Форум !Freeman'a!
Freeworld - be free!

АвторСообщение
!Freeman!
администратор




Пост N: 2716
Зарегистрирован: 23.05.05
Рейтинг: 4
ссылка на сообщение  Отправлено: 24.01.13 00:13. Заголовок: О вирусах

Попался мне тут один эксплоит, весьма вредный.
Из-за него падали ВСЕ браузеры, отрубилось восстановление системы.
У меня Windows 7, поэтому и большинство рекомендаций для неё.

вирус описан достаточно подробно здесь:
http://onthar.in/articles/icq-spam-carberp-i-blackhole/

У меня он прописался:
C:\Users\Владелец\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\w9xRX0iL600.exe
С:\ProgramData\FJPJhdLtDs10azgz.dll
во временной папке Temp тоже его файлы были C:\Users\Владелец\AppData\Local\Temp\
может ещё где-то пока ищу.

забросил файлик на virustotal. Avast и GData нашли в нём Win32:Kryptik-IAM
остальные антивирусы, включая касперского, тактично промолчали:)


Методы борьбы, которые использую:
-AnVir Task Manager - там можно посмотреть какие dll подцепились к тому или иному процессу и где они лежат, а также посмотреть, что в автозапуске
-ProcMon - монитор процессов, который показывает какой процесс что и куда пишет
-Unlocker - позволяет удалять неудаляемые или защищённые файлы
-ProcessExplorer - штука хорошая. но у меня глючит
-Registry Workshop - удобная прога для работы с реестром
-WinXPE - позволяет грузить винду с CD, не инсталируя её - удобно, если нужен доступ к запоротому диску C через винду

www.virustotal.com - здесь можно просканить подозрительный файл несколькими антивирусами
http://virusinfo.info - здесь вам бесплатно помогут вылечить компутер
имеет смысл просканить комп прогой Malwarebytes (http://www.malwarebytes.org/)


сбросить winsock и tcp/ip можно командами (обычно нужно, если ping пишет General Failure):
netsh int ip reset
netsh winsock reset

восстановление системы можно запустить выполнив в меню Пуск:
rstrui.exe
если оно отключено по непонятным причинам:
1) выполнить gpedit.msc
Политика "Локальный компьютер"/Административные шаблоны/Система/Восстановление системы
"Отключить восстановление системы" должно быть "Не задано"
На всякий случай можно принудительно отключить.
2) проверить в "Мой Компьютер"/меню "Свойства"/пункт "Защита системы"
или просто набрать в меню Пуск: systempropertiesprotection и нажать enter
восстановление должно быть включено.

Маленькие твики лично от меня:
1)если dll не удаляется - её можно переименовать(!) и удалить после перезагрузки или путём перенесения переименованной dll в другую папку. парадоксально, но факт
2)если вы не хотите, чтобы в какой-то папке создавался файл с именем, например w9xRX0iL600.exe. Просто создайте там подпапку с таким же именем (включая расширение)

Спасибо: 0 
ПрофильЦитата Ответить
Новых ответов нет


Ответ:
1 2 3 4 5 6 7 8 9
большой шрифт малый шрифт надстрочный подстрочный заголовок большой заголовок видео с youtube.com картинка из интернета картинка с компьютера ссылка файл с компьютера русская клавиатура транслитератор  цитата  кавычки моноширинный шрифт моноширинный шрифт горизонтальная линия отступ точка LI бегущая строка оффтопик свернутый текст

показывать это сообщение только модераторам
не делать ссылки активными
Имя, пароль:      зарегистрироваться    
Тему читают:
- участник сейчас на форуме
- участник вне форума 		Все даты в формате GMT  3 час. Хитов сегодня: 3
Права: смайлы да, картинки да, шрифты да, голосования нет
аватары да, автозамена ссылок вкл, премодерация вкл, правка нет



Создай свой форум на сервисе Borda.ru
Текстовая версия