DODATEK C WINDOWS SYSTEM32 RUNDLL32.EXE NIE ZNALEZIONO

rundll32.exe - nie znaleziono

Wysłany przez enekto w dniu 28 stycznia 2008 roku

Ja sam był taki czas.
W wyniku eksperymentów z Kaspersky, system plików został uszkodzony rundll32.exe , który jest odpowiedzialny za uruchomienie aplikacji w WinXP. Biorąc pod uwagę, że dysk startowy nie było, a ja wyłączyć Przywracanie systemu z gospodarki, sytuacja trudna - program nie działa ...
Wyjdź szybko znaleźć. Musimy utworzyć plik tekstowy, skopiuj poniższy tekst i zapisz.
Potem trzeba zmienić rozszerzenie pliku z * .txt na * .reg   i run. Zostaniesz poproszony o dodanie informacji do rejestru - pozytywnie reagować. Powinno pomóc.

Skopiuj poniższy tekst do pliku tekstowego:

Ważna aktualizacja POST: Kopiowanie tekstu wyników z tej strony po włożeniu do notebooka nie wszystkie wyświetlane poprawnie, a niektóre symbole mogą być zastąpione innymi, takimi jak cytuje MOŻE być literami. Widać to i pokrewne komentarze poniżej tych, którzy nie otrzymali.

Proponuję zatem, aby pobrać oryginalne pliki rejestru w moim archiwum >>>

//enekto.mylivepage.ru/file/145/4678_rundll32.rar

ŻADEN COPY „przez słowo»

System Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT \ .exe]
@ = »exefile»
«Content Type» = »application / x-msdownload»

[HKEY_CLASSES_ROOT \ EXE \ PersistentHandler]
@ = »{098f2470-bae0-11cd-b579-08002b30bfeb}»

[HKEY_CLASSES_ROOT \ exefile]
@ = »Zastosowanie»
«EditFlags» = hex: 38,07,00,00
«TileInfo» = »prop: FileDescription; Company; FileVersion»
«InfoTip» = »prop: FileDescription; Spółkę; FileVersion; Tworzenie ;Rozmiar"

[HKEY_CLASSES_ROOT \ Exefile \ DefaultIcon]
@ = »% 1"

[HKEY_CLASSES_ROOT \ Exefile \ powłoki]

[HKEY_CLASSES_ROOT \ exefile \ shell \ open]
«EditFlags» = hex: 00,00,00,00

[HKEY_CLASSES_ROOT \ Exefile \ powłoki \ polecenie otwarty \]
@ = »\»% 1 \ »% *»

[Hkey_Classes_Root \ Exefile \ \ powłoki runas]

[Hkey_Classes_Root \ Exefile \ \ powłoki runas \ polecenie]
@ = »\»% 1 \ »% *»

[HKEY_CLASSES_ROOT \ Exefile \ Shellex]

[HKEY_CLASSES_ROOT \ Exefile \ Shellex \ DropHandler]
@ = »{86C86720-42A0-1069-A2E8-08002B30309D}»

[HKEY_CLASSES_ROOT \ Exefile \ Shellex \ PropertySheetHandlers]

[HKEY_CLASSES_ROOT \ Exefile \ Shellex \ PropertySheetHandlers \ PEAnalyser]
@ = »{09A63660-16F9-11d0-B1DF-004F56001CA7}»

[HKEY_CLASSES_ROOT \ Exefile \ Shellex \ PropertySheetHandlers \ PifProps]
@ = »{86F19A00-42A0-1069-A2E9-08002B30309D}»

[HKEY_CLASSES_ROOT \ exefile \ Shellex \ PropertySheetHandlers \ ShimLayer Property Page]
@ = »{513D916F-2A8E-4F51-AEAB 0CBC76FB1AF8}»

[HKEY_CLASSES_ROOT \ regfile]
@ = »Wpisy rejestracji»
«EditFlags» = dword: 00100000
«BrowserFlags» = dword: 00000008

[HKEY_CLASSES_ROOT \ regfile \ DefaultIcon]
@ = hex (2) 25,00,53,00,79,00,73,00,74,00,65,00,6d, 00,52,00,6f, 00, 6f, 00,74,00,25, \
00,5c, 00,72,00,65,00,67,00,65,00,64,00,69,00,74,00,2e, 00,65 , 00,78,00,65,00 \
2c, 00,31,00,00,00

[HKEY_CLASSES_ROOT \ regfile \ powłoki]
@ = »otwarty»

[HKEY_CLASSES_ROOT \ regfile \ powłoki \ Edycja]

[HKEY_CLASSES_ROOT \ regfile \ powłoki \ edycja \ polecenie]
@ = hex (2) 25,00,53,00,79,00,73,00,74,00,65,00,6d, 00,52,00, 6f, 00,6f, 00,74,00,25, \
00,5c, 00,73,00,79,00,73,00,74,00,65,00,6d, 00,33,00,32 , 00,5c, 00,4e, 00,4f, 00, \
54,00,45,00,50,00,41,00,44,00,2e, 00,45,00,58,00,45, 00,20,00,25,00,31,00,00 \
00

[HKEY_CLASSES_ROOT \ regfile \ powłoki \ otwarty]
@ = »Mer & ge»

[HKEY_CLASSES_ROOT \ regfile \ powłoki \ polecenie otwarty \]
@ = »regedit.exe \»% 1 \ »»

[HKEY_CLASSES_ROOT \ regfile \ powłoki \ drukuj]

[HKEY_CLASSES_ROOT \ regfile \ powłoki \ druku \ polecenie]
@ = hex (2) 25,00,53,00,79,00,73,00,74,00,65,00,6d, 00,52,00, 6f, 00,6f, 00,74,00,25, \
00,5c, 00,73,00,79,00,73,00,74,00,65,00,6d, 00,33,00,32 , 00,5c, 00,4e, 00,4f, 00, \
54,00,45,00,50,00,41,00,44,00,2e, 00,45,00,58,00,45, 00,20,00,2f, 00,70,00,20, \
00,25,00,31,00,00,00

[HKEY_CLASSES_ROOT \ .lnk]
@ = »lnkfile»

[HKEY_CLASSES_ROOT \ .lnk \ Shellex]

[HKEY_CLASSES_ROOT \ .lnk \ Shellex \ {000214EE-0000-0000, C000-000000000046}]
@ = »{00021401-0000-0000-C000-000000000046}»

[HKEY_CLASSES_ROOT \ .lnk \ Shellex \ {000214F9-0000-0000-C000-000000000046}]
@ = »{00021401-0000-0000-C000-000000000046}»

[HKEY_CLASSES_ROOT \ .lnk \ Shellex \ {00021500-0000-0000-C000-000000000046}]
@ = »{00021401-0000-0000-C000-000000000046}»

[HKEY_CLASSES_ROOT \ .lnk \ Shellex \ {BB2E617C-0920-11d1-9A0B-00C04FC2D6C1}]
@ = »{00021401-0000-0000-C000-000000000046}»

[HKEY_CLASSES_ROOT \ .lnk \ ShellNew]
«Polecenie» = »rundll32.exe appwiz.cpl, NewLinkHere% 1"

[HKEY_CLASSES_ROOT \ lnkfile]
@ = »Skrót»
«EditFlags» = dword: 00000001
«IsShortcut» = »»
«NeverShowExt» = »»

[HKEY_CLASSES_ROOT \ lnkfile \ identyfikator klasy]
@ = »{00021401-0000-0000-C000-000000000046}»

[HKEY_CLASSES_ROOT \ lnkfile \ Shellex]

[HKEY_CLASSES_ROOT \ lnkfile \ Shellex \ ContextMenuHandlers]

[HKEY_CLASSES_ROOT \ lnkfile \ Shellex \ ContextMenuHandlers \ Pliki trybu offline]
@ = »{750fdf0e-2a26-11d1-a3ea-080036587f03}»

[HKEY_CLASSES_ROOT \ lnkfile \ Shellex \ ContextMenuHandlers \ {00021401-0000-0000-C000-000000000046}]

[HKEY_CLASSES_ROOT \ lnkfile \ Shellex \ DropHandler]
@ = »{00021401-0000-0000-C000-000000000046}»

[HKEY_CLASSES_ROOT \ lnkfile \ Shellex \ IconHandler]
@ = »{00021401-0000-0000-C000-000000000046}»

[HKEY_CLASSES_ROOT \ lnkfile \ Shellex \ PropertySheetHandlers]

[HKEY_CLASSES_ROOT \ lnkfile \ Shellex \ PropertySheetHandlers \ ShimLayer Property Page]
@ = »{513D916F-2A8E-4F51-AEAB 0CBC76FB1AF8}»

[HKEY_CLASSES_ROOT \ identyfikator klasy \ {00021401-0000-0000-C000-000000000046}]
@ = »Skrót»

[HKEY_CLASSES_ROOT \ CLSID \ {00021401-0000-0000-C000-000000000046} \ InProcServer32]
@ = »shell32.dll»
«ThreadingModel» = »Mieszkania»

[HKEY_CLASSES_ROOT \ identyfikator klasy \ {00021401-0000-0000-C000-000000000046} \ PersistentAddinsRegistered]

[HKEY_CLASSES_ROOT \ identyfikator klasy \ {00021401-0000-0000-C000-000000000046} \ PersistentAddinsRegistered \ {89BCB740-6119-101A-BCB7-00DD010655AF}]
@ = »{00021401-0000-0000-C000-000000000046}»
[HKEY_CLASSES_ROOT \ identyfikator klasy \ {00021401-0000-0000-C000-000000000046} \ PersistentHandler]
@ = »{00021401-0000-0000-C000-000000000046}»

[HKEY_CLASSES_ROOT \ identyfikator klasy \ {00021401-0000-0000-C000-000000000046} \ ProgID]
@ = »lnkfile»

[HKEY_CLASSES_ROOT \ identyfikator klasy \ {00021401-0000-0000-C000-000000000046} \ Shellex]

[HKEY_CLASSES_ROOT \ identyfikator klasy \ {00021401-0000-0000-C000-000000000046} \ Shellex \ MayChangeDefaultMenu]

reklama

Możesz przeskoczyć na koniec i zostawić odpowiedź. Pingowanie jest obecnie niedozwolone.

