Автор Тема: Помогите убить вирус!  (Прочитано 7620 раз)

Оффлайн criminal

  • Участник
  • ***
  • Сообщений: 204
  • Репутация: +0/-6
Помогите убить вирус!
« : 25 Ноября 2012, 09:58:29 »
Пару дней назад мой компьютер поймал вирус (если быть точным, ему помогла теща, которая ходит по страницам с сомнительными новостями, это такие где куча поп-апов и разной всплывающей хрени). Казалось бы, дело привычное, отсканировал комп, удалил червей, жизнь налажена, но на этот раз оказалось все не так просто :( .
Для начала опишу симтомы. Вирус особенно ярко выражается при открытии соц. сети ВКонтакте: 1) На странице лог-ина надпись "Присоединяйтесь чтобы всегда оставаться..." смещена влево и находится не на своем месте; 2) Уже после лог-ина на том же самом месте (в верхнем левом углу) виднеется надпись "JavaScript error: opts.photos is undefined" на персиковом фоне; 3) Аудиозаписи прослушивать невозможно, он просто не реагирует на кпопку play; 4) Ну и самое назойливое (что наблюдается не только при серфинге Вконтакте) это самостоятельно открывающиеся окна со всякой бредовой рекламой.
Вирусы с точно такими же симптомами моя любимая теща ловит уже раз третий, но до этого все решалось простым сканированием (у меня стоял бесплатный Avast) с последующим удалением - и все окей...
Здесь я с начиная с пятницы вечера делал следущее: просканировал с Avasto'm => удалил пару червей, но главная проблема не исчезла, дальше просканировал с Avasto'm перед загрузкой windows => еще пару червяков, но без результата, потом удалил Avast, поставил Kaspersky trial => 17 новых угроз, главная проблема не решена! :( Так чтоб покороче, после касперского были еще: AVG Anti-Virus Free Edition, Ad-Aware Free Antivirus+, Dr. Web сканирует сейчас, но критическую область уже прошел и там всё "окей" с его слов...
Я в ужасе, что за зверь напал на мой копмьютер? Очень сильно не хочется переустанавливать систему. Подскажите, может кто уже сталкивался с этим гадом?
Intel Core2Duo E6550 2.33 GHz | Asus GeForce 440 GT 1024Mb GDDR5 |  Gigabyte GA-EP35C-DS3R | 3x1024 MB DDR2 667 Mhz (5-5-5-15-21-2T) Hynix 5300U | Samsung HD103UJ 1 TB, 7200 rpm, 32 Mb Cache | Sony Nec Opitarc Inc. DVD/CD RW AD-717OA| 19" Benq FP93GP

Форум журнала "Домашний ПК"

Помогите убить вирус!
« : 25 Ноября 2012, 09:58:29 »

Оффлайн Edd.Dragon

  • Элита
  • *******
  • Сообщений: 22 841
  • Репутация: +601/-14
  • Заслуженый пенсионер
Re: Помогите убить вирус!
« Ответ #1 : 25 Ноября 2012, 10:29:34 »
Во-первых, в каких браузерах наблюдается?
Во-вторых, используй autoruns для поиска нетривиальных подозрительных элементов.

Оффлайн Volan

  • Ветеран
  • ******
  • Сообщений: 5 509
  • Репутация: +274/-10
Re: Помогите убить вирус!
« Ответ #2 : 25 Ноября 2012, 12:20:25 »
как вариант просканируй комп AVZ-шкой. Ставь максимальный уровень эвристики

Оффлайн criminal

  • Участник
  • ***
  • Сообщений: 204
  • Репутация: +0/-6
Re: Помогите убить вирус!
« Ответ #3 : 25 Ноября 2012, 14:44:41 »

Ура, ура, ура!!! Доблестный Dr.Web таки справился с задачей, имя зловредного и неуловимого вируса вы можете видеть на скриншоте. Кстати, Dr.Web единственный антивирус который очень подробно сканировал все файлы. На один только диск С (~50Гб) ушло часа два времени. Теперь всерьез задумаюсь о приобретении платной лицензии...

Во-первых, в каких браузерах наблюдается?
Во-вторых, используй autoruns для поиска нетривиальных подозрительных элементов.
Всегда только Mozilla Firefox, а за программку спасибо, поставлю обязательно. Еще на другом форуме посоветовали мозиловский AdBlock+ установил...

