.2010

 Петр, человек же вроде винду еже снес? Откуда он мог засесть там? :dm:

Название: Что за вирус и как от него избавиться?
Отправлено: Raptor от 19:21:00, 14.12.2010

Спасибо,Peter, действительно, как написано в википедии, Все копии svchost.exe запускаются системным процессом services.exe. Вызовы svchost.exe для сервисов указаны в ключе реестра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\<Service> (где <Service> имя сервиса) в поле ImagePath; например, сервис ComputerBrowser (имя сервиса Browser) вызывается как %SystemRoot%\system32\svchost.exe -k netsvcs. При этом группировка процессов осуществляется на основании данных ветви реестра HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost, где каждый ключ соответствует имени группы, а значение ключа — списку (через пробел) имён сервисов относящихся к группе.

так у меня при включении компьютера выскакивало не найден файл %SystemRoot%\system32\svchost.exe
после того как удалил все файлы с расширением ink и автораны в корнях дисков, а после сделав проверку hijackthis был онаружен как раз таки такой процесс - services.exe. который был исправлен, после чего при загрузке сообщений более не появлялось, а новые, создаваемые папки в ярлыки, вернее в файлы ink больше не превращаются.
теперь самое главное превратить папки в обычные папки, а не скрытые. нашел один способ - тупо создать новую папку, перенести в нее данные из старой и грохнуть последнюю, с несколькими папками уже провел эту процедуру, вроде все ок. Только папок то километр...

Название: Что за вирус и как от него избавиться?
Отправлено: Raptor от 19:22:19, 14.12.2010

Цитата: iva-a-an от  18:10:20, 14.12.2010

систему с правами админа вообще не заходи, пользуйся запуском от имени

блин а у меня только одни права - админовские, я один пользователь, другого пользователя завести?

Название: Что за вирус и как от него избавиться?
Отправлено: Raptor от 19:29:09, 14.12.2010

iva-a-an, +1

Цитата: iva-a-an от  18:10:20, 14.12.2010

Файл->аттрибуты

так и сделал, все появилось :dh:

Название: Что за вирус и как от него избавиться?
Отправлено: iva-a-an от 19:34:59, 14.12.2010

Цитата: Raptor от  19:22:19, 14.12.2010

Цитата: iva-a-an от  18:10:20, 14.12.2010

систему с правами админа вообще не заходи, пользуйся запуском от имени

блин а у меня только одни права - админовские, я один пользователь, другого пользователя завести?

Обязательно! :bj: Не зря уже начиная с Vist'ы мелкософт наконецто начал урезать администраторские права обычным пользователям.

Название: Что за вирус и как от него избавиться?
Отправлено: iva-a-an от 19:39:18, 14.12.2010

 Еще отключи автозапуск. Либо через AVZ, либо... вообщем лучше через AVZ через мастер поиска и устранения проблем. А еще можно ограничить запуск программ со сторонних носителей, а на сменные носители, включая фотик можно поставить защиту от автозапуска. Если интересно могу позже отписать как это все сделать

Название: Что за вирус и как от него избавиться?
Отправлено: i.m от 20:40:49, 14.12.2010

Цитата: iva-a-an от  19:39:18, 14.12.2010

а. Если интересно могу позже отписать как это все сделать

валяй :bj:

Название: Что за вирус и как от него избавиться?
Отправлено: INJEKTOR от 20:58:36, 14.12.2010

Цитата: iva-a-an от  19:39:18, 14.12.2010

а на сменные носители, включая фотик можно поставить защиту от автозапуска. Если интересно могу позже отписать как это все сделать

Руслан это очень интересно, потому не занимайся "щекоткой"  ^^ а давай пиши  :bj:

Название: Что за вирус и как от него избавиться?
Отправлено: iva-a-an от 22:08:40, 14.12.2010

