|
Защита от вируса
Здравствуйте!Ребята,у меня вот какая проблема.Сын зашел в социалку(В контакте)и подхватил вот заразу.У него сейчас на компе высвечивается окно в котором требуют перевести на определенный номер деньги.Только после этого вышлют код и можно будет убрать эту херню(извиняюсь за грубость).Я уже где-то слышал про это,но как с этим бороться незнаю.Клава на кнопки не реагирует.Подскажите как быть в данной ситуации.Не систему же переустанавливать,или всё же платить?Дайте совет.
|
Surkin64, попробуй вот это:
http://www.drweb.com/unlocker/index/?lng=ru или почитайти эту тему: http://forum.oszone.net/thread-148188.html Если не поможет, тогда воспользуйтесь Dr.Web LiveCD! и проверьте пк на вирусы! А если и это не поможет тогда вам сюда |
|
Surkin64,
Ещё один трюк (когда нет под рукой дисков и т.п.) как закрыть окно баннера-вымогателя (если не на весь экран) 1. как обычно вызываем диспетчер задач (Ctrl+Alt+Del) 2. окно диспетчера закрыто баннером 3. правой кнопкой мыши по панели задач и выбираем "Окна сверху вниз" 4. закрываем баннер 5. чистим реестр и удаляем файлы работает в большинстве случаев и практически голыми руками 1. запускаем диспетчер процессов и убиваем "svcgoost" 2. идём в windows (или, как там она у вас...) и убиваем "svcgoost.exe" 3. идём в автозапуск (но не в этот, а в другой ) и убиваем "ATI Helper" 4. Цитата:необходимо отредактировать файл hosts, расположенный по умолчанию в папке C:\WINDOWS\system32\drivers\etc. Это умолчание задается в реестре в ветке hkey_local_machine\system\currentControlSet\Services\Tcpip\Parameters в расширяемом строковом параметре DataBasePath, его значение должно быть %SystemRoot%\System32\drivers\etc. В данном файле hosts необходимо оставить текстовую «шапку», расположенную в начале файла (строки, начинающиеся со знака #), а после «шапки» оставить только строку 127.0.0.1 localhost (между IP и именем табуляция) и те строки, которые вы сами когда-то вносили в данный файл. Остальные строки необходимо удалить. Установите на этот файл атрибут «только для чтения» именно в такой последовательности Surkin64, биваются такие вирусы за 10 минут работы ручками. Алгоритм работы проверен несколько раз на различных компах и всегда с одинаковым результатом. 1. Перезагрузка в безопасном режиме (ОБЯЗАТЕЛЬНО без поддержки сети). В этом режиме вирус не активен. 2. При помощи бесплатной программы RevoUnistaller (или ей подобной) удалить все установки всех браузеров (IE в этот список не входит). С очистткой всех следов в реестре и на винте. 3. Почистить все временные папки. Удалить все файлы относящиеся к браузерам. 4. Найти в сервисах "странные" службы которые запускаются автоматически и отключить их (запретить любой их запуск). 5. Отключить из автостарта программы которые вам не знакомы или есть странности в казалось бы стандартном имени. 6. Почистить корзину. И проверить комп на вирусы (проверка может ничего не дать но не помешает). 7. Почистить реестр (поиск ошибок в ключах и удаление битых ссылок). Чистка реестра должна быть последней. После всех этих манипуляций вирус не проявится. А если попытаться вирусу подсунуть какой нибудь код, то можно только отключить вирус на время. Он может затаится и проявится через какоето время. И тогда снова начнутся проблемы. Да антивирусами эту проблему я так и не смог решить. С первым вирусом пришлось переустанавливать ОСь. А после этого алгоритма вирус пропадал. |
Ребята,спасибо за советы.Но по некоторым из советов невозможно провести манипуляции,т.к. клавиатура не отвечает.Вечером сын придет домой и будет пробовать через безопасный режим.Потом отпишусь.Сам не могу помочь ему,он живет в Туапсе,а я по-другую сторону хребта.Общаемся по тлф.
|
Surkin64,
Пож-ста! |
Цитата:
|
Цитата:
Цитата:
|
Severny,
Я только написал алгоритм, а уж прислушиваться или нет ваше дело... В безопасном режиме вирус блокер не активен, что дает некоторое преимущество в его удалении |
Цитата:
|
мало того вряд ли в безопасный режим "войдешь"... вылетит в "синяк" или в перезагруз уйдет.
