Думаю, не каждый из нас знает о существовании весьма полезной программульки Process Monitor, которая не просто высвечивает все активные процессы на локальном Windows компе, но и показывает :
- командную строку, из которой стартовал процесс + многие другие полезные вещи, которые позволяют найти источники паразитических программ, "залетевших" на локальный комп из инета.
С помощью этого Process Monitor-а (или других схожих утилит), принципе, можно устранить неприятности, которые не видны антивирусами и Spy Fighter-ами.
Надо только
- внимательно посмотреть, откуда и когда стартовал сомнительный процесс
- найти .exe файл и .dll и удалить его
часто, "паразитеческие" exe-файлы имеют имена, схожие с именами нормальных системных файлов... типа lsass.exe , svchost.exe и т.д.
но они находятся не папке Windows/System32 , а в других местах - чаще всего в местах, доступных для сохранения из Internet Exployer
Я вот подумал, а как народ "борется" со всякой дрянью, которая попала на комп из инета ???
Почему бы самому не проделать работу по удалению, не прибегая к антивирусам, с которыми возникают дополнительные мороки с установкой, регистрацией, постоянными апдейтами и т.д. ???
Просто и эффективно!
Это сообщение отредактировал JeyLo - 07-03-2007 - 23:17
| QUOTE (barrakuda @ 04.03.2007 - время: 03:07) |
| Уже не первый год использую браузер Опера, результат - НИ ОДНОГО трояна и пр. ерунды. А как известно, вирусы в основном грузятся через Интернет Експлорер и Аутлук Экспресс. Они самые популярные проги, поэтому их и атакуют. |
Я тоже очень давно ей пользуюсь. У оперы кеш устроен совсем по-другому (cache4), попавший туда "простой" вирус в основном теряется и тупо зависает.. но попади он в "Temporary Internet Files", начнутся беды..
Но нельзя исключать что существуют вирусы и трояны под оперу, мазилу и другие браузеры..
Это сообщение отредактировал Холод - 05-03-2007 - 04:33
И черви тоже будут "размножаться" и "крошить" всё сущее независимо от того куда их занесёт.
В остальном я не мастер, но думаю много ещё живности есть котороя живет сама по себе, а не следует точным командам..
Это сообщение отредактировал Холод - 05-03-2007 - 04:35
| QUOTE (Холод @ 05.03.2007 - время: 03:17) | ||
Я тоже очень давно ей пользуюсь. У оперы кеш устроен совсем по-другому (cache4), попавший туда "простой" вирус в основном теряется и тупо зависает.. но попади он в "Temporary Internet Files", начнутся беды.. Но нельзя исключать что существуют вирусы и трояны под оперу, мазилу и другие браузеры.. |
Вирус не "теряется" и "зависает" в кэше Оперы :) Просто у каждой программы свои уязвимости, и то, что для Експлорера "смерть", то для Оперы вообще безразлично :) И дело не в непогрешимости Оперы, просто этим браузером пользуются избранные, а Експлорер на каждой винде. Находить дырки в браузере, которым пользуются 90% сёрферов и писать вирусы под него намного эффективнее. Ну и да, конечно, пользователь должен знать, что не стоит бездумно тыкать на любой файл, который пришел тебе по почте или который ты скачал, уже не помня откуда. Ну а если не бродить по всяким злачным местам, варёзникам да порникам, то можно спокойно пользоваться и Експлорером. Ясное дело, что на Рамблере или Секснароде тебе не будут заражать, подсовывая странички с "сюрпризом":)
| QUOTE (barrakuda @ 05.03.2007 - время: 05:04) |
| Вирус не "теряется" и "зависает" в кэше Оперы :) Просто у каждой программы свои уязвимости, и то, что для Експлорера "смерть", то для Оперы вообще безразлично :) И дело не в непогрешимости Оперы, просто этим браузером пользуются избранные, а Експлорер на каждой винде. Находить дырки в браузере, которым пользуются 90% сёрферов и писать вирусы под него намного эффективнее. Ну и да, конечно, пользователь должен знать, что не стоит бездумно тыкать на любой файл, который пришел тебе по почте или который ты скачал, уже не помня откуда. Ну а если не бродить по всяким злачным местам, варёзникам да порникам, то можно спокойно пользоваться и Експлорером. Ясное дело, что на Рамблере или Секснароде тебе не будут заражать, подсовывая странички с "сюрпризом":) |
А я о чём говорю? Я имел в виду, под "потерялся" и "завис", то что он не имеет возможности выполнить заложенную в него команду. Вернее команда попадает не под те условия когда может быть выполнена.
