Случвало ми се е да закачам на компа си други харддискове с качен Windows.

Със заразани файлове в Главната директория Windows .

Някой може ли да ми каже с какви програми,или антивирусни програми мога да проверявам "Windows" под Dos.

Под DOS,,,,...............,,,,, тествани инструменти.

И ако може линк,и как се работи на приложенията.?

Хм, сещам се замо за F-Prot. А и дали го поддържат още ?

Във всеки случай много такива тулове можеш да намериш в Hirence Boot CD.

Редактирано 29 септември 200718 г. от Melmak ® (преглед на промените)

Повечето програми могат да създават т.нар. RESCUE DISK който да се използва за почистване на системата под ДОС ако Windows не може да стартира...

http://support.kaspersky.com/kav7/vir?qid=208279398

Във всеки случай много такива тулове можеш да намериш в Hirence Boot CD.

Направо Екстра са го измислили "Hirence Boot CD",свалих го и ми върши чудесна работа.

Повечето програми могат да създават т.нар. RESCUE DISK

Това ще го пробвам.Не го знаех.

Имам един въпрос към B-boy[styLe].(Виждам ,че пишеш теми свързани със сигурноста.Явно си вещ в тази област.)

Понеже не съм с Касперски,можеш ли да ми препоръчаш друга тествана от теб програма/и,работещи на Windows,

нещо подобно на SmitfraudFix.Но да проверява Boot секторите,и системните сектори.

Нещо с което мога да редактирам включително и bios-a.Отделна програма/и под Dos?(например при съмнение за вирус) командата FDISK /MBR

Не знам дали се изразявам точно,но ми трябва нещо подобно...което дава пълен контрол над системата,с възможност да редактирам всичко.

Може и пакет със инструменти......?

Редактирано 30 септември 200718 г. от hekyll (преглед на промените)

Направо Екстра са го измислили "Hirence Boot CD",свалих го и ми върши чудесна работа.

Това ще го пробвам.Не го знаех.

Имам един въпрос към B-boy[styLe].(Виждам ,че пишеш теми свързани със сигурноста.Явно си вещ в тази област.)

Понеже не съм с Касперски,можеш ли да ми препоръчаш друга тествана от теб програма/и,работещи на Windows,

нещо подобно на SmitfraudFix.Но да проверява Boot секторите,и системните сектори.

Нещо с което мога да редактирам включително и bios-a.Отделна програма/и под Dos?(например при съмнение за вирус) командата FDISK /MBR

Не знам дали се изразявам точно,но ми трябва нещо подобно...което дава пълен контрол над системата,с възможност да редактирам всичко.

Може и пакет със инструменти......?

Приятел,вземи си качи Avira Antivir и проблемите ти ще започнат да клонят към нулата.Не ми е известен чак толкова пълен пакет инструменти,но те съветвам да не редактираш BIOS по никакъв начин-дори и не го обновявай,ако не е крайно наложително! Нямам предвид овърклока на системата под Windows,това не може да нанесе огромни поражения,но за сметка на това може да ти докара финансови грижи.....Може да се окаже много трудно да се преналее

нов биос,щото просто дънцето не ще да запали....Не съм сигурен дали DOS-овските скенери ще се оправят коректно под NTFS,във всеки случай с дълбоките архиви няма да могат.Поздрави към B-boy[styLe]!

Направо Екстра са го измислили "Hirence Boot CD",свалих го и ми върши чудесна работа.

Това ще го пробвам.Не го знаех.

Имам един въпрос към B-boy[styLe].(Виждам ,че пишеш теми свързани със сигурноста.Явно си вещ в тази област.)

Понеже не съм с Касперски,можеш ли да ми препоръчаш друга тествана от теб програма/и,работещи на Windows,

нещо подобно на SmitfraudFix.Но да проверява Boot секторите,и системните сектори.

Нещо с което мога да редактирам включително и bios-a.Отделна програма/и под Dos?(например при съмнение за вирус) командата FDISK /MBR

Не знам дали се изразявам точно,но ми трябва нещо подобно...което дава пълен контрол над системата,с възможност да редактирам всичко.

Може и пакет със инструменти......?