Nie znaleziono pliku C: \ WINDOS \ system32 \ RUNDLL32. EXE / WINDOWS / SQL.RU

Czasami zdarzają się sytuacje, kiedy nawet AntiVir ze zaktualizowanymi bazami danych są w stanie zapewnić odpowiedniego poziomu bezpieczeństwa dla systemu, a następnie użytkownik musi posiadać grasować w systemie w poszukiwaniu infekcji i szukać sposobów, aby ją usunąć.

Wysyłanie wykrytej infekcji deweloper nie zawsze przynosi pozytywne rezultaty, a także komunikację na forum, jak wtedy, gdy z jakichkolwiek przyczyn, nie ma dostępu do Internetu.

Zapraszam wszystkich, którzy chcą pisać tutaj, aby podzielić się swoimi osobistymi doświadczeniami ręcznie usunąć wirusy.

Bardzo ciekawe posty będą Lex'a i mutaki (o ile mi wiadomo, mutaki okazał się dzielnym wojownikiem, bez strachu poszedł jeden na jeden z zainfekowanych maszyn i ręka wyciąga ich sterty śmieci - i to jest warte dużo!).

Proponuję również, aby wyjaśnić komunikat o wykrywaniu i usuwaniu złośliwego oprogramowania w żadnej kwestii:

1. wirus

2. trojany,

3. Malvar.

Forum, proszę was, proszę, posłuchaj mojej rady z konstruktywną krytyką.

Chciałbym zacząć od zaleceń dotyczących ochrony stacji roboczej (PC) w celu uniknięcia zakażenia:

1. Przejdź do Windows 98 / ME Windows 2000 / XP, ponieważ w przeszłości nie jest ochrona serwis pliki systemowe - to znaczy, jeśli spędzasz wszelkie zmiany lub usunąć pliki systemowe, usługa automatycznie przywrócić go i wyświetlić zdarzenie w dzienniku systemowym. Zainstalować na komputerze z systemem Windows XP a drugi dodatek Service Pack (Service Pack 2).

2. Musisz zainstalować aktualizację (aktualizacje zabezpieczeń, poprawki) Systemy operacyjne stają się one dostępne na stronie internetowej firmy Microsoft://www.microsoft.com/downloads/Search.aspx?displaylang=ru

Jeżeli kopia systemu Windows otwartą dziurę, nie antywirusowe nie pomoże, ponieważ infekcja będzie nadal penetrować tę dziurę.

Nie Belarc Program Advisor (//www.belarc.com/free_download.html), Z której można dowiedzieć się niezbędne do montażu na krytycznych aktualizacjach osi, a narzędzie pokaże te pakiety usług, które należy ponownie zainstalować - w ogóle, musi mieć !!!

3. Konieczne jest zainstalowanie oprogramowania antywirusowego na komputerze, nawet jeśli plyugavenky, ale ze skanerem rezydenta (czyli, że był przetrzymywany w pamięci i skanować nowe \ zmodyfikowane pliki i procesy). Jednoczesna obecność dwóch lub nawet więcej niż praca ze skanerami antywirusowymi rezydentami jest obarczona wyglądu złamane, unicestwienie, a nie system działa. Aby być bezpiecznym, można okresowo pobierać od firm konkurencyjnych użytkowych skanery do wykrywania złośliwego oprogramowania. Zainstalowany, ale nie zaktualizowane oprogramowanie antywirusowe - taka sama jak w przypadku brakującego antywirusowego.

4. W celu ochrony przed intruzami z Internetu, trzeba mieć zaporę firewall \ (najlepiej taki, który będzie można założyć niż najbardziej bogate w funkcje, ale ze względu na brak wiedzy głupio bezczynności i transmituje troyanchiki).

5. W celu ochrony przed złośliwym oprogramowaniem (rootkita, adware, spyware, dialerów , itp). Trzeba mieć specjalne oprogramowanie.

6. W celu ochrony przed socjotechniki mózgu jest potrzebna, będzie:

a) nie do odwiedzenia stron porno i krekerskie,

b) nie używać keygen i kolejne poprawki do leczenia płatnych programów chciwości (niezawodnie znaleźć na przestrzeni sieciowej dobrowolnie rozplanowany klucz),

w ), aby nie kliknąć na linki lub wątpliwych otwartych załączników wysłanych do skrzynki odbiorczej przed nieznanymi osobami,

g) nie pozostawić swój e-mail, gdy nie uderzenie (jak również inne informacje poufne). Lepiej Sovrem przy zameldowaniu - dlaczego zupełnie obcy i nie znane ludziom komunikować swoje dane? Nie przyszedł do przechodniów na ulicy i dał im kopię paszportu!

e) nie zezwala na sąsiada na ganku - Kulnev prawdziwy hatskery Tr0yaN z przydomkiem - „trochę siedzieć w Internecie z ich dysków”, ponieważ jego komputer nagle załamał się po wyłączeniu przycisku zasilania na monitorze ;)

7. Konieczne jest, aby zapomnieć o istnieniu konta administratora i rozpocząć surfowanie Internet pod ograniczony w prawach uchetki.

Po przygodach w Internecie zostać opróżniony do folderu:

C: \ Documents and Settings \ nazwa_użytkownika \ Ustawienia lokalne \ Temp i

C: \ Documents and Settings \ nazwa_użytkownika \ Ustawienia lokalne \ Temporary Internet Files.

8. Nie należy używać przeglądarki Internet Explorer, Outlook Express i inne podróbki z Microsoft do przeglądania i czytania poczty - jest znacznie bardziej godne zastąpienie plików tych (np przeglądarek - Opera, FireFox;! Usługę pocztową - The Bat, Mozilla Thunderbird (nie mylić z wyroku Oh hit Roman Trachtenberg :)).

Wyłącz w wasze wsparcie przeglądarka plików cookie, skrypty, skrypty JavaScript, ActiveX utraty funkcjonalności w Internecie, a nawet nie można zalogginitsya (w górę) na niektórych stronach. - w takich miejscach jest lepiej oddzielnie ustanawiają zasady w przeglądarce .

9. Jeśli Compute p jest przeznaczony do użytku domowego, nie należy otwierać udostępnione pliki i foldery do folderu z cennych informacji, których nie chcesz dzielić się z kimś można ustawić atrybut „Tylko do odczytu”, ale raczej notować indywidualnych praw użytkownika ..

to zrobić: otwórz dowolny folder -> Narzędzia -> Opcje folderów ... -> Widok -> usuń zaznaczenie pola wyboru obok „Użyj prostego udostępniania plików (zalecane)”. W rezultacie właściwości dowolnego folderu (po kliknięciu prawym przyciskiem myszy na folder) do stawienia zakładkę „Zabezpieczenia”, gdzie wszystkie konta mogą być usunięte, ale ich - w końcu, tylko będziesz miał dostęp do tego folderu.

W żadnym wypadku nie rób tak z folderu WINDOWS !!!

Raz usunięty folder z wszystkimi użytkownika SYSTEM. W ciągu 5 minut pracy zaczął usterki, po restarcie widziałem biurko, na którym można było jedynie podziwiać - bez względu na to, że komputer nie reaguje, więc konto systemowe (system) nie mógł uzyskać dostępu do zasobów systemu operacyjnego !!! (GYY, oto kretynem ;)).

10. Backup - Klucz do których nie będzie miał w tej sprawie, które oderwać włosy, posypać popiołem na głowie z powodu utraty bardzo ważnych i cennych informacji! Najlepiej jest użyć CD-R, DVD-R (jak to jest możliwe, aby przerobić swoje zapomnienie).

Można wykorzystywać oprogramowanie: wbudowane oprogramowanie Windows do tworzenia kopii zapasowych, Nero BackItUp, Acronis True Image, i tak.

11. Wirusy, trojany i spyware zostać usunięte nie są po prostu porusza się w koszu, a następnie jego oczyszczania, a przy użyciu specjalnie zaprojektowanych programów. Faktem jest, że po usunięciu pliku oznacza system Windows fizycznie pozostaje na dysku twardym! Grubsza AXIS prostu czyni znak w MFT (Master File Table), który w klastrze, w którym doszło do pliku, można nagrywać i będzie żył tak długo, jak nie nadpisać. Przywracanie systemu do poprzedniego stanu może pomóc mu wyzdrowieć. Sformatować dysk twardy lub partycję, też nie usuwa plików, to tylko ponownie podzielić tabelę plików.

