Лечение вирусов - делимся опытом. Помогаем удалять вирусы

Sanya · Регистрация: 25.10.2010

Author24 — интернет-сервис помощи студентам

Давайте в этой теме будем рассказывать о своих личных примерах лечения компьютерных вирусов.

Кто и каким образом удалял\удаляет эту заразу

Только сразу попрошу не писать сюда ответы типа: "Я доктором лечу" "Я использую AVZ" " А я, а,я ......"
это в принципе и так понятно, что все используют какой либо антивирус, или утилиту.

И не стоит писать самый любимый совет всех времен и народов касаемый лечения компьютера

винду переустанови

потому что это банально и не интересно и еще потому, что я его уже написал

Ну , что ... начнем делиться личным опытом

А еще возможно кто то захочет задать свой вопрос по лечению вирусов... так не стесняйтесь, задавайте. Просьбы о помощи в удалении вирусов так же можно оставлять здесь

Pacifist[MP3] · 22.03.2012, 11:02

Сообщение от Sanya

попрошу не писать сюда ответы типа: "Я доктором лечу" "Я использую AVZ" " А я, а,я ......"
это в принципе и так понятно, что все используют какой либо антивирус, или утилиту

Только ручные методы чтоли?
Если не удается зайти в систему, то загружаюсь с erd-commander. Смотрю автозагрузку, userinit, winlogon. В общем куда вирусы могут прописаться. Чищу в ручную темпы.
Если вирусня была прописана в userinit или winlogon, стараюсь сразу эти файлы заменить на оригинальные. Оригиналы вытаскиваю с установочного диска.

Также считаю очень важным предупреждением вирусов, использование UAC-контроля и отказ от постоянных админских прав.

Sanya · 22.03.2012, 11:09 **[ТС]**

Сообщение от Pacifist[MP3

Только ручные методы чтоли?

ну имел в виду примерно такие методы
Разблокировка компьютера от sms баннеров
Как удалить Trojan.Mayachok.1 (не работают браузеры , не запускаются программы в обычном режиме , перенаправление на internet.com и другие сайты)

можно конечно и попроще описать. например лечение любого виря (того же например sality, которое уже неоднократно и подробно опысывалось)

Ведь у всех же есть опыт борьбы с каким то вирем, который привел к положительным результатам

qvad · 23.03.2012, 11:21

Поделюсь и я немного личным опытом

Если глисты лезут через макросы, нужно запретить запись в папку с normal.dot на уровне NTFS.
Если лезут в автозагрузку, мохно настроить в реестре эти ключи только для чтения (есть свои минусы, конечно) . С ассоциацией EXE-файлов аналогично.
Не помешает отключение автозапуска со съёмных носителей.
Иногда бывает невозможно прекратить процесс вируса, тогда пробуем переименовать экзешник и перезапускаем систему.
Бывают двуглавые змии, которые запускают сразу два процесса: каждый следит за жизнеспособностью другого. Морозим через нормальный диспетчер задач (например AnVir) обе головы и отрубаем поодиночке.
Еще один способ изгнания нечисти - перегружаемся в безопасный режим, идем к вирусному EXE-файлу, открываем экзешник в блокноте, кидаем пару символов в тело файла. Кастрированный таким образом глист уже не запуститься... Хстати, подпорченные файлы с вирусами удалять не стоит, ибо большинство «инсталляторов» вирусов, увидев родной файл на нужном месте, гороят "Зер гуд, Вольдемар" и успокаиваются.

@sSsSs · 28.03.2012, 00:59

Применяю и всем советую Microsoft Security Essentials + UVS + Combofix. Это сильнейшая комбинация против любых вирусов и руткитов.

@SaNeK_71 · 11.04.2012, 01:00

Удаление вируса из оперативной памяти:

Оперативная память = explorer.exe(240) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа

Скачать программу UVS Зеркало №1/Зеркало №2

В папке с программой UVS будет файл script.cmd
Запустить файл, запустится окно программы для ввода скрипта,
скопировать скрипт написанный ниже и вставить в окно программы.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ ВСЕ БРАУЗЕРЫ!

Код

;uVS v3.74 script [[url]http://dsrt.dyndns.org][/url]
;Target OS: NTv6.1

zoo %SystemDrive%\USERS\FIREFLY\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\BPKKTZPGEGG.EXE
bl B90525AF3C18A7A80E0E3E3DA73FF4F4 190464
delall %SystemDrive%\USERS\FIREFLY\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\BPKKTZPGEGG.EXE
delref [url]HTTP://TOOLBAR.AOL.COM/BROWSERPAGES/NEWTAB-WINAMP-IE-EN-US.HTML[/url]
regt 1
regt 2
regt 3
regt 7
regt 14
regt 18
deltmp
delnfr
restart

И жмем кнопку Выполнить.
На запросы программы по удалению - жмите ДА
ПК перезагрузится.