1.Както казах повечето програми имат възможност за създаване та такива помощни средства (дискове или дискети - ако имаш флопи не го отписвай още)...Тествал съм много от тях включителни и AVG, но не работят под файлова система NTFS и затова се препоръчва използването на bootable disk, и за съжаление при всяко обновяване на дефинициите трябва да се прави нов такъв диск евнтуално...

2.Чак да редактираш БИОС-а не ти препоръчвам, че ако чипа е запоен за дъното и нещо се обърка ще трябва да редактираш т.нар. HOSTWAP или да купуваш НОВО ДЪНО!!!

http://www.computers.bg/statia.php?mysid=3...e9fc4b41a6faaf9

3.Пакети с инструменти има много: Bart PE Builder, Ultimate Boot CD, Hiren's BootCD, Diamond BootCD v1.00, WindowsXP Recovery Console, live LINUX дистрибуции...

Редактирано 30 септември 200718 г. от B-boy[StyLe] (преглед на промените)

Тези също вършат добра работа avast! BART CD Manager и Kaspersky 6 Emergency CD

Правят ISO файл, който записваш с Nero на диск и сканираш системата

А относно досовските скенери ползвам F-Prot и Trend Micro PCSCAN

F-Prot под Dos върши чудесна работа. Заповядай програмата с ъпдейти от 04.09.2007г. http://store2.data.bg/vaniosv/F-prot.rar .Обновяването става от тук http://www.f-prot.com/download/signaturefiles.html Разархивираш F-prot.rar на диск "C" след което теглиш този файл http://store2.data.bg/vanchik/Utilities/NTFS4DOS.iso и го записваш на едно малко CD от което по късно ще стартираш компютъра (Iso-то е буутващо)

Свалените ъпдейти ще разархивираш в папка F-Prot

Редактирано 7 октомври 200718 г. от vanio (преглед на промените)

Пиши ми ЛС да ти дам нещо за сканиране под ДОС.

Ще ги пробвам.

Едно по едно...

Мерси .

Ако има още нещо за сканиране под Дос ,пишете?

И основният ми проблем е този Dropper.

Чистя го и след 2-3 дни пак се активира.

RootKit Hook Analyzer ,ми показва каде са на HDD,но не мога да ги намеря.

Как да ги изтрия.Появи се преди седмица.Чистих регистри ,чистил съм всичко подозрително.

Появяват се като системни процеси Wz ,s разширение .sys-около28,32.

Spam ли е това?

Редактирано 30 септември 200718 г. от hekyll (преглед на промените)

Ще ги пробвам.

Едно по едно...

Мерси .

Ако има още нещо за сканиране под Дос ,пишете?

И основният ми проблем е този Dropper.

Чистя го и след 2-3 дни пак се активира.

RootKit Hook Analyzer ,ми показва каде са на HDD,но не мога да ги намеря.

Как да ги изтрия.Появи се преди седмица.Чистих регистри ,чистил съм всичко подозрително.

Появяват се като системни процеси Wz ,s разширение .sys-около28,32.

Spam ли е това?

Най-сигурното решение срещу зараза с RootKits си остава ФОРМАТА!!!

RootKit Hook Analyzer ти показва къде са, но не ги виждаш може би, защото не си махнал отметките за показване на скритите файлове

1.Направи директориите видими...

Отваряш Windows Explorer => Tools => Folder Options => и слагаш отметка пред "Show hidden files and folders" и махаш отметката пред "Hide protected operating system files (recommended)

2.Спри System Restore...

Десен бутон на My Computer = > Properties => System Restore => Turn off system restore (слагаш отметка)

3.Използвай това за да почистиш кеша:

Избираш Select ALL и после => Empty Selected

http://www.atribune.org/ccount/click.php?id=1

4.Mожеш да сканираш с някой онлайн скенер като PANDANANOSCAN - http://www.nanoscan.com/

За съмнителни файлове можеш да се допиташ и тук:

НАТИСНИ ТУК!

http://www.virustotal.com/

4.Щом Rootkit Hook Analyzer е намерил нещо съмнително като - ROOTKIT - Който се е загнездил здраво в Операционната Система и когато антивирусната сканира и предоставя фалшива информация.Сканирай за този вид гадини...