могу пока только про защиту от автозапусков
1.Вставляем флэшку
2.открываем FAR:) или коммандную строку
3.Допустим, флэшка определилась как диск G, соответсвенно переходим в корень диска G (нажимаем alt+F1 и выбираем G:) и создаем там каталог (папку) с именем autorun.inf
4.После чего в фаре нажимаем ctrl+O (О - это буква) и пишем следующие md \\?\G:\autorun.inf\..\ и нажимаем "ентер", если ошибок не было, значит всю хорошо и у вас в папке G:\autorun.inf создалась папка с именем ".."
 Ну вот и вся хитрость :bj: А заключается она в следующем. Вирусы на флэшках используют механизм автозапуска системы windows т.е. как только мы вставляем флешку, то система windows ищет в корне этой флэшки файл с именем autorun.inf. Именно этот файл и используют вирусы, они прописывают туда команд для запуска самих себя. Это для тех кто не знает что из себя представляют autorun-вирусы. Ну и теперь вы уже догадались в чем хитрость, за исключением тех, кто и так это знал :) Мы создали каталог с именем autorun.inf, а это значит, что файл с таким именем уже не сможет создаться в корне диска, а значит не сможет прописать параметры автозапуска. А при помощи команды md \\?\G:\autorun.inf\..\   создалась папку с именем "..", а для windows explorera это команда на перехода на каталог выше. Говоря проще мы создали "кривую" папку. Получается, что папка autorun.inf не пуста и удалить ее не получается. Это на тот случай, если вирус, захочет удалить autorun.inf и записать свой вариант.
 А вообще есть програмка, которая одним щелчком мыши создает файл autorun.inf и самаже потом портит какой бит этого файла, таким образом, что с файлом ничего после этого не получается сделать, не удалить не дописать, только форматировать
 
 Но данный способ защиты он лишь не позволяет автоматически загружать вирус с флэшки и поэтому в случае с вирусом у Александра он не прокатит, т.к. он может запустить его по невнимательности щелкнув по файлу, который напоминает знакомую нам папку, но на самом деле являющийся ярлыком.
 
 В следующий раз отпишу как можно хорошо защитить комп запретив запуск программ с внешних носителей, сейчас нет под рукой машины с windows да и время позднее :bj:

Название: Что за вирус и как от него избавиться?
Отправлено: trouble от 22:30:48, 14.12.2010

может проще антивирь поставить например нод32

Название: Что за вирус и как от него избавиться?
Отправлено: iva-a-an от 22:40:05, 14.12.2010

ИМХО nod32 Г...., а не антивирь. Говорю не по наслышке, а по личному опыту. Антивирус - это не понацея от всех болезней. Это как всякие стабилизирующие системы в машине - с ними спокойней, но надежней когда голова на плечах. Антивирус - это хорошо, но дополнительные меры безопасности никогда не помешают. Я ничего не утверждаю, это мое личное мнение

Название: Что за вирус и как от него избавиться?
Отправлено: trouble от 22:45:32, 14.12.2010

нод г.. но он спасает от таких как этот и систему не тормозит как каспер.

Название: Что за вирус и как от него избавиться?
Отправлено: iva-a-an от 22:49:30, 14.12.2010

Антон, любой антивирус пропускает вирусы. Если твой антивирус не пищит и твоя система не тормозит это еще не говорит о том, что твоя система "чистая"
 с уважением :bj:

Название: Что за вирус и как от него избавиться?
Отправлено: trouble от 22:54:49, 14.12.2010

я в курсе но в основном люди подхватывают такие как этот безобидные вирусы,
а от них способен защитить даже самый простой антивирь.

Название: Что за вирус и как от него избавиться?
Отправлено: i.m от 23:29:24, 14.12.2010

Цитата: trouble от  22:54:49, 14.12.2010

я в курсе но в основном люди подхватывают такие как этот безобидные вирусы,
а от них способен защитить даже самый простой антивирь.