Лично я просто не представляю как вообще можно эксплорером и "насадками" к нему (макстон к примеру) пользоваться, это как на велосипеде с квадратным колесом ездить.. Очень громоздко и не удобно..
Это сообщение отредактировал Холод - 05-03-2007 - 10:46
| QUOTE (Format C @ 03.03.2007 - время: 20:07) |
| - внимательно посмотреть, откуда и когда стартовал сомнительный процесс - найти .exe файл и .dll и удалить его |
Вирус может припаразитится к уже существующему процессу, который к примеру если прервать, то винда не будет работать. Но эта сволочь может "прилипнуть" к нему вроде как только в момент перезагрузки..
| QUOTE (barrakuda @ 05.03.2007 - время: 05:04) |
| Ну и да, конечно, пользователь должен знать, что не стоит бездумно тыкать на любой файл, который пришел тебе по почте или который ты скачал, уже не помня откуда. Ну а если не бродить по всяким злачным местам, варёзникам да порникам, то можно спокойно пользоваться и Експлорером. Ясное дело, что на Рамблере или Секснароде тебе не будут заражать, подсовывая странички с "сюрпризом":) |
Любопытство фрайера сгубило..
Я как-то так попался, какой-то "доброжилатель" подкинул мне как-то ссылочку по Аське.. Я зашёл.. Открыл правда эксплорером..
Тут я отступлюсь немного.. Касперский не надёжный антивирус.. Это я понял когда где-то на на заразе 20-той он перестал работать..
В течении 30-ти секунд я подхватил больше полусотни различных вирусов и троянов.. Кстати обычное разбитие винта всего на два тома (C: и D:) тоже подводит, потому что неизвестного типа черви сразу нашли к нему путь, и через 5 минут они размножились так (благо инфу они не жрали), что на D просто не оставалось свободного места; диспечер задач заблокировала какая-то вредоносноя программа, которая каким-то образм оказалась в "моих документах", ещё какая-то дрянь запретила установку новых программ.. Ещё что-то заполнило оперативную память.. Другая тварь стала стирать проги по списку "установки и удалению программ".. Короче винда УМЕРЛА в страшных мучениях.. "С" отформатировал и перебил вмнду, на "D" рука не поднялась (200 гигов милого душе мусора)..
NOD32 антивир не плохой, с его помощью мне кое-как удалось подлечить "D", червь размножился до нескольких миллионов особей, многие видео и фото файлы оказались вдруг заражены троянами, кое что приходилось удалять в ручную.. но полностью излечить не удалось.. На винте до сих пор летят кластеры (не знаю даже что это вызывает), едва успеваю востанавливать его (HDD regenerator), частенько пробивается ещё какая-то падаль..
Это сообщение отредактировал Холод - 05-03-2007 - 14:37
| QUOTE (barrakuda @ 05.03.2007 - время: 05:04) |
| Вирус не "теряется" и "зависает" в кэше Оперы :) Просто у каждой программы свои уязвимости, и то, что для Експлорера "смерть", то для Оперы вообще безразлично :) |
В кэше эксплорера содержатся системные файлы, являющиеся неотъемлемой частью винды, некоторые из них даже невозможно просмотреть (пытался через все файловые менеджеры что знаю)..
Вероятно это и есть слабое место в которое и направлено большинство "заразы"..
| QUOTE (Холод @ 05.03.2007 - время: 01:44) | ||
Вирус может припаразитится к уже существующему процессу, который к примеру если прервать, то винда не будет работать. Но эта сволочь может "прилипнуть" к нему вроде как только в момент перезагрузки.. |
безусловно.
на свете нет ничего идеального, равно как и не бывает идеальных советов на все случаи жизни. Но...
1. Вирус - от на то и вирус, что бы "прилипать" к существующим программам...
