Антивирусни програми, Adware&Spyware removers

[djadomraz]

Флашката е флашка. Тя няма буут. Форматирането ще я оправи. Но проблема не ти е на флашката.

 

+1

 

това exe на компютъра ти може да се казва съвсем различно... ако изобщо го има там, и ако изобщо може да се открие защото по-умните вируси се закачат където трябва и се крият качествено вкл. от антивирусните камо ли от теб

[Midex]

+1

 

това exe на компютъра ти може да се казва съвсем различно... ако изобщо го има там, и ако изобщо може да се открие защото по-умните вируси се закачат където трябва и се крият качествено вкл. от антивирусните камо ли от теб

 

Да, малко омотах въпроса, понеже докато пишех поста, вършех още няколко работи, а после излязох и не го поправих. Точно имах предвид "буут"-та на харда, но не си личи така както е написано. Най-вероятно на харда е с друго име или в област, в която се покрива успешно.

 

@Ангеле, естествено, че съм проверил и в системните файлове, а за какви отметки говориш - не схванах...

[djadomraz]

А проверил ли си диска стартирайки ОС от друг чист диск?

[wolf]

...Има и друго - от време на време на флашката забелязвам новопоявила се скрита папка, в която обикновено има само едно ".exe", а на първо ниво над директориите най-често се мъдри един "autorun.inf", който препраща към това ".exe". Най-често не мога просто да го изтрия с "DEL", защото вече е в процес на използване,....

Това означава заразен комп у вас. С тази гадина нашият сисадмин се бори с помощта на Microsoft Safety Scanner в Safe Mode режим на виндовса. После следва ръчно чистене на подозрителни файлове в \\Windows\Prefetch (според колегата това са файлове имената на които започват със цифри) и на подозрителни обекти от autorun секцията на операционнтата система.

[w00x]

Да, малко омотах въпроса, понеже докато пишех поста, вършех още няколко работи, а после излязох и не го поправих. Точно имах предвид "буут"-та на харда, но не си личи така както е написано. Най-вероятно на харда е с друго име или в област, в която се покрива успешно.

 

@Ангеле, естествено, че съм проверил и в системните файлове, а за какви отметки говориш - не схванах...

 

Цъкаш Show Hidden, махаш отметката на Hide Protected System Files, после цъкаш OK.

Затваряш прозорчето и го отваряш пак да видиш дали настройките все още са така, както си ги направил.

Някои инфекции си пазят настройките и не ти позволяват да покажеш скритите и системните файлове и си ги връщат.

 

Пробвай с това, за да си видиш дали MBR-то ти е инфектирано.

 

http://majorgeeks.com/MBRCheck_d7076.html

[Midex]

А проверил ли си диска стартирайки ОС от друг чист диск?

 

Тц.

 

Това означава заразен комп у вас. С тази гадина нашият сисадмин се бори с помощта на Microsoft Safety Scanner в Safe Mode режим на виндовса. После следва ръчно чистене на подозрителни файлове в \\Windows\Prefetch (според колегата това са файлове имената на които започват със цифри) и на подозрителни обекти от autorun секцията на операционнтата система.

 

Ще опитам и по метода на сисадмина...въпреки, че се чудя защо си плащам лиценз на Norton IS, след като изпищява само когато гадинката е вече на флашката, а не прихваща проблема още на харда. ...а иначе не пропуска да изпищи на всеки Keygen, че е троянец....

 

Цъкаш Show Hidden..................

 

Ааа, за тези ли - откакто изобщо имам компютър и правя нова инсталация, една от първите ми работи след като приключи инсталацията на OS, е да открия системните файлове, да променя да се показват скритите, както и винаги да се виждат окончанията на файловете....така, че това отпада като вариант.

[wolf]

Забравих да напиша още нещо - когато проблема с бубата във фирмата набъбна сериозно се наложи да сложим в главната директория на всяка флашка която се използваше празна папта с име "autorun.inf". Това блокира истинския "autorun.inf" файл който се появява на флашката след заразяването и.

[Midex]

...а за флашката - какво ти пречи да я форматираш?

 

Не бе, не ми пречи, но нали говорим, че проблемът не е в самата флашка, а в дълбоко скрит файл нейде на харда, който периодически си създава "гадинка" на флашката...така че форматът ще "оправи" проблема само временно...

 

Забравих да напиша още нещо - когато проблема с бубата във фирмата набъбна сериозно се наложи да сложим в главната директория на всяка флашка която се използваше празна папта с име "autorun.inf". Това блокира истинския "autorun.inf" файл който се появява на флашката след заразяването и.