@Romma01 · 18.04.2012, 15:09

Закрываются некоторые программы, (skype, vk saver и т д), не обноляется антивирус\avz
Сейчас соберу инфу

@Romma01 · 18.04.2012, 16:55

Нет, я хотел сначало там отписаться, даже отправил карантин с авз с сылкой на ту тему, но оказалось что то вроде нет прав, мб закрыта, так что создал новую

@Romma01 · 18.04.2012, 19:23

по сути у меня проблема 1 в 1 как у него, хотя, какая сейчас разница, что мне сделать?
без антивира сидел 2 месяца, вот результат, нашло 30 угроз, (половину как минимум ложных), нажал удалить но вылетела она самая, рантайм еррор

@~~Katharsis~~ · 18.04.2012, 19:43

Прежде чем что то делать - нужно иметь представление о последствиях, и о том что вы делаете, предупреждаем же. Выложили вот вместе с карантинами файлик с вашими паролями, а скачивать это здесь может кто угодно. Эх, Romma01...

@anonimus · 20.04.2012, 00:09

Все началось внезапно, перестал заходить в контакт (просит ввести номер тел.) и не доступен яндекс.
Первым же делом полез смотреть файл host, там все чисто.
Так же посмотрел в реестре
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DataBasePa th
там путь правильный.
Прогнал комп avz, прогнал kaspersky removal tool, просканировал авирой, кое-что нашел, но видно не то т.к. все осталось по прежнему, потом только додумался посмотреть на dns, он у меня был изменен, поставил тот какой надо. Контакт заработал, яндекс нет, т.е. ya.ru работает а yandex.ru не работает пишет "Welcome to nginx!"
Еще странность обнаружена, в браузере (firefox) плагин flash player пропал, я его скачиваю запускаю, и ничего, через секунду exe флеш плеера удаляется. Явно какая-то гадость сидит, не могу найти ее, прошу помощи.

@anonimus · 20.04.2012, 00:26

вот сейчас обратил внимание в диспетчере 2 очень подозрительных процесса
4864b5.exe и 7577a_xp.exe
убить нельзя, отказано в доступе

Добавлено через 10 минут
7577a_xp.exe вроде это процесс утилиты launch.exe

@skident · 16.05.2012, 09:48

Не смог ответить в соответствующей теме, поэтому решил создать новую.

На работе комп главного бухгалтера подловил похожий вирус (просто другой кошелек и сумма).

Просидел пару часов весь в поту и в мыле. Никак не поддавался, тоже пробовал подбирать разные коды и доктор веб liveCD (вообще проверял долго и ничего толком не сделал), уже в отчаиние нашел, что можно воспользоваться каспером LiveCD (каспера вообще не люблю и думал, что все будет впустую) - все таки запилил загрузочную флешку .

Буквально за первых минут 5 каспер поймал паршивца и убил его.

Так что кто столкнется, то в первую очередь пробуйте кспером!

MstrGreen · 20.05.2012, 18:53

Принесли ноут, в котором после открытия проги на которую ругался антивирус появилось сообщение.
Загрузился с Safe Zone Live CD но не вижу вообще системные диски.

qvad · 21.05.2012, 10:01

а fixboot или fixmbr не прокатят в данном случае?

MstrGreen · 22.05.2012, 03:05

сейчас буду пробовать...

Добавлено через 7 часов 15 минут
Баннер исчез, а на его месте - BOOTMGR is missing
Через Акронис видит диск С и всё, что на нём есть.
При попытке восстановления запуска с дистры:

Обнаружена основная причина:
--------------------------------------------------
На диске повреждён системный том.
Исправление: Проверка файловой системы (chkdsk)
Результат: Ошибка. Код ошибки = 0x3
Затраченное время = 0 мсек
--------------------------------------------------

@skident · 22.05.2012, 10:01

Смотрите мой предыдущий пост!!! через LiveCD убивается эта зараза)

MstrGreen · 22.05.2012, 10:20

skident, а ты мой пост читал, что через Лайв я не вижу ничего на харде!!!

