Невозможный новый вирус

3029
Ben

Возможное дублирование:
что делать, если мой компьютер заражен вирусом или вредоносным ПО?

Я был поражен абсолютно невозможным новым вирусом. Только за последние три месяца интернет стал охвачен этим новым агрессивным вирусом. Моя система была взломана 5 раз всего за один месяц! Это было дорого, так как Microsoft больше не предоставляет оригинальные диски при покупке ноутбука.

В течение многих лет я удалял случайные вирусы, которые заражают мой компьютер. Но эти инциденты были довольно редкими. И если что-то становится сложным, вы решаете проблему с полной переустановкой. Но этот новый вирус был самым трудным, с которым я когда-либо сталкивался, и даже переустановка не сработала [переустановка без диска].

Сканирование обнаружило Mazbet, APPL.nircmd - но я думаю, что это псевдонимы, которые использует вирус.

Ни один, ни один из вирусного программного обеспечения не может обнаружить и удалить его. Я до сих пор пробовал Norton, MacAfee, Kaspersky, AVG, Combofix и многое другое, и ничего не работает. Вирус даже остается активным в безопасной загрузке. И при переустановке он все еще остается. MS больше не предоставляет оригинальные диски. Новые ноутбуки поставляются с разделенными дисками с функцией загрузки, но с этим вирусом невозможно выполнить полную переустановку без дисков.

Вирус стал настолько плохим, что перенес себя на мой внешний диск и раздел диска. Я могу определить его по заблокированным системным папкам с информацией о томах, которые он создает на каждом диске, и desktop.ini, который начинает появляться почти во всех основных папках. Постепенно в течение нескольких дней он начинает работать, блокируя все больше и больше системных папок, а затем вызывая огромные проблемы.

КАК ЭТО ЗАРАЖАЕТ ВАШ КОМПЬЮТЕР

То, как этот вирус заражает компьютер, основано на изображениях в Google. Я понял, когда смотрел картинку в поиске Google, и щелкнул, чтобы увеличить ее. Сразу же мне сообщили, что в моей системе выполняется «проверка на вирусы». Веб-адреса, откуда происходит этот вирус, обычно заканчиваются символом cc или cn. Однако это сообщение является фальшивым, и вы не можете остановить это «сканирование» [загрузка]. Это делается автоматически и идет быстро. Это не дает вам возможность закрыться. Вы должны немедленно выключить компьютер, прежде чем он сможет установить себя, потому что вы не можете остановить его [Я остановил компьютер друзей от той же инфекции, отключив его].

После заражения вашей системы он либо копирует, либо захватывает новую папку с информацией о системном томе (заблокировано). Это создает папку $ RECYCLE.BIN с файлами desktop.ini. Как только он хорошо заражен, вы получаете сообщения о закрытии: он говорит, что ваши обновления Windows оптимизируются. Это займет вечность. Это не; Это вирус, и вам нужно принудительно завершить работу, даже если похоже, что он уже находится на пути к выключению или захватывает еще больше системных дисков. При перезапуске он снова выдает аналогичное сообщение, что инициализирует обновления Windows. Это поддельные сообщения Windows.

Файлы desktop.ini действуют как гидра: каждый раз, когда вы удаляете любой из них, они появляются снова. Файлы, которые он создает, будут содержать разные даты и не обязательно текущие даты. У одного была дата, восходящая к 2007 году. Поэтому восстановление другой даты не помогает. Чем дольше вирус остается нетронутым, тем больше вреда он начинает наносить. В конечном итоге это вызовет постоянные проблемы с вашей системой и начнет скрывать папки и корзину для вас - и, в конечном итоге, приведет к поломке всего диска. Но это может занять несколько дней. Работает постепенно.

Все, что я знаю, это то, что я пытался переустановить новую систему пять раз с последней моей атакой, и у меня все еще были проблемы с этим вирусом.

НИКТО ЗНАЕТ, ЧТО ЭТО ВИРУС И КАК ПОСТОЯННО ИЗБАВИТЬСЯ ОТ ВСЕХ ПРИВОДОВ, ВКЛЮЧАЯ ВНЕШНИЙ ПРИВОД ??