Zatem konieczne jest, aby podczas usuwania Programm klastrze właśnie zdobył zera, albo jeszcze lepiej - aby zaatakować go jako Tuzik na podkładce ogrzewania, rozerwał go na strzępy (rozdrobnionych, rozrzucając jego części na całym Winchester), a następnie zastępuje te części. Czasami może się to przyczynić do defragmentacji dysku twardego - jest nadzieja, że ta grupa będzie nagrywać. Również trzeba oczyścić rejestr, usuwając wszelkie odniesienia do wirusa. Mam nadzieję, że to jest dokładnie to, co dzieje się zniszczenie złośliwego oprogramowania za pomocą oprogramowania antywirusowego.

12. I najważniejsze - trzeba przestać słuchać muzyki pop i wreszcie dołączyć najwyższą i najpiękniejszą podziemnego świata (lepiej słuchać muzyki Hardcore !).

PS: najbardziej niezawodną ochronę, nierealne - jest wymyślić własny język programowania, zapisz go na swoim systemie operacyjnym (OS lub krótki osi.) I przeglądarce, aby zainstalować, powiedzmy, kalkulator „Microsha”! Nikt nie będzie miał kod źródłowy, a zatem nie będzie w stanie napisać pod wirusami, spyware lub AXIS troyanchik (zwłaszcza pod Microsha) !!!

Więcej o ochronie zalecenia można znaleźć tutaj:

//virusinfo.info/showthread.php?t=1431

//www.microsoft.com/Rus/Security/Protect/Default.mspx

Ogólne zalecenia dotyczące wykrywania i usuwania złośliwego oprogramowania:

1. Wirus - program dla realizacji jej destrukcyjnego kodu, potrzebuje procesor, pamięć i system operacyjny (zainstalowany piracką kopię systemu Windows, większość użytkowników również zrobi). Uruchomiony w pamięci wirus staje się jednym z procesów Windows.

Opis i klasyfikacja różnych typów złośliwego oprogramowania można obejrzeć tu:

//virusinfo.info/showthread.php?t=1430

//www.viruslist.com/ru/viruses/encyclopedia?chapter=152526512

2. Objawy zakażenia:

- błąd spowodowany przez zmiany w strukturze płatnych programów;

- usterka z płatnych programów, takich jak «CRC-błędzie». Wiele ochraniacze handlowe utrzymać funkcję parzystości lub integralność pliku wykonywalnego, który jest wykonany, aby chronić program przed włamaniem;

- procesy "neubivaemye". Na przykład, po wyłączeniu lub uruchom ponownie komputer przechodzi długą zakończenie procesu, a nawet komputer zawiesza się podczas zamykania;

- częste ponownego uruchomienia komputera;

- odjazdy z Internetu;

- Zakończenie programów antywirusowych;

- brak dostępu do stron internetowych firm antywirusowych;

- Błąd podczas aktualizacji antywirusa;

- niedostępność serwera uaktualnienia firmy Microsoft Corporation;

- okna wiadomości, że pliki wykonywalne są uszkodzone;

- pojawienie się nieznanego pliku w katalogu głównym

- kiedy Notatnika lub ulubionego początek Klondike (na nauskivaniyu Trojan) wyobraża sobie pełnoprawnym przeglądarkę i zaczynają agresywnie próbują dostać w intrnet

- itd, itp ....

O objawów infekcji, zobacz więcej .:

//www.viruslist.com/ru/viruses/encyclopedia?chapter=152526519

//www.softboard.ru/index.php?showtopic=37015

3. Jeśli program antywirusowy wykrywa go do złośliwych programów rozliczanych na komputerze, ale nie można go usunąć, przejdź do „Encyklopedii Wirusów”: //www.viruslist.com/ru/viruses/encyclopedia

Znajdź wg nazwy wirus, trojan, szpieg (lub jego najbliższej rodziny), oraz zgodnie z zaleceniami podanymi tam, usunąć złośliwe oprogramowanie z systemu.

PS: Cóż, przynajmniej coś naprawdę dobre, czasami bardzo potrzebne i jeszcze kogo nie powtarzane udało się stworzyć przestrzegane nas E. Kaspersky!

Jednak to nie zawsze działa: nie ma połączenia z Internetem, nie ma opisu metody usuwania, po usunięciu zwierzęcia nadal odbudowuje i itp, tj. istnieje potrzeba zbadania własnego systemu pod kątem obecności złośliwego oprogramowania.

4. W przypadku wirusa komputerowego musi jakoś działać sam. W tym celu:

a) "Uruchomienie" (patrz "Start" -> "Wszystkie programy" -> "Uruchomienie") ..

Ponadto po prostu dodanie skrótu do uruchamiania istnieć i zastąpienie uruchomienie innego pliku - zastępuje jeden z plików, które zostały już wykonane automatycznie podczas uruchamiania systemu operacyjnego. Aby zachować pierwotną wydajność pliku systemowego zostanie zmieniona i uruchomić z realizacji programu.

Jeśli zainstalowano pakiet Microsoft Office, jest prawdopodobne, że ten folder jest oznaczony „Quick Start» Microsoft Office, zmieniając ścieżkę skrótu na drodze do szkodliwego programu może być sprytnie oszukać użytkownika.

Najbezpieczniejszym rzeczą - aby zachować ten folder jest zawsze pusty.

B.) Zaplanowane zadania (patrz: "Start" -> "Panel sterowania" -> "Zaplanowane zadania"),

c) klucze rejestru odpowiedzialne za programy startowe i dll (cytują bezkrytycznie Win95 \ 98 lub WinNT):

HKLM \ SOFTWARE \ Microsoft \ WindowsNT \ CurrentVersion \ AppInit_DLLs

HKLM \ SOFTWARE \ Microsoft \ WindowsNT \ CurrentVersion \ Winlogon \ nr tyzować

(i zobaczyć działy :. Userinit i Shell)

HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run

(i zobaczyć działy :. RunOnce , że RunOnceEx, RunServices, RunServicesOnce)

HKLM \ SOFTWARE \ Microsoft \ aktywny instalator \ InstalledComponents

HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Shar edTaskScheduler

HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ ShellServiceO bjectDelayLoad

HKLM \ SYSTEM \ CurrentControlSet \ Control \ MPRServices

HKLM \ SYSTEM \ CurrentControlSet \ Services \ VxD

HKLM \ SYSTEM \ CurrentControlSet \ C kontroli twoj ego \ SessionManager

(. patrz parametr «BootExecute» - nie są zarejestrowane programy uruchamiane podczas inicjalizacji osi przed GUI i usług pobierania)

HKCU \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run

(i zobaczyć działy: RunOnce ,. RunOnceEx, RunServices, RunServicesOnce)

powyżej linii - ścieżka z rejestru oddziałów do odpowiednich klawiszy.

Można je przeglądać za pomocą wbudowanego narzędzia od Microsoft «regedit». Oto jak: "Start" -> "Uruchom" -> wpisać: regedit -> kliknij OK. W oknie, które się pojawi, kliknij na znak plus, aby dostać się do kluczowych dla nas.

g) boot.ini (dla Windows 2000 \ pliku XP) - znajduje się w katalogu głównym dysku lub partycji, który został uruchomiony system Windows (czyli tam, gdzie są katalogi: Documents and Settings, Program Files, Windows). Prawie wszyscy - jest to C: \ dysk powinien wyglądać tak: „Start” -> „Uruchom” -> wpisać: msconfig -> kliknij OK, a wystarczy spojrzeć na zbędnych wpisów, boi się niczego zmieniać.

Na przykład, ma to stanowisko:

[Nie ładującym]

timeout = 30

default = multi (0) disk (0) rdisk (0) przegroda (2) \ Okna

[systemy operacyjne]

multi (0) disk (0) rdisk (0) partition (2) \ WINDOWS = »Microsoft Windows XP Profesjonalne RU» / fastdetect / noexecute = OptOut / noguiboot / bootlogo /KERNEL=kernel.exe

wszystko, nic innego tam nie powinno być. Jeśli tak jest, wtedy zaczynają panikować i czytać uważnie - może to być droga do złośliwego oprogramowania!

win.ini plik (dla Windows 95 \ 98)

w sekcji [Windows] tego pliku, można dodać wiersze formularza «run = ścieżka». Gdzie ścieżka - pełna ścieżka i nazwa pliku wykonywalnego (na przykład «c: windowssystemspy.exe», ale bez cudzysłowów), które będą uruchamiane przy starcie systemu.

e): pliki

te config.sys / The autoexec.bat w systemie Windows 98 / Me,

config.nt katalogu / Autoexec.nt w systemie Windows 2000 / XP

e) w systemie Windows jest taka przydatna aplikacja jak rundll32.exe, a przez ten proces, można uruchomić dowolnej biblioteki. Nie jest konieczne, aby napisać w myspy.dll rundll32.exe startowego, wystarczy zarejestrować go w zainfekowanym pliku. Wtedy zobaczysz tylko ich (zainfekowane pliki, które są mało prawdopodobne, aby zostać wykryte przez Antivirus) oraz proces rundll32.exe i nic innego.

f) sektor rozruchowy dysku twardego (dysk twardy). Jest to konieczne, aby usunąć wirusa stąd po prostu przepisać bootloader, ponownie z dysku ratunkowego (które prawie nikt). Następnie użyj porady Kris Kaspersky: wziąć dysk instalacyjny systemu Windows i spróbować oszukać konfigurację - ponowny rozruch z dysku, kliknij «R», aby przywrócić, kliknij przycisk «C», aby wejść do konsoli odzyskiwania. Będziemy się prośba o podanie hasła administratora, wprowadź i dać fixmbr zespół Fixboot - że będziemy przywrócić sektor rozruchowy (sektor rozruchowy) oraz główny rekord startowy (master boot record).

