Как вылечить от win32

04.11.2020
0
ГлавнаяКак вылечитьКак вылечить от win32

Насколько я вижу из статистики, посетители приходят на данную страницу из поисковых систем, чтобы найти как лечить Win32.Bundpil. Для вашего удобства я размещаю ответ на ваш вопрос в самом начале поста. Если интересно, можете прочитать ниже и историю о том, как я с ним столкнулся.

Как вылечить компьютер от Win32.Bundpil?

Буду краток: антивирусом. Если он у вас есть, но не “застукал” зловреда, то это значит, что его вирусная база безмерно устарела. Вирус Win32.Bundpil на сегодняшний день уже довольно старый, и о нём знают все антивирусы, ну, кроме самых дремучих. Если у вас не продлена лицензия на антивирус, то можете воспользоваться бесплатными антивирусами, вроде Avira AntiVir или Avast. Они бесплатны для рядовых пользователей и точно лечат Win32.Bundpil.

  1. Обновите антивирусные базы вашего антивируса.
  2. Запустите полную проверку компьютера и дождитесь её окончания.

Как вылечить флешку от Win32.Bundpil?

Ответ тот же: антивирусом. Убедитесь, что он включен, вставьте флешку и запустите проверку флешки. Обычно в антивирусах можно выбрать, какие устройства проверять. Можно совместить это с предыдущим пунктом: запустить полную проверку, имея флешку вставленной. Таким образом вылечится и она тоже.

Если же вы решили по каким-то причинам (например, у вас Linux) удалить Win32.Bundpil с флешки вручную, то вот вам порядок действий (для опытных пользователей!):

  1. Если у вас есть антивирус, то убедитесь, что он включён. В противном случае, обязательно отключите автозапуск с внешних носителей (если это до сих пор не сделано), иначе можно заразить компьютер!
  2. Включаем отображение скрытых файлов и папок, расширений файлов (если это ещё до сих пор не сделано).
  3. Вставляем флешку.
  4. Удаляем всё из корня кроме папки с “пустым” названием (она ещё может иметь иконку накопителя).
  5. Заходим в вышеозначенную папку, перемещаем всё её содержимое в корень, саму её удаляем.
  6. Удаляем desktop.ini из корня.

Как предохраниться от заражения Win32.Bundpil?

Вот несколько советов. следование которым позволит вам не заражаться Win32.Bundpil, как и другими вирусами.

  1. Коль скоро у вас возникают такие вопросы, пользуйтесь антивирусом и всегда вовремя обновляйте антивирусные базы. Если вы пользовались платным антивирусом, а потом на него кончилась лицензия, и он не хочет больше обновлять базы, и нет возможности лицензию продлить, удалите его и воспользуйтесь бесплатными антивирусами, вроде Avira AntiVir или Avast. Лучше бесплатный “Avast” с сегодняшними базами, чем “Касперский” с прошлогодними!
  2. Если вы пользуетесь ОС семейства Windows, в которой имеется UAC (а именно: Windows Vista, Windows 7, Windows 8), не отключайте UAC! Если кто-то “умный” уже отключил его до вас, включите. UAC — это ещё одна ступень защиты компьютера от вирусов, отключая его, вы даёте вирусам ещё одну возможность заразить ваш компьютер!
  3. Отключите автозапуск с внешних носителей. Вирусы очень часто заражают компьютер через флешки, будучи запущенными в момент, когда флешку вставили. Чтобы это предотвратить, нужно отключить автозапуск с внешних носителей.
  4. Регулярно обновляйте операционную систему! Обновления — это не только новые вещи для пользователей, но и обновление защиты против известных вирусов. У обновлённой операционной системы риск заражения минимален! Перестаньте использовать Windows XP! С апреля 2014 года обновления для неё больше не выходят, а это значит, что она уязвима для вирусов (а антивирусы — это всё же лечение симптомов, а не корня проблемы). Windfows XP — самая подверженная вирусным атакам ОС на сегодняшний день. Отложите в сторону ваш консерватизм и потратьте немного вашего времени на то, чтобы освоить Windows 7 — потом сами поймёте, что она имеет много преимуществ перед XP (и не только в отношении безопасности). Иначе так и будете постоянно удивляться “Да откуда же постоянно лезут все эти вирусы??”.