Sophos Anti-Rootkit

http://www.sophos.com/support/cleaners/sarsfx.exe

Panda Anti-Rootkit 1.08

http://research.pandasoftware.com/blogs/im...AntiRootkit.zip

AVG Anti-Rootkit 1.1.0.42 Beta

http://download.grisoft.cz/softw/70/filedi...up-1.1.0.42.exe

F-Secure BlackLight 2.2.1061 Beta

https://europe.f-secure.com/exclude/blacklight/fsbl.exe

Още програмки ще намериш тук:

http://www.antirootkit.com/software/index.htm

5.Изтегли си този инструмент - COMBOFIX и натисни 1...за да си върши работата.Ще рестартира компютъра ти:

http://download.bleepingcomputer.com/sUBs/Beta/ComboFix.exe

6.Изтегли си и разархивирай SDFIX в някоя папка...След което стартирай файлa catchme и сканирай за rootkits.Рестартирай машинката си в Safe Mode и пусни другия фаил RunThis.

http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

7.Изтегли и сканирай с SmitfraudFix.

http://siri.urz.free.fr/Fix/SmitfraudFix.exe

8.Изтегли и сканирай с VundoFix.

http://www.atribune.org/ccount/click.php?id=4

9.Направи един лог файл с HijackThis и ни го прати за анализ на адрес - http://www.hijackthis.de .Обърни внимание на посочените неща с определението NASTY - те са за триене:

10.Имаш ли някакви ограничения\забрани "restrictions? Да ти е забранен Task Manager-a, Folder Options, Control Panel-a?Какви процеси са активирани в паметта и какво се стартира с Операционната Система.Я разгледай и какво е съдържанието на System.INI (от MSCONFIG).Обикновенно там се съдържа обръщението към паразитите...За System.ini обърни внимание на секцията boot ако съдържа нещо трябва да има ред explorer.exe а за Win.ini има подобни команди в секцията Run

WIN.INI:

[windows]

run= <上記ファイルの名前>.


SYSTEM.INI:

[shell]

boot=explorer.exe <上記ファイルの名前>

11.Упоритите файлове изтрий с Unlocker, Pocket KillBox, Delete Doctor ако са заключени от Windows-a!

Разгледай и тази тема много внимателно страница по страница...Лошото при dropper-ите е че вкарват доста на брой гадинки и не можеш да потърсиш средство само срещу точно определен паразит за пълното му изкореняване от Операционната Система...Попадал съм на гадини от рода на Dropper/Tibs (една колежка от работата го беше прихванала) и смея да твърдя че не са много лесни за изчистване и оставят много негативни последици на редица функции на Windows и възпрепятстват правилното им извършване!

http://www.kaldata.com/forums/index.php?showtopic=35594

Пробвах ги всичките.!Anti-Rootkit ги открива и интересното е че това са процесите на антивирусните,стената.Не мога да ги истрия(Всъщност трия ключовете и програмите се скапват.

Направих всичко това ,изчистих регистрите, и на ниско ниво,но

Оправя се за 1час,и после пак същото........

От първо беше Dropper,но после като инсталнах програмките, антивирусните ми програми спряха да вършат работата.

Във Hooks Ми показва че всички са спряни от Bagle.AW.

Проверих ,това е пощенски червей.

Bagle.AW пристига по електронната поща в изпълним файл или в защитена с парола ZIP архива. Bagle.AW се разпространява също така във вид на Windows Control Panel Applet (CPL) файл (виж информацията по-долу) или под формата на VBS или HTA dropper.

Как да го махна като процесите на антивирусните ми са заразени,спряни,ако ги истрия отиват по ...:

CPLSTUB.EXE -това няма махане.

На Norton продуктите го засичат ,уж го трият ,но нищо .

Нода не мога да го стартирам,и гледам че са пуснати и други процеси.Проверява се постоянно порт 2002

Под СейфМоде нищо.....????????????????(Това ми бе много чудно).

С какво да го махна,още не знам?