 

Това е много елементарна и в същото време - много свежа идея. Веднага ще я приложа!

[djadomraz]

Това е много елементарна и в същото време - много свежа идея. Веднага ще я приложа!

 

Което няма да те отърве от вируса и не е ясно той какво прави. Затова най-добре инсталирай на нов дял windows но гледай да си boot-нал от CD-то. Сложи една антивирусна и сканирай. За 30 минути операция е... освен яко нямаш някакъв шантав хардуер като моя но и тогава пак не е кой знае каква болката, на мен винаги ми е по-сложно намирането на live CD което да тръгне кадърно и да ми познае дисковете, отколкото да сложа нов Windows на някой от дяловете (пък тях имам в изобилие). Не е 100% щото ако се качва още от master boot-a няма да стане, но тези вируси са единици а това което имаш ми изглежда доволно малоумно, че да е от тях.

 

Аз съм 100% сигурен, че имаш някакъв бацил, който при това пречи на антивирусната да го сканира (което не е особено трудно междувпрочем)

[TRIBALERO]

Не бе, не ми пречи, но нали говорим, че проблемът не е в самата флашка, а в дълбоко скрит файл нейде на харда, който периодически си създава "гадинка" на флашката...така че форматът ще "оправи" проблема само временно...

 

 

 

Това е много елементарна и в същото време - много свежа идея. Веднага ще я приложа!

 

Няма страшно ,щом можеш да си пуснеш машината всичко е тип топ

И аз вчера имах разни проблеми с т'ва пусто XP.

При едно включване ми заби ATI Catalyst Control Panel-a,при последвал рестарт ми изписа някакво съобщение (докато гледах нещо в youtube) ,че windows-a имал някакви проблеми с вирус или зловреден код,и след като затворих прозореца,explorer-a ми заби.И съм сигурен ,че проблема ще е от windows-a...пък и ме мързи да слагам hyren boot cd-то да сканирам отново.

[w00x]

... ми изписа някакво съобщение (докато гледах нещо в youtube) ,че windows-a имал някакви проблеми с вирус или зловреден код,и след като затворих прозореца,explorer-a ми заби.

 

Windows не вади такива съобщения.

[Midex]

Windows не вади такива съобщения.

 

Сигурно е въвел 2000-та година - тогава излиза не едно, а десет съобщения и забива тотално.

 

А по моя проблем - тъй като съм доста немарлив и все още нищо не съм опитал, преди малко сложих флашката да прехвърля едни файлове и хоп - гледам нова новосъздадена скрита папка, този път с друго испанско име - escuchado + elcero.exe, разбира се в комплект с дежурния autorun.inf:

 

[autorun]

USEAUTOPLAY=1

shellexecute=escuchado/elcero.exe

action=Open folder to view using Windows Explorer

ShellghuefheGheqwuhfguqk

shell\\Explore\\command=escuchado/elcero.exe

shell\Open\\command=escuchado/elcero.exe

icon=escuchado/elcero.exe

open=escuchado/elcero.exe

 

Ясно е, че гадината си променя имената, но защо при ръчно сканиране с каквото и да е, нито антивирусната, нито adware, malware и др. скенери казват, че файлът е безопасен... Гугъл също не казва нищо по въпроса, след като въведа някое от испанските имена.

Няма ли някой програмист между вас, да му пратя това exe с големина 84 Kb, за да го разгледа и ако може да прецени какво всъщност прави (освен, че стартира допълнително един svchost и не го пуска, което вече успях да установя)....

[w00x]

Гугъл нищо не ти казва, защото имената се генерират на произволен принцип, а антивирусните нищо не ти казват, защото или файла сам по себе си не е вирус, или защото са ти калпави антивирусните.

[Midex]

...защото или файла сам по себе си не е вирус, или защото са ти калпави антивирусните.

 

По-скоро вече клоня към първото - с последните дефиниции не се отчита дори като троянец, а и търсенето в регистрите не намира нищо от испанците...не съм забелязал някой да ми влиза дистанционно в компа....не са ми теглили от кредитната карта и т.н., и т.н.

[w00x]

По-скоро вече клоня към първото - с последните дефиниции не се отчита дори като троянец, а и търсенето в регистрите не намира нищо от испанците...не съм забелязал някой да ми влиза дистанционно в компа....не са ми теглили от кредитната карта и т.н., и т.н.

 

Няма и да намериш нищо в регистрите, защото търсиш грешния файл. Тези с испанските имена няма да се появят. Ще се появи главния файл, който ги генерира, ако знаеш как да го намериш.