как вариант просканируй комп AVZ-шкой. Ставь максимальный уровень эвристики
Теперь это уже не актуально, но все равно спасибо!
Intel Core2Duo E6550 2.33 GHz | Asus GeForce 440 GT 1024Mb GDDR5 |  Gigabyte GA-EP35C-DS3R | 3x1024 MB DDR2 667 Mhz (5-5-5-15-21-2T) Hynix 5300U | Samsung HD103UJ 1 TB, 7200 rpm, 32 Mb Cache | Sony Nec Opitarc Inc. DVD/CD RW AD-717OA| 19" Benq FP93GP

Оффлайн Goshkin

  • Посетитель
  • **
  • Сообщений: 8
  • Репутация: +0/-3
Re: Помогите убить вирус!
« Ответ #4 : 28 Августа 2013, 14:49:49 »
Дрвеб разумная и недорогая альтернатива всем остальным антивирусам. Кто еще надумал - заходите: купить drweb

Оффлайн Mantikor

  • Ветеран
  • ******
  • Сообщений: 5 604
  • Репутация: +129/-1
  • \m/
Re: Помогите убить вирус!
« Ответ #5 : 04 Декабря 2013, 08:47:19 »
Нужна помощь в следующем вопросе: как вы убиваете (у себя, у знакомых) вирус 14405updait.vbs, который делает все папки на флешке скрытыми, и вместо них делает ярлыки?
И второй вопрос: чем можно эффективно защитится от вирусов на флешках, но так чтобы работа сего продукта не мешала работе пользователя?

Оффлайн Volan

  • Ветеран
  • ******
  • Сообщений: 5 509
  • Репутация: +274/-10
Re: Помогите убить вирус!
« Ответ #6 : 04 Декабря 2013, 09:06:19 »
который делает все папки на флешке скрытыми, и вместо них делает ярлыки?
лично я открываю чужие флешки только через ТС, сразу всё видно. тело вируса обычно находится в скрытых папках типа RECYCLER и т.п. убивается вручную. удаляются все остальные подозрительные файлы и папки. Потом выделяешь все свои скрытые файлы/папки, ФАЙЛЫ - ИЗМЕНИТЬ АТРИБУТЫ
это как есть:

как надо:

жмешь ОК и всё

Оффлайн Mantikor

  • Ветеран
  • ******
  • Сообщений: 5 604
  • Репутация: +129/-1
  • \m/
Re: Помогите убить вирус!
« Ответ #7 : 04 Декабря 2013, 09:28:49 »
лично я открываю чужие флешки только через ТС, сразу всё видно. тело вируса обычно находится в скрытых папках типа RECYCLER и т.п. убивается вручную. удаляются все остальные подозрительные файлы и папки. Потом выделяешь все свои скрытые файлы/папки, ФАЙЛЫ - ИЗМЕНИТЬ АТРИБУТЫ
это как есть:
жмешь ОК и всё
Не ну это все понятно, у меня просто парк с over 100 машин, и делать такое вручную не вариант. Думал может кто-то нашел способ более эффективно бороться с этой заразой, скриптом там, антивирусом каким-то, или спец.прогой.

Оффлайн Volan

  • Ветеран
  • ******
  • Сообщений: 5 509
  • Репутация: +274/-10
Re: Помогите убить вирус!
« Ответ #8 : 04 Декабря 2013, 09:32:15 »
антивирусом сканировать и потом ТС восстанавливать атрибуты файлов. или написать bat-ник если знаешь как

нашел любопытное:
Как убрать вирус и сделать папки видимыми

Нашел на просторах сети еще один способ избавиться от описанной проблемы. Этот способ, пожалуй, будет попроще, но не везде сработает. Однако в большинстве случаев он все же поможет привести USB флешку и данные на ней в нормальное состояние. Итак, создаем bat файл следующего содержания, после чего запускаем его от имени администратора:


:lable
cls
set /p disk_flash="Vvedite bukvu vashei fleshki: "
cd /D %disk_flash%:
if %errorlevel%==1 goto lable
cls
cd /D %disk_flash%:
del *.lnk /q /f
attrib -s -h -r autorun.*
del autorun.* /F
attrib -h -r -s -a /D /S
rd RECYCLER /q /s
explorer.exe %disk_flash%:

