Jump to content
BulForum.com
Guest cheese

Антивирусни програми, Adware&Spyware removers

Recommended Posts

Напротив, решавам си го...ще ти го обясня, като използвам малко повече думата "единствено" и производните й. ;)

Това, че "нещо си" седи някъде из дебрите на операционната не ме интересува особено, защото единствената му работа е да създава autorun.inf + скрита папка с испанско .exe единствено на флашката и стартира exe-то единствено и само от флашката, но не и да стартира процес от самия хард (вече се убедих в това). Освен това винаги, когато образува папката с exe-то, това аз го виждам още на момента и това става единствено и само в момента на първоначалното свързване на флашката към USB порта и никога докато работя нещо с файловете в нея.

 

П.П. А досега не съм забелязал мутирало поведение, така че просто може да е нещо едноклетъчно. :P

Share this post


Link to post
Share on other sites

Много те моля направи си архив. В ей този момент. На CD-та ако обичаш. Или на DVD-та. Би ми било много неприятно ако след няколко дена в другата тема споделиш как въпросната гад изведнъж е преценила да свърши някакъв погром. Сериозно! Пък после ако не искаш недей да я чистиш, само недей да въвеждаш номера на кредитни карти на въпросната машина никъде :)

Share this post


Link to post
Share on other sites

Нека аз пак да си кажа - ако искаш и ти се занимава пробвай да намериш в нета програмката Flash Disinfector и да я пуснш. Примерно от тук. Значи тя ще ти създаде на абсолютно всички дялове на компютъра една директория autorun.inf, в която има един файл, който пак програмката го създава. Тази директория не може да се трие или модифицира. Само където всички видове autorun ще бъдат деактивирани, но на първо време предполагам няма да е проблем. Например ако си сложиш някакво CD с autorun функция трябва сам да си пуснеш програмката или там каквото изпълнява на autorun...

Edited by sheep

Share this post


Link to post
Share on other sites

Май пак не бях достатъчно ясен...

На нито един от дяловете нямам и никога не съм имал autorun.inf + каквито и да са самосъздаващи се файлове, обвързани с някакво autorun.inf. Това се случва само върху флашки и става единствено в момента на присъединяването на флашката в системата. Така че създаването на неизтриваем autorun.inf на харда няма да ми помогне по никакъв начин.

 

@w00x, не съм чак толкова заблуден, че да търся работещо exe сред процесите...Наясно съм, че нещо работи, било през dll или от другаде, а svchost-та, стартирал се вече от самосъздалото се exe на самата флашка го терминирам ръчно и едва тогава мога да изтрия ауторъна, заедно с папката с испанското екзе...дори и ако пробвам да изкарам "безопасно" флашката, докато все още не съм терминирал процеса, получавам съобщението, че нещо на флашката работи в този момент.

Share this post


Link to post
Share on other sites

... защото единствената му работа е да създава autorun.inf + скрита папка с испанско .exe единствено на флашката и стартира exe-то единствено и само от флашката, но не и да стартира процес от самия хард (вече се убедих в това).

 

Ей ся ако ми кажеш в тва как си убеден....

И само да вметна, че факта, че не виждаш exe със странно име измежду процесите означава единствено, че вируса не е толкова елементарен. Нещо работи. Може да си сигурен в това. Сигурен съм, че не си проверил всеки един DLL файл закачен към всеки един процес. Да не говорим, че голяма част от инфекциите се стартират прикачени към svchost.exe и в процесите излиза само това име редом с още 10 легални.

Share this post


Link to post
Share on other sites

Аз не съм специалист. Как горе-долу си го представям. Значи като се вкара флашката се страртират от някъде си (на харда очевидно) няколко процеса, които са написани в този autorun.inf файл от вируса. С тази програмка се спира всякаква autorun активност. Т. е. като се вкара флашката вирусът няма как да започне да действа, защото първият файл от вируса - този autorun.inf няма как да тръгне и да си изпълни, каквото е написано вътре.

Share this post


Link to post
Share on other sites

Аз не съм специалист. Как горе-долу си го представям. Значи като се вкара флашката се страртират от някъде си (на харда очевидно) няколко процеса, които са написани в този autorun.inf файл от вируса. С тази програмка се спира всякаква autorun активност. Т. е. като се вкара флашката вирусът няма как да започне да действа, защото първият файл от вируса - този autorun.inf няма как да тръгне и да си изпълни, каквото е написано вътре.