я этот нод носом тыкал в вирус,а ему хоть бы хрен по деревне? он цуко написал что вирь влетел,а заблокировать не заблокировал, козел ,комп перезапустился сам и вуаля :crazy: :crazy:а еще сегодня в гараже в комп воткнул флешку и каспер тут же завопил (засунь себе ее поглубже она не лечится :crazy:)удалил фсе с нее,а он орет еще глубже пихай!!не лечится :crazy:так и пришлось форматнуть :(тогда заткнулся _\|_iva-a-an, пасиб :bj: :bj:обязательно опробирую :bj:

Название: Что за вирус и как от него избавиться?
Отправлено: INJEKTOR от 00:11:29, 15.12.2010

Кто помнит здесь некогда была актуальной тема про угон аськи, в частности вирусом N1H1 (кодовое название вируса грипа)
Тогда и у меня угнали аську. Так вот тогда жертвами стали миллионы, целые офисы фирм, у которых компьютеры с лицензионными нодами, вебами, касперскими.....

А выжили либо те у кого был фаервол, либо клиент отличный от КВИП под который был написан вирус. Всё познается в бою, это аксиома. И тогда, тот бой показал, что если какой нить хакир захочет поиметь ваш комп, он это сделает беспрепятственно при любом антивирусе. Вывод - смысл гнаться за чем то таким....  если цена всему этому один и тот же перец, просто уровень рекламы разный ? Потому ставлю то что меньше всего кушает трафика для обновлений, то к чему проще найти ключи, то что меньше всего грузит систему
(а это, в принципе, что угодно кроме каспера ;) )
Это моё имхо из моего опыта.

Название: Что за вирус и как от него избавиться?
Отправлено: Raptor от 05:32:21, 15.12.2010

Цитата: trouble от  22:54:49, 14.12.2010

я в курсе но в основном люди подхватывают такие как этот безобидные вирусы,
а от них способен защитить даже самый простой антивирь.

каспер не смог... :(

Название: Что за вирус и как от него избавиться?
Отправлено: Overdiver от 13:49:17, 15.12.2010

давай-те вспомним "I love you"  _\|_
в лаборатории касперского пишут вирусы, и тут же к ним антивирь  :--)

Название: Что за вирус и как от него избавиться?
Отправлено: iva-a-an от 14:45:13, 15.12.2010

Цитата: INJEKTOR от  00:11:29, 15.12.2010

Кто помнит здесь некогда была актуальной тема про угон аськи, в частности вирусом N1H1 (кодовое название вируса грипа)
Тогда и у меня угнали аську. Так вот тогда жертвами стали миллионы, целые офисы фирм, у которых компьютеры с лицензионными нодами, вебами, касперскими.....

А выжили либо те у кого был фаервол, либо клиент отличный от КВИП под который был написан вирус. Всё познается в бою, это аксиома. И тогда, тот бой показал, что если какой нить хакир захочет поиметь ваш комп, он это сделает беспрепятственно при любом антивирусе. Вывод - смысл гнаться за чем то таким....  если цена всему этому один и тот же перец, просто уровень рекламы разный ? Потому ставлю то что меньше всего кушает трафика для обновлений, то к чему проще найти ключи, то что меньше всего грузит систему
(а это, в принципе, что угодно кроме каспера ;) )
Это моё имхо из моего опыта.

Полностью согласен! Мы с другом, когда в программирование ударились, написали троян, у которого программный код был не более 50 строк. И с помощью него мы имели неограниченный доступ ко всей локальной сети, и ни каспер, ни панда, ни нортон, ни нод ни кто-либо еще не мог его распознать. А потом меня забрали в армию...умнее я там не стал, но дурь вышибли :--) и интерес к таким вещам пропал.  :tea:

Название: Что за вирус и как от него избавиться?
Отправлено: Raptor от 15:04:32, 15.12.2010

Слава Российской армии!!! :bj:

Название: Что за вирус и как от него избавиться?
Отправлено: vasyaaa от 05:08:28, 19.08.2011

http://i-notes.org/vse-papki-na-fleshke-stali-yarlykami/
полезная информация, я так боролась.

Название: Что за вирус и как от него избавиться?
Отправлено: pas от 20:57:45, 01.05.2012

А может надо из под другой операционной системы провериться? Или какой-нить приблудой, типа дрвеб лаив сиди.