Но я заметил, что из инета в последнее время прут не столько вирусы, сколько "трояны" и подобная им дрянь, которая стартует самостоятельным процессом.
2. В нашем распоряжении есть такой прекрасный параметр, как время последней модификации того или иного системного файла.
Если "высветить" все файлы, модифицированные с момента появления на компе... хм - странностей... можно тоже много чего найти и очистить.
Это сообщение отредактировал Format C - 06-03-2007 - 06:52
он совсем может стать невидим(так называемые rootkit) Со мной было такое один раз, когда я по собственной неосторожности отключил файерволл в системе 
Тогда, кстати, выручил Каспер, который заблокировал загрузку вирусного процесса. Но вот подозрительная служба с интересным именем NETPT осталась и нормальный процесс svchost каждые 10 секунд настойчиво рвался в инет на какой-то ip,явно хотел подгрузить мне ещё дряни 
Естественно доступ на этот айпи я ему закрыл, с помощью файервола(использую outpost), но вот подозрительный драйвер новоиспеченной службы NETPT пришлось удалять вручную из системной папки. После удаления, безобразия svchost прекратились Когда только появился у меня интернет и я был полнейшим чайником, тогда, помню, нахватался этих троянов до чертиков 
А сейчас.. уже и забыл о них.. Антивирус у меня выключен, чтобы не тормозил работу, пользуюсь им только когда надо проверить конкретный файл. Вообщем Опера плюс Аутпост- и всё в порядке! 
| QUOTE (Холод @ 05.03.2007 - время: 20:41) | ||
В кэше эксплорера содержатся системные файлы, являющиеся неотъемлемой частью винды, некоторые из них даже невозможно просмотреть (пытался через все файловые менеджеры что знаю).. Вероятно это и есть слабое место в которое и направлено большинство "заразы".. |
А Тотал Коммандером пробовали? У меня все файлы он просматривает через свой просмотрщик.. В винде есть возможность включить просмотр скрытых файлов, может в этом дело? А в том, что Опера удобнее чем Експлорер полностью солидарен
Респект брату по оружию! 
| QUOTE (barrakuda @ 06.03.2007 - время: 06:39) | ||||
А Тотал Коммандером пробовали? У меня все файлы он просматривает через свой просмотрщик.. В винде есть возможность включить просмотр скрытых файлов, может в этом дело? А в том, что Опера удобнее чем Експлорер полностью солидарен Респект брату по оружию! |
Кэш эксплорера сам находится в закрытых от просмотра папках (С:/Documents and Settings/Холод/Local Settings/Temporary Internet Files). Дело не в этом.
Тоталом в первую очередь пробовал, не видит. Пустая папка занимает чуть более 5-ти метров. Индекс столько занимать не может.
| QUOTE |
| Кроме того, если вирус по-настоящему хорош, он установит свой драйвер уровня ядра и тогда.. он совсем может стать невидим(так называемые rootkit) |
... и тогда он все равно останется видимым, так как ВСЕ (включая системные службы) хранится на нашем компе в виде файлов, а у каждого файла есть размер и время последней модификации!...
+ у Windows есть замечательная штука под названием "Recovery"
я понимаю, что антивирус занимается еще и оценкой содержимого самих файлов и в этом деле нам его не заменить!
Но многие вещи по безопасности и лечению собственного компа специалисту по компам можно и нужно делать самому, это весьма полезная практика!
| QUOTE (barrakuda @ 05.03.2007 - время: 22:30) |
| Но вот подозрительная служба с интересным именем NETPT осталась и нормальный процесс svchost каждые 10 секунд настойчиво рвался в инет на какой-то ip,явно хотел подгрузить мне ещё дряни |
а что мешает посмотреть - на какие IP адреса и зачем рвутся "нормальные" процессы ???
впрочeм, каждый решает сам, на что в первую очередь делать ставку -
на "Касперского" последней версии или на замечательную утилиту под названием "собственные мозги + некоторые вспомогательные программульки" !
А вот какие системные программульки могут нам в этом помочь и есть тема данного топика!!!
Респект за "Оперу"!!!... Лучшее средство избавления от вирусов - не пускать их на комп!!!