На этом, пожалуй, всё. Можете прочитать мою историю о том, как я встретил и излечил Win32.Bundpil, если, конечно, интересно.

Сегодня ходил в универ показывать результаты своих охуительных усилий в области экспериментальных методов исследований ширины спектра генерации YAG:Nd-лазера, которые я принёс на флешке, уже второй раз, переделанные.

Но сия охуительная история не об экспериментальных методах исследований. В 501-й аудитории корпуса на переулке Гривцова на компах стоит XP с админскими правами и НОД32 с базами 2011 года. В-общем, результат немного предсказуем. Конечно же, флешка была тут же засрана зловредами.

Подобные вещи в народе часто называют “вирусами”. Тем не менее, не люблю я это слово, т.к. оно обозначает класс вредоносного ПО с вполне определённым функционалом, и нельзя, не зная истинного предназначения вредоносной программы и её возможностей, называть её именно вирусом. Так что буду говорить “зловред”, а если где-то далее я и скажу “вирус”, то стоит понимать под этим “вредоносное ПО”, если только в контексте не указано иное.

Читайте также:  Как вылечить морфологию спермы

На заражённом компе это выглядело как ярлык “Removable Device” в корне накопителя, но, включив на ХРюхе отображение скрытых файлов, я нашёл ещё пяток объектов, но трогать их не стал.

Кроме как через этот ярлык добраться до моих файлов было никак.

Принёс домой. Как и ожидалось, на 8.1 с включённым UAC автозапуск зловреда не сработал. Но вот теперь надо придумать как мне до моих файлов теперь добраться в обход этого ярлыка. Кстати, в его свойствах написан путь:

C:WINDOWSsystem32rundll32.exe ~$WWHJ.NFC,crys pupupupupupupupupupup kfkfkfkfkfkfkfpaup

Налицо явный пример эксплойта переполнения стека у необновлённого хост-процесса винды ХР. Сам файл ~$WWHJ.NFC лежал рядышком с атрибутом “Скрытый” и был отправлен мною на Вирустотал с таким результатом:
https://www.virustotal.com/ru/file/f531a86c9bfa4b0f402092c2860a0d94d340281581aafcb0aa106ad0b6d80e73/analysis/1390587014/

Win32.Bundpil, стало быть.

Прежде чем пытаться что-то делать самому, скачал CureIt: авось демонстрационная версия Dr.Web’а продемонстрирует свои самые лучшие стороны да и очистит несчастный накопитель. CureIt пропердолила мне мною же редактированный хостс (чуть не удалила, кстати результаты моих стараний!), а на флешке ничего не нашла (хоть и был выставлен поиск по ней). Я уже говорил, что антивирусы — это шарлатанские программы? Нет? Не говорил? О, тогда надо будет в другой раз об этом рассказать! А флешку в итоге я вилкой вычистил сам.

Короче, что этот зловред делает? Он создаёт в корне папку с “пустым” названием (на самом деле там какой-то символ в названии есть, просто отображается он как пустое место), кладёт туда всё содержимое флешки, ставит ей атрибут “скрытый” и ещё делает ей иконку значка накопителя при помощи desktop.ini. Непонятно, правда, зачем, ведь всё равно папка скрытая. Кроме того, создаёт ещё несколько скрытых файлов в числе которых само тело зловреда, ярлык, его запускающий и открывающий вышеозначенную папку (типа, кликнул — открылась папка и незаметно запустился зловред, на случай если авторан отключен), ну, и autorun.inf чтоб всё это добро запускалось сразу по втыкании.

Конечный алгоритм ручного очищения флешки таков:
1. Включаем отображение скрытых файлов и папок, расширений файлов (если это ещё до сих пор не сделано).
2. Удаляем всё из корня кроме папки с “пустым” названием (она ещё может иметь иконку накопителя).
3. Заходим в вышеозначенную папку, перемещаем всё её содержимое в корень, саму её удаляем.
4. Убираем desktop.ini из корня.
Проделывать с отключённым автозапуском с внешних носителей и включённым UAC.