После запуска компьютер запросит ввести букву, соответствующую Вашей флешке, что и следует сделать. Затем, после того, как автоматически будут удалены ярлыки вместо папок и сам вирус, при условии нахождения его в папке Recycler, Вам будет показано содержимое вашего USB накопителя. После этого рекомендую, опять же, обратить на содержимое системных папок Windows, речь о которых шла выше, в первом способе избавиться от вируса.
« Последнее редактирование: 04 Декабря 2013, 09:39:34 от Mr_Volan »

Оффлайн Mantikor

  • Ветеран
  • ******
  • Сообщений: 5 604
  • Репутация: +129/-1
  • \m/
Re: Помогите убить вирус!
« Ответ #9 : 04 Декабря 2013, 10:12:28 »
И ты предлагаешь мне делать это каждый раз когда пользователи приносят флешку? На всех 100 машинах?
Тем более что этот 14405updait.vbs копирует себя в систему и прописывает себя в реестр.

Оффлайн Edd.Dragon

  • Элита
  • *******
  • Сообщений: 22 841
  • Репутация: +601/-14
  • Заслуженый пенсионер
Re: Помогите убить вирус!
« Ответ #10 : 04 Декабря 2013, 12:20:57 »
Не ну это все понятно, у меня просто парк с over 100 машин, и делать такое вручную не вариант. Думал может кто-то нашел способ более эффективно бороться с этой заразой, скриптом там, антивирусом каким-то, или спец.прогой.
Антивирусы ж блокируют автозапуск с флешек?
Касперский, так даже вроде по-умолчанию это делал...


И ты предлагаешь мне делать это каждый раз когда пользователи приносят флешку?
Как убрать вирус и сделать папки видимыми

А на чистых машинах ты должен вручную или как хочешь отключить автозапуск. Как бороться с автозапуском с флешек? Отключить его! Тогда и в контекстном меню проводника не будет жирного "автозапуск", а будет жирное "открыть".

Сосвсем другой вопрос, как бороться с непокобелимостью юзеров, которые "оооой, а что это тут такое...". Так что, отображение лишних файлов им включать не следует. Они и без этого умудрятся. И решения этой проблемы нет. Если парк из 100 блндинок, то таки да - придется скакать вокруг них вручную периодически. Или же разработать доходчивую лекцию как не клацать лишнего и сколько говна на флешках носится и вдолбить им троекратно.

А автозапуск - отключить.

ПОтому на многих предприятих пользование флешками и запрещают, потому как неудобно, но надежно.

Оффлайн Mantikor

  • Ветеран
  • ******
  • Сообщений: 5 604
  • Репутация: +129/-1
  • \m/
Re: Помогите убить вирус!
« Ответ #11 : 04 Декабря 2013, 14:02:49 »
Антивирусы ж блокируют автозапуск с флешек?
А на чистых машинах ты должен вручную или как хочешь отключить автозапуск.
Дело не в этом, автозапуск у всех отключен, дело не в вирусах которые распространяются через autorun.
Этот мерзкий скрипт 14405updait.vbs делает все папки на флешке скрытыми, а вместо них ставит ярлыки, в свойствах которых прописано запускать какой-то эксплойт.
Соответственно пользователь приходит на работу с уже зараженной флешкой, пытается открыть ярлык(ибо реальная папка скрыта), и заражает систему. Сейчас стоит фришная авира, она при этом даже не чухается, с авастом та же фигня. Сейчас вот думаю на какой антивирь переходить, чтобы не было проблем с ключами и обновлениями. Тестирую Symantec EP.
После заражения эту гадость можно вывести только в сейф моде cureit-ом.
Увы пользование флешками запретить не могу, хоть и хотелось бы.
« Последнее редактирование: 04 Декабря 2013, 14:04:53 от Mantikor »

Оффлайн Edd.Dragon

  • Элита
  • *******
  • Сообщений: 22 841
  • Репутация: +601/-14
  • Заслуженый пенсионер
Re: Помогите убить вирус!
« Ответ #12 : 04 Декабря 2013, 14:17:21 »
Этот мерзкий скрипт 14405updait.vbs
Ну так откуда он там взялся? Раз это не в твоей юрисдикции, значит два способа:
- либо флешки должны проходить через тебя (а не ты по ним);
- либо найти/додаться антивирус, который это будет определять (в авиру и аваст можно и письмо написать же, приложив вирус, раз не чухается).


