Windows ХР sp3 проблема с вирусами
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
Windows ХР sp3 проблема с вирусами - 2010-10-24 08:40:36.900000
|
|
|
dropout
Сообщений: 541
Оценки: 0
Присоединился: 2010-04-01 17:00:46.790000
|
Ситуация такова:
Ноутбук вин ХРюша сп 3, и есть флэшка с кучей троянов десятка два зараженных файлов если я не ошибаюсь
папки в которых находятся файлы так же заражены и имеют .exe расширение трои определяются но не лечатся, удалять нельзя человек согласен жить с троями но не потерять важные файлы! Пробовал AVG Avast Norton Dr.Web и даже мой любимый Comodo не могут вылечить только удалить…
Что делать? Необходимо 100% вылечить всю заразу не потеряв и не повредив ни одного файла
через пару часов название троев конкретизирую
|
|
|
|
|
RE: Windows ХР sp3 проблема с вирусами - 2010-10-24 09:18:24.190000
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
Скрытые файлы включи и увидишь все свои папки. Папки.exe это вирус и его только удалять в нем нечего лечить))
А вот файлы какие и чем заражены?
|
|
|
|
|
RE: Windows ХР sp3 проблема с вирусами - 2010-10-24 11:24:09.173333
|
|
|
dropout
Сообщений: 541
Оценки: 0
Присоединился: 2010-04-01 17:00:46.790000
|
TrojWare.Win32.Agent.AAAE@731885
Worm.Win32.Brontok.CV@179255
UnclassifiedMalware@38767191
Это 3 основных проблемки антивирь ругается и говорит что файлы ими зараженные вылечить нельзя…..
Удалять их тоже нельзя нужно либо вылечить, либо _((**:?%;" в общем оставить как есть…
скрытые папки некатят, включал ничего не поменялось…а .exe файлы это и есть папки причем когда их открыл то внутри все прочие файлы и папки в нормальном виде находятся, но о ужас сканировать внутрености .exe папки антивирь не хочет, поменять расширение и откопировать внутрености я могу но после следующего подключения флэшки папка снова в .exe к тому же опасаюсь что и скопированые файлы могут быть заражены…как излечит именно излечить 3 вышенаписаные угрозы? ответте если кто знает+)
И по поводу .exe папок кто нибудь с таким сталкивался? Что это вообще такое?
|
|
|
|
|
RE: Windows ХР sp3 проблема с вирусами - 2010-10-24 11:38:38.270000
|
|
|
xakep123456
Сообщений: 198
Оценки: 0
Присоединился: 2010-10-17 08:16:01.876666
|
легче переустанови WINDOWS.. должно помочь 100 % ;)
|
|
|
|
|
RE: Windows ХР sp3 проблема с вирусами - 2010-10-24 11:42:18.320000
|
|
|
dropout
Сообщений: 541
Оценки: 0
Присоединился: 2010-04-01 17:00:46.790000
|
quote:
ORIGINAL: xakep123456
легче переустанови WINDOWS.. должно помочь 100 % ;)
Дело не в Винде, еслиб ты топик читал то понял бы, вредоносности на флэшке, вернее на нескольких флэшках
|
|
|
|
|
RE: Windows ХР sp3 проблема с вирусами - 2010-10-24 12:48:00.740000
|
|
|
dropout
Сообщений: 541
Оценки: 0
Присоединился: 2010-04-01 17:00:46.790000
|
проблема актуальна решить пока не удалось.
|
|
|
|
|
RE: Windows ХР sp3 проблема с вирусами - 2010-10-24 12:57:13.526666
|
|
|
dropout
Сообщений: 541
Оценки: 0
Присоединился: 2010-04-01 17:00:46.790000
|
"папка.exе" не призрачна,реально действующая папка только с расширением .exe поисковики результатов не дают….
кто может помочь? читайте топики выше
|
|
|
|
|
RE: Windows ХР sp3 проблема с вирусами - 2010-10-24 13:03:07.586666
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
Вылечить файлы не получиться никаким антивирем. Это, к твоему сожалению. Данные вирусы внедряются в код файлов. Тут только ручками. И это такой уровень работы и столько времени (!), что даже не пытайся. Потому антивири и пишуть, что вылечить не могу, а могут только удалить.