 

Като цъкнеш на някой от дяловете в MyComputer се стартират autorun.inf файловете. Ако отвориш MyComputer и го избереш в ляво от дървото, autorun не се задейства.

 

Идеята ми е, че има инфекция и да се търсят начини да се обори е по-трудно и по-безмислено от това да се търсят начини да се изчисти.

Share this post


Link to post
Share on other sites
Това се случва само върху флашки и става единствено в момента на присъединяването на флашката в системата. Така че създаването на неизтриваем autorun.inf на харда няма да ми помогне по никакъв начин.

 

Създаването на файлове от самосебе си е невъзможно. Системата няма такава функция автоматично да слага файлове на всяка вкарана флашка. Това става само и единствено от някакъв процес. А такива саморазмножаващи се процеси ги наричаме вируси :)

Share this post


Link to post
Share on other sites

Аз не разбирам тая неговата упоритост да не иска да изчисти вируса от къде идва :) Мидексе, ще ти се вържа в компютъра и ще те изчистя на ръка за 1 час или по-малко, ако продължаваш да упорстваш толкова...

Share this post


Link to post
Share on other sites

Създаването на файлове от самосебе си е невъзможно. Системата няма такава функция автоматично да слага файлове на всяка вкарана флашка. Това става само и единствено от някакъв процес. А такива саморазмножаващи се процеси ги наричаме вируси :)

 

Дедо, неразбирането ти явно идва от...знаеш какво ще кажа, щото съм го казвал много пъти :P. Къде точно казах "от самосебе си", че не виждам нещо...Ако имаш предвид "самосъздаващи се", има доста разлика, защото заедно с това по-горе споменах "Това, че "нещо си" седи някъде из дебрите на операционната не ме интересува особено, защото единствената му работа е да създава autorun.inf + скрита папка с испанско .exe единствено на флашката"....деба...как мразя да съм толкова подробен и да се обяснявам като ученичка. :woot

 

@Ангеле, сега и до края на месеца просто нямам никакво време да се ровя надълбоко и да губя време, още повече, че дори скан с последните дефиниции не намира нищо никъде и дори ръчно сканиране на някое от испанските екзета не показва, че става дума за нещо подозрително. Именно поради това предпочитам да мина по бързата процедура и да спася флашките от постоянното създаване на такива файлове, респ. да предотвратя зарази извън и чрез тях. Засега си качих една програмка, с която ръчно мога да заключвам/отключвам флашките за писане, а като мине май месец, вече ще се поровя по-основно из регистри, библиотеки и най-вече гугъл. :))

Share this post


Link to post
Share on other sites
Това, че "нещо си" седи някъде из дебрите на операционната не ме интересува особено, защото единствената му работа е да създава autorun.inf + скрита папка с испанско .exe единствено на флашката"

 

Тъй де тъй. Имаш си вирусче, което как ръгнеш флашка и се размножава по нея :)

Share this post


Link to post
Share on other sites

Тъй де тъй. Имаш си вирусче, което как ръгнеш флашка и се размножава по нея :)

 

Разгеле, разбра ме. :punk...а иначе силно се надявам, че е някое безобидно троянче, дето дебне това и онова да го препрати някъде си и силно се надява, че чрез флашките ще може да се размножи най-бързо и другаде, ама ти като не щеш да го разкостиш онова exe...и си оставам само с надеждата, че е така. :bgrin:

 

 

П.П. А иначе днес получих в пощата си за не знам кой си път известие с логото на DHL, в което ми се извиняват, че не могат да ми доставят пратката, която съм поръчал, поради неточност в адреса. Разбира се, прилагат ми и един ZIP с EXE вътре, в което уж ми описват цялата ситуация - един вид...EXE-то ще ми разказва сладки приказки...:lol:

Само дето много плитко скалъпват всеки път тези ситуации - първо, изпратено е персонално до мен, а налучкват име, основавайки се на името на пощата ми (което е нелепо и почти абсурдно да познаят) ; второ - на "получател", освен аз, стоят и още 20 пощи с подобни имена, както моята ; трето - да пратиш exe в zip, което ръчно трябва да стартираш, че да се информираш защо не ти е доставена някаква пратка е доста малоумно. В сравнение с това, моята гадинка, дето си прави ауторън и екзе на флашката, като автоматично го пуска, си е направо висш пилотаж. :laughing:

Само не знам защо шибаната антивирусна програма прихваща и третира всеки Keygen като троянец и го трие, а ръчното сканиране на тоя зип с екзето вътре не намира нищо подозрително. :woot

Share this post


Link to post
Share on other sites

Само не знам защо шибаната антивирусна програма прихваща и третира всеки Keygen като троянец и го трие, а ръчното сканиране на тоя зип с екзето вътре не намира нищо подозрително. :woot

 

На тва с Keygen-а му се вика False Positive (един вид). Всичко опира до анти-вирусната. А не намира нищо в EXE-то от мейла ти, защото то реално може да няма зловреден код вътре, а просто да те кара на някой сайт, където през URL-а и дупки в браузъра, да ти се втъкне инфекцията.