PS: Ta metoda jest odpowiednia tylko dla Windows NT / XP. Ponieważ mój dysk instalacyjny należy przestrzegać inną procedurę spadać konsolę. Osobiście nigdy nie były w stanie skorzystać z tej metody (kiedy, po eksperymenty poleciał ładowarka i musiała zostać przywrócone), bo pamiętam, w czasie naciskania przycisku, aby dostać się do konsoli odzyskiwania.

W systemie Windows 98 / Me ładowarka Kopiowanie odbywa się na polecenie FDISK / MBR, a można to zrobić, a podczas pracy w środowisku Windows (za pośrednictwem sesji MS-DOS).

Zobacz startowy, klucze rejestru, odniesienia i. To może pomóc w określeniu spyware lub wirusa. Jeśli już skonfigurować swój system operacyjny i zainstalowane wszystkie niezbędne oprogramowanie, określone klucze rejestru odpowiedniego atrybutu „Reading” - to złośliwe oprogramowanie, nawet jeśli są obecne w systemie, po prostu nie może dokonać wpisu w tych kluczy rejestru, a więc nie będzie w stanie wypełniać swoje uruchomienie i tym samym psuć nerwy.

Czytaj więcej:   test 50 pytań marketingowych

5. Przejrzyj dziennik zdarzeń: "Start" -> "Panel sterowania" -> "Narzędzia administracyjne" -> "Podgląd zdarzeń".

Tam można dowiedzieć się, czy były próby zastąpić pliki systemowe Windows.

Ponadto, sprawdź te same raporty o błędach, szczególnie zwracać uwagę na nazwę użytkownika i popełnił błąd co do prawa. Jeśli to miejsce jest „użytkownik jest niezdefiniowana”, czy coś takiego, a potem cieszyć - jesteś zainfekowany!

6. Znajdź złośliwy proces ... Start «Task Manager» (Ctrl + Alt + Del) i przeglądać zakładki „Aplikacje” uruchomione programy, a na zakładce „Procesy” liczba usług działa (nie programy, jak na przykład teraz jestem tutaj nadal jest Winamp, WINWORD, a ponadto: taskmgr - to sam "Task Manager").

Policzyć liczbę uruchomionych usług. Teraz przejdź do "Start" -> "Panel sterowania" -> "Narzędzia administracyjne" -> "Usługi". Policzyć liczbę usług, które są w stanie „pracować”. Porównaj wyniki. Jeśli Menedżer zadań więcej usług, to jest to powód do paniki - jest możliwe, że jedna z usług świadczonych na podstawie ukrytego wirusa, trojana lub szpiega!

Trzeba powiedzieć o służbie svhost.exe - mogą być odzwierciedlone kilka kawałków, a każdy z nich może być ukrywanie pod tuzina różnych usług systemu Windows. Będzie to doskonały zamiennik dla Task Manager - narzędzie Process Explorer - gdy kursor znajduje się w służbie pokaże numer i nazwę usługi, ukrywając się pod tym lub innym procesie (menedżer zadań nie jest w stanie).

Jeśli wiemy, co mamy siedzi wirusa nazwał swój plik w „Task Manager” (prog Process Explorer) szukasz procesie o tej samej nazwie, a znalezienie go, zabij go (np. Następnie kliknij prawym przyciskiem myszy na nazwę procesu w Zakładka „procesy” Menedżer zadań i wybierz „Zakończ proces” lub „drzewo proces End” (aby zabić wszystkie procesy zależne)).

Trudniej jest, gdy złośliwy proces kryje się pod inną nazwą. Następnie musimy po kolei, aby zakończyć wszystkie procesy, rozmyte w Twoim imieniu i zobaczyć, który przywraca się. Jeśli to nie zadziała, to kolejka jest niezbędne do uruchomienia wszystkich zainstalowanych programów, a natychmiast po rozpoczęciu, zakończeniu ich pracy. Jeśli program pracy zatrzymał się, a był to proces, nie ma powodów, by sądzić, że proces ten jest szkodliwy, a ona zainfekowany program. Na przykład, jeśli ciągle wisi w iexplore.exe pamięci i IE jest zamknięta przez długi czas - to sugestywny (Windows ma ekran funkcji krawędzie - spróbować, można złapać myszy w dowolnym oknie programu i przesuń ją na krawędzi ekranu - jest tam całkowicie zniknąć . Tak, w ten sposób można ukryć IE, użytkownik nie może zobaczyć, co tam jest odwiedzenie swoją przeglądarkę stron). Ponadto, zmodyfikowana nazwa (iexplor.exe, iexplorer.exe, iexplare.exe i itd.) - to powód do paniki (i dla zabawy - znaleziono złośliwy proces się !!!).

Jeszcze trudniejsze, gdy taki proces jest ukryty pod nazwą usługi. Oczywiście można iść do wyżej opisanego sposobu i procesów systemowych kolej zabić, ale wtedy być przygotowany na to, że są Państwo kompletny serwis potrzebny do uruchomienia systemu Windows oraz w najlepszym przypadku będzie działać automatycznie PC blokadę a oś będzie musiał ponownie uruchomić w ciągu 10 sekund. W tym scenariuszu, najlepsze właściwości w procesie poprzez proces Explorer (lub podobnego narzędzia) aby wywoływacz programu oraz jego lokalizację (jego sposób). Jeśli deweloper M $ lub Microsoft Corporation (lub Microsoft), można uspokoić trochę (choć dane te mogą być sfałszowane). Jeśli twórca nie jest znany, lub dowolny John Doe, a ścieżka lokalizacja pliku idzie gdzieś w folderze TEMP, wtedy wszystkie pipet, znalazłeś wirus (Trojan, spyware ...).

W celu zbadania szczegółowo proces osi systemu może być specjalnie przygotowany przez pobranie certyfikat (70 Kb)://www.oszone.net/2357/Services

Na tej pomocy możemy wyrazić naszą wdzięczność do witryny użytkowników forum oszone.net i osobiście jego autora Anton Belousov :)

7. Jesteśmy patrząc na daty utworzenia. Uporządkuj pliki w folderze Windows \ System32 na dzień (i to może w innych folderów - tylko w system32 kilku użytkowników wygląda niż twórca Vira można używać) i uważnie przypatrując nowe pliki - tak wczoraj pozachera utworzony, widok ich właściwości, informacje o twórcy.

Do monitorowania integralności plików nie jest wbudowane narzędzie SFC.exe. Został on zaprojektowany, aby przetestować wszystkie wersje chronione pliki systemu operacyjnego i przywrócić je ze specjalnej pamięci podręcznej w przypadku zastąpienia lub uszkodzenia. Windows XP działa tylko z wiersza poleceń i jedynie administrator.

Parametry wiersza poleceń, które można ustawić w programie SFC są następujące:

/ scannow, - uruchamia skanowanie wszystkich chronionych plików systemowych;

/ Scanonce - ustawia pojedyncze skanowanie chronionych plików przy następnym starcie systemu;

/ Scanboot - Określa weryfikacja wszystkie chronione pliki systemowe przy każdym rozruchu systemu operacyjnego;

/ Przywrócić - przywrócenie oryginalnych ustawień programu do stanu domyślnego;

/ Purgecache - wyczyszczenie pamięci podręcznej chronione pliki programu znajduje się w folderze% SystemRoot% \ System32 \ Dllcache i natychmiastowa weryfikacja plików systemowych;

/ Cachesize = x - ustawienie rozmiaru pamięci podręcznej w megabajtach plików chronionych;

/ Enable - ustawienie ochrony plików systemowych Windows;

/? - Pomoc.

Jeśli jest to konieczne, uszkodzenie lub usunięcie pliku pamięci podręcznej dla prawidłowego funkcjonowania służby ochrony systemu plików w celu przywrócenia pamięci podręcznej przy użyciu polecenia sfc / scannow.

8. wskazano uprzednio otwarty „Security” kartę z jednego folderu i szukać tam kont. Jeśli znajdziesz coś w stylu „nieznanego konta», «S-1-5-21- ...», następnie biec w panice. Nie sądzę, że taki rachunek powinien być natychmiast usunięte (można przywrócić w ten sam sposób, nie?), To lepiej, aby przejść do zakładki „Zaawansowane” i upuść go aż do chodnika, lub nawet poniżej, nie można było go użyć w celu wyrządzenia szkody OS. A następnie obserwujemy (w tym samym Task Manager - proces pochodzi od nazwy tego uchetki?).

9. Szukasz BHO (Browser Helper Object) - asystenci, wbudowany Explorer Iexplore (odnosi się to głównie do wyszukiwania pod kątem złośliwego oprogramowania). Pozycja ta ma znaczenie dla tych, którzy zastanawiają się - dlaczego mam strona antywirusowe i przeglądarka początek wciąż się zmienia?