Прекратяване на процеси

Bagle.AW прекратява процеси, свързани с антивирусния софтуер, както и процесите на някои други приложения:

ATUPDATER.EXE

AUPDATE.EXE

AUTODOWN.EXE

AUTOTRACE.EXE

AUTOUPDATE.EXE

AVPUPD.EXE

AVWUPD32.EXE

AVXQUAR.EXE

AVXQUAR.EXE

CFIAUDIT.EXE

DRWEBUPW.EXE

ESCANH95.EXE

ESCANHNT.EXE

FIREWALL.EXE

ICSSUPPNT.EXE

ICSUPP95.EXE

LUALL.EXE

MCUPDATE.EXE

NUPGRADE.EXE

OUTPOST.EXE

sys_xp.exe

sysxp.exe

UPDATE.EXE

winxp.exe

kavsvc.exe

После излезе и някакъв NetSky,Zlobbad ,Zw,Troqn,i така на татака...

Прекратява процесите,тегли си други гадини ,

Нета си се пуска сам ,шерва се ,направо ми скъса нервите.

Как реша да правя нещо ми блокира контрол панела?

Как да го махна???

Това е някакъв нов вирус,

Нещо като Bagle.AW ,но модифицирано,и антивирусните дефиниций на доста програми не го трият.

Лошо.Пощенски вирус,при мен дойде като ъпдейт на Adobe Photoshop sc3,поне така си мисля,защото друго не съм отварял.

Лошо защото се разпостранява бързо.

Спрях процесите който мислех че са на заразени програми ,и половината ми неща не тръгват.

При всяко сканиране с нова качена Антивирусна,не ми показва че има вирус.

След второто пускане виждам че и нейните процеси са станали в червено в Rootkit Hook Analyzer.

Сканирам с останалите инструменти,и случайно ми излизат прозорци ,със забрана за триене на файлове ,от

администратора на компютъра ми.

Опитах се да пусна RemovalTools/SDFix.exe,и системата започна да се рестартира при всяко пускане на Антивирусна.

Помагайте нещо????

Редактирано 1 октомври 200718 г. от hekyll (преглед на промените)

Къде са лог файлове след изпълнените операции с COMBOFIX, SMITFRAUDFIX, HIJACKTHIS?

Много вируси атакуват *.exe файловете - например - W32.PARITE, Win32/Sality...

Сканира ли и с инструментите от важните теми едно по едно - AVZ, REMOVEIT, ROGUE REMOVER и т.н.

Ако проблема е само на дяла с WinXP, защо не го форматираш и не преинтсалираш начисто...

Затова не е лоша идея човек да прави снимка на моментното състояние на машинката си примерно с Acronis TrueImage.

Пусни една проверка и с това:

Win32/Sality

The Win32/Sality virus is strong polymorphic virus, that infects executable files

Download the following three files ( rmsality.exe, rmsality.nt, rmsality.dos) and run the rmsality.exe file.

You can also specify the disks (or partitions) to heal as a command parameters, e.g.: "rmsality C: D:". If the command is used without parameters, it heals all disks (partitions) on computer.

Note:

Successful running of the remover requires administrator rights. For proper functionality of the remover it is necessary to save the rmsality.nt and rmsality.dos into the same folder as rmsality.exe. After the healing process please run the AVG Complete Test to make sure your computer is virus-free.

http://www.grisoft.cz/softw/70/filedir/uti...ty/rmsality.exe

http://www.grisoft.cz/softw/70/filedir/uti...ity/rmsality.nt

http://www.grisoft.cz/softw/70/filedir/uti...ty/rmsality.dos

Теглиш тези 3 файла и ги запазваш в една обща папка и стартираш този rmsality.exe файл!!!

Win32.Parite много добре се почиства с Avast Virus Cleaner!

http://files.avast.com/files/eng/aswclnr.exe

Виж и темата за програми които не се нуждаят от инталиране...и сканирай с Mcafee, NOD32, Norman Malware Cleaner, Dr.web CureIt, TrendMicro...

http://www.kaldata.com/forums/index.php?s=...st&p=672325

Кои са сегашните ти продукти за защита...Не може нито едно от тези приложения - Anti-RootkitS да не го премахват...

http://www.antirootkit.com/software/index.htm

Ако файловете не могат да бъдат изчистени от вируса, направо ги деинсталирай и ги изтрий и после почисти регистрите...Интернета сам се пускал...ми извади ЛАН кабела или спри модема (незнам на какъв интернет си...)Под Safe Mode може би не се пуска, защото не стартира с Операционната Система (премахни позодрителните елементи от MSCONFIG => Startup, System.ini & Win.INI секцията)...Най-добре с Ace Utilities или AutoRuns виж какво се стартира с Операционната Система...Това маркираното на снимката ми е вирусче, което КАСПЕРСКИ пропуска откакто спря да се обновява заради ключето и се засича от Avira Antivir...(имаше го на всички компютри с интсалиран Касперски...)

