Jump to content
BulForum.com
Guest cheese

Антивирусни програми, Adware&Spyware removers

Recommended Posts

Флашката е флашка. Тя няма буут. Форматирането ще я оправи. Но проблема не ти е на флашката.

 

+1

 

това exe на компютъра ти може да се казва съвсем различно... ако изобщо го има там, и ако изобщо може да се открие защото по-умните вируси се закачат където трябва и се крият качествено вкл. от антивирусните камо ли от теб

Edited by djadomraz

Share this post


Link to post
Share on other sites

+1

 

това exe на компютъра ти може да се казва съвсем различно... ако изобщо го има там, и ако изобщо може да се открие защото по-умните вируси се закачат където трябва и се крият качествено вкл. от антивирусните камо ли от теб

 

Да, малко омотах въпроса, понеже докато пишех поста, вършех още няколко работи, а после излязох и не го поправих. :huh: Точно имах предвид "буут"-та на харда, но не си личи така както е написано. Най-вероятно на харда е с друго име или в област, в която се покрива успешно.

 

@Ангеле, естествено, че съм проверил и в системните файлове, а за какви отметки говориш - не схванах...

Share this post


Link to post
Share on other sites

...Има и друго - от време на време на флашката забелязвам новопоявила се скрита папка, в която обикновено има само едно ".exe", а на първо ниво над директориите най-често се мъдри един "autorun.inf", който препраща към това ".exe". Най-често не мога просто да го изтрия с "DEL", защото вече е в процес на използване,....

Това означава заразен комп у вас. С тази гадина нашият сисадмин се бори с помощта на Microsoft Safety Scanner в Safe Mode режим на виндовса. После следва ръчно чистене на подозрителни файлове в \\Windows\Prefetch (според колегата това са файлове имената на които започват със цифри) и на подозрителни обекти от autorun секцията на операционнтата система.

Share this post


Link to post
Share on other sites

Да, малко омотах въпроса, понеже докато пишех поста, вършех още няколко работи, а после излязох и не го поправих. :huh: Точно имах предвид "буут"-та на харда, но не си личи така както е написано. Най-вероятно на харда е с друго име или в област, в която се покрива успешно.

 

@Ангеле, естествено, че съм проверил и в системните файлове, а за какви отметки говориш - не схванах...

 

Цъкаш Show Hidden, махаш отметката на Hide Protected System Files, после цъкаш OK.

Затваряш прозорчето и го отваряш пак да видиш дали настройките все още са така, както си ги направил.

Някои инфекции си пазят настройките и не ти позволяват да покажеш скритите и системните файлове и си ги връщат.

 

Пробвай с това, за да си видиш дали MBR-то ти е инфектирано.

 

http://majorgeeks.com/MBRCheck_d7076.html

Share this post


Link to post
Share on other sites

А проверил ли си диска стартирайки ОС от друг чист диск?

 

Тц.

 

Това означава заразен комп у вас. С тази гадина нашият сисадмин се бори с помощта на Microsoft Safety Scanner в Safe Mode режим на виндовса. После следва ръчно чистене на подозрителни файлове в \\Windows\Prefetch (според колегата това са файлове имената на които започват със цифри) и на подозрителни обекти от autorun секцията на операционнтата система.

 

Ще опитам и по метода на сисадмина...въпреки, че се чудя защо си плащам лиценз на Norton IS, след като изпищява само когато гадинката е вече на флашката, а не прихваща проблема още на харда. :ninja: ...а иначе не пропуска да изпищи на всеки Keygen, че е троянец....

 

Цъкаш Show Hidden..................

 

Ааа, за тези ли - откакто изобщо имам компютър и правя нова инсталация, една от първите ми работи след като приключи инсталацията на OS, е да открия системните файлове, да променя да се показват скритите, както и винаги да се виждат окончанията на файловете....така, че това отпада като вариант.

Share this post


Link to post
Share on other sites

Забравих да напиша още нещо - когато проблема с бубата във фирмата набъбна сериозно се наложи да сложим в главната директория на всяка флашка която се използваше празна папта с име "autorun.inf". Това блокира истинския "autorun.inf" файл който се появява на флашката след заразяването и.

Share this post


Link to post
Share on other sites

...а за флашката - какво ти пречи да я форматираш?

 

Не бе, не ми пречи, но нали говорим, че проблемът не е в самата флашка, а в дълбоко скрит файл нейде на харда, който периодически си създава "гадинка" на флашката...така че форматът ще "оправи" проблема само временно...

 

Забравих да напиша още нещо - когато проблема с бубата във фирмата набъбна сериозно се наложи да сложим в главната директория на всяка флашка която се използваше празна папта с име "autorun.inf". Това блокира истинския "autorun.inf" файл който се появява на флашката след заразяването и.