Przeglądarka główna rejestruje w tych kluczach rejestru:

HKEY_CURRENT_USER \ Software \ Microsoft \ InternetExplorer \ Main

i wyglądać parametru startową.

HKEY_USERS \ S-1-5-21- .... \ Software \ Microsoft \ InternetExplorer \ main

i wyglądać parametru startową.

Klucz «S-1-5-21- ....» jest podany jako przykład i może być różne na różnych maszynach.

Zobacz te opcje - jeśli www.xxx-ero.ru czy coś takiego, a potem natychmiast usunąć. Radziłbym, aby zarejestrować się w tym parametrze about: blank i ustaw mu atrybut „czytania” - problem ze stroną zostanie rozwiązany, nikt nie zmieni i przeglądarka będzie zawsze zaczynają się od pustej strony.

Przedmioty takie jak przyciski, paski narzędzi, i tak. rejestrowane w tych kluczach rejestru:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Browser Helper Objects \

Są to wartości nazwie równej CLSID przedmiotu obciążonego. Jeśli nie masz asystentów, klucz powinien być pusty, jeśli nie jest pusta, a następnie wyjąć i przypisać atrybuty do „czytać”, że nikt nie może być zarejestrowany.

W kluczu rejestru:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ CLSID

znaleźć na klucz CLSID nazwie CLSID załadowany. Jest możliwe, aby zobaczyć parametry obiektu, w tym ścieżki do biblioteki ogniwem w parametrze \ InprocServer32 \ (domyślnie) = „Ścieżka do załadowanego obiektu”

kluczy rejestru, które są odpowiedzialne za programy ładowania, adresy internetowe, obciążenia BHO w programie Internet Explorer, są również w .DEFAULT HKEY_CURRENT_USER \ i HKEY_USER. Nie zapomnij sprawdzić je dobrze.

10. Spójrz dalej, te klucze rejestru (również głównie pod kątem złośliwego oprogramowania):

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ URL \ DefaultPrefix

Domyślne ustawienie powinno być «http: //»

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ URL \ Prefiksy

powinny być parametry z następujących wartości:

«ftp» = ftp »: //»

«Gopher» = »Gopher: //»

«domu» = »http: //»

«mozaika» = »http: //

„” www „=” http: // „

nie rozwiązuje te adresy internetowe nie musi być, jeśli nie są one nadal istnieją, a następnie usunąć, wprowadź wartości domyślne i przypisać określony atrybut klucz jest” czytać”.

11. Z wbudowanym netstat Narzędzie można zobaczyć otwarte porty, zarówno TCP- i dla UDP-protokołów. To musi być uruchamiany z linii poleceń ( „Start” -> „Wszystkie programy” -> „Dodatki” -> „Command Prompt”) z kluczowymi s (że wszystkie substancje czynne zostały odzwierciedlone we wszystkich protokołów), na przykład:

netstat -a

Porty Trojan: //www.xakep.ru/magazine/xs/007/027/1.asp

Имя трояна: | Порт:

Satanz Backdoor | 666

Tłumik | 1001

WebEx | 1001

Doly Trojan | 1011

Psyber Stream Server | 1170

Ultors Trojan | 1234

VooDoo Doll | 1245

FTP99CMP | 1492

Shivka-Burka | 1600

SpySender | 1807

Shockrave | 1981

BackDoor | 1999

Krowa Trojan | 2001

Ripper | 2023

Błędy | 2115

Głębokie Gardło | 2140

Invasor | 2140

Fineasz Phucker | 2801

Masters Paradise | 30129

Portal Zagłady | 3700

WinCrash | 4092

ICQTrojan | 4590

Gniazdka de Troie | 5000

Gniazdka de Troie 1.x | 5001

Firehotcker | 5321

Blade Runner | 5400

Blade Runner 1.x | 5401

Blade Runner 2.x | 5402

Robo-Hack | 5569

Deepthroat | 6670

Deepthroat | 6771

gatecrasher | 6969

Priorytet | 6969

Remote Grab | 7000

NetMonitor | 7300

NetMonitor 1.x | 7301

NetMonitor 2.x | 7306

NetMonitor 3.x | 7307

NetMonitor 4.x | 7308

ICKiller | 7789

Portal Zagłady | 9872

Portal Zagłady 1.x | 9873

Portal Zagłady 2.x | 9874

Portal Zagłady 3.x | 9875

Portal Zagłady 4.x | 10067

Portal Zagłady 5.x | 10167

INI-killer | 9989

Senna Spy | 11000

Progenic Trojan | 11223

? Hack 99 Keylogger | 12223

G abanBus | 1245

NetBus | 1245

walnięcie-a-mol | 12361

walnięcie-a-mol 1.x | 12362

Priorytet | 16969

Millennium | 20001

NetBus 2 Pro | 20034

dziewczynę | 21544

Prosiak | 22222

Prosiak | 33333

Zło FTP | 23456

brzydki FTP | 23456

Delta | 26274

Powrót Kryza | 31337

Powrót Kryza | 31338

DeepBO | 31338

NetSpy DK | 31339

BOWhack | 31666

BigGluck | 34324

Szpieg | 40412

Masters Paradise | 40421

Masters Paradise 1.x | 40422

Masters Paradise 2.x | 40423

Masters Paradise 3 .x | 40426

gniazda de Troie | 50505

Fore | 50766

zdalnego wyłączania systemu Windows | 53001

Telecommando | 61466

diabła | 65000

rzecz | 6400

NetBus 1.x | 12346

NetBus Pro | 20034

SubSeven | 1243

NetSphere | 30100

Tłumik | 1001

Millenium | 20000

Diabeł 1.03 | 65000

NetMonitor | 7306

Streaming audio Trojan | 1170

Socket23 | 30303

Gatecrasher | 6969

Telecommando | 61466

Gjamer | 12076

IcqTrojen | 4950

Priotrity | 16969

Vodoo | 1245

Wincrash | 5742

Wincrash2 | 2583

Netspy | 1033

ShockRave | 1981

Stealth Spy | 555

karnetów Ripper | 2023

Atak FTP | 666

dziewczyną | 21554

przedniego , Schwindler | 50766

Tiny Telnet Server | 34324

Kuang | 30999

Senna Szpieg trojany | 11000

WhackJob | 23456

Phase0 | 555

BLADERUNNER | 5400

IcqTrojan | 4950

InIkiller | 9989

PortalOfDoom | 9872

ProgenicTrojan | 11223

Prosiak 0.47 | 22222

RemoteWindowsShutdown | 53001

RoboHack | 5569

Silencer | 1001

Striker | 2565

TheSpy | 40412

TrojanCow | 2001

UglyFtp | 23456

WebEx | 1001

Backdoor | 1999

Fineasz | 2801

Psyber Streaming Server | 1509

Indoktrynacja | 6939

Hakerzy Paradise | 456

Doly Trojan | 1011

FTP99CMP | 1492

Shiva Burka | 1600

Zdalne zamykanie systemu Windows | 53001

BigGluck | 34324

NetSpy DK | 31339

? Hack 99 Keylogger | 12223

INI-killer | 9989

ICQKiller | 7789

Portal Zagłady | 9875

Firehotcker | 5321

Mistrz Paradise | 40423

BO jammerkillahV | 121

Czytaj więcej:   Prawo dostępu DO WINDOWS 10

Tu jest link do innego zasobu poświęconej portów Trojan: lista Trojan, W lewej kolumnie podano portów, aw prawej - trojanami i robakami je za pomocą (i, klikając na link można dowiedzieć się więcej na temat złośliwego oprogramowania, tuż przy anielski infra).

Materiał ten został przygotowany za pomocą wyrobów (tj pożycza i ich łączenie się do pojedynczej jednostki ;)z niewielkim dodatkiem gag)

//systemnews.com.ru/?mod=art&part=winall&id=006

//systemnews.com.ru/?mod=art&part=winall&id=014

//virusinfo.info/

//www.citforum.ru/security/virus/lan_SXID/

//www.diwaxx.ru/hak/poisk-virus.php

//www.hackzona.ru/hz.php?name=News&file=article&sid=6372

//www.softboard.ru/

//www.viruslist.com/ru/viruses/encyclopedia

Następnie skupimy się na bardziej skomplikowanych metod samodzielnego wykrywania wirusów.

12. Szukaj sfałszowane pliki. Złapany i zabity przeciwwirusowych troyanchik może opuścić długą pamięć systemową o sobie, na przykład, zastępując plik explorer.exe. Naturalnie nowy plik będzie zawierał i złośliwy kod. Sposobów, aby zastąpić wiele, ale co najgorsze, gdy dwa .exe-Program (uzasadnione i złośliwy) są połączone w jedną, a potem AntiVir nic nie widzę i będziemy myśleć, że wszystko jest w porządku.

Na przykład w systemie Windows NT żetonów stworzonych z podstawieniem wygaszacz ekranu - będzie zawsze uruchamiane z uprawnieniami administratora, a jeśli możemy zastąpić go z jego akt, „dzikie myśli» Windows NT, niczego nie zauważając, wykonywać swój program!