Это сообщение отредактировал Format C - 06-03-2007 - 17:32
| QUOTE (Холод @ 06.03.2007 - время: 06:38) |
| Кэш эксплорера сам находится в закрытых от просмотра папках (С:/Documents and Settings/Холод/Local Settings/Temporary Internet Files). Дело не в этом. Тоталом в первую очередь пробовал, не видит. Пустая папка занимает чуть более 5-ти метров. Индекс столько занимать не может. |
"My Computer" -> "Tools" -> "Folder Options" -> "View" ->
включаем флаг "Show hidden files and folders"
выключаем флаг "Hide Protecting operating system files"
Все файлы и папки на компе становятся видимыми!
но иногда бывает полезно посмотреть на файлы винды из другой системы - например, загрузившись под MS-DOS и запустив какой-нибудь VC (Volkov Commander, который занимает всего 30 KB на дискете).
+ таким образом можно самому сделать любое "Recovery"
Это сообщение отредактировал Format C - 06-03-2007 - 17:43
| QUOTE (Format C @ 06.03.2007 - время: 14:44) |
... и тогда он все равно останется видимым, так как ВСЕ (включая системные службы) хранится на нашем компе в виде файлов, а у каждого файла есть размер и время последней модификации!... + у Windows есть замечательная штука под названием "Recovery" я понимаю, что антивирус занимается еще и оценкой содержимого самих файлов и в этом деле нам его не заменить! Но многие вещи по безопасности и лечению собственного компа специалисту по компам можно и нужно делать самому, это весьма полезная практика! а что мешает посмотреть - на какие IP адреса и зачем рвутся "нормальные" процессы ??? впрочeм, каждый решает сам, на что в первую очередь делать ставку - на "Касперского" последней версии или на замечательную утилиту под названием "собственные мозги + некоторые вспомогательные программульки" ! А вот какие системные программульки могут нам в этом помочь и есть тема данного топика!!! Респект за "Оперу"!!!... Лучшее средство избавления от вирусов - не пускать их на комп!!! |
Ошибаетесь, уважаемый Format C, уже давным-давно известна такая технология как ROOTKIT, с помощью которой вирус становится АБСОЛЮТНО невидим и в процессах, и на диске. Достигается это с помощью перехвата вызовов системных функций и подмены возвращаемых ими значений. То есть вирус запрограммирован на скрытие себя в системе. Есть даже специальные утилиты, делающие выбранный вами процесс или файл неведимкой. Советую почитать на эту тему, очень интересно
Таким образом засечь его присутствие можно только загрузившись из под доса, например или подключив винт к др. компу. Это вирусы высшего класса, конечно таких не много.А время модификации файла изменить на нужное не представляет собой особой трудности и многие вирусы устанавливают её такой, какая у нормальных системных файлов. Со мной такое было, видел своими глазами.
Кстати на счёт Каспера. В тот раз он прибил пол-заразы, файл, который рвался в инет через нормальный процесс мне пришлось удалять вручную, поискав инфу в инете о странной службе netpt, каспер почему-то начхал на него
| QUOTE (Холод @ 06.03.2007 - время: 14:38) |
| Кэш эксплорера сам находится в закрытых от просмотра папках (С:/Documents and Settings/Холод/Local Settings/Temporary Internet Files). Дело не в этом. Тоталом в первую очередь пробовал, не видит. Пустая папка занимает чуть более 5-ти метров. Индекс столько занимать не может. |
Сейчас специально зашел в TIF из Тотала, предварительно очистив кэш в эксплорере - ВСЁ ВИДНО
"Лишних" размеров не обнаружил.. странно, может у вас там вирус прячется?
| QUOTE (barrakuda @ 06.03.2007 - время: 11:48) | ||
Ошибаетесь, уважаемый Format C, уже давным-давно известна такая технология как ROOTKIT, с помощью которой... |
Hi... Я не считаю себя специалистом по cекьюрити и не собираюсь спорить о том, чего не знаю...
(Мне просто бывает приятно "убить" на своем компе пару-тройку троянов без антивируса и Spybot-а.
) И у меня, естественно, возникает вопрос -
какого хрена все вирусы НЕ написаны так, что бы размер системного файла и дата его модификации оставались прежними?