 

Това е много елементарна и в същото време - много свежа идея. Веднага ще я приложа! :bowdown:

Share this post


Link to post
Share on other sites

Това е много елементарна и в същото време - много свежа идея. Веднага ще я приложа! :bowdown:

 

Което няма да те отърве от вируса и не е ясно той какво прави. Затова най-добре инсталирай на нов дял windows но гледай да си boot-нал от CD-то. Сложи една антивирусна и сканирай. За 30 минути операция е... освен яко нямаш някакъв шантав хардуер като моя но и тогава пак не е кой знае каква болката, на мен винаги ми е по-сложно намирането на live CD което да тръгне кадърно и да ми познае дисковете, отколкото да сложа нов Windows на някой от дяловете (пък тях имам в изобилие). Не е 100% щото ако се качва още от master boot-a няма да стане, но тези вируси са единици а това което имаш ми изглежда доволно малоумно, че да е от тях.

 

Аз съм 100% сигурен, че имаш някакъв бацил, който при това пречи на антивирусната да го сканира (което не е особено трудно междувпрочем)

Share this post


Link to post
Share on other sites

Не бе, не ми пречи, но нали говорим, че проблемът не е в самата флашка, а в дълбоко скрит файл нейде на харда, който периодически си създава "гадинка" на флашката...така че форматът ще "оправи" проблема само временно...

 

 

 

Това е много елементарна и в същото време - много свежа идея. Веднага ще я приложа! :bowdown:

 

Няма страшно ,щом можеш да си пуснеш машината всичко е тип топ :lol:

И аз вчера имах разни проблеми с т'ва пусто XP.

При едно включване ми заби ATI Catalyst Control Panel-a,при последвал рестарт ми изписа някакво съобщение (докато гледах нещо в youtube) ,че windows-a имал някакви проблеми с вирус или зловреден код,и след като затворих прозореца,explorer-a ми заби.И съм сигурен ,че проблема ще е от windows-a...пък и ме мързи да слагам hyren boot cd-то да сканирам отново.

Share this post


Link to post
Share on other sites

... ми изписа някакво съобщение (докато гледах нещо в youtube) ,че windows-a имал някакви проблеми с вирус или зловреден код,и след като затворих прозореца,explorer-a ми заби.

 

Windows не вади такива съобщения.

Share this post


Link to post
Share on other sites

Windows не вади такива съобщения.

 

Сигурно е въвел 2000-та година - тогава излиза не едно, а десет съобщения и забива тотално. :lol:

 

А по моя проблем - тъй като съм доста немарлив и все още нищо не съм опитал, преди малко сложих флашката да прехвърля едни файлове и хоп - гледам нова новосъздадена скрита папка, този път с друго испанско име - escuchado + elcero.exe, разбира се в комплект с дежурния autorun.inf:

 

[autorun]

USEAUTOPLAY=1

shellexecute=escuchado/elcero.exe

action=Open folder to view using Windows Explorer

ShellghuefheGheqwuhfguqk

shell\\Explore\\command=escuchado/elcero.exe

shell\Open\\command=escuchado/elcero.exe

icon=escuchado/elcero.exe

open=escuchado/elcero.exe

 

Ясно е, че гадината си променя имената, но защо при ръчно сканиране с каквото и да е, нито антивирусната, нито adware, malware и др. скенери казват, че файлът е безопасен...:confused Гугъл също не казва нищо по въпроса, след като въведа някое от испанските имена.

Няма ли някой програмист между вас, да му пратя това exe с големина 84 Kb, за да го разгледа и ако може да прецени какво всъщност прави (освен, че стартира допълнително един svchost и не го пуска, което вече успях да установя)....

Share this post


Link to post
Share on other sites

Гугъл нищо не ти казва, защото имената се генерират на произволен принцип, а антивирусните нищо не ти казват, защото или файла сам по себе си не е вирус, или защото са ти калпави антивирусните.

Share this post


Link to post
Share on other sites

...защото или файла сам по себе си не е вирус, или защото са ти калпави антивирусните.

 

По-скоро вече клоня към първото - с последните дефиниции не се отчита дори като троянец, а и търсенето в регистрите не намира нищо от испанците...не съм забелязал някой да ми влиза дистанционно в компа....не са ми теглили от кредитната карта и т.н., и т.н.

Share this post


Link to post
Share on other sites

По-скоро вече клоня към първото - с последните дефиниции не се отчита дори като троянец, а и търсенето в регистрите не намира нищо от испанците...не съм забелязал някой да ми влиза дистанционно в компа....не са ми теглили от кредитната карта и т.н., и т.н.