0
Установите ОС, которую она не может обработать. Ignacio Vazquez-Abrams 13 лет назад 4
Игнасио: это не решает удалить его с внешних дисков, где все мои файлы находятся. Ben 13 лет назад 0
Да ладно, легко предложить использовать Linux. Но настоящая проблема в другом, а именно в удалении вируса. slhck 13 лет назад 4
Кто-нибудь даже знает название этого вируса? Ben 13 лет назад 0
Можете ли вы написать мне ссылку? Я отправил фальшивую вирусную картину - но - она ​​всегда требует ручного этапа, такого как подтверждение / загрузка ... Я не возражаю против расследования. William Hilsum 13 лет назад 0
Миллионы людей обманули отравленную атаку Google Image: «Всего за один месяц эта кампания смогла перенаправить почти 300 миллионов обращений 113 миллионов посетителей на вредоносные целевые страницы», - поясняет Trend Micro: http://www.itpro.co.uk / 633436 / миллионы-обмануты-в-отравленной-Google-образ-атаки Ben 13 лет назад 0
@Will: Извините, ссылка не сохранена. Об этом сообщили в Google. Есть тонны из них. Конец в перенаправленном cc или cn адресе. Выберите любой поиск изображений в Google, бывших автомобилях, архитектуре и т. Д. И нажмите, чтобы увеличить ... рано или поздно вы будете угнаны. Просто убедитесь, что вы немедленно отключились, если вас атаковали! Ben 13 лет назад 0
@ben - Я сделал это, и меня несколько раз перенаправляли, но для целевой страницы, которую я видел, требуется ручной шаг. Я не видел автоматического заражения вирусом в исправленной системе. Вы в любой момент понизили настройки безопасности по умолчанию? William Hilsum 13 лет назад 0
Вы идентифицируете заражение вирусом по внешнему виду файла desktop.ini? Они нормальны на компьютере ... это то, что создает настраиваемый вид ваших окон Explorer. Bart Silverstrim 13 лет назад 0
@Bart: появление desktop.ini повсюду - только одна из незначительных ранних проблем, которые он вызывает до обострения. Это в конечном итоге вступает во владение, блокирует вам доступ к любым основным системным папкам и корзине и скрывает их. Затем Windows начинает не распознавать оригинальную копию. Один за другим это приводит к полному отказу системы. Проблема в; переустановка не работает .... Если у вас нет внешних компакт-дисков. Но ноутбуки теперь не идут с компакт-дисками. Ben 13 лет назад 0
@Will: когда происходит угон, вы не можете отключить его в диспетчере задач. Это слишком быстро. Таким образом, вы должны сделать принудительное отключение. У меня был брандмауэр и т. Д., Но он, кажется, обходит его. После установки вы блокируете доступ к использованию администратора и системным папкам. У меня никогда не было таких трудностей с удалением вируса. Последний вариант, как правило, полностью переустанавливается, но даже с этим сложно. Надеюсь, эта информация поможет. Ben 13 лет назад 0
Да, desktop.ini будет появляться повсюду, @Ben. Похоже, в каждой папке Windows Explorer изменяет пользовательский вид. Bart Silverstrim 13 лет назад 0
@Ben: Когда что находится в диспетчере задач? Как называется процесс? Bart Silverstrim 13 лет назад 0
Вы гуглили названия этих файлов и папок, чтобы увидеть, как они работают и что они должны делать? Bart Silverstrim 13 лет назад 0
Попробуйте ESET NOD32, как бы он ни назывался в этот день. У него самая агрессивная эвристика из всех. mhitza 13 лет назад 0
@ Бен: я знаю, что desktop.ini - это нормально. Вот еще кто-то с подобной проблемой, которая, кажется, не была решена: http://www.techsupportforum.com/forums/f217/recycle-bin-and-desktop-ini-virus-321551.html Ben 13 лет назад 0
@Ben: Этот форум технической поддержки не является проблемой вирусов. Это парень, который не может удалить эти папки, и люди объясняют, что они нормальные. Снова. Это не проблема. Один из постов был полным дерьмом ... не позволит вам загрузиться с CD? Портит загрузочные менеджеры? Эм ... нет. Bart Silverstrim 13 лет назад 0
Пока что ваше описание будет похоже на пользователя Mac, жалующегося на вирус, потому что он продолжает находить файлы «.ds_store» в каталогах, которые просматривает на своем Mac. Bart Silverstrim 13 лет назад 0
в этом вопросе так много неудач; - / - но мне это нравится. Это сделало мой день. Sirex 13 лет назад 2

5 ответов на вопрос

10
Bart Silverstrim

Я не уверен, что вы описываете поведение вредоносных программ после того, как вы уже отсканировали их. Я имею в виду, что файл desktop.ini появляется всякий раз, когда у вас есть пользовательский вид папки в Проводнике; вы играете с настройками, Explorer собирается создать их в этой папке. Он скрыт, если вы не ищете скрытые папки.

Папка с информацией о томе системы? Это защищено, потому что ... ну, это информация о системном объеме . Это будет появляться на каждом томе. См. Http://support.microsoft.com/kb/309531 .

Вы уже сканируете с помощью нескольких сканеров (надеюсь, они не все установлены одновременно ... неудивительно, что ваш компьютер будет вести себя странно, если бы они были. Антивирусы, как правило, плохо работают, если установлено несколько; вам следует выберите один и используйте тот. Черт возьми, некоторые из них не играют хорошо, если они установлены единственно. Я не могу сосчитать, сколько раз кто-то заставлял меня смотреть на проблему, и это было потому, что Symantec или какой-либо другой бренд они установили, что они испортили свою электронную почту в качестве прокси-сервера или помешали доступу файла к неинфицированному файлу ...), поэтому вы должны были обнаружить что-то новое, если вы обновляете подписи. Обычно у меня есть антивирусная проверка плюс Spybot плюс Malwarebytes или Ad-Aware для проверки на наличие вредоносных программ.

Если я действительно уверен, что что-то пошло не так, я загружаюсь с загрузочного диска и проверяю загрузочный антивирусный CD. Там нет никакого способа, что вирус может оставаться в памяти и обмануть сканер при загрузке с загрузочного компакт - диска; единственный способ, которым он не узнает, - это если сигнатуры не включают что-либо в библиотеку, чтобы обнаружить это.

Что касается вашей проблемы «без дисков», вот почему Windows теперь включает программное обеспечение для резервного копирования. На самом деле, это было какое-то время. Сделайте резервную копию системы из заведомо исправного состояния. В качестве альтернативы существует программное обеспечение, которое будет создавать образ вашего диска, чтобы вы могли создать образ диска для восстановления. Сделайте резервную копию вашей системы. Восстановите его, если это будет необходимо. Периодически делайте новые резервные копии.

Далее ... что ты бежишь, как? Вы не сказали (что я видел), какую ОС вы используете. Windows XP? 7? Если вы используете более новую версию Windows, вы работаете в качестве администратора? Вредоносное ПО может заразить только те файлы, к которым у вас есть доступ. Если вы работаете как администратор, он сможет легко заразить системные файлы. Если вы работаете как непривилегированный пользователь, исполняемые файлы и тому подобное можно копировать только в ваш профиль и каталоги, к которым у вас есть доступ. Таким образом, чтобы что-то полностью разрушить вашу систему, вы должны работать как привилегированный пользователь. Плохая идея.

Что именно делает ваша система, если вы думаете, что она заражена? Просто наличие этих скрытых файлов? Странный сетевой трафик? Вы смотрели на сетевые подключения, чтобы увидеть, что делает ваша система, что необычно, на маршрутизаторе? Использовали ли вы такие инструменты, как Process Explorer и Procmon (часть пакета Sysinternals; googles расскажет вам больше), чтобы определить, что делает ваша система? Если это просто обнаружение системных папок и файлов настроек Проводника, я подозреваю, что вы на самом деле заражены.

Если вы действительно обеспокоены этим, то было предложено установить Linux. Который бесплатный. Но у него есть кривая обучения. Бонус: вы будете защищены от вирусов Винкс. Недостаток: если вы зависите от конкретного программного обеспечения Windows, оно, вероятно, не запустится. У вас будет крутая кривая обучения, и вам, вероятно, придется узнать немного больше о том, как работает ваш компьютер.

В качестве альтернативы вы можете попробовать что-то вроде Deep Freeze, чтобы «заморозить» состояние вашего компьютера, как только он станет чистым, но вам также придется поддерживать периоды оттаивания для обновлений и сохранять ваши данные на внешний диск.

В качестве альтернативы, вы можете установить Linux (или Windows) заново, а затем установить VirtualBox и продолжить просмотр и оттуда работать. Виртуализированный сеанс Windows (или любая установленная вами ОС) будет действовать как песочница. Пока вы поддерживаете свою систему в актуальном состоянии, вы можете ограничить ущерб, нанесенный любым вредоносным ПО вашей виртуальной системе. Опять же, это изменение в обучении и рабочем процессе, для этого есть некоторые ограничения, но для общей работы, если вы действительно нервничаете из-за того, что может произойти, песочница и мониторинг будут действительно хорошим способом ограничить эти вещи.

Из вашего описания, однако, действительно звучит так, будто вы охотитесь за системными файлами Windows, которые являются нормальными в системах Windows, и получаете обычные поддельные уведомления сканера из браузера. Я думаю, что ваша система на самом деле не заражена ничем, кроме Windows Cruft.

Когда происходит угон, вы не можете отключить его в диспетчере задач. Это слишком быстро. Таким образом, вы должны сделать принудительное отключение. У меня был брандмауэр и т. Д., Но он, кажется, обходит его. После установки вы блокируете доступ к использованию администратора и системным папкам. При выключении он сообщает, что Windows обновляется. После этого ваша корзина и системная папка заблокированы от доступа и скрыты. По мере того, как окна прогресса выдают сообщения об ошибках, вся система падает. Надеюсь, эта информация поможет. Извините, я не могу использовать Linux. Не совместимо PS: нет, я не запускаю все вирусные программы одновременно! Thnx. Ben 13 лет назад 0
Но * что * появляется в диспетчере задач, чтобы завершить работу и работать слишком быстро? Как называется процесс? Bart Silverstrim 13 лет назад 2
Что вы имеете в виду, что это блокирует использование администратора? Как вы не можете войти в систему как администратор, он дает вам файл или папку, используется или имеет ошибку разрешения (если он имеет дескриптор открытого файла, он может заблокировать определенный доступ к файлу, это нормально) ...? Папки корзины * скрыты. Опять же, это нормально. Некоторые системные папки, подобные той, что я дал в своем ответе *, скрыты. Потому что они системные папки. Пользователи не должны входить в них. Bart Silverstrim 13 лет назад 0
А какие сообщения об ошибках вы получаете? Вы сказали, что это дает сообщения об ошибках и вылетает. Что в системном журнале? Возможно, зная фактические сообщения об ошибках, выследите, что происходит. Bart Silverstrim 13 лет назад 0
@ Бен, серьезно, помедленнее и предоставьте детали. Совершенно очевидно, что у вас есть * много * неправильных представлений о том, как все работает (или должно работать). Вы * можете * быть заражены вирусом, но вы, конечно, ** не ** показали какие-либо подробности или доказательства этого. Chris S 13 лет назад 1
Я оставил комп с технической поддержкой сегодня. Они звонили, чтобы сказать, что это определенно заражено Они пытаются сохранить некоторые из моих файлов. Некоторые из вас не читают объяснение: вирус загружается так быстро, что вы НЕ МОЖЕТЕ отменить загрузку через диспетчер задач. У меня никогда не было проблем с удалением вирусов в прошлом. Это не было большим делом. Это большое дело, оно блокирует и скрывает папки, которые обычно доступны и видимы, каким-то образом повреждает загрузку и добавляет дубликаты RECYCLE.BIN / SYS VOL INFO / DESKTOP.INI до блокировки n'hide видимых папок и доступа к ним. их. Также скрывает меню Пуск Ben 13 лет назад 0
Вы не отмените это через диспетчер задач. Диспетчер задач выводит список запущенных процессов. Я спрашивал вас о том, какое * имя процесса * вы говорите, это исполняемый файл, вызывающий ваши проблемы. Bart Silverstrim 13 лет назад 0
Либо вы не совсем ясно объясняете, что происходит, либо вас сорвут технические компании, которые поручают вам переустановить Windows. В любом случае, пока вы счастливы, я думаю, это все, что важно. Bart Silverstrim 13 лет назад 0
3
Dave Sherohman

Похоже, вы, вероятно, столкнулись с вредоносным ПО, описанным здесь: http://cleanbytes.net/google-images-redirecting-to-a-new-virus

После быстрого поиска в Google я не нашел ничего конкретного о том, как его удалить, хотя http://www.google.com/support/forum/p/Web%20Search/thread?tid=6df7e15519290612&hl=ru есть список форумы удаления вредоносных программ, которые могут быть в состоянии помочь.

Моим главным предложением избежать этого в будущем будет использование Firefox с плагином NoScript, который будет препятствовать тому, чтобы сайты запускали любой тип активного контента в вашем браузере, если вы не добавили этот конкретный сайт в белый список. Предотвращение этой атакой выполнения полезной нагрузки JavaScript должно предотвратить заражение вашей системы.

2
music2myear

Я смеюсь.

Файлы desktop.ini создаются в любой папке, для которой вы настроили параметры просмотра. Папки System Volume Information по умолчанию создаются на каждом диске в Windows.

Ни один из этих симптомов не носит вирусный характер. Если кто-то сказал вам, что он вирусный, он подшучивал над вами.

Чтобы убрать этот «вирус», в окне «Мой компьютер» выберите «Сервис» -> «Свойства папки». На вкладке «Вид»: - Выберите «Не показывать скрытые файлы и папки» - Снимите флажок «Показать содержимое системных папок» - Установите флажок «Скрыть защищенные файлы операционной системы (рекомендуется)»

Это скроет файлы desktop.ini и папки с информацией о системном томе.

Единственное заражение, которое вы описали, - это стандартное поддельное антивирусное вредоносное ПО, которое обычно не слишком сложно удалить.

Загрузите установочный Malware Bytes AntiMalware и запустите его в безопасном режиме.

Или, если у вас есть второй компьютер, к которому вы можете подключить свои жесткие диски как дополнительные или подчиненные, сделайте это и отсканируйте их оттуда. После завершения сканирования безопасного режима или ведомого диска подключите диски к их обычному компьютеру или загрузитесь в обычном режиме и снова выполните полное сканирование байтов вредоносных программ, чтобы получить остатки.

Вы делаете несколько расплывчатых ссылок на другие системные проблемы, которые, по вашему мнению, связаны с этой инфекцией. Предоставление более подробной информации о том, что представляют собой эти другие проблемы, может подсказать нам, какого рода реальная инфекция у вас действительно есть. Просто помни. desktop.ini и файлы и каталоги System Volume Information вообще не являются признаком вируса.

1
avirk

Я использовал этот спасательный CD, и он мне помог. Надеюсь, с тобой будет то же самое. Вот некоторые особенности этого вы также найдете по ссылке.
Комплексный инструментарий администрирования.
Восстановление системы от вирусных и шпионских программ.
Адаптируемость для восстановления операционных систем MS Windows и Linux (файловые системы FAT32 и NTFS).
Возможность выполнить чистую загрузку с CD или USB-накопителя.

1
Moab

См. Мой пост здесь, перейдите в раздел РЕДАКТИРОВАТЬ внизу и загрузите программное обеспечение Microsoft Safety Scanner на чистый ПК, запустите программное обеспечение и создайте загрузочный компакт-диск или флэш-накопитель, загрузитесь с него на зараженный компьютер и выполните полную проверку, удалите все, что он находит.

Похожие вопросы