Почему трояны прут в папку "C:\Documents and Settings\<User-Name>\Local Settings" (просто как пример!) и стартуют оттуда в виде отдельных процессов, которые видны?
Их что ли делетанты писали?
Ну... так почему бы тогда другим делетантам не "почикать" эти вирусы и трояны в свое удовольствие!
.... если, конечно, есть желание.А Rootkit-вирусы пусть Касперский чикает... ему за это деньги платят!
Хотя есть вероятность, что это можно сделать и путем упомянотого выше "Recovery" cистемных файлов, загрузившись из под DOS.
| QUOTE (barrakuda) |
| То есть вирус запрограммирован на скрытие себя в системе. Есть даже специальные утилиты, делающие выбранный вами процесс или файл неведимкой...Таким образом засечь его присутствие можно только загрузившись из под доса, например или подключив винт к др. компу. Это вирусы высшего класса, конечно таких не много. |
Дык... мы вроде об одних и тех же вещах говорим. Cм. выше.
Это сообщение отредактировал Format C - 06-03-2007 - 22:43
| QUOTE (Холод @ 06.03.2007 - время: 13:38) |
| Индекс столько занимать не может. |
а галочка в свойствах папки стоит- "скрывать защищенные системные файлы"?
Это подстраховка- так как есть параметр "не показывать скрытые папки и файлы" и "скрывать защищенные системные файлы"
Ваще то в системе не должно быть белых пятен... все должно быть видно.
| QUOTE (Format C @ 06.03.2007 - время: 20:28) |
| Hi... Я не считаю себя специалистом по cекьюрити и не собираюсь спорить о том, чего не знаю... (Мне просто бывает приятно "убить" на своем компе пару-тройку троянов без антивируса и Spybot-а. ) |
Hi !
Я тоже не считаю себя специалистом, просто любознательный я. В инете полно инфы, есть целые ресурсы, посвященные этой теме. Ну и есть собственный опыт борьбы с нечистью 
А непосредственно по теме, хочу упомянуть здесь замечательную антивирусную утилиту нашего известного Олега Зайцева - AVZ.
Вот это действительно стоящая вещь, которая заменяет сразу множество утилит.
Антивирусная утилита AVZ предназначена для обнаружения и удаления:
SpyWare и AdWare модулей - это основное назначение утилиты
Dialer (Trojan.Dialer)
Троянских программ
BackDoor модулей
Сетевых и почтовых червей
TrojanSpy, TrojanDownloader, TrojanDropper
Утилита является прямым аналогом программ TrojanHunter и LavaSoft Ad-aware 6. Первичной задачей программы является удаление SpyWare и троянских программ.
Микропрограммы эвристической проверки системы
Обновляемая база безопасных файлов
Детектор клавиатурных шпионов (Keylogger) и троянских DLL
Встроенная система обнаружения Rootkit
Встроенный диспетчер процессов, сервисов и драйверов
Встроенная утилита для поиска данных в реестре
Проверка и лечение потоков NTFS
Драйвер мониторинга процессов и драйверов
Сам пользуюсь ей. Программа БЕСПЛАТНА. Всем, кто не знает, советую скачать.
Вот ссылка на офсайт: AVZ сайт Скачайте, не пожалеете!
| QUOTE (Миха @ 07.03.2007 - время: 00:11) | ||
а галочка в свойствах папки стоит- "скрывать защищенные системные файлы"? Это подстраховка- так как есть параметр "не показывать скрытые папки и файлы" и "скрывать защищенные системные файлы" Ваще то в системе не должно быть белых пятен... все должно быть видно. |
| QUOTE (Format C) |
| "My Computer" -> "Tools" -> "Folder Options" -> "View" -> включаем флаг "Show hidden files and folders" выключаем флаг "Hide Protecting operating system files" |
Проделал, ничего не изменилось..
Пустая папка (ничего в ней не отображается):
Размер: 6,33 МБ (6 644 682 байт)
На диске: 17,5 МБ (18 358 272 байт)
| QUOTE (barrakuda @ 06.03.2007 - время: 19:54) |
| Сейчас специально зашел в TIF из Тотала, предварительно очистив кэш в эксплорере - ВСЁ ВИДНО "Лишних" размеров не обнаружил.. странно, может у вас там вирус прячется? |
Удивлён однако...