В апреле 2014 года компания Майкрософт, как она уже неоднократно сообщала, прекратит поддержку Windows XP. Многие разводят руками: а зачем, дескать, мне эта поддержка, если я ни разу в ихнюю службу и не звонил, да и винда у меня кряченная, так что они всё равно не ответят? Подобные утверждения могут делать только совсем уж некомпетентные люди, многие из которых, к сожалению, мнят себя “компьютерщиками”. В этот же ряд становятся и всякие дурни, сразу после установки отключающие обновления и UAC (если речь идёт о более поздних версиях ОС) — ну, нельзя же каждому такому гражданину свои мозги вставить. Ведь помимо телефонной справки, поддержка Windows — это ещё и регулярное обновление файлов ОС, прежде всего чтобы не допустить подобных заражений.

Вот ещё один пример из истории — вирус Conficker. Цитируем Википедию:

Эпидемия стала возможной в результате того, что значительная часть пользователей оказалась подвержена уязвимостям, ранее устраненным критическими обновлениями MS08-067, MS08-068 и MS08-069.

Ну, то есть заразились как раз самые умные, т.е. кто не обновлял систему, хотя всё было уже давно исправлено.

Кстати, обновления безопасности могут получать и пользователи пиратских копий. Всё-то ругают Майкрософт, а они вон даже пиратам обновления не отключают. Родина дала тебе обновления! Не хочу, отключу!

Бдительность, обновлённый софт и прямые руки — это и есть основа информационной безопасности, а вовсе не антивирусы. К сожалению, понимают это ещё далеко не все.

Вы всё ещё считаете, что обновления ОС — плохая идея? Тогда мы идём к вам.

You can leave a comment with “Facebook”:

Не забывайте оставлять комментарии при помощи “ВКонтакте”:

Источник

Рекомендую распечатать этот мануал перед самим лечением Virus.Win32.Sality.aa, повесить данную страницу в закладки вашего браузера, раздавать всем нуждающимся знакомым ссылки на данный мануал и всячески его продвигать – действует безотказно!
Несколько раз по работе я сталкивался с особо опасным вирусом — VIRUS.WIN32.SALITY.AA, либо в классификации Dr.Web — WIN32 SEKTOR 17. Обычно такие встречи оказывались очень неприятными, потому что компьютеры, которые были им заражены, оказывались с ценными программами типа клиент банка и разнообразными настройками и сносить винду было делом проблематичным.Однако я не терял надежду и нашел способ лечения Virus.Win32.Sality.aa

Читайте также:  Как быстро вылечить флюс в домашних условиях быстро с щеки

Типичные признаки Virus.Win32.Sality.aa

  • Не устанавливается антивирус Касперского
  • При попытке открыть диспетчер задач выдает – «диспетчер задач отключен администратором»
  • При попытке открыть реестр – реестр заблокирован
  • При попытке открыть сайт Касперского либо других антивирусов – пишет — узел недоступен.
  • Невозможно запустить другие антивирусные утилиты – AVZ4 и пр.
  • Невозможно загрузить безопасный режим

Типичные способы лечения Virus.Win32.Sality.aa

  • Снести винду и отформатировать диск c: — может помочь, если сразу потом поставить каспера, обновить и начать лечение Virus.Win32.Sality.aa и других вирусов
  • Попытаться отписать на форум поддержки, с указанием логов avz4, местные спецы анализируют их и бросают тебе скрипты лечения Virus.Win32.Sality.aa

Мои попытки лечения Virus.Win32.Sality.aa.

Пошел по второму пути, отписал на форуме, мне посоветовали использовать KAV Rescue Disk — , это диск 100 мб который записываешь как образ на CD-R и загружаешься с него. Там загружается линукс с предустановленной утилитой Касперского, которая обновляется и лечит вирусы, а в моем случае происходило лечение Virus.Win32.Sality.aa. Похоже на то, когда снимают винчестер и лечат его на другом компьютере. Успеха мне эта попытка не принесла, убив без малого 2 часа и найдя около 30 тел вируса, я стал искать другие методы. И нашел. Называется она SalityKiller . Должна лечить эту модификацию вируса Virus.Win32.Sality.aa, с чем вроде бы справляется, но дело в том, что вирус очень живучий и так просто его не убьешь – он генерирует сам себя и заражает все файлы, которые загружаются в оперативную память, таким образом, заражается и SalityKiller — подробно описано как ее использовать, но, подчеркну, что применение ее без других методов лечения Virus.Win32.Sality.aa  пользы не принесет.
А теперь переходим к самому сладкому..

