• Уважаемые гости и новички, приветствуем Вас на нашем форуме
    Здесь вы можете найти ответы практически на все свои вопросы о серии игр «Готика» (в том числе различных модах на нее), «Ведьмак», «Ризен», «Древние свитки», «Эра дракона» и о многих других играх. Можете также узнать свежие новости о разработке новых проектов, восхититься творчеством наших форумчан, либо самим показать, что вы умеете. Ну и наконец, можете обсудить общие увлечения или просто весело пообщаться с посетителями «Таверны».

    Чтобы получить возможность писать на форуме, оставьте сообщение в этой теме.
    Удачи!

Информация по борьбе с вирусами "вручную"

xterm

Участник форума
Регистрация
25 Июн 2009
Сообщения
5.178
Благодарности
16
Баллы
400
В большинстве случаев нам всем вполне достаточно того, что у нас установлена и настроена антивирусная программа. Однако при встрече с новыми типами вирусов она иногда 'пасует', и не важно касперский это, доктор веб или авира. Обновления антивирусных баз не всегда оперативно выходят, поэтому просто необходимо знать как самостоятельно бороться со всякой нечистью на компьютере и без использования подобных программ. В этой теме постараюсь простым человеческим языком обьяснить как это делается :)

Просьба писать конкретные предложения по борьбе с вредоносными программами "вручную". Принимаются описания вспомогательных средств для этого, если без их описания не получится описать решение какого-то типа проблем. Автоматизированные средства проверки(антивирусные программы, файерволы, мониторы доступа и.т.п) здесь не обсуждаются.
Просьба обсуждение софта по большей части вести в соседней теме, спасибо :)
 
Последнее редактирование модератором:

xterm

Участник форума
Регистрация
25 Июн 2009
Сообщения
5.178
Благодарности
16
Баллы
400
Re: Тема по борьбе с вирусами "вручную"

информация по точкам автозагрузки в WIndows.

В большинстве случаев вредоносные программы создают записи в таких точках для того, чтобы стартовать при каждой загрузке операционной системы. Если удалить все подобные ключи(пункты автозагрузки), теоретически, такие программы не смогут приносить вред. Естественно сами файлы вирусов необходимо ткже удалять.

Чтобы открывать ключи в реестре, Вам необходимо нажать ПУСК-ВЫПОЛНИТЬ. Набрать в окошке regedit и нажать кнопку OK.

Список ключей автозагрузки:
a) HKLM-Software-Microsoft-Windows-CurrentVersion-Run
b)HKCU-Software-Microsoft-Windows-CurrentVersion-Run
c) HKLM-Software-Microsoft-Windows-CurrentVersion-RunOnce
d) HKCU-Software-Microsoft-Windows-CurrentVersion-RunOnce
e) HKLM-Software-Microsoft-Windows-CurrentVersion-RunOnceEx

Почти всегда, вирусы и другие подобные программы следят именно в этих ветках реестра. Если при открытии одной из этих веток, Вы увидели в правом окне запись вроде "C:\Windows\System32\Trojan_XP.exe", значит Вам повезло. Осталось только найти по указанному адресу файлик и удалить его, причем желательно сразу поискать такие же на всех дисках! Ну и конечно, не забудьте удалить значение из реестра, т.е. в нашем случае запись с путем"C:\Windows\System32\Trojan_XP.exe"в правом окошке редактора.

Описаны только самые часто используемые вирусами ключи реестра, тема будет пополняться. Если кто допишет, против не буду ;)
 
Последнее редактирование модератором:

MEG@VOLT

★★★★★★★★★
ТехАдмин
Регистрация
24 Мар 2006
Сообщения
9.864
Благодарности
6.743
Баллы
1.625
Re: Тема по борьбе с вирусами "вручную"

Обновлю темку чтоли...
люблю ковыряться в реестре, да и часто с конями борюсь - так что еще один пример.
ветка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Ключи
Shell Explorer.exe
Userinit C:\WINDOWS\system32\userinit.exe,

Не должны отличаться от тех что я привел - если отличается - вирус, смотрим что написал Хтрем
Осталось только найти по указанному адресу файлик и удалить его, причем желательно сразу поискать такие же на всех дисках! Ну и конечно, не забудьте удалить значение из реестра
Если выдается сообщение:
Редактирование реестром заблокированно администратором
Делаем следующее:
Пуск –>Выполнить… –>в поле Открыть: введите gpedit.msc –>OK –>Групповая политика –>Политика «Локальный компьютер» –>Конфигурация пользователя –>Административные шаблоны –>Система –>справа в окне Система двойным щелчком левой кнопки мыши по строке Сделать недоступными средства редактирования реестра вызови окно Свойства: Сделать недоступными средства редактирования реестра –>установи переключатель Отключен (или Не задан) –>Применить –>OK
и если вирус активен - то нужно практически одновременно нажать "ОК"и открыть реестр.
далее лезем в HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
исчем ключ DisableTaskMgr и DisableRegistryTools и удаляем их.
Далее открываем диспетчер задач - ищем незнакомы нам процесс обычно выглядит так: ProCesS~SS.exe и т.п. запомниаем его название(полностью, диспетчер задач и редактор реестра НЕ закрывать). лезем в ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options и создаем в этой ветке раздел с названием того странного процесса. далее в созданом только что разделе создаем строковый параметр называем его Debugger, а в его значение пишем ntsd -d.
Далее в диспетчере задачь завершаем нашь странный процесс, и снова удаляем ключи DisableTaskMgr и DisableRegistryTools в ветке HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System. Далее делаем то что я гвоорил в самом начале.
 