@skident · 22.05.2012, 10:32

с какого именно LiveCD??? я вот при такой проблеме грузился с CureIt и там была куча багов:
1. Почти ничего не видно на монике, яркость не регулируется, тупо надо было вглядываться в экран.
2. Очень, очень долго проверяло и ничего не нашло.

попробовал каспера, хотя совсем не фанат его, но он нормально отображает устройства + красивый(адекватный) графический режим.

@~~Katharsis~~ · 22.05.2012, 13:55

skident, ни каспер, ни другой антивирь MstrGreen'у уже не поможет. MstrGreen, в вашей ситуации fixboot и fixmbr были явно противопоказаны.

Не по теме:

вмешиваюсь тут, блин, хоть и не должен...

@skident 23 / 23 / 6 Регистрация: 11.12.2011 Сообщений: 300
	22.05.2012, 10:01	17
	Смотрите мой предыдущий пост!!! через LiveCD убивается эта зараза) 0

Новые блоги и статьи
Книги и учебные ресурсы по C# InfoMaster 08.01.2025 Базовые учебники и руководства Одной из лучших книг для начинающих является "C# 10 и . NET 6 для начинающих" Эндрю Троелсена и Филиппа Джепикса . Книга последовательно раскрывает основные концепции. . .	Что такое NullReferenceException и как исправить? InfoMaster 08.01.2025 NullReferenceException - одно из самых распространенных исключений, с которым сталкиваются разработчики на C#. Это исключение возникает при попытке обратиться к членам объекта (методам, свойствам или. . .	Что такое Null Pointer Exception (NPE) и как это исправить? InfoMaster 08.01.2025 Null Pointer Exception (NPE) - это одно из самых распространенных исключений в Java, которое возникает при попытке использовать ссылку на объект, значение которой равно null. Это исключение относится. . .	Русский язык в консоли C++ InfoMaster 08.01.2025 При разработке программ на C++ одной из частых проблем, с которой сталкиваются русскоязычные программисты, является корректное отображение кириллицы в консольных приложениях. Эта проблема особенно. . .	Telegram бот на C# InfoMaster 08.01.2025 Разработка ботов для Telegram стала неотъемлемой частью современной экосистемы мессенджеров. C# предоставляет мощный и удобный инструментарий для создания разнообразных ботов, от простых. . .	Использование GraphQL в Go (Golang) InfoMaster 08.01.2025 Go (Golang) является одним из наиболее популярных языков программирования, используемых для создания высокопроизводительных серверных приложений. Его архитектурные особенности и встроенные. . .
Что лучше использовать при создании класса в Java: сеттеры или конструктор? Alexander-7 08.01.2025 Вопрос подробнее: На вопрос: «Когда одновременно создаются конструктор и сеттеры в классе – это нормально?» куратор уточнил: «Ваш класс может вообще не иметь сеттеров, а только конструктор и геттеры. . .	Как работать с GraphQL на TypeScript InfoMaster 08.01.2025 Введение в GraphQL и TypeScript В современной разработке веб-приложений GraphQL стал мощным инструментом для создания гибких и эффективных API. В сочетании с TypeScript, эта технология. . .	Счётчик на базе сумматоров + регистров и генератора сигналов согласования. Hrethgir 07.01.2025 Создан с целью проверки скорости асинхронной логики: ранее описанного сумматора и предополагаемых fast регистров. Регистры созданы на базе ранее описанного, предполагаемого fast триггера. То-есть. . .	Как перейти с Options API на Composition API в Vue.js BasicMan 06.01.2025 Почему переход на Composition API актуален В мире современной веб-разработки фреймворк Vue. js продолжает эволюционировать, предлагая разработчикам все более совершенные инструменты для создания. . .	Архитектура современных процессоров inter-admin 06.01.2025 Процессор (центральный процессор, ЦП) является основным вычислительным устройством компьютера, которое выполняет обработку данных и управляет работой всех остальных компонентов системы. Архитектура. . .	История создания реляционной модели баз данных, правила Кодда Programming 06.01.2025 Предпосылки создания реляционной модели В конце 1960-х годов компьютерная индустрия столкнулась с серьезными проблемами в области управления данными. Существовавшие на тот момент модели данных -. . .