Share this post


Link to post
Share on other sites

На тва с Keygen-а му се вика False Positive (един вид). Всичко опира до анти-вирусната. А не намира нищо в EXE-то от мейла ти, защото то реално може да няма зловреден код вътре, а просто да те кара на някой сайт, където през URL-а и дупки в браузъра, да ти се втъкне инфекцията.

 

Истината е, че "анти"-тата имат доста да догонват всичките постоянно измислящи се способи и възможности за зараза. Днес например се изумих как на флашката, на която беше забранено да се пише, мистериозно се появи ново EXE с autorun.inf , когато я присъединих. Направо не повярвах, че е възможно и веднага проверих дали мога да запиша или изтрия някакъв маловажен за мен файл на флашката - разбира се не стана, което ме наведе на мисълта, че има вероятност оная гадина на харда, дето разпространява поколението си на флашки, като усети присъединен USB стик, проверява дали софтуерно не е забранен записа и ако е - отключва го временно, създава си ауторъна + папката с екзето и отново го заключва. Ако е така - евала... :bowdown:

Share this post


Link to post
Share on other sites

Истината е, че "анти"-тата имат доста да догонват всичките постоянно измислящи се способи и възможности за зараза. Днес например се изумих как на флашката, на която беше забранено да се пише, мистериозно се появи ново EXE с autorun.inf , когато я присъединих. Направо не повярвах, че е възможно и веднага проверих дали мога да запиша или изтрия някакъв маловажен за мен файл на флашката - разбира се не стана, което ме наведе на мисълта, че има вероятност оная гадина на харда, дето разпространява поколението си на флашки, като усети присъединен USB стик, проверява дали софтуерно не е забранен записа и ако е - отключва го временно, създава си ауторъна + папката с екзето и отново го заключва. Ако е така - евала... :bowdown:

 

Антивирусните четат кода във файла и виждат какво прави, за да решат дали е вирус или не, а като се появи вирус, веднага се добавя в дефинициите. Някои са просто мутирали стари и си ги хващат, но със старото име.

Това с писането на файла зависи от това как програмата заключва флашката. Може да е просто въпрос на Permission-и.

Share this post


Link to post
Share on other sites

Някой по-сведущ по въпроса, може ли да обясни на мен, а и на останалите неориентирани като мен, каква е разликата при отварянето напр. на флашка през My Computer и Explorer? Имам предвид, че при първия начин е опасно да ти се прикачи дадено екзе с ауторън, а при втория не, но защо е така...понеже екплоръра се явява един вид като външен viewer ли?

Share this post


Link to post
Share on other sites

Някой по-сведущ по въпроса, може ли да обясни на мен, а и на останалите неориентирани като мен, каква е разликата при отварянето напр. на флашка през My Computer и Explorer? Имам предвид, че при първия начин е опасно да ти се прикачи дадено екзе с ауторън, а при втория не, но защо е така...понеже екплоръра се явява един вид като външен viewer ли?

 

През големите икони в дясната страна на MyComputer се задейства всякакъв autorun, който имаш на устройството. Било то CD или флашка. Ако цъкнеш на дървото в ляво, autorun-а не се задейства, а се прескача и ти отваря устройството за разглеждане.

Share this post


Link to post
Share on other sites

Антивирусните четат кода във файла и виждат какво прави, за да решат дали е вирус или не

Абсолютно не е вярно. Давам пример:

В инсталационния файл filerecovery-demo.exe съм скрил файла crack.exe. Естествено, операцията е направена с криптираща система, в случая RIJNDAEL 256.

Значи имаме файл във файла. crack.exe във filerecovery-demo.exe

Ето резултатите от вирустотал:

 

резултат на файла filerecovery-demo.exe със скрития в него crack.exe

https://www.virustotal.com/file/ee41824dbbdd92f8703db3a97ecc5134af779aca9d79e2ca8a2e37c664accc4a/analysis/1337283180/

 

резултат на crack.exe

https://www.virustotal.com/file/918db24ff970a3166865d840132e296b408f789e699903e837d75fb1aba8713c/analysis/1337283282/

 

Само абсолютно начинаещ и незнаещ програмист би пакетирал работата си без криптиране. Явно визираш точно този случай, но той не важи за вирусописачите.