Trzeba sprawdzić program pod kątem obecności wirusa przy użyciu menedżera plików FAR (lub Norton Commander). W kodzie programu prowadzona jest łańcuch wyszukiwania:

Ten program nie może BE bieg w trybie DOS

lub

Program ten musi być prowadzony pod Win32.

Jedna z tych linii jest zobowiązany do obecności na początku kodu programu. Wyzwaniem jest znalezienie innej takiej linii. Jeśli łańcuch znajduje się - stąd ten plik jest osadzony wirusa.

Zainfekowane pliki zostaną nadpisane przez skopiowanie z innego niezakażonych komputerze.

W ŻADNYM WYPADKU nie należy odinstalować zainfekowanego programu - można go ponownie uruchomić wirusa! Wystarczy usunąć pliki i foldery (choć nie jest łatwe, ale program, który rzucić się na nich jak Tuzik na podkładce ogrzewanie) i czyszczenia rejestru. Jeśli pliki nie są usuwane, a następnie użyć programu Unlocker - to pomoże Ci znaleźć uchwyt blokujący (tak można określić to, co Cię powstrzymuje proces - patrz punkt 4 ..) i zdjąć „nieusuwalne” plik.

Jest to przydatny program Security Manager Task ( //www.neuber.com/taskmanager/). Wszystkie funkcje programu skupiają się na identyfikacji potencjalnie niebezpiecznych modułów, jakie mogą być wirusy, trojany i Malvar. Jest możliwe, aby wysłać procesu do kwarantanny. Dzięki niemu można zobaczyć wszystkie procesy (i automatycznie sprawdza komponenty sygnatur, a niektóre z cech ich objawów, monitoruje korzystanie z funkcji systemu i na podstawie zebranych danych ocenia stopień zagrożenia każdy proces), a także uzyskać wiele informacji na temat procesu (podpisy elektroniczne, producent, Położenie i sposób uruchomienia i tp.). Ponadto, będzie to rozdzielić ciągów tekstowych zawartych w danym pliku, w tym takie:

Ten program nie może BE bieg w trybie DOS

lub

Program ten musi być prowadzony pod Win32.

13. Zobacz biblioteki dynamicznie ładowalne podejrzanego programu (.dll):

Końcówka z Kris Kaspersky.

Demontować plik używając członek personelu dostarczonego wszystkie użytkową DUMPBIN windows-kompilatora.

Uruchom go z następujących klawiszy: «DUMPDIN / importu pliku” i uzyskać pełną informację o wszystkich importowanego pliku danych, dynamicznych bibliotek i funkcji API.

Platforma SDK sam kompilator, można dowiedzieć się, co sprawia, że każdy z DLL. W szczególności, wiele robaków zdemaskować się, że biblioteka import WS2_32.DLL zawierający realizację WINSOCKS funkcje.

Funkcje te są wykorzystywane i legalne oprogramowanie, ale w każdym przypadku analiza import pozwala ustawić przybliżoną funkcjonalność programu. Jednak wirus może powodować bardzo WINSOCKS funkcje dynamicznie, tj Biblioteka na liście importowej będzie po prostu nieobecny.

Co biblioteki używane przez program mogą być oglądane z PETools programowych //www.uinc.ru/files/neox/PE_Tools.shtml

Jeśli, na przykład, na tle bibliotek systemowych% SYSTEMROOT% będzie pokazać trochę smt.dll ścieżkę, przeszłości, gdzieś w temp, a następnie natychmiast zaczynają panikować!

Trzeba ponownie uruchomić w trybie awaryjnym i usunąć z biblioteki, a następnie ponownie spowodować PETools, kliknij prawym przyciskiem myszy na znalezionego w procesie odbudowy i zrobić plik.

Z pomocą PEiD //peid.has.it/

Produkujemy ogromnych bibliotek skanowania importowane. Biblioteka z Microsoft Corporation oczywiście napisane w C ++ i Visual nie pakowane, więc jeśli widzimy pakowane lub szyfrowane bibliotekę 99% tego szkodliwego programu. Sprawdzić, czy wirus jest bardzo prosta, przenieść bibliotekę w trybie awaryjnym i zobaczyć wynik.

Jeśli nie można znaleźć zapakowany biblioteki, warto typów redaktor Restorator zasobów ( //www.bome.com/Restorator/ ) Aby sprawdzić wersję pliku, a deweloper - wszystkich bibliotek firmy Microsoft i jest napisane (M $, Microsoft Corporation, Microsoft Corporation).

14. Graj z rozszerzeń plików.

a). Nie ostrożny użytkownik może oszukać chip „Porno.jpg .exe». Myślę, że ich znaczenie jest jasne - użytkownik widzi rozszerzenie .jpg, i uważa, że jest to rysunek. Mislead promuje się Windows, który nie chce cały show jest zbyt długie nazwy plików, zmniejszając ich wyświetlaną nazwę i zastąpienie wielokropka kontynuacji: „Porno.jpg ...”.

b). Wystarczy zmienić rozszerzenie .exe, bat, i tak. do jakiegokolwiek innego, fakt ten nie ulegnie zmianie programu. Niektóre programy są bardzo dobrze rozpoznać pliki, nawet jeśli są ukryte pod innymi rozszerzeniami. Eksperyment i zobaczyć na własne oczy!

Domyślnie system Windows XP nie wyświetla rozszerzeń plików. Aby je wyświetlić, trzeba to zrobić: „Start” -> „Mój komputer” (lub po prostu otworzyć dowolny folder) -> „Usługi” -> „Opcje folderów ...” -> otwórz zakładkę „View” -> usuń zaznaczenie pola wyboru obok „Ukryj rozszerzenia dla znanych typów plików ". Teraz OS pokaże po nazwie jego rozszerzenia.

15. Rada Kris Kaspersky.

Tworzenie przynętę - plik .doc z nazwą, na przykład „numerów kart kredytowych menedżerów firmy” oraz tor do niego dostęp za pośrednictwem innych programów:

a) właściwości pliku porównanie zmian data utworzenia i plików - jeśli nie identyczne - poszukaj infekcji,

b) popularna powłoka FAR Menedżer - wystarczy nacisnąć klawisze Ctrl-5 <> do wyświetlania informacji o pełnej płyty,

c) zastosowanie narzędzia FileMon//www.sysinternals.com

(Pod tym adresem można pobrać i Regmon i Process Explorer i wiele innych przydatnych apletów aby oznaczyć Russinovichem).

W tym przypadku trzeba przesiać przez odwołanie się do przynęty użytkownika.

Chciałbym dodać, że w systemie Windows XP, można zmienić sposób wyświetlania plików w Eksploratorze Windows (na przykład, przejdź do właściwości ekranu i zakładce „Projekt” set „Classic”), a następnie będzie można zobaczyć rozmiar folderów i plików oraz datę ich powstania ,

16. Chwytanie rejestru. Oprócz oglądania powyższe klucze rejestru mają inne sposoby łapania złośliwego oprogramowania za pomocą rejestru:

a) użycie wcześniej wspomnianego narzędzia Regmon, który jest w czasie rzeczywistym programy leczenia monitor do rejestru,

b) do wykonania i porównania migawek rejestru (na przykład za pomocą programu Reg Organizer) ,

c) jeśli masz doświadczenie z rodzaju debugerów SoftICE, można ustawić punkt przerwania na dostęp do rejestru (BPX RegSetValueA, bpx RegSetValueExA) i śledzić, co program, niezależnie od standardu, odnosi się do rejestru.

17. Wskazówki od Kris Kaspersky Virus Removal.

a). Po usunięciu wirusa wymaganego pliku zostanie przywrócona z wcześniej utworzonej kopii zapasowej.

Oznacza to, że po osi instalacji, a wszystkie programy kopii zapasowej plików (na przykład za pomocą Nero BackItUp oraz wbudowany Kopia zapasowa systemu Windows), lub utworzyć pełną kopię partycji, który jest ustawiony kod PIN (na przykład za pomocą programu Acronis True Image).

b). Bardziej niezawodny sposób: Pobierz notorycznie sterylny CD-ROM (lub, co gorsza, dyskietki), usunąć folder Windows (WINNT, Windows) i Program Files, a następnie całkowicie ponownie zainstalować system operacyjny i wszystkie aplikacje.

W skrócie, niezawodnego «formacie C: \», wstępnej obróbki (usuwanie plików systemowych i folderów) Nic ;)

w tym, jak iw wielu innych przypadkach, pomoże obniżyć wersję systemu Windows - BartPE lub WinPE, można to zrobić samemu za pomocą programu PeBuilder://www.nu2.nu/pebuilder/

PeBuilder tworzy bootowalną płytę CD lub DVD z rdzenia systemu operacyjnego Windows XP / 2003. Utworzony obraz ISO z niego jest spalony, na przykład, w Nero. Razem możemy napisać kilka aplikacji z systemu operacyjnego (antywirus, antyspyware, menedżer plików, etc.). Proces tworzenia bootowalnego CD / DVD jest bardzo proste: wystarczy podać ścieżkę do pełnej dystrybucji systemu Windows, należy określić katalog, w którym pliki zostaną utworzone na dysku i uruchomić program do pracy.