Прими это просто как данность и так и объясни человеку. Если не верит - пусть обратиться в любое специализировнную контору. Там денег с него сниму много. Даже очень много. Но в результате просто удалят файлы.
Лечить ручками никто не будет. Это не миллионые контракты и не гостайны.
|
|
|
|
|
RE: Windows ХР sp3 проблема с вирусами - 2010-10-24 13:09:20.176666
|
|
|
dropout
Сообщений: 541
Оценки: 0
Присоединился: 2010-04-01 17:00:46.790000
|
как вылечить ручками…..гайд или хоть краткое изложение что делать и как можно получить результат?
нужно в том числе и потому-что лично меня интересует "как?"
|
|
|
|
|
RE: Windows ХР sp3 проблема с вирусами - 2010-10-24 13:30:21.873333
|
|
|
rgo
Сообщений: 7170
Оценки: 281
Присоединился: 2004-09-25 05:14:25
|
quote:
ORIGINAL: dropout
как вылечить ручками…..гайд или хоть краткое изложение что делать и как можно получить результат?
нужно в том числе и потому-что лично меня интересует "как?"
Возьми не-Windows, загрузись, найди файлы. Скопируй их с флешки. Отформатируй её, скопируй файлы обратно.
Я видел что-то подобное. Файлы нашлись. Правда я не помню как они там были запрятаны, то ли скрытые папки, то ли ещё что-то в этом роде. Там нет никаких папок.exe, есть exe'шники, с иконками как у папок. Может быть ещё какие-то js, которые изменяют представление папки в explorer.exe. Кстати, прежде чем связываться с не-Windows, попробуй через Far поискать, Far'у плевать на все эти .js.
|
|
|
|
|
RE: Windows ХР sp3 проблема с вирусами - 2010-10-24 13:43:15.690000
|
|
|
eBones
Сообщений: 1
Оценки: 0
Присоединился: 2010-09-20 06:04:44.400000
|
В принципе rgo прав; вот как вручную восстановить папки:
Вначале о том, как делаются эти "зараженные" папки.
Из всех папок на флешке случайным образом выбирается несколько, после чего у них выставляется атрибут "скрытый". Естественно, поскольку малварь отключила у проводника отображение скрытых файлов и папок, в последнем папки-жертвы видны не будут.
Далее на флешке создаются идентичные экзешники с иконками папок. При запуске они заражают машину и открывают в проводнике скрытую папку с соответствующим именем. Все счастливы.
Как с этим бороться. Во-первых если малварь осталась на машине, скрывать папки и создавать экзешники она будет до посинения. Иначе берем _хороший_ файловый менеджер (я пользуюсь FAR), заходим им на флешку, убираем левые экзешники в корне, а у папок с соответствующими именами убираем атрибут "скрытый". Все опять-таки счастливы.
|
|
|
|
|
RE: Windows ХР sp3 проблема с вирусами - 2010-10-24 14:16:10.330000
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
Все предложенные способы работают и эти вирусы не заражают файлы обычно, и папки легко находятся поиском.
ТО что папки скрыты это понятно, осталось понять где. Есть вирус который зашифровывает файловую систему и читает её из спецфайла который есть на флешке, а экзешники это своеобразные браузеры. Да такие уже придумали. Встречаются крайне редко.
Вопросы ТС:
1) Какая файловая система флешки?
2) Какие форматы файлов там?
3) Что будет если создать новую папку или скинуть нвоые файлы?
Если ТС все выше сказанное по барабану, то прошу залить экземпляры всего что там есть и выслать ссылки в ПМ или куда нить.
Сразу скажу что хозяин флешки жесткий диск лучше пусть сожжет, а то ещё распространит эту чуму)
|
|
|
|
|
RE: Windows ХР sp3 проблема с вирусами - 2010-10-24 15:50:35.796666
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
Блин, ну ты достал. Тебе говорят, что с данным набором ты не справишься. Просто на справишься.
Давай сначал с того, что у тебя. У тебя набор сетевых вирусов-червей и троянов. По большому счёту они сейчас особо даже не отличаются. Что сову об пень, что пнём о сову. Один хрен - сова померла.
Данные модификации характерны следующим:
1. Модификациями реестра.
2. Модификациями некоторых системных файлов, а часто вообще чистой заменой.
3. Обходом и блокировкой множества антивирусов.
Теперь что у тебя. Ты всунул и высунул флешку себе в ….. комп. И наверняка получил ….. геоморой. На своей….. машине.
Как ты уверен? Ты ничего не чувствуешь? Расслабься. Я думаю ты скоро получишь удовольствие.
Теперь почему и как тебе вирусы предстваляются, когда ты подключил флешку. Вирусы модифицировали некоторые файлы и запускающим своим телам дали расширение .exe. Особенность Win, что найдя файл с таким расширением, он автоматически запускает действия, которые описаны в реестре. Он и запускает. Когда ты начинаешь крутить с файлами. И ты знаешь, что получается в случае с Worm / Brontok.CV? Классная штука! Он после того, как заразил ось выдаёт окошко Проводника! Чаще всего это окошко с Мои документы. Сделай выводы сам.
Лечи сначал свою машину. Возможно тебе поможет klwk.com http://support.kaspersky.ru/viruses/solutions?qid=180593202 . А потом натрави это на флешку.
Но даная фича только удалит вирусы. Модификация данных вирусов столько (!), и каждый раз автор их переделывает под себя! Они же должны же куда-то докладывать о своей работе. Поэтому средства лечения нет. Есть только средство уничтожения. И восстановления потом ручками. Много чего придёться восстанавливать. Особенно, если средство Восстановления включено. Там тоже обязательно чистить.
|
|
|
|
|
RE: Windows ХР sp3 проблема с вирусами - 2010-10-24 20:27:45.496666
|
|
|
Flint_ta
Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
|
ТС, выложи тут все файлы с флешки. Когда посмотрим что это за звери, разговор будет менее абстрактен.
|
|
|
|
|
RE: Windows ХР sp3 проблема с вирусами - 2010-10-24 21:14:09.213333
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
Можешь попробовать немного покрутить сам. Берёш флешку и подсоеденяешь к Линукс. Файлы открываешь в OpenOffice. Вполне возможно откроются. Ну, а там скопируешь текст, и сохранишь. Данные вири по фиг Линкусу.
Пробуй.
|
|
|
|
|
RE: Windows ХР sp3 проблема с вирусами - 2010-10-25 07:53:29.456666
|
|
|
dropout
Сообщений: 541
Оценки: 0
Присоединился: 2010-04-01 17:00:46.790000
|
4 rgo и eBones
в том то и дело что на hiden атрибут я при первом же подозрении проверил, ни фар ни тотал командер папки не нашли так как комодо изолировал зараженные файлы…и как такое возможно я так и не догнал+)
4 Ltonid
1 файловая система: на двух флэшках фат32 на одной мсдос
2 форматы самые разные, почти все папки в .exe и скрытых не обнаруживается, ну и кроме того мсофисные документы картинки в .jpg и еще под линем обнаружил на одной флэшке файл 000.ole
3 при копировании папкок в .exe отказ копирования, при копировании файлов по отдельности все вроде бы нормально, но мен это не нравится….
4 zzsnn а кто с таким набором справится? есть такой человек? так почему я не могу? даже если буду первым сумевшим это сделать+) комодо показывает что угрозы блокированы на подлете…при проверке на компе нашел 4 угрозы какие именно не помню….поздно было снес и брякнулся спать. За линукс спасибо сам уже сделал хотя и не уверен в надежности
4 Flint_ta
уже не выйдет комодо пишет что угроз не обнаружено.
Решил проблему вот так:
1Скопировал файлы с флэшек на комп под линем
2Отформатировал флэшки, после удалил с одной из них файл .ole в ручную по какой-то причине он не стерся, либо быстренько перескачил с линукс_машины на флэшку
3Из копированых данных в ручную удалил все подозрительное
4Перекинул данные назад на флэшки
5Проверил их кламом на лине, удалил 5 файлов
6Проверил их комодо на винде, ничего не нашел
Про .ole файл я нашел описание и т.д, но если можно опишите что он делает с точки зрения хакера, его применимость.
|
|
|
|
|
RE: Windows ХР sp3 проблема с вирусами - 2010-10-26 07:07:31.500000
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
Кто справиться с таким набором? Ассемблеровщик. Причём имеющий высокую квалификацию. И кроме того он должен иметь свободное время или быть просто заинтересован в выполнении данного задания. Ещё может помочь специалист по вирусам, что в принципе, то же самое. Можешь прикинуть как и каким образом тебе его заинтересовать. При этом работа через форум не поможет. Нужно иметь образцы вируса на руках, и комп потом ручками лечить. Иметь к компу доступ, если проще.
Comodo блокирует возможность вируса сработать. Он защищает отдельные ветки реестра и защищает от модификации системные файлы (верней файлы находящиеся в системной папке). А вылечить эту гадость он не сможет.
Теперь по поводу ole. Что такое OLE? Связывание и внедрение объектов (OLE, Object Linking and Embedding) представляет собой способ обмена информацией между приложениями. Фактически это какой-то объект, оставшийся от чего-то, которое потом можно внедрить в другое приложение. У тебя может быть это отчётом, может быть объектом для чертёжного приложения, для Word, и ещё хрен знает что. Походу это осталось от открытия файла в openoffice. Это говорит о том, что или форматирование не прошло, или после форматирования что-то было связано с твоей флешкой. какое-то приложение отработало после того, как ты снова подмотировал флешку, после форматрирования.
|
|
|
|
|
RE: Windows ХР sp3 проблема с вирусами - 2010-10-26 15:11:22.370000
|
|
|
dropout
Сообщений: 541
Оценки: 0
Присоединился: 2010-04-01 17:00:46.790000
|
Comodo and AVG "угроз" больше не находят, хотя этот .ole файл мне очень не понравился….
Человек свои флэшки забрал пользоваться, скоро ждать новую партию вредоносностей+)
За советы всем большое спасибо.
|
|
|
|
|
RE: Windows ХР sp3 проблема с вирусами - 2010-10-27 07:01:48.086666
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
Из своего опыта.
Почистил, привел в порядок, объяснил юзеру что и как делать, и чего не нужно делать.
Через пару дней - полный набор опять. И обвинения, что я полный козёл и за что деньги взял.
И так несколько раз. Зарёкся чистить, как только вижу такие наборы. Вообще отказываюсь. Спокойствие дороже денег.
|
|
|
|
|
RE: Windows ХР sp3 проблема с вирусами - 2010-10-27 09:04:07.320000
|
|
|
dropout
Сообщений: 541
Оценки: 0
Присоединился: 2010-04-01 17:00:46.790000
|
Везет однако, а у меня спокойствие дороже спокойствия получается, денег за устранение или "попытку устранения" всяких зловредностей никто не дает, а вот если говорю что мол не могу и некогда мне короче такой всячиной заниматься то сразу же моё дущевное равновесие нарушить наровят.
Сколько юзверю не объясняй что качать архивы в 20 метров с 2мя трехминутными песнями не стоит все равно наровит скачать, да еще и запустить "программу установки бесплатного плагина(плеера)" из под админа+)
|
|
|
|
|
RE: Windows ХР sp3 проблема с вирусами - 2010-10-27 21:41:01.386666
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
Научись отказывать. Это сложно, особенно знакомым, но когда-то это нужно начинать. Только отношения будешь портить. Просто, когда видишь, что ситуация хреновая, а тебе не даст ни опыта, ни денег, а только потреплет нервы, то спокойно отсылай в сервисный центр. Узнай где неплохой и отсылай туда. Это кстати, из своего опыта, только улучшит твою репутацию. Ибо то за, что ты берёшься выполняешь, а где не можешь - советуешь нормальных специалистов. Хуже нет, когда ты делаешь себе репутацию "берётся, а делает хреново". Юзерам просто трудно понять, и убедить себя, что они сами на свою жопу делают себе проблемы. Виноваты все, кроме "умного" идиота. А он тебе репутацию создаёт. Так, что пусть платит в сервисном центре. Как ни странно, после оплаты в сервисном они почему-то начинают быстро умнеть. Другого пути их умнения я не встречал.
|
|
|
|
|
RE: Windows ХР sp3 проблема с вирусами - 2010-11-30 15:10:48.890000
|
|
|
dropout
Сообщений: 541
Оценки: 0
Присоединился: 2010-04-01 17:00:46.790000
|
Что бы не создавать нового топика продолжу здесь.