Ако не можеш да спреш проблемните и подозрителни процеси от Task Manager-a...пробвай да отвориш Start => Run => services.msc и да спреш услугите оттам!Изтегли и всички актуализации за Операционната Система за затваряне на пробойните...Ако имаш забрани виж дали не можеш да ги премахнеш с тези неща:

http://www.kaldata.com/forums/index.php?s=...st&p=681975

Виж дали си спрял и REMOTE функциите на Операционната Система и си затворил по-опасните портове:

http://www.kaldata.com/forums/index.php?s=...st&p=640587

Редактирано 1 октомври 200718 г. от B-boy[StyLe] (преглед на промените)

OK

Ще пробвам.Май доста работа ще падне.

След като прейнсталирах операционната система,и стартирах RootKit Hook Analyzer.

Ми показва следните неща:

А това е лог файла:

----------------------------------------------------

| Trend Micro RootkitBuster 1.6 Beta.

| Module version: 1.6.0.1049

+----------------------------------------------------

--== Dump Hidden File on C:\ ==--

No hidden files found.

--== Dump Hidden Registry Value on HKLM ==--

No hidden registry entries found.

--== Dump Hidden Process ==--

No hidden processes found.

--== Dump Hidden Driver ==--

No hidden drivers found.

--== Service Win32 API Hook List ==--

[HOOKED_SERVICE_API]:

Service API : ZwConnectPort

Image Path : C:\WINDOWS\System32\DRIVERS\cmdmon.sys

OriginalHandler : 0x80598c34

CurrentHandler : 0xf3ddc0d2

ServiceNumber : 0x1f

ModuleName : cmdmon.sys

SDTType : 0x0

[HOOKED_SERVICE_API]:

Service API : ZwCreateFile

Image Path : C:\WINDOWS\System32\DRIVERS\cmdmon.sys

OriginalHandler : 0x8057164c

CurrentHandler : 0xf3dde302

ServiceNumber : 0x25

ModuleName : cmdmon.sys

SDTType : 0x0

[HOOKED_SERVICE_API]:

Service API : ZwCreatePort

Image Path : C:\WINDOWS\System32\DRIVERS\cmdmon.sys

OriginalHandler : 0x80592699

CurrentHandler : 0xf3ddc02c

ServiceNumber : 0x2e

ModuleName : cmdmon.sys

SDTType : 0x0

[HOOKED_SERVICE_API]:

Service API : ZwCreateSection

Image Path : C:\WINDOWS\System32\DRIVERS\cmdmon.sys

OriginalHandler : 0x80564b1b

CurrentHandler : 0xf3ddcaae

ServiceNumber : 0x32

ModuleName : cmdmon.sys

SDTType : 0x0

[HOOKED_SERVICE_API]:

Service API : ZwCreateThread

Image Path : C:\WINDOWS\System32\DRIVERS\cmdmon.sys

OriginalHandler : 0x8057f262

CurrentHandler : 0xf3ddbd12

ServiceNumber : 0x35

ModuleName : cmdmon.sys

SDTType : 0x0

[HOOKED_SERVICE_API]:

Service API : ZwDeleteFile

Image Path : C:\WINDOWS\System32\DRIVERS\cmdmon.sys

OriginalHandler : 0x805d8cf7

CurrentHandler : 0xf3dddcb0

ServiceNumber : 0x3e

ModuleName : cmdmon.sys

SDTType : 0x0

[HOOKED_SERVICE_API]:

Service API : ZwDeleteKey

Image Path : C:\WINDOWS\System32\DRIVERS\cmdmon.sys

OriginalHandler : 0x8059d6bd

CurrentHandler : 0xf3ddcec0

ServiceNumber : 0x3f

ModuleName : cmdmon.sys

SDTType : 0x0

[HOOKED_SERVICE_API]:

Service API : ZwDeleteValueKey

Image Path : C:\WINDOWS\System32\DRIVERS\cmdmon.sys

OriginalHandler : 0x80597430

CurrentHandler : 0xf3ddcdda

ServiceNumber : 0x41

ModuleName : cmdmon.sys

SDTType : 0x0

[HOOKED_SERVICE_API]:

Service API : ZwOpenProcess

Image Path : C:\WINDOWS\System32\DRIVERS\cmdmon.sys

OriginalHandler : 0x8057459e

CurrentHandler : 0xf3ddcb94

ServiceNumber : 0x7a

ModuleName : cmdmon.sys

SDTType : 0x0

[HOOKED_SERVICE_API]:

Service API : ZwOpenSection

Image Path : C:\WINDOWS\System32\DRIVERS\cmdmon.sys

OriginalHandler : 0x805766cc

CurrentHandler : 0xf3ddc9e0

ServiceNumber : 0x7d

ModuleName : cmdmon.sys

SDTType : 0x0

[HOOKED_SERVICE_API]:

Service API : ZwOpenThread

Image Path : C:\WINDOWS\System32\DRIVERS\cmdmon.sys

OriginalHandler : 0x80597c0a

CurrentHandler : 0xf3ddccb0

ServiceNumber : 0x80

ModuleName : cmdmon.sys

SDTType : 0x0

[HOOKED_SERVICE_API]:

Service API : ZwSetContextThread

Image Path : C:\WINDOWS\System32\DRIVERS\cmdmon.sys

OriginalHandler : 0x8062c85b

CurrentHandler : 0xf3ddbbb4

ServiceNumber : 0xd5

ModuleName : cmdmon.sys

SDTType : 0x0

[HOOKED_SERVICE_API]:

Service API : ZwSetInformationFile

Image Path : C:\WINDOWS\System32\DRIVERS\cmdmon.sys

OriginalHandler : 0x80579e7e

CurrentHandler : 0xf3dddde0

ServiceNumber : 0xe0

ModuleName : cmdmon.sys

SDTType : 0x0

[HOOKED_SERVICE_API]:

Service API : ZwSetValueKey

Image Path : C:\WINDOWS\System32\DRIVERS\cmdmon.sys

OriginalHandler : 0x80575527

CurrentHandler : 0xf3ddc26a

ServiceNumber : 0xf7

ModuleName : cmdmon.sys

SDTType : 0x0

[HOOKED_SERVICE_API]:

Service API : ZwShutdownSystem

Image Path : C:\WINDOWS\System32\DRIVERS\cmdmon.sys

OriginalHandler : 0x80645bd3

CurrentHandler : 0xf3ddcfa0

ServiceNumber : 0xf9

ModuleName : cmdmon.sys

SDTType : 0x0

[HOOKED_SERVICE_API]:

Service API : ZwTerminateProcess

Image Path : C:\WINDOWS\System32\DRIVERS\cmdmon.sys

OriginalHandler : 0x8058ae1e

CurrentHandler : 0xf3ddbf66

ServiceNumber : 0x101

ModuleName : cmdmon.sys

SDTType : 0x0

[HOOKED_SERVICE_API]:

Service API : ZwWriteFile

Image Path : C:\WINDOWS\System32\DRIVERS\cmdmon.sys

OriginalHandler : 0x8057a125

CurrentHandler : 0xf3dde14a

ServiceNumber : 0x112

ModuleName : cmdmon.sys

SDTType : 0x0

[HOOKED_SERVICE_API]:

Service API : ZwWriteFileGather

Image Path : C:\WINDOWS\System32\DRIVERS\cmdmon.sys

OriginalHandler : 0x805db3de

CurrentHandler : 0xf3dddfb4

ServiceNumber : 0x113

ModuleName : cmdmon.sys

SDTType : 0x0

Редактирано 5 октомври 200718 г. от hekyll (преглед на промените)

Inspect.sys and Cmdmon.sys belong to the Comodo Firewall. Those are legitimate hooks...Другите подробности сме ги обсъдили по Л.С. (от мен толкова по случая...).

Ок ,всичко сега е точно...

Мерси..