W związku z tym trzeba będzie coś, co od dawna istnieje w świecie Linuksa i nazywa Live CD, z której można się zalogować, dostęp do plików i plików systemu Windows, aby wygenerować ożywienie i powrót martwego oś życia lub wymazać „nieusuwalne” pliki.

18. Sposób leczenia skrajne Systems - infekowania jego Trojan lub wirusa (patrząc od tej pory w leczeniu), metody usuwania są znane. Fakt, że Viri i troyanchiki mogą korzystać z tych samych zasobów, otwór w osi, a więc aby przeżyć trzeba najpierw znaleźć i wyeliminować konkurencję, które obejmują w niektórych swoich tworów virmeykery.

Nawiasem mówiąc, ta metoda leczenia jest od dawna znany lek - można poprosić lekarza Zack (lub z lekarzem). Oznacza to, że walka ogień ogniem, a nie przyznanie się przed rozbiciem, jeśli żaden inny złom!:)

PS: bardzo ciekawe i bardzo przydatne porady w imieniu Bardzo ładna dziewczyna Saule temat ochrony komputera i usunąć różne złośliwe oprogramowanie można znaleźć tutaj:

//www.softboard.ru/index.php?showtopic=37015

Kolejna rada na wykrywaniu i usuwaniu złośliwego oprogramowania:

//virusinfo.info/showthread.php?t=2676

//z-oleg.com/secur/advice/index.php

//z-oleg.com/secur/articles/spyhunt.php

Nadyby nadal sovetiki roboczą zabezpieczeń ... Odnoszą się one głównie do pracy z e-mail:

1. Nie używaj usług pocztowych w oparciu o Internet Explorer (Melkosoftstkie Autglyuki: Microsoft Outlook, Outlook Express), a przede wszystkim nie zapisywać wiadomości e-mail na dysku twardym!

Kłopot w dalszej części, holey IE pozwala wdrożony przez złośliwy kod, nawet jeśli nie otworzył list ze złośliwymi aplikacjami !!!

Yuzayte inne usługi pocztowe (np Mozilla Thunderbird. - Istnieje wiele innych, tylko Mozilka darmo (open source) wielkie klientów e-mail, a poza tym nie wiem, wiele innych usług pocztowych :)). Nawiasem mówiąc, ja zawsze ustawiony Mozilka, ale nie jest ustawiony, ponieważ Byłem po prostu wygodniej przeglądać wiadomości w przeglądarce - przejdź do usług pocztowych (zgadzają się ze mną ościeżnicy :)). Jednak zasada jest taka sama - jeszcze nie kliknąć na link, przeglądarka nie będzie ładować list. Zamontowane i ustawione w WinXP Mozilka jako domyślny program pocztowy może zapobiec E-mail (na mnie to nie jest skonfigurowany :)), ale jej użycie jest mało prawdopodobne viryami - łatwiejszy w użyciu Autglyuki.

Co więcej, w jednym z najbezpieczniejszych przeglądarek data Opera (z elastycznymi ustawieniami, mających na celu zapewnienie bezpieczeństwa) ma swój własny wbudowany klient poczty - bardzo wygodne (to nie jest reklama - porady, znaleźć bardziej niezawodny - będzie doradzać).

Czytaj więcej:   metodyczną stronę dla metodyków

2. Nie potrząsać Mailer wszystkie się na twarde (czyli komputer) liter - wyregulować tak, że pobiera tylko nagłówki (lub motyw), że jesteś świadomy - kto literą i co to jest, więc łatwiej pozbyć się spamu.

Dlaczego pobrać sam spam, więc nawet z załącznikami? Dbać o ruchu i zapewnienia bezpieczeństwa jego umiejętności obsługi komputera! Niech wszystkie e-maile są przechowywane na usługi poczty (wstyd będzie, jeśli skradut hasło i pudełko jest niedostępny, ale jeszcze bardziej przerażające sformatować dysk twardy z późniejszym przegrupowania systemów operacyjnych - po prostu stracić wszystkie kontakty i nie tylko).

3. Aby utworzyć konto na usługi pocztowe, gdzie domyślnym jest wyeliminowane spamu i wszystkie załączniki są skanowane Antivirus!

Zachować kilka z tych skrzynek i organizowania systemu wyszukane pereadrasatsii wiadomości z jednego do drugiego. To zajmuje więcej czasu doręczenia na piśmie, ale uwierzcie mi - warto!

Na przykład, aby utworzyć konto w usłudze, która jest sprawdzana za pomocą Casper jest filtr antyspamowy. Ten e-mail vpruzhivaem wszędzie i wszyscy, nie boi się zarejestrować na stronie z tego e-maila. Z tego konta prześle pismo do drugiej, gdzie litera i załączniki są skanowane przez Dr. WWW oraz filtr antyspamowy. Następny prześle pismo do najbardziej niezawodne usługi - także ze środków przeciwwirusowych oraz filtr antyspamowy, wybierz gdzie list pocztowych. List do komputera czeka na avast!

Można obejść takiego systemu, ale uważam, że jest to konieczne, aby ciężko pracować, aby dostać szpiega prześledzić całą drogę - w ogóle, pociąg!

Pomysł nie jest mój, któremu dziękujemy - Nie pamiętam, jak dawno przeczytać w czasopiśmie komputerowym (nie pamiętam który).

4. Argumenty przemawiające za wykorzystaniem ograniczonej konto.

Procesy używany Windows XP, prowadzona w systemie rachunku (system uchetki) o szerokim zakresie praw! Procesy, które są uruchamiane przez użytkownika, działa w imieniu i z prawa przyznane przez użytkownika.

Jeśli jesteś administratorem, to wszystkie uruchomione procesy w ich imieniu ma nieograniczone prawa, w tym wirusem (shpionchik Trojan i inne rzeczy). W rezultacie, w przypadku infekcji i wirusów i programów antywirusowych i firewall mają równe prawa, a ponadto należy pamiętać - programy antywirusowe i zapory są chronione w przypadku infekcji (jeśli stanie)!

Wynik tej walki - hamulec z komputerem, spadek wydajności, błędów i m.

W ten sposób wirus może otlyuchit firewall, anty-wirus i innych. Program, pozostawiając niezabezpieczony komputer!

Jeśli pracujesz pod ograniczonym kontem użytkownika, sytuacja zmienia się dramatycznie! Oprócz osi zakaz samego nagrywać ograniczoną użytkownika w niektórych katalogach systemowych (co samo w sobie chroni przed działaniem szkodliwego oprogramowania), antywirusowe i firewall jest zainstalowany pod administratora (w przeciwnym razie niemożliwe), pracujący w systemie uchetki! Wirus (w przypadku infekcji, podczas gdy przy użyciu ograniczonej uchetki) działa w imieniu ograniczonym użytkownika, to nie jest bardzo ograniczony w swoich prawach na mocy zakazów nałożonych przez samą oś. W tym przypadku, nie będzie w stanie konkurować na równych warunkach z przeciwwirusowych!

Na przykład, Mam użytkownika uchetki avast serwisowym!, A także firewall i rozpoczęła prace w imieniu SYSTEM. Istnieje jednak możliwość oklyuchit skanera antywirusowego rezydenta ręcznie (ale część procesu avast! W przypadku jakichkolwiek szczątków i dzieł). Ogień, zbyt, nie po prostu zrezygnować, powiedział: „procesy i zasady dostępu do Internetu Monitoring będzie nadal pracować” i rzuca z zasobnika, pozostawiając swoje procesy w pamięci komputera!

Zgadzam się - bezpiecznie! (pociąg, brutalne, widelce :)).

Nawiasem mówiąc, prawa użytkownika razgarnichenie, powinniśmy podziękować świat Unix (i wzrosła z nim na Linux, * BSD).

Otwarte Sorce - przepisy!;)

Nadyby bardziej użyteczne ssylochek o przeglądarkach (dzięki Kris Kaspersky oraz F-lu „hakerów” w grudniu 2006 roku):

- wielka lista występujących naturalnie przeglądarek:Lista przeglądarek internetowych,

- porównanie różnych przeglądarkach na różnych powodów:Porównanie przeglądarek internetowych,

ogólnie,Wikipedia - bardzo przydatna encyklopedii! :)

Następnie chcę podsumować sposoby usuwania plików (virusav, trojany i inne złośliwe oprogramowanie). Niektóre z nich zostały już określone powyżej, a wielokrotnie cytowane w Topeka Nadzorczej avast!, Ale dla wygody postanowiliśmy połączyć je w jednej wiadomości.

1. Wybierz żądany plik i przytrzymaj klawisz Shift «» kliknij «Usuń» lub «Backspace». W ten sposób plik zostanie usunięty z pominięciem Kosza. Należy jednak pamiętać, że każdy usuwanie oznacza Okna fizycznie nie usuwa plik z dysku twardego, system operacyjny po prostu nie je zobaczyć (a użytkownik sądzi, że plik nie jest obecny). W rzeczywistości, system operacyjny po prostu wyznacza klaster postaci wolnej, a plik zostanie usunięty tylko wtedy, gdy klaster składa zapis innych informacji.

2. Aby trwale usunąć plik, konieczne jest użycie specjalnego programki.

Na przykład, po usunięciu standardowego systemu operacyjnego oznacza, że plik może być używany programaAcronis Privacy Expert SuiteŻe wyczyści przestrzeni na dysku twardym.