Edited by future

Share this post


Link to post
Share on other sites

И като си го криптирал и си го набутал exe в exe, как ще го активираш?

Share this post


Link to post
Share on other sites
Естествено, операцията е направена с криптираща система, в случая RIJNDAEL 256.

....

 

И как очакваш антивирусната да разпознае криптирания код?

 

Само абсолютно начинаещ и незнаещ програмист би пакетирал работата си без криптиране. Явно визираш точно този случай, но той не важи за вирусописачите.

 

Само че антивирусната ще засече код, който е маркиран като опасен или е близко до такъв според разни евристики. Що не пробваш към ехе-то на photoshop да залепиш крак с вирус - примерно така:

 

copy photoshop.exe + crack.exe virustest.exe

 

Пробвай така пък ела се обади ако не го хване.

 

А за криптирането - има вируси, които се криптират и които мутират. Работата е там, че за да се декодира все ще има част, която да го прави. И те ей по тази част го хващат. Отделно ОС-а създава спънки при опит за стартиране на памет, маркирана като данни, т.е. за да се стартира обикновено се налага да се разкодира и евентуално запише на диска. Последното говоря леко наизуст - поправи ме ако греша.

Share this post


Link to post
Share on other sites

Нека и аз се включа, тъй като имах такъв проблем :)

Трябваше да изчистя един лаптоп от вируси, взех го вкъщи и започнах работа.... от самия лаптоп се пробвах да изтегля антивирусна но никакъв успех. Веднага щом напиша думата антивирус или вирус или име на някоя антивирусна например AVG или spyware и всичко останало автоматично ми се затваряха всички прозорци. Пробвах да пренеса с флашка инсталация на антивирусна от моя комп, но на лаптома беше невузможно стартирането и, затваряше се. Резултата беше заразен лаптоп и моя комп също + флашката :) Постоянно ми се стартираха разни измислени процеси и моите AVG и Spyware програми уж триеха нещата, но след рестарт пак същото. С много ровене из нет-а намерих спасението, с което се отървах от всичко - CureIt! се казва (Dr.Web CureIt!). Той е само 1 файл около 80мб - теглиш го, стартираш и сканираш, намира неочаквано много гадинки и ги маха. CureIt не може да се ъпдейтва, излизат с нови дефиници всеки ден и трябва наново да се тегли. Не съм много сигурен, но мисля че като си го изтеглиш можеш само 1 път да го ползваш, ако искаш пак - теглиш. И винаги е с различно име от произволни символи. (Например zcsq3a74.exe). На лаптопа единствено това не ми се засичаше като антивирусна и можех да стартирам. Не можах да повярвам, че ми излекува всичко :)

Все пак е само едно exe и не е голяма играчка, пробвай.

Share this post


Link to post
Share on other sites

Проверих две теми за боот-проблеми и двете заключени и за да не ставам лош за пореден път ще пиша тук, ако греша извинете.

 

Стана ужасен проблем. Компютърът ми се рестартира като преди това ми дава син екран. За втори път ми се случва; първият път вирус ми беше изтрил някакъв Уиндоус файл и като го преинсталирах и се оправи..

Сега същата работа, но още по-зле, сега ми е изтрит драйвера на харда и никаква възможност за преинстал на Уиндоус (самия Уиндоус ми казва че неможе да се инсталира защото има проблем с драйвера на харда).

Дори като сложа диска за драйверите на дъното не го приема защото пак заради липса на драйвер.

Видял съм се в чудо, незнам какво да правя.

Моля помогнете, Благодаря ви.

Share this post


Link to post
Share on other sites

А защо си сигурен, че е вирус?

 

Ами вариантите които ми казаха че са: - Или е вирус или е хак атака. Предния път го оправих, но сега няма управия, три боотабъл диска пробвах, но един резултат " не може заради драйвер на харда и клик F3 to quit.

Какво да правя :(.

Share this post


Link to post
Share on other sites

Какво е хак-атака? Каква ти е анти-вирусната? Какво ти е дъното и какъв ти е твърдия диск? Да не би случайно да ти е стар хардуера и да иска драйвер за SATA?

Под Уиндоус не зарежда ли изобщо? Ако зарежда, няма как да ти е прецакан драйвера.

 

Под Safe Mode зарежда ли?

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...

×
×
  • Create New...