Оффлайн Mantikor

  • Ветеран
  • ******
  • Сообщений: 5 604
  • Репутация: +129/-1
  • \m/
Re: Помогите убить вирус!
« Ответ #13 : 04 Декабря 2013, 14:23:03 »
Первый вариант не вариант.
- либо найти/додаться антивирус, который это будет определять
Ну так в этом и прошу помощи
чем можно эффективно защитится от вирусов на флешках, но так чтобы работа сего продукта не мешала работе пользователя?

Оффлайн Edd.Dragon

  • Элита
  • *******
  • Сообщений: 22 841
  • Репутация: +601/-14
  • Заслуженый пенсионер
Re: Помогите убить вирус!
« Ответ #14 : 04 Декабря 2013, 14:23:58 »
Первый вариант не вариант.Ну так в этом и прошу помощи
Ну так ты его на virustotal выгружал?

Точнее и его, и зараженные ним файлы (или на что там ярлыки ссылаются).

Оффлайн Mantikor

  • Ветеран
  • ******
  • Сообщений: 5 604
  • Репутация: +129/-1
  • \m/
Re: Помогите убить вирус!
« Ответ #15 : 04 Декабря 2013, 15:32:52 »
Ну так ты его на virustotal выгружал?
Не, не додумался до такого.
Точняк, надо будет сделать.

Оффлайн Mantikor

  • Ветеран
  • ******
  • Сообщений: 5 604
  • Репутация: +129/-1
  • \m/
Re: Помогите убить вирус!
« Ответ #16 : 05 Декабря 2013, 15:43:56 »
Поймал гада.
Вот ссылка на virustotal. Ловит его только часть антивирусов.
Теперь буду думать какой из предложенных юзать на работе.

Оффлайн Edd.Dragon

  • Элита
  • *******
  • Сообщений: 22 841
  • Репутация: +601/-14
  • Заслуженый пенсионер
Re: Помогите убить вирус!
« Ответ #17 : 05 Декабря 2013, 16:47:11 »
Теперь буду думать какой из предложенных юзать на работе.
Вирус то пошли, тем которыми пользуешься.

И может эвристический анализ надо усилить (если конечно это настраивается, как в Касперском). Он, судя по отчету, именно эвристикой выловил, не имея сигнатур.



Оффлайн Mantikor

  • Ветеран
  • ******
  • Сообщений: 5 604
  • Репутация: +129/-1
  • \m/
Re: Помогите убить вирус!
« Ответ #18 : 05 Декабря 2013, 19:36:36 »
Вирус то пошли, тем которыми пользуешься.
И то верно, послал.
Что-то у меня совсем мало опыта в борьбе с новыми видами заразы, элементарных вещей не знаю. :(

Оффлайн Mantikor

  • Ветеран
  • ******
  • Сообщений: 5 604
  • Репутация: +129/-1
  • \m/
Re: Помогите убить вирус!
« Ответ #19 : 19 Декабря 2013, 18:09:53 »
Нынче нашел у себя Bitcoin.Miner-вирус, во время профилактической проверки dr.web cureit-ом.
Попал через эксплойт джавы, MSE пропустил, такие дела.

Оффлайн Volan

  • Ветеран
  • ******
  • Сообщений: 5 509
  • Репутация: +274/-10
Re: Помогите убить вирус!
« Ответ #20 : 19 Декабря 2013, 23:24:16 »
скачал, проверил, чист)) Аваст таки стал лучше :)

Оффлайн Edd.Dragon

  • Элита
  • *******
  • Сообщений: 22 841
  • Репутация: +601/-14
  • Заслуженый пенсионер
Re: Помогите убить вирус!
« Ответ #21 : 19 Декабря 2013, 23:45:42 »
Аваст таки стал лучше :)
В смысле? Ты не столкнулся с этим вирусом. А вот если бы столкнуля и Аваст закричал "Я его убил!" - тогда другое дело.

Оффлайн Volan

  • Ветеран
  • ******
  • Сообщений: 5 509
  • Репутация: +274/-10
Re: Помогите убить вирус!
« Ответ #22 : 19 Декабря 2013, 23:57:58 »
у меня три штуки нашел dr.web cureit до переустановки ОС, теперь чисто уже столько времени

Форум журнала "Домашний ПК"

Re: Помогите убить вирус!
« Ответ #22 : 19 Декабря 2013, 23:57:58 »