Последнее редактирование:

xterm

Участник форума
Регистрация
25 Июн 2009
Сообщения
5.178
Благодарности
16
Баллы
400
Re: Тема по борьбе с вирусами "вручную"

MEG@VOLT написал(а):
Вот это точно...Может быть написано Explore.exe, можно и не заметить. Еще хуже если в названии используются русские буквы, ведь в таком случае название будет выглядеть также как и в оригинале.. стоит проверить если есть подозрения
 
Последнее редактирование модератором:

Звёздочка

Участник форума
Регистрация
12 Апр 2009
Сообщения
1.438
Благодарности
23
Баллы
225
Re: Информация по борьбе с вирусами "вручную"

xterm написал(а):
необходимо нажать ПУСК-ВЫПОЛНИТЬ. Набрать в окошке regedit и нажать кнопку OK.
Сделала так, но так и не увидела Список ключей автозагрузки :-\. В левой колонке очень большая колонка всяких названий, в левом окне только (По умолчанию) REG_SZ
это нормально?
 

xterm

Участник форума
Регистрация
25 Июн 2009
Сообщения
5.178
Благодарности
16
Баллы
400
Re: Информация по борьбе с вирусами "вручную"

Звезда, если ты открыла одну из перечисленных веток реестра и не нашла ничего в списке(всё-таки не слева, а справа;)), значит в автозагрузке по этим ключам ничего нет:) А REG_SZ - просто стандартный тип данных для ключа по умолчанию, так и должно быть.

Добавлю, что есть более простой способ всё это посмотреть:
ПУСК-ВЫПОЛНИТЬ-msconfig-Автозагрузка. Там всё выглядит более "по-человечески"..
 

siryksv

Участник форума
Регистрация
5 Окт 2009
Сообщения
567
Благодарности
1
Баллы
225
Re: Информация по борьбе с вирусами "вручную"

Звезда
Дополню немного к посту xterm.
В реестре лучше неопытным пользователям не лазить...:{. Туда следует ходить только если чувствуете в себе внутреннюю компьютерную силу:D и четко знаете цель, зачем туда идти. Лучше воспользуйтесь какой-либо специализированной программой для просмотра автозагрузок. Рекомендую Autoruns - я о ней писал в теме Программы\Системные утилиты и оптимизация. Можно и msconfig использовать, он прост и примитивен.
 

MEG@VOLT

★★★★★★★★★
ТехАдмин
Регистрация
24 Мар 2006
Сообщения
9.864
Благодарности
6.743
Баллы
1.625
Re: Информация по борьбе с вирусами "вручную"

Сталкнулся вчера с одним тунеядсем:
Думаю уже всем сисадминам или приближенным к этой тематике людям, известны такие экзешники как ntos.exe sdra64.exe
Многие знают что и как они делают, в частности прописывают себя вместе с юзеринит. Дык вот что я увидел вчера:
Включаю комп - загрузился - завожу имя юзера, пароль, нажимаю enter - выдается симптом как при СДРА64 - сразу происходит разлогирование.
Все ясно - вирус.
Загружаюсть с лайф сиди - смотрю ветку реестра.
действительно userinit прописан вместе с НТОС и СДРА64. Поковыряв в систем32 нашел их и убил - соотвественно и юзеринит поправил.
Запускаю комп в нормальном режиме - все путем, перезахожу под другим пользователем - опять выкидывает. Сново LifeCD, сново реестр - сново userinit вместе с ntos и sdra64. после поправки и пролечки(нашлось еще парочка) компа от вирья, ситуация повторилась. И опять LifeCD, гляжу на юзеринит - все впорятке, долго думая увидел интересную весчь - параметр userinit создан не как должно быть - строковым(REG_SZ), а бинарным параметром(REG_BINARY), поправил как должно быть. История повторилась - смотрю параметр снова бинарный. Не зная что делать - сделал следующим образом:
создал батник с названием need.bat и поместив его в c:\windows\system32 прописал у него в коде:
Код:
reg del "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v /f Userinit
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Userinit /d "C:\WINDOWS\system32\userinit.exe, C:\WINDOWS\system32\need.bat"
Пока все работает.
Незнаю в общем что за зверь мне попался - похоже антивири не знают еще про него. дня через 2-3 еще раз попробую его полечить.
 

dimashe

Участник форума
Регистрация
1 Авг 2009
Сообщения
2.325
Благодарности
29
Баллы
270
Re: Информация по борьбе с вирусами "вручную"

Добавлю, что есть более простой способ всё это посмотреть:
ПУСК-ВЫПОЛНИТЬ-msconfig-Автозагрузка. Там всё выглядит более "по-человечески"..

А в 7винде как посмотреть? Там Выполнить нет.
 

xterm

Участник форума
Регистрация
25 Июн 2009
Сообщения
5.178
Благодарности
16
Баллы
400
Re: Информация по борьбе с вирусами "вручную"

dimashe, Win+R. Но в семёрке если не ошибаюсь видел меню автозагрузки на панели управления, удобней:)
 

soulless_665

Участник форума
Регистрация
3 Мар 2009
Сообщения
938
Благодарности
1
Баллы
185
Re: Информация по борьбе с вирусами "вручную"

есть в вин7 "выполнить": пуск-все программы-стандартные
 

MEG@VOLT

★★★★★★★★★
ТехАдмин
Регистрация
24 Мар 2006
Сообщения
9.864
Благодарности
6.743
Баллы
1.625
Re: Информация по борьбе с вирусами "вручную"

И еще добавлю:
в семерке пуск - появляется сразу поле для ввода - вот это своего рода тоже "выполнить"
 
Сверху Снизу