Лечение Virus.Win32.Sality.aa

делать все точно, так, как описано, и ни разу не отклоняться от мануала!
1) Во первых для лечения Virus.Win32.Sality.aa нам нужен софт:1) Dr.Web Cureit! — ,
2)AvpTool (от Касперски) 3)Cпец. утилиту от Каcперского «SalityKiller»  и ветки реестра для восстановления безопасного режима Sality_RegKeys.zip . 4) Утилиту AVZ 4 Олега Зайцева. 5) Утилиту ATF Cleaner

Весь этот софт нужно качать только на чистом от вирусов компьютере и желательно записать на болванку, чтобы вирус не мог изменить данный софт. Но я лечил с флэшки и вылечил. Также нам понадобится диск типа Live CD, либо можно использовать любой другой, который позволит загрузиться в оболочке и запустить программы не запуская при этом виндовс. Я использовал минск информ и Windows PE и с нее занимался лечением Virus.Win32.Sality.aa.
2) Следующий шаг – загружаемся в обычном режиме – в безопасном вы все равно не сможете и отключаем восстановление системы.
3) Загружаемся с нашего загрузочного диска Live CD
4) Заходим в любую папку и включаем показ скрытых и системных файлов (сервис> свойства папки > вкладка вид, галочку поставить на «Отображать содержимое системных папок», убираем галку на «Скрывать защищенные системные файлы», ставим галку на «Показывать скрытые файлы и папки».)
5) Заходим на каждый раздел нашего жесткого диска и ищем папку System Volume Information – заходим в нее и удаляем там все, это не нанесет никакого вреда компьютеру. Также на каждом разделе ищем папку RECYCLER и тоже все удаляем. Также можно почистить папку TEMP в каталоге windows и на диске с. Ну и если совсем не влом то можно почистить временные файлы интернет експлорера или оперы или и того и того.
6) С диска запускаем утилиту Dr.Web Cureit! Ставим в настройки — изменить настройки — типы файлов — сканировать все файлы, файлы в архивах. Вкладка действия-инфицированные лечить, неизлечимые — удалить. Там же снимаем галочку с запроса подтверждения. Жмем ок и запускаем полную проверку. Ждем. Когда все вылечит, закрываем программу.
7) Запускаем SalityKiller. Лечим вирусы. Ждем, пока не появится надпись, что все завершено.
8) Далее советуют запустить для пущей уверенности AvpTool, я запускал, однако он прошелся по выжженной земле, буквально ничего не найдя.
9) Загружаем нашу родную windows, которая недавно была поражена вирусами. Заходим на диск с софтом, который вы записали, ищем утилиту SalityKiller, нажимаем на ней правой клавишей мыши, и отправляем ярлык на рабочий стол (делать именно так как пишу!!! не иначе!!!) появившийся ярлык, правой клавишей нажимаем и меняем его имя, пишем SalityKiller.exe -m бросаем в автозагрузку Пуск>все программы>Автозагрузка (кликаем правой клавишей по папке Автозагрузка, нажимаем открыть) и сохраняем ярлык в папку Автозагрузки.
10) Перезагружаемся. При загрузке сразу начинает работать SalityKiller и вычищать все, что осталось, но у меня ни осталось ничего.
11) Далее открываем AVZ4 с диска, и жмем – файл — восстановление системы, там нажимаем на пункты 8, 10, 11, 13, 17 и жмем выполнить.
12) Затем открываем Sality_RegKeys, выбираем версию операционки – в моем случае — SafeBootWinXP.reg, выполняем его.
13) Перезагружаемся. Опять проверяемся салити киллером на возможность леченияVirus.Win32.Sality.aa каким то чудом оставшихся в живых, и убираем его из автозагрузки.
14) Запускаем утилиту ATF-Cleaner, ставим все галочки, а затем «Empty Selected» (очистить).
15) Затем можно устанавливать Касперского.
Все тут уже все практически вылечено, однако многие системные файлы поврежденыв связи с лечением Virus.Win32.Sality.aa, и могут начаться глюки с работой.