Ponadto, można użyć specjalnych rozdrabniacze (z których jeden jest wbudowany w już nazywa się strona Privacy Expert Suite Acronis ) jakoUltrashredder,

3. Można użyć małego programuUnlocker, Wyobraźmy sobie sytuację - chcesz usunąć plik, a system operacyjny mówi, że jest zajęty i nie może być usunięty. Unlocker znajdzie blokuje wersje pliku deskryptora z procesu i wyjąć go. W ten sam sposób można dowiedzieć się, jaki proces jest odpowiedzialny za niezdolność do usunięcia plik wirusa (i dalej w górę łańcucha, znając ten proces, można użyć Process Explorer znaleźć innego wirusa .dll lub .exe).

4. Nie jest to zaskakujące, ale może być stosowany do usuwania plików wirusów .... Antywirusowe! (Za który w rzeczywistości przeznaczone). Nawiasem mówiąc, w walce z trojanami nie trzeba polegać wyłącznie na sile pojedynczego anty-wirus, a wiele z nich bardzo dobrze wyprostować różne antispayvare.

5. Uruchom ponownie w trybie awaryjnym (Start -> Wyłącz -> Uruchom ponownie komputer, gdy przód wyłączyć i na vnos a następnie pojawia się czarny ekran BIOS -> 3 razy w odstępach co 1 sekundę kliknięciem «F8» -> zobacz listę możliwych sposobów uruchamiania systemu operacyjnego -> wybierz „tryb awaryjny» (tryb awaryjny) w tym trybie, system operacyjny nie uruchamia wszystkie usługi, a tylko konieczne, nie należy ładować dobrze i programy z uruchamianiem i rejestru RUN klucze RunOnce i itp, czyli system operacyjny uruchamia się w chroniony .. tryb. można stosować i usuwania pożądanego pliku.

6. podobne działanie (jak w pkt 5) można osiągnąć w ten sposób start -.> Uruchom ... -> msconfig (lub jednocześnie nacisnąć przycisk «Windows» (jest to przycisk z logo Windows, zazwyczaj znajduje się pomiędzy «Ctrl» i «Alt») i «R» (to na Łacińska układ, natomiast kirillisticheskoy - „K»). -> msconfig w oknie, które pojawi się na «Ogólne» wybierz «uruchomienie diagnostyczny» lub «uruchamianie selektywne» (gdzie usuwamy startowego zaznaczyć) restart, usuwać pliki za pomocą msconfig (.. w zakładce „Uruchomienie”, można wyświetlić programy, które są pobierane automatycznie

OS, niektóre z nich mogą okazać się wirusy, Trojany). Jednak eksperyment z msconfig nie powinno być - nie będzie problemów!

7. Dobrym sposobem zasugerował sidrom . Podczas uruchamiania systemu operacyjnego nie tylko uruchamia usługę, ale niektóre programy niż jest czasami używane virmeykery. To również może skorzystać z nas. Utwórz plik wsadowy (plik z rozszerzeniem * .bat «»), przez które system operacyjny w czasie startu systemu usunie plik (ów).

Utwórz dokument tekstowy, otwórz go i napisać:

Kasowanie tytułu

echa plików Erasinf

erase <>

wyjście

Gdzie <> - ścieżka i nazwa pliku (na przykład C: \ WINDOWS \ system32 \ Erase.txt).

Zapisz plik i zmień rozszerzenie z .txt na .bat

Teraz plik jest konieczne, aby zarejestrować się w starcie. Istnieją dwa sposoby:

a) Start -> Wszystkie Programy -> Autostart, a następnie kliknij prawym przyciskiem myszy -> Otwórz i przejść do uruchamiania plik wsadowy,

b) Start -> Uruchom ... -> regedit HKEY_LOCAL_MACHINE -> SOFTWARE -> Microsoft -> Windows - > CurrentVersion -> RunOnce utwórz wartość ciągu (REG_SZ) o nazwie i wymazać wartość <> (czyli określić ścieżkę do pliku wsadowego stworzyliśmy i jego nazwy).

Reboot. W czasie startu, widzimy, jak szybko miga okno o nazwie «erase». Przejdź do katalogu, w którym przechowywane są pliki, które musimy usunąć, patrzeć - nie istnieją.

Podobna metoda jest stosowana i virmeykery do prowadzenia wirus \ trojany \ spayvare (ale są bardziej subtelne sposoby, takie jak poprzez Rundll), tylko wtedy, gdy udało nam się stworzyć plik wsadowy, aby wskazać «@echo off» zamiast «echo», wówczas wszystkie procedury będą przejrzyste dla użytkownika , czyli okno o nazwie «erase» w danym okresie!

Trochę więcej o plikach wsadowych, a także metod zautomatyzowanej instalacji systemu Windows można znaleźć tutaj:unattended.OSzone.netCo dziękuję Vadikan'а ;)

8. Za pomocą wcześniej określony BartPE narzędzie tworzenia okrojoną wersję systemu Windows, nagrać go na płycie CD, aby statek ten sit i uzyskać dostęp do plików na dysku twardym z możliwością sprawnego usuwania.

9. Jeśli jest druga partycja na dysku twardym, a następnie zainstalować go ea drugą kopię systemu Windows. Zrestartuj drugą kopię, możemy uzyskać dostęp do plików Pierwszy z możliwością sprawnego usuwania.

10. Sformatuj dysk twardy, ponownie zainstalować system operacyjny, :)

myślę, że istnieją inne sposoby.

Dlaczego trzeba ponownie uruchomić system operacyjny? Fakt, że procesor wykonuje żadnego kodu tylko w pamięci, tak samo albo wirus albo proces zawsze w pamięci. Ponowny rozruch uwalnia pamięci z wirusa (i) lub \ procesie (ach).

Nie ma słów, aby opisać wartość w infra bugtraq.ru

Dziękuję mindw0rk , bo jego artykuł wetknął nos w dobrym kierunku.

Tak: kto „skriptkidisy» (skrypciarzy); podstawą ich psychologii, jakie narzędzia, których używają do zgryzienia; oni zatrzeć ślady; Jak wykryć ich zaatakować i jak je złapać; Co to jest „sieć miód» (HoneyNet) - to wszystko można znaleźć czytając przekład artykułów bravovogo cykl wojownikówLance Spitznera: HoneyNet projektowe Dokumenty,

Nawet (jeśli wydruk jest łacińskie słowo, otrzymujemy nazwę starożytnego egipskiego bóstwa - TOT'a - bóg mądrości i wiedzy) jest jednym tematem - plik hosts .

O tym pliku powinna wyglądać tak:

cytat
# © Microsoft Corporation (Microsoft Corp.), 1993/99

#

# To jest przykładowy plik HOSTS używany przez Microsoft TCP / IP dla systemu Windows.

#

# Ten plik zawiera mapowania adresów IP na nazwy hostów.

# Każdy element powinien być umieszczony w osobnej linii. Adres IP powinien

# zostać umieszczone w pierwszej kolumnie, a następnie odpowiedniej nazwy.

# Adres IP i nazwa hosta powinny być oddzielone co najmniej jedną spacją.

#

# Dodatkowo, niektóre linie mogą być umieszczone komentarze

# (takie jak te), muszą przestrzegać nazwę węzła i oddzielone

# od niego symbol „#”.

127.0.0.1 localhost

Domyślnie nie ma nic bardziej nie powinny uczestniczyć. Jeśli istnieje coś, czego sam nie posiada, to jest powód do niepokoju.

PS: użytkownicy ZoneAlarm zalecamy, aby dodać do pliku hosts (C: \ WINDOWS \ system32 \ drivers \ etc) dodaje się linia:

127.0.0.1 www.zonelabs.com

więc uchronić się od przekazywania informacji z komputera do strony ZoneAlarm. I pamiętaj, że w tym przypadku nie będzie w stanie zaktualizować ognia. Aby zaktualizować, usunąć określony ciąg znaków (ale nie zapomnij dodać go ponownie po aktualizacji ..).

Nawet linki do artykułów na temat samoleczenia:

Ewolucja złośliwego oprogramowania technologii samoobrony,

Technologia wykrywania szkodliwego kodu,

PPS: przyjaciele, goście, którzy również porady własne doświadczenia w usuwaniu wirusów ręcznie - zostawić tu swoje pozycje, nie bądź chciwy - dzielił się swoimi doświadczeniami ostavlyayty odnośniki znajdujące się w radę sieci, dane korekcyjne są porady, zostaw swoją opinię na ten temat lub inna metoda ... Aby to zrobić, i otworzyć wątek.

Przed zadaniem pytania, przeczytaj FAQ i wykorzystanie wyszukiwanie, klikając w powyższy link,

Wybierz swój język

polskiangielski niemiecki hiszpański francuski włoski portugalski turecki arabski ukraiński szwedzki węgierski bułgarski estoński Chiński (uproszczony) wietnamski rumuński tajski słoweński słowacki serbski malajski norweski łotewski litewski koreański japoński indonezyjski hinduski hebrajski fiński grecki holenderski Czech duński chorwacki Chiński (tradycyjny) Filipińska urdu Azeybardzhansky ormiański Białoruski bengalski gruziński kazachski Kataloński mongolski rosyjski Tadzhitsky Tamil'skij telugu Uzbetsky


Dodaj komentarz

Twój e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *