THG.RU | \"Поиск\" Поиск \"Поиск\" | Новости | Видеокарты | Процессоры | Материнские платы | Мониторы | Аудио/видео | HDD и CD/DVD | Собери сам | Игры | Софт | Домашний ПК


Клуб экспертов THG.ru   

Вернуться   Клуб экспертов THG.ru > Софт > Антивирусная защита, Malware (вредоносное ПО)

Регистрация Правила форума FAQ форума Справка Пользователи Поиск Сообщения за день Все разделы прочитаны

Антивирусная защита, Malware (вредоносное ПО) Вирусы, руткиты, троянцы, программы-блокираторы - обмен опытом по избавлению компьютерного пространства от непрошеных гостей и подбору утилит, способных в этом помочь.

Закрытая тема
 
Опции темы Опции просмотра
Старый 15.07.2009, 13:18   #1
Меню пользователя D'Dragon
THG Russia Forum Team
Победитель конкурса THG

 
Аватар для D'Dragon
  
Question Ликвидация последствий вирусного заражения...

Вылечить ПК от вирусов не сложно... Но часто даже после удаления вирусов их следы остаются (не отображаются скрытые файлы, не запускается msconfig и т.д.)

Тут я постараюсь рассказать, как восстановить самые часто слетающие функции:
1. Не отображаются скрытые файлы в проводнике - для исправления скачайте Скрытые файлы.zip распокуйте и запустите reg файл или ручками:
Создайте текстовый документ и скопируйте туда:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001

смените расширение с .txt на .reg и запустите его...

2. Не работает Ctrl+Alt+Delete
Пуск – Выполнить - Вводите gpedit.msc и жмете ОК. Далее "Конфигурация пользователя" - "Административные шаблоны" - "Система" - "Возможности Ctrl+Alt+Del" - "Удалить диспетчер задач" в свойствах "Не задан"...
Так же можно попробывать запустить Process Explorer и в Options нажать Replace Task Manager.
3. Не работает msconfig, cmd, regedit (или Windows выдаёт при загрузке: ошибка, не найден файл)
Качаем Autoruns (~600кб) запускаем и ищем то, что не работает. Примерно так это будет выглядеть:

Снимаем галочки с этих файлов.

4. Не работает инет (не заходит на какме-то сайты или идёт перенаправление на другие сайты):
1. Файл hosts (...\WINDOWS\system32\drivers\etc):
Кроме строк начинающихся с # и 127.0.0.1 localhost других строк быть не должно... Пример...
Смотреть обязательно с отображением скрытых файлов, т.к. вирус обычно его подменяет скрытым файлом... Если нашли др строки или файлов hosts несколько, можно их удалить ОС потом восстановит (после перезагрузки)
2. Proxy 127.0.0.1, некоторые вирусы прописывают 127.0.0.1 как прокси и программы обращаются как бы к ПК на котором запущены соответственно инета нет, увидеть это проще всего если при запуске Opera не отображает станицу и пишет "Прокси сервер..." тогда делаем так:
Панель управления - Свойства обозревателя - Подключения - Настройка LAN - Использовать прокси-сервер для подключений LAN (галочку убрать).
3. Пуск - выполнить - cmd введите route -f (Очищает таблицу маршрутизации) (Спасибо Cat_Empire помогло для восстановления доступа к антивирусным сайтам) затем netsh winsock reset (сброс настроек и восстановление первоначальной конфигурации LSP Winsock) и перезагрузите ПК.
4. Почистите cookies - CCleaner, либо если пользуетесь Opera Инструменты - Удалить личные данные...

5. Если после удаления вирусов не заходит на диск C:\ (или любой др диск), можно зайти, прописав в адресной строке C:\ или Far-ом, после этого нужно удалить autorun.inf в корне диска...

6. Вирус скрыл папки и нет доступа к атрибуту "Скрытый" галочка серая, нужно запустить bat файл Сброс атрибутов.zip в корне диска где скрыты файлы или ручками:
Создайте текстовый документ и скопируйте туда:
@echo off
mode con codepage select=1251 > nul
echo Please wait...
attrib -s -h -r -a /s /d

смените расширение с .txt на .bat и запустите его в корне диска где скрыты файлы...


И пара общих советов, если ПК грузится, но на "рабочем столе" пусто, можно попробовать нажать Ctrl+Alt+Del и зайти в Диспетчер задач - Файл - Выполнить... (зайти C:\WINDOWS и вручную запустить explorer.exe)...