 

Няма и да намериш нищо в регистрите, защото търсиш грешния файл. Тези с испанските имена няма да се появят. Ще се появи главния файл, който ги генерира, ако знаеш как да го намериш. :)

Share this post


Link to post
Share on other sites

Няма и да намериш нищо в регистрите, защото търсиш грешния файл. Тези с испанските имена няма да се появят. Ще се появи главния файл, който ги генерира, ако знаеш как да го намериш. :)

 

Знам, ама не ми пречи да опитам...а и затова си търся програмист - дедо да не ми се хвали с това и онова, ами да идва и да почва да анализира екзета! :woot

Share this post


Link to post
Share on other sites

Анализирайки тоя файл ще намериш само какво прави. Няма да намериш кой го стартира. Или имаш друго екзе, което ги генерира постоянно, или имаш рууткит в драйверите.

Share this post


Link to post
Share on other sites

Анализирайки тоя файл ще намериш само какво прави.

 

Това ми е предостатъчно. Не знам как се анализира работата на едно екзе - разкомпилирва ли се първо...пуска се през друга външна програма ли...във виртуална среда ли се стартира...все ми е тая, просто искам да знам за какво се качва постоянно и каква му е задачата, а кой и откъде го качва дори не ми е толкова интересно. Затова си търся човек, който разбира нещата на по-ниско ниво. ;)

Share this post


Link to post
Share on other sites

Това ми е предостатъчно. Не знам как се анализира работата на едно екзе - разкомпилирва ли се първо...пуска се през друга външна програма ли...във виртуална среда ли се стартира...все ми е тая, просто искам да знам за какво се качва постоянно и каква му е задачата, а кой и откъде го качва дори не ми е толкова интересно. Затова си търся човек, който разбира нещата на по-ниско ниво. ;)

 

Идеята ми е, че декомпилирането на файла няма да ти помогне при изчистването на инфекцията, която си си лепнал. Каква ти е анти-вирусната?

Сложи си Microsoft Security Essentials или Kaspersky и съм сигурен, че ще ти го намери. Да не говорим, че е много вероятно файла да е в RUN-а.

Какъв ти е Уиндоуса?

Share this post


Link to post
Share on other sites

Знам, ама не ми пречи да опитам...а и затова си търся програмист - дедо да не ми се хвали с това и онова, ами да идва и да почва да анализира екзета! :woot

 

Мда, ей сега почвам, до към края на идния месец ще съм готов (предполагам, до коледа със сигурност). Ти приготви 2 куфара с евро и банкнотите вътре да не са по-малки от 20 евро едната. :lol: Нямаш грижи, ще ти издам фактура за услугата...

Share this post


Link to post
Share on other sites

Аз имах преди около 2 години подобен проблем с autorun.inf файлове... Тогава си спомням, че ползвах Flash Disinfector програмката. Тя прави нещо подобно, на предложеното по-горе в темата като решение - на всеки дял на компютъра създава директория autorun.inf, в която не може да се пише. Сега като чета темата може и да се окаже, че реално проблемът не е решен и някъде в компютъра си стоят заразени с вируси файлове. Но поне на практика се получи, че вече тези файлове не могат да се активират и да нанесат поражения.

Share this post


Link to post
Share on other sites

Да да не могат. Той вируса си работи. Имаш късмет, че твоя явно нищо не прави, а само се разпространява...

Share this post


Link to post
Share on other sites

Говорите си за вируси от преди 2 години....

Те са като софтуера. Ъпдейтват се и мутират.

Share this post


Link to post
Share on other sites

Мда, ей сега почвам, до към края на идния месец ще съм готов (предполагам, до коледа със сигурност). Ти приготви 2 куфара с евро и банкнотите вътре да не са по-малки от 20 евро едната. :lol: Нямаш грижи, ще ти издам фактура за услугата...

 

Фактура няма да ми трябва...Иначе еврата като ги печатам на принтера цветни ли да бъдат или стават и чернобели? А за големините нямаш проблем - по 100, 200, 500...каквито кажеш, на скенера му е все едно. :laughing1:

 

... се наложи да сложим в главната директория на всяка флашка която се използваше празна папта с име "autorun.inf". Това блокира истинския "autorun.inf" файл който се появява на флашката след заразяването и.

 

При мен номерът не мина - гадината замества празния autorun.inf с неговия, без значение дали съм го направил скрит, "рийд онли" и т.н. Сега търся решение как да направя неизтриваем файл под XP...иначе на седмицата става без проблем...:unsure:

 

П.П. Или пък направо да си взема една флашка с хардуерен превключвател, забраняващ записа и си решавам проблема от раз.

Share this post


Link to post
Share on other sites

П.П. Или пък направо да си взема една флашка с хардуерен превключвател, забраняващ записа и си решавам проблема от раз.

 

Нищо не си решаваш от раз, защото все ще качиш информация на тая флашка, а тогава ще се копира и инфекцията. Освен това, главната зараза на компютъра ти си седи и си е активна, а това надали е единственото нещо, което прави.

 

Казах ви, че тия инфекции мутират и някаква си от преди 2 години няма нищо общо със сегашните освен главния маниер на поведение. Ъпдейтват ги, за да не могат да се махат толкова лесно.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...

×
×
  • Create New...