[Midex]

Няма и да намериш нищо в регистрите, защото търсиш грешния файл. Тези с испанските имена няма да се появят. Ще се появи главния файл, който ги генерира, ако знаеш как да го намериш.

 

Знам, ама не ми пречи да опитам...а и затова си търся програмист - дедо да не ми се хвали с това и онова, ами да идва и да почва да анализира екзета!

[w00x]

Анализирайки тоя файл ще намериш само какво прави. Няма да намериш кой го стартира. Или имаш друго екзе, което ги генерира постоянно, или имаш рууткит в драйверите.

[Midex]

Анализирайки тоя файл ще намериш само какво прави.

 

Това ми е предостатъчно. Не знам как се анализира работата на едно екзе - разкомпилирва ли се първо...пуска се през друга външна програма ли...във виртуална среда ли се стартира...все ми е тая, просто искам да знам за какво се качва постоянно и каква му е задачата, а кой и откъде го качва дори не ми е толкова интересно. Затова си търся човек, който разбира нещата на по-ниско ниво.

[w00x]

Това ми е предостатъчно. Не знам как се анализира работата на едно екзе - разкомпилирва ли се първо...пуска се през друга външна програма ли...във виртуална среда ли се стартира...все ми е тая, просто искам да знам за какво се качва постоянно и каква му е задачата, а кой и откъде го качва дори не ми е толкова интересно. Затова си търся човек, който разбира нещата на по-ниско ниво.

 

Идеята ми е, че декомпилирането на файла няма да ти помогне при изчистването на инфекцията, която си си лепнал. Каква ти е анти-вирусната?

Сложи си Microsoft Security Essentials или Kaspersky и съм сигурен, че ще ти го намери. Да не говорим, че е много вероятно файла да е в RUN-а.

Какъв ти е Уиндоуса?

[djadomraz]

Знам, ама не ми пречи да опитам...а и затова си търся програмист - дедо да не ми се хвали с това и онова, ами да идва и да почва да анализира екзета!

 

Мда, ей сега почвам, до към края на идния месец ще съм готов (предполагам, до коледа със сигурност). Ти приготви 2 куфара с евро и банкнотите вътре да не са по-малки от 20 евро едната. Нямаш грижи, ще ти издам фактура за услугата...

[sheep]

Аз имах преди около 2 години подобен проблем с autorun.inf файлове... Тогава си спомням, че ползвах Flash Disinfector програмката. Тя прави нещо подобно, на предложеното по-горе в темата като решение - на всеки дял на компютъра създава директория autorun.inf, в която не може да се пише. Сега като чета темата може и да се окаже, че реално проблемът не е решен и някъде в компютъра си стоят заразени с вируси файлове. Но поне на практика се получи, че вече тези файлове не могат да се активират и да нанесат поражения.

[djadomraz]

Да да не могат. Той вируса си работи. Имаш късмет, че твоя явно нищо не прави, а само се разпространява...

[w00x]

Говорите си за вируси от преди 2 години....

Те са като софтуера. Ъпдейтват се и мутират.

[Midex]

Мда, ей сега почвам, до към края на идния месец ще съм готов (предполагам, до коледа със сигурност). Ти приготви 2 куфара с евро и банкнотите вътре да не са по-малки от 20 евро едната. Нямаш грижи, ще ти издам фактура за услугата...

 

Фактура няма да ми трябва...Иначе еврата като ги печатам на принтера цветни ли да бъдат или стават и чернобели? А за големините нямаш проблем - по 100, 200, 500...каквито кажеш, на скенера му е все едно.

 

... се наложи да сложим в главната директория на всяка флашка която се използваше празна папта с име "autorun.inf". Това блокира истинския "autorun.inf" файл който се появява на флашката след заразяването и.

 

При мен номерът не мина - гадината замества празния autorun.inf с неговия, без значение дали съм го направил скрит, "рийд онли" и т.н. Сега търся решение как да направя неизтриваем файл под XP...иначе на седмицата става без проблем...

 

П.П. Или пък направо да си взема една флашка с хардуерен превключвател, забраняващ записа и си решавам проблема от раз.

[w00x]

П.П. Или пък направо да си взема една флашка с хардуерен превключвател, забраняващ записа и си решавам проблема от раз.

 

Нищо не си решаваш от раз, защото все ще качиш информация на тая флашка, а тогава ще се копира и инфекцията. Освен това, главната зараза на компютъра ти си седи и си е активна, а това надали е единственото нещо, което прави.

 

Казах ви, че тия инфекции мутират и някаква си от преди 2 години няма нищо общо със сегашните освен главния маниер на поведение. Ъпдейтват ги, за да не могат да се махат толкова лесно.