Если стандартными средствами удалить вирус не получается, можно попробовать удалить его Unlocker-ом...

Если восстановить отображение скрытых файлов не удалось, их можно увидеть FAR Manager-ом...

Для убийства "самовосстанавливающихся" вирусов (когда 2 или 3-и процесса и при убийстве одного другой его заново запускает и так их можно убивать по очереди до бесконечности), можно воспользоваться программой Process Explorer, убив каждый процес по разу так чтобы все были запущены от 1 процесса (будет 1 процес + слева и под ним др процессы), кликнуть на "главный" процес 2-ой кнопкой затем Kill Process Tree, вся ветка процессов будет убита и вирус себя не сможет восстановить...

Проверить есть ли на ПК вирус (не 100%, но как быстрый вариант) можно: вставить пустую флэшку, зайти на неё двойным кликом, извлечь её, снова вставить и посмотреть на неё Far-ом, если появился файл autorun.inf, то удалить его, снова зайти на флешку, извлечь её, снова вставить, если autorun.inf снова появился, то ПК заражен...

P.S. Если есть что дополнить или возникли вопросы, пишите. (флуд очень не приветствуется)

Последний раз редактировалось D'Dragon, 16.01.2012 в 17:40.
D'Dragon вне форума  
Старый 24.07.2009, 07:14   #2
Меню пользователя HotBeer
Без прописки
  
..в продолжении тематики...
Вообщем очередной блокирующий винду вирь, представляется как будто это "касперский" и предлагает вылечить потенциально находящийся в системе вирус, отправив очередное смс.
Естесственно никакие ctrl+ald+delete не работают, проводник не запускается.

Опишу способ как избавиться вручную, ни чего даже не скачивая с интернета.

Вообщем данный вирус не позволяет в принципе и загрузиться и в безопасном режиме. Но все таки вчера нашел способ.

Заходим в безопасный режим под тем пользователем, что заразились ctrl+ald+delete вообщем ни как не срабатывает.
А если зайти под другим, или глобальным локальным администратором, то при нажатия ctrl+ald+delete на пару секунд появляется диспетчер устройств, в котором во вкладке приложения запущена одна служба rd.exe или rp.exe, которая и блокирует винду и дает картинку, типа желания "помочь" отправив смс.
После в нем же диспетчере, после гашения службы он не пропадает, нажимает добавить задачу explorer.exe открывается всеми знакомый проводник.

Чистим на всех разделов файлы в корне каждого autorun.inf и md.exe (судя по названию make dir (создает где то директорию).
После в папке Documents and Settings в папках всех пользователей чистим файлы в temp'ах setup.exe (одинокий файл).
Далее в папке %windir%\system32\ удаляем файл user32.exe

После всего выше переделанного, windows у меня спокойно загрузился....профилактическая проверка всей системы обновленным антивирусом и все вуаля.
 
Старый 07.03.2010, 02:11   #3
Меню пользователя Gore
Старожил
  
1. Связка: Касперский+Unlocker позволяет обойтись без перезагрузки винды (когда антивирус в отчете пишет вроде этого: autoit.xx.xx - будет удален при перезагрузке), вместо ребута удаляем вирус Unlocker-ом (название файла и путь к нему Касперский указывает, его и удаляем).
2. Быстрый способ проверки наличия вируса без манипуляции с флешкой (не 100%) - установить 'Prio' (для Win XP, не знаю есть ли версии для других систем), одна из функций этой надстройки для диспетчера задач - при наведении курсора на процесс показывать в всплывающем окне информацию о процессе (данные цифровой подписи, дата изготовления и версия, используемые процессом службы), если нет подписи Microsoft и никаких служб процесс не использует, в режиме простоя компьютера, то 90%, что этот процесс инициирован вирусом.
Gore вне форума  
Старый 08.06.2010, 21:24   #4
Меню пользователя Cat_Empire
Старожил
  
а можно дополнить?

сегодня столкнулся с такой проблемой: после вычищения ПК от вирусов пропал доступ на некоторые сайты. то есть интернет есть, на мэйл\яндекс заходит а вот на гугл нет, и обновления NOD32 не качаются..

оказалось вирус отредактировал таблицу IP-маршрутизации и запросы на ip адреса некоторых сайтов (в основном антивирусных) уходили в неизвестном направлении.

решение проблемы:
в командной строке пишем route print должно получиться что-то типа этого. Смотрим активные\пассивные маршруты, сетевых адресов должно быть примерно столько же сколько на картинке. Если слишком много то очищаем всё ненужное, либо ветка реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\servic es\Tcpip\Parameters\PersistentRoutes. Смотрим, удаляем в ручную.

