А на какую полянку в винде прилуняются вирусы?
3833
9
Лет двести уже не ковырялся в винде, поэтому вопрос win-асам :смущ:

А где конкретно оседают вирусы в виндовсе?

Вопрос вот почему возник - в Убунте читаешь флешку какую-нибудь, всё как в зеркале, если вирус есть, вот он, затер его и порядок.
Пришла дама с интересным буком. На буке стоят Виндоус ХР и Убунта.
Где-то в виндовых дебрях точно есть вирусы (флешка цепляет), но где их там искать?
Господа, скажите, плиз, можно ли из Убунты их найти и ликвидировать?
womenlover
Проще всего скачать лайвсиди с дрвебом или касперычем и им пройтись.
womenlover
sudo apt-get install clamav

Clamav- антивирусная программа. Есть в репах убунты.
Насколько хороша - не знаю. Очень давно не пользовался. Но базы обновляются регулярно.
http://www.clamav.net/lang/ru/about/
RegionXX
Кстати да, чет я както про него запамятовал .)
womenlover
В Винде ХР ищу обычно вот где: 1)папка Winows (особо \system32) 2) папки кешей временных файлов в Doc&Sett 3) Папка System Vol Inf 4) Собственно папки с файлами пользователей в Doc&Sett, ну, и в корень диска глянуть, может там чего лежит. Вирусы бывает маскируются под системные файлы, бывает, что с другой системы антивирус их не видит, но когда запускается антивирус (cureit) на зараженной системе, то поймать может. Много раз сталкивался с ситуацией, когда лечение не давало результата, когда система падала в перезагрузку, тогда только все сносить и заново ставить. Поэтому лучшее решение от вирусов - формат с сохранением информации с последующей установкой заново. Тогда хотя бы есть прогнозируемый результат и гарантия, что работать будет.
шейпер
бывает, что с другой системы антивирус их не видит, но когда запускается антивирус (cureit) на зараженной системе, то поймать может
Это что-то странное вы говорите. Вообще-то все с точностью до наоборот: при загрузке другой системы или с Live-CD/USB (что аналогично подключению винчестера к другой системе) файлы, содержание вирус, гарантированно можно найти/прочитать/удалить, т.к. в этом случае у вируса нет возможностей для маскировки своего процесса в памяти и файлов на диске.
А вот если запускать антивирус непосредственно из-под зараженной системы - то многие вирусы умело прячут свой процесс в памяти и свои файлы путем подмены API зараженной ОС. Вплоть до внедрения драйвера для полной гарантии сего непотребства.
womenlover
Как правило, большинство вирусов
1) Пишут себя в D&S\\Local Settings\Temp - т.к. в эту папку гарантированно есть права на запись у пользователя с любыми правами, ну или просто в D&S\\
2) Если пользователь работает с административными правами - пишутся в \Windows и \Windows\System32, а то и просто в корень C:\, но это редко
3) Часто любят записаться в \RECYCLER (в том числе на собственно флешке) и в "System Volume Information", правда про последнее я точно не знаю: сами вирусы туда прописываются или это Windows после рестарта заботливо копирует их сюда из System32 как "необходимые для успешного функционирования системы".
KSergey
Спасибо, очень полезная информация, буду рыть дальше
Правда первый взгляд на папку D&S ничего подозрительного не показал

У дамы вообще странное чего-то творится в ОСи
Файлы копируются и удаляются нормально, но стоит файл перенести из папки в папку, то он становится недоступен, винда кричит что не может его открыть так как не хватает прав. Вот интересно, это тоже происки какого-то вируса?

И ещё вопрос, а у виндового реестра вообще есть какая-то своя папка? Из-под убунты нельзя эту папку углядеть и прошерстить? Или лучше в реестр вообще не заглядывать, во избежание крупных неприятностей?
womenlover
Вполне возможно, что происки.
Попробуйте откатиться на максимально возможное по дате состояние системы - очень часто это банальное действие помогает.
По поводу реестра.
Для начала почитайте про него, например это . Там и про то, где находится, и про режим импорта-экспорта, и много еще чего полезного. Такой информации на любой вкус, цвет, уровень подготовки в сети навалом.

Доступ из под убунты очень прост. При установленном Wine в терминале набрать wine regedit , импортируете файл реестра, редактируете. Также, наверно, можно пользоваться сторонним софтом из под Wine.
womenlover
У реестра есть и папка, и свои файлы: хранятся в папке Windows\system32\config, а пользовательские настройки в Doc&sett\пользователь\ntuser.dat Насчет того, чтобы поковырять реестр из-под Ubuntu, немного сомневаюсь, для этого лучше использовать LiveCD типа Hirens Boot, там для этого инструменты есть.
Когда имеются проблемы с доступом хорошо бы пройтись avz, а потом еще сделать обычную виндовую проверку диска, командочкой chkdsk, чтобы устранить ошибки файловой.