Лечение вирусов - делимся опытом. Помогаем удалять вирусы

Решение

Решение

Sanya 13176 / 4624 / 168 Регистрация: 25.10.2010 Сообщений: 9,413
		1
	Лечение вирусов - делимся опытом. Помогаем удалять вирусы 22.03.2012, 10:45. Показов 19485. Ответов 173 Метки помощь в удалении вирусов (Все метки) Давайте в этой теме будем рассказывать о своих личных примерах лечения компьютерных вирусов. Кто и каким образом удалял\удаляет эту заразу Только сразу попрошу не писать сюда ответы типа: "Я доктором лечу" "Я использую AVZ" " А я, а,я ......" это в принципе и так понятно, что все используют какой либо антивирус, или утилиту. И не стоит писать самый любимый совет всех времен и народов касаемый лечения компьютера винду переустанови потому что это банально и не интересно и еще потому, что я его уже написал Ну , что ... начнем делиться личным опытом А еще возможно кто то захочет задать свой вопрос по лечению вирусов... так не стесняйтесь, задавайте. Просьбы о помощи в удалении вирусов так же можно оставлять здесь 3

Pacifist[MP3] 483 / 413 / 21 Регистрация: 06.02.2012 Сообщений: 1,693
	22.03.2012, 11:02	2
	Сообщение было отмечено как решение Решение Сообщение от Sanya попрошу не писать сюда ответы типа: "Я доктором лечу" "Я использую AVZ" " А я, а,я ......" это в принципе и так понятно, что все используют какой либо антивирус, или утилиту Только ручные методы чтоли? Если не удается зайти в систему, то загружаюсь с erd-commander. Смотрю автозагрузку, userinit, winlogon. В общем куда вирусы могут прописаться. Чищу в ручную темпы. Если вирусня была прописана в userinit или winlogon, стараюсь сразу эти файлы заменить на оригинальные. Оригиналы вытаскиваю с установочного диска. Также считаю очень важным предупреждением вирусов, использование UAC-контроля и отказ от постоянных админских прав. 3

Sanya 13176 / 4624 / 168 Регистрация: 25.10.2010 Сообщений: 9,413
	22.03.2012, 11:09 [ТС]	3
	Сообщение от Pacifist[MP3 Только ручные методы чтоли? ну имел в виду примерно такие методы Разблокировка компьютера от sms баннеров Как удалить Trojan.Mayachok.1 (не работают браузеры , не запускаются программы в обычном режиме , перенаправление на internet.com и другие сайты) можно конечно и попроще описать. например лечение любого виря (того же например sality, которое уже неоднократно и подробно опысывалось) Ведь у всех же есть опыт борьбы с каким то вирем, который привел к положительным результатам 1

qvad 21306 / 12116 / 653 Регистрация: 11.04.2010 Сообщений: 53,466
	23.03.2012, 11:21	4
	Сообщение было отмечено как решение Решение Поделюсь и я немного личным опытом Если глисты лезут через макросы, нужно запретить запись в папку с normal.dot на уровне NTFS. Если лезут в автозагрузку, мохно настроить в реестре эти ключи только для чтения (есть свои минусы, конечно) . С ассоциацией EXE-файлов аналогично. Не помешает отключение автозапуска со съёмных носителей. Иногда бывает невозможно прекратить процесс вируса, тогда пробуем переименовать экзешник и перезапускаем систему. Бывают двуглавые змии, которые запускают сразу два процесса: каждый следит за жизнеспособностью другого. Морозим через нормальный диспетчер задач (например AnVir) обе головы и отрубаем поодиночке. Еще один способ изгнания нечисти - перегружаемся в безопасный режим, идем к вирусному EXE-файлу, открываем экзешник в блокноте, кидаем пару символов в тело файла. Кастрированный таким образом глист уже не запуститься... Хстати, подпорченные файлы с вирусами удалять не стоит, ибо большинство «инсталляторов» вирусов, увидев родной файл на нужном месте, гороят "Зер гуд, Вольдемар" и успокаиваются. 4

@sSsSs 5 / 1 / 0 Регистрация: 27.03.2012 Сообщений: 12
	28.03.2012, 00:59	5
	Применяю и всем советую Microsoft Security Essentials + UVS + Combofix. Это сильнейшая комбинация против любых вирусов и руткитов. 0