Подробное описание команды route
Cat_Empire вне форума  
Старый 09.06.2010, 09:51   #5
Меню пользователя Brat
Бич Форума
THG Russia Forum Team

Эксперт клуба THG
 
Аватар для Brat
  
Цитата:
Сообщение от Cat_Empire Посмотреть сообщение
оказалось вирус отредактировал таблицу IP-маршрутизации
Хм... не перемудрили? Вообще-то это решается возвращением девственного вида файлу hosts (открывается Блокнотом) по пути C:\WINDOWS\system32\drivers\etc
Когда он еще сохранил невинность, он должен выглядеть так:
Цитата:
# (C) Корпорация Майкрософт (Microsoft Corp.), 1993-1999
#
# Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows.
#
# Этот файл содержит сопоставления IP-адресов именам узлов.
# Каждый элемент должен располагаться в отдельной строке. IP-адрес должен
# находиться в первом столбце, за ним должно следовать соответствующее имя.
# IP-адрес и имя узла должны разделяться хотя бы одним пробелом.
#
# Кроме того, в некоторых строках могут быть вставлены комментарии
# (такие, как эта строка), они должны следовать за именем узла и отделяться
# от него символом '#'.
#
# Например:
#
# 102.54.94.97 rhino.acme.com # исходный сервер
# 38.25.63.10 x.acme.com # узел клиента x

127.0.0.1 localhost
(скопировано со своей машины, закомментированные строки можно убрать)
__________________
Претендентам на роль ангела следует помнить, что стоит им начать воплощать свои замыслы, как появятся орды демонов, призванных восстановить нарушенное равновесие.
Brat вне форума  
Старый 09.06.2010, 17:51   #6
Меню пользователя Cat_Empire
Старожил
  
нет, не перемудрил. с файлом hosts всё было в порядке. я первым делом его проверял.
Cat_Empire вне форума  
Старый 30.11.2010, 08:44   #7
Меню пользователя HotBeer
Старожил
 
Аватар для HotBeer
  
Последствия вирусного лечения
Сегодня прогнал комп антивирусником, даже не посмотрел, что там около 15 зараженных файлов ~5 разными вредителями.
После перезагрузки, висит курсор мыши и всё.
Выход ctrl+alt+del -> Диспетчер задач -> Новая задача -> Explorer.exe
Но оболочка всё равно не загрузилась.
После убиЕния лишнего svhosts, операционка загрузилась в полном виде.
HotBeer вне форума  
Старый 14.11.2012, 10:03   #8
Меню пользователя rhemorha
Победитель конкурсов 2012-2013
 
Аватар для rhemorha
  
Народ привет.

Короче такая хрень просочилась ко мне под названием Webalta.ru.
Дело в том, что эта хрень при запуске Лисицы выскакивает постоянно. Пытался ее убрать из стартовых, но ее там нет. Реестре находил и удалял все связанное с ней и ничего. Короче поисковик-троян что-ли. Не лечится ничем.

Не знаю откуда подцепил. Грешу, что с чем-то установил последнее из установленных был Dishonored пиратский.

Как его убрать вообще. Просто постоянно с браузером лезит как главная.

Читал много форумов и все делал, но толку.
__________________
АМД-клан
rhemorha вне форума  
Старый 22.05.2015, 10:59   #9
Меню пользователя regist
Консультант VN
 
Аватар для regist
  
Для лечения вирусов и удаления хвостов вирусов, просьба обращаться в раздел Лечение компьютерных вирусов.
Тема закрыта.
__________________
regist вне форума  
Закрытая тема


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы
Опции просмотра
Комбинированный вид Комбинированный вид

Ваши права в разделе
Вы не можете создавать темы
Вы не можете отвечать на сообщения
Вы не можете прикреплять файлы
Вы не можете редактировать сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Быстрый переход


Справочник словарей
Словари русского языка - www.gramota.ru Яndex - Словари Википедия - ru.wikipedia.org

Часовой пояс GMT +4, время: 03:51.


Powered by: vBulletin, ©2000 - 2007, Jelsoft Enterprises Limited.
Перевод: zCarot
Распространение информации возможно только с письменного разрешения администрации издания.

THG.ru ("Русский Tom's Hardware Guide") входит в международную сеть TG Publishing

РЕКЛАМА

Rambler's Top100 Рейтинг@Mail.ru