Ситуация крайне "странная" у знакомого с компа уходит информация причем уходит непонятным мне образом:
комп подключен к интернету через локальную сеть, информация с винчестера плавно перетекает к конкурентам о чем они ясно дали понять, все сетевые соединения отключены во первых тупо выключением доступа в интернет во вторых при помощи comodo функцией остановки всех соединений + к тому идет мониторинг всех конектов который показывает что все выключено и инфа никуда не уходит и ниоткуда не приходит.
Единственной зацепкой является зловредный файл *.ole устаревший ActiveX как известно больше ничего найти не удалось, оле файл естественно антивирусами не палится но я то знаю что он ненормален и быть его вообще не должно
Все что можно уже украдено так что срочности нет но хотелось бы узнать как этот самый .ole может использоваться для зловредностей если кто знает отпишите здесь или дайте линк на информацию
Заранее спасибо тем кто промолчит так как не знает и тем кто всех остальных просветит по возможностям.
|
|
|
|
|
RE: Windows ХР sp3 проблема с вирусами - 2010-11-30 19:26:31.676666
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
Вообще-то OLE DB используется и в 1С. Поэтому признать его зловредным - это нужно разбираться. Упрощенно OLE DB - это стандарт, который описывает взаимодействие с базами данных путем использования ActiveX со стороны сервеной и клиентской части. В прниципе на этой основе сторяться многомерные запросы к базам данных. Написны такие запросы, чаще всего с помощью Си, VB, VB Script. По большому счёту все равно на чём. Это чаще всего просто скрипты. Другое дело что в них написано.
Если у тебя вызвают опасения ActiveX, то отключи их в броузере, и заодно Java отруби. Я не думаю, что это так сильно повлияет на твою работу.
А вообще-то, как следует из опыта, не стоит валить на комп, чаще всего инфу конкурентам сливает кто-то из сотрудников. Самое слабое звено - человек. Тем более, что конкуренты дают об этом знать. Они просто заинтересованы, что бы вы возились с защитой сети, а не поиском "крота".
Настрой лучше распределение доступа. Логи обращения к базам данных просмотри. Проанализируй кто чаще обращается к той теме, которая ему по работе нафиг не нужна. И помни, часто "крот" не один, а несколько. Слаб человек.
|
|
|
|
|
RE: Windows ХР sp3 проблема с вирусами - 2010-12-01 10:05:51.086666
|
|
|
dropout
Сообщений: 541
Оценки: 0
Присоединился: 2010-04-01 17:00:46.790000
|
в том -то и дело что ole быть на машине вообще не должно….ни каким боком+)
инфу конкурентам сливать просто напросто некому ибо в работе участвуют три человека которые и являются владельцами и каждому из них это встанет боком…
распределение доступа там настроено работа только из под ограниченой записи с доступом только к определенным программным ресурсам
в качестве браузера используют голый огнелис с отключенным активиксом джавой плагинами и прочими ненужными функциями, вся история чистится после каждого закрытия, логи удаляются после каждой перезагрузки компа.
как логи баз данных посмотреть? используются: cros и openOffice.base
|
|
|
|
|
RE: Windows ХР sp3 проблема с вирусами - 2010-12-01 17:18:15.740000
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
Насколько я помню ole за собой таскал флешечный вирь, т.е. если он каждый раз запускался флешки, то антивири могли и не найти. А если вирус написали конкуренты например, то антивири в принципе в пролете.
ole встречается в 70% игр, 20% приложений для инета, просто совпадение расширения. Надо смотреть что внутри т.к. сам по себе этот формат не опасен.
Как уже выше сказали, что без крота дело необошлось. А раз уже инфу не сливают найти что либо практически невозможно.
|
|
|
|
|
RE: Windows ХР sp3 проблема с вирусами - 2010-12-02 01:31:35.616666
|
|
|
dropout
Сообщений: 541
Оценки: 0
Присоединился: 2010-04-01 17:00:46.790000
|
спасибо буду в следующий раз тьфу тьфу……смотреть внутренности может чем и поможет+)
|
|
|
|
|
|