только грузиться с лайва или подгружать реестр с другой системы. а все манипуляции в системе (после вычистки автозапуска зловредов) это уже дело техники..... |
Честно говоря я бы просто переустанавливал систему - еще непонятно, что эти программы творят и какой руткит они могут подсунуть (проблема руткитов в том, что в неактивном состоянии они плохо находятся, а в активном состоянии они перехватывают большинство функций ОС и заведомо ложно выдает программе информацию, из-за чего руткит становится невидимым). Конечно можно сделать внешний вид, что система работает и послушно выполняет команды пользователя, но вот что творится внутри...
Цитата:
P.S. Таких лишних проблем можно было бы избежать, если просто сделали самое примитивное - файловая система в NTFS + запуск браузера без прав администратора. В этом случаи после действия эксплоита нужно будет вычищать только пользователя, а не всю систему. |
Спасибо за советы.Многие информативны,но мне кажется переустановка ОС это крайний случай.Ведь мы не меняем машину,если у нее пробилось колесо или забился карбюратор,согласитесь.Я,конечно,не силен в программировании,но в любом случае должно быть средство от этой напасти.Др.ВЕБ помогает,но вдруг (а может и просто)у человека нет подрукой этого диска.Я так же понимаю,что 90%пользователей,приобретают комп.только для развлечений и посещения всяких там сайтов(во многом опасных),но хотябы элементарные познания нужны.И ещё,а если человек живет в глуши,и до ближайшего СЦ только по турпутевке можно доехать,как ему быть?А вообще-то спасибо за помощь.Сын взял у друга диск с Вебом и сегодня вроде бы должен почистить комп.Что получится,пока не знаю.Сообщит мне,я сообщу на форум.Всех с Наступающим!
|
Surkin64, рекомендую также взять (для уверенности) диск аварийного восстановления от Касперского с последними базами.
|
Цитата:
Цитата:
2) Всегда было средство - используйте правило наименьших полномочий, настройте политику безопасности и ставьте обновления безопасности (Windows 7 эту задачу уже итак максимально упростила) - на словах это просто, на деле - зависит уже от ваших привычек + придется исправлять LUA баги, если программа написана с нарушением правил безопасности из-за незнаний программиста. Большинство это правило не использует и наивно полагается на антивирус, потому что настраивать Windows сложно или не знают, что такое возможно - вот и результат плачевный. |
myhouse_1991,
xoxmodav, С данном случае это не подходит, тут драйвер или ядро системы не заражено, поэтому safe mode должно помочь. Ну или в конце концов зайти через Live CD |
setwolk, какие есть гарантии того, что ничего из перечисленного не заражено? К тому же большинство блокеров (на моей практике) прекрасно себя чувствовало в защищённом режиме и полтора месяца назад.
|
xoxmodav,
Нет гарантии, даже если установлен АВ, нет гарантии что нету виря... Видимо использовать avz С его скриптами, и будет нормально |
Цитата:
|
Цитата:
в любом случае добивать гада надо в системе. |
Удобно если есть доступ в инет с другого компа. Тогда просто пользуюсь http://support.kaspersky.ru/viruses/deblocker
|
У меня такая же фигня была. Пропала сама по себе примерно через сутки. Правда потом пришлось долго и усиленно устранять её последствия, т.к. она испортила всё что только можно. В результате кончилось всё переустановкой системы, после предварительного залечивания антивирусами.
|
У меня под рукой всегда диск ERD-Commander. В BIOS выставляешь загрузку с CD, грузишься выбираешь восстановление системы, или если позволяют знания с помощью редактора реестра смотришь ключи автозагрузки,редактируешь. В BIOS выставляешь загрузку с жесткого.После загрузки Винды проверить систему антивирусными сканерами.
|
| Время: 16:51. |
Время: 16:51.
© OSzone.net 2001-