@SaNeK_71 Прописан в интернете... 94 / 78 / 11 Регистрация: 06.04.2012 Сообщений: 345
	11.04.2012, 01:00	6
	Удаление вируса из оперативной памяти: Оперативная память = explorer.exe(240) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа Скачать программу UVS Зеркало №1/Зеркало №2 В папке с программой UVS будет файл script.cmd Запустить файл, запустится окно программы для ввода скрипта, скопировать скрипт написанный ниже и вставить в окно программы. ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ ВСЕ БРАУЗЕРЫ! Код ;uVS v3.74 script [[url]http://dsrt.dyndns.org][/url] ;Target OS: NTv6.1 zoo %SystemDrive%\USERS\FIREFLY\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\BPKKTZPGEGG.EXE bl B90525AF3C18A7A80E0E3E3DA73FF4F4 190464 delall %SystemDrive%\USERS\FIREFLY\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\BPKKTZPGEGG.EXE delref [url]HTTP://TOOLBAR.AOL.COM/BROWSERPAGES/NEWTAB-WINAMP-IE-EN-US.HTML[/url] regt 1 regt 2 regt 3 regt 7 regt 14 regt 18 deltmp delnfr restart И жмем кнопку Выполнить. На запросы программы по удалению - жмите ДА ПК перезагрузится. 0

@Romma01 0 / 0 / 1 Регистрация: 18.04.2012 Сообщений: 6
	18.04.2012, 16:55	8
	Нет, я хотел сначало там отписаться, даже отправил карантин с авз с сылкой на ту тему, но оказалось что то вроде нет прав, мб закрыта, так что создал новую 0

@~~Katharsis~~ Заблокирован
	18.04.2012, 19:43	10
	Прежде чем что то делать - нужно иметь представление о последствиях, и о том что вы делаете, предупреждаем же. Выложили вот вместе с карантинами файлик с вашими паролями, а скачивать это здесь может кто угодно. Эх, Romma01... 1

@anonimus 2184 / 1254 / 143 Регистрация: 28.04.2010 Сообщений: 4,592
	20.04.2012, 00:26	12
	вот сейчас обратил внимание в диспетчере 2 очень подозрительных процесса 4864b5.exe и 7577a_xp.exe убить нельзя, отказано в доступе Добавлено через 10 минут 7577a_xp.exe вроде это процесс утилиты launch.exe 0

@skident 23 / 23 / 6 Регистрация: 11.12.2011 Сообщений: 300
	16.05.2012, 09:48	13
	Не смог ответить в соответствующей теме, поэтому решил создать новую. На работе комп главного бухгалтера подловил похожий вирус (просто другой кошелек и сумма). Просидел пару часов весь в поту и в мыле. Никак не поддавался, тоже пробовал подбирать разные коды и доктор веб liveCD (вообще проверял долго и ничего толком не сделал), уже в отчаиние нашел, что можно воспользоваться каспером LiveCD (каспера вообще не люблю и думал, что все будет впустую) - все таки запилил загрузочную флешку . Буквально за первых минут 5 каспер поймал паршивца и убил его. Так что кто столкнется, то в первую очередь пробуйте кспером! 0

	22.05.2012, 13:55

MstrGreen 994 / 305 / 10 Регистрация: 22.12.2011 Сообщений: 3,678 Записей в блоге: 17
	20.05.2012, 18:53	14
	Принесли ноут, в котором после открытия проги на которую ругался антивирус появилось сообщение. Загрузился с Safe Zone Live CD но не вижу вообще системные диски. Миниатюры 0

qvad 21306 / 12116 / 653 Регистрация: 11.04.2010 Сообщений: 53,466
	21.05.2012, 10:01	15
	а fixboot или fixmbr не прокатят в данном случае? 1

MstrGreen 994 / 305 / 10 Регистрация: 22.12.2011 Сообщений: 3,678 Записей в блоге: 17
	22.05.2012, 03:05	16
	сейчас буду пробовать... Добавлено через 7 часов 15 минут Баннер исчез, а на его месте - BOOTMGR is missing Через Акронис видит диск С и всё, что на нём есть. При попытке восстановления запуска с дистры: Обнаружена основная причина: -------------------------------------------------- На диске повреждён системный том. Исправление: Проверка файловой системы (chkdsk) Результат: Ошибка. Код ошибки = 0x3 Затраченное время = 0 мсек -------------------------------------------------- 0

MstrGreen 994 / 305 / 10 Регистрация: 22.12.2011 Сообщений: 3,678 Записей в блоге: 17
	22.05.2012, 10:20	18
	skident, а ты мой пост читал, что через Лайв я не вижу ничего на харде!!! 0

@skident 23 / 23 / 6 Регистрация: 11.12.2011 Сообщений: 300
	22.05.2012, 10:32	19
	с какого именно LiveCD??? я вот при такой проблеме грузился с CureIt и там была куча багов: 1. Почти ничего не видно на монике, яркость не регулируется, тупо надо было вглядываться в экран. 2. Очень, очень долго проверяло и ничего не нашло. попробовал каспера, хотя совсем не фанат его, но он нормально отображает устройства + красивый(адекватный) графический режим. 0