Читайте также:  Как вылечить жесткий диск dos

В связи с чем, рекомендую поставить винду поверх. На диске минскинформа этот вариант есть. Когда доходит до выбора дисков, установка виндовс говорит, что обнаружены предыдущие версии винды и не хотите ли вы их полечить, нажав на букву R? Выбираем и начинается установка винды поверх, что мало отличается от обычной установки винды, за исключением лишь того что все настройки программы и прочее останутся.
Все! Мы вылечили этот злосчастный вирус. Я потратил на лечение Virus.Win32.Sality.aa около 6 часов, правда тут зависит от объемов дисков и скорости компьютера.

Источник

Ну вот вам первый совет.

До сих пор встречается этот вирус, хоть и стоят у людей различные антивирусные программы. Вот что муж писал в черновиках…

Вот может кому и пригодится данная информация. Искал себе на просторах Интернета дефрагментатор и… нашел с кряком:). Мой антивирус Comodo сразу взвыл – вирус win32.neshta.a, но я не принял его доводы во внимание и разрешил ему установиться.

Вот что известно о нем: Neshta — зловредный код ( в дальнейшем вирус) появившился в Беларуси в конце 2005г. Имя вирус получил возможно  от транслитерации белорусского слова «не́шта», означающего «нечто», «что-то», а возможно по названию города. Neshta относится к категории файловых вирусов— в настоящее время не сильно популярных среди вирусных программ.

В базах антивирусных программ Neshta известен, как Virus.Win32.NeshtaWin32.HLLP.Neshta (Dr. Web), Win32.NeshtaWin32.Neshuta («Symantec Antivirus»), Win32:Trojan-gen («avast!»).

(«Антивирус Касперского»), (NOD32),

При запуске зараженной программы на «чистой» машине, вирус копирует своё тело в файл svchost.com (размер — 41 472 байта) в директории Windows. После этого регистрирует этот файл в системном реестре по адресу HKCRexefileshellopencommand, в результате чего запуск любого exe-файла на зараженной машине будет предваряться запуском файла вируса. Затем, вирус сканирует доступные логические диски компьютера и заражает exe файлы, удовлетворяющее некоторым критериям (как правило, это подавляющее большинство exe-файлов). После заражения работа компьютера не нарушается.

Для восстановления работоспособности компьютера после удаления Neshta антивирусом может понадобиться изменить значение ключа в реестре по адресу HKCRexefileshellopencommand с «%Windows%svchost.com „%1″ %*»«„%1″ %*» — БЕЗ упоминаний о windowssvchost.comна

Выявлен факт, что при невозможности скопировать свое тело в папку Windows, вирус пытается копировать себя в профиль учетной записи administrator. И прописывает свой запуск в реестр оттуда.

Скачал утилиту от Касперского и запустил – вирус не находит. Скачал утилиту от Доктора Веб и запустил – вирус не находит. Очень неприятный момент. Пришлось действовать головой).

Способ лечения вируса win32.neshta.a :

Первый – переустановить начисто систему, предварительно прогнав из-под DOS антивирусом. В этом случае, вы лишитесь всех файлов EXE, зараженных NESHTA.
Второй. Как ни прискорбно, но большинство антивирусов не лечат файлы зараженные NESHTA, а просто удаляют их. Но, у DRWEB есть бесплатная утилита под названием CUREIT. Вы можете бесплатно скачать ее с сайта DRWEB. Так же вам понадобится файл реестра, который вы можете сделать сами следующим образом. Создаем текстовый документ и вносим в него следующие данные:

REGEDIT4

[HKEY_CLASSES_ROOTexefileshellopencommand]
@=””%1″ %*”
[HKEY_LOCAL_MACHINESOFTWAREClassesexefileshellopencommand]
@=””%1″ %*”

Примечание: пустая строка после REGEDIT4 – обязательна.

Сохраняемся и закрываем текстовый документ. Затем, меняем расширение документа с TXT на REG. Запускаем полученный файл реестра и соглашаемся с добавление данных. После чего запускаем утилиту CUREIT и проводим полную проверку системы. Что удивительно, теперь утилита видит вирус и лечит его спокойно. Утилита от Касперского все и теперь не видит заражение – прискорбно. Ну продолжим… На предложения типа «лечить» соглашаемся «да для всех».

Лечение 120 гигов заняло 8,5 часов, пролечил 950 файлов с расширением exe.

Источник

Предыдущая статья
Как обнаружить вирус и вылечить компьютер
Следующая статья
Как вылечить ангину у ребенка при высокой ...
© E-Polza