Да нет, за это время я множество раз перебивал винду с форматированием, вирус сохраниться не мог бы, а папка кэша у меня всё равно всегда имеет "лишний" размер.
Это сообщение отредактировал Холод - 07-03-2007 - 10:21
Раньше не было видно... Или я тупой идиот..
Две папки:
Content.IE5 (С подпапками)
Content.MSO
Это сообщение отредактировал Холод - 07-03-2007 - 10:38
| QUOTE (Холод @ 07.03.2007 - время: 08:46) |
| "Афуеть..." Файлы в них судя по всему, даже не системные.. И формат какой-то не знакомый.. (pl, css), и ещё вне папок скрытый index.exe.. |
вирусня походу... удаляй их к едрени фени... если не получится в винде- в безопасном режиме удаляй.
Только вполне возможно что они там сразу же опять появятся(или в другом месте.) В общем надо тебе с вирусами повоевать малек
| QUOTE (Миха @ 07.03.2007 - время: 09:50) |
| вирусня походу... удаляй их к едрени фени... если не получится в винде- в безопасном режиме удаляй. Только вполне возможно что они там сразу же опять появятся(или в другом месте.) В общем надо тебе с вирусами повоевать малек |
Так и сделал.. Часть удалось удалить через винду.. Остальное через безопасный режим.. После перезагрузки, востановилась первая папка и часть, файлов в ней.. Прибавились ещё и рисунки.. рисунки из ICQ.. может и раньше были, но в обилии файлов их не было заметно..
Кстати, так как у меня нереальный IP сейчас, та Аська не может соединится со своим сервером.. Теперь вообще не работает.. !
Это сообщение отредактировал Холод - 08-03-2007 - 10:54
| QUOTE (Format C @ 03.03.2007 - время: 20:07) |
| Надо только - внимательно посмотреть, откуда и когда стартовал сомнительный процесс - найти .exe файл и .dll и удалить его |
В некоторых случаях не поможет, если вирус уже активен. Поверьте. Если изменен системный файл, то ничего не поможет. Опыт. :) Даже если вы видите потомка процесса (да тот же iexplore.exe, как потомок svchost.exe, то замена или возврат с дистрибутива svchost.ex_ не поможет). :) Вирусописатели, гады, умные стали.
| QUOTE (Холод @ 07.03.2007 - время: 09:46) |
| "Афуеть..." Файлы в них судя по всему, даже не системные.. И формат какой-то не знакомый.. (pl, css), и ещё вне папок скрытый index.exe.. |
css, pl - это всё безопасные файлы из которых состоят вебсайты, по-сути это обычные текстовые файлы. У меня в кеше есть ещё c расширением js, swf плюс картинки, скаченные документы, то есть всё то, что браузер и должен кешировать. А вот наличие exe подозрительно, по-моему пора ловить "блох"
А со скрытыми файлами и папками в Винде действительно заморочка, с одной стороны удобно, не мешаются лишние файлы, а с другой - явно на руку вирусописателям - можно запрятать вирус.
Но, как говорится, всё тайное становится явным
| QUOTE (barrakuda @ 08.03.2007 - время: 04:55) | ||
css, pl - это всё безопасные файлы из которых состоят вебсайты, по-сути это обычные текстовые файлы. У меня в кеше есть ещё c расширением js, swf плюс картинки, скаченные документы, то есть всё то, что браузер и должен кешировать. А вот наличие exe подозрительно, по-моему пора ловить "блох" А со скрытыми файлами и папками в Винде действительно заморочка, с одной стороны удобно, не мешаются лишние файлы, а с другой - явно на руку вирусописателям - можно запрятать вирус. Но, как говорится, всё тайное становится явным |
index.exe пока что не видно.
А папки.. Это файлы ICQ.. Нечто роде кэша.. Окончательно убедился в этом переустановив её... Не пойму только, зачем её создателям надо было их закидывать в кэш эксплорера и так скрывать..
Я ошибся.. Поумничать решил блин.. Это не системные файлы.. И даже не вирус..