Непонятные вирусы!!!! - Страница 2

Snoopy · 04.12.2008, 17:58

Цитата:

Сообщение от Ctacbes

У моих товарищей такого нет. Что резать туда надо, что б создать такой? )

Посмотри вот это, может поможет.

Ctacbes · 05.12.2008, 00:23

Цитата:

Сообщение от snoopy

Посмотри вот это, может поможет.

Нарезал со своей венды. Так что возможно это не я затупил. Скачал клиент с торентов.
Загружается список видов загрузки. Я выбираю дефолтный, т.е. тот что на самом верху. Далее загружается что-то. Список из команд, при помощи одного можно войти в командер, на подобии Мсдоса, тама какойто клинер есть, так же выход и прочие непонятные вещи. А вот то как показано в Факе, типо рабочий стол должен появиться с файерфоксом и своими спецпрограммами, у меня нет. Может как то не так запускаю? Или это всё таки моя винда виновата и надо идти к товарищам, резать.

ПС. Я понял, запускается кансольный сканер. Сканер с графическим интерфейсом, через кансольный сканер, грузиться не хочет. Вписывал в командную строку "drweb -path=/win/c:" он проверяет себя, базы, и всё.

Кеша · 05.12.2008, 00:29

флэшку червивую подсунули )

Ctacbes · 05.12.2008, 03:50

Кароче, вспомнил, что лет 5 назад устанавливал какойто антишпион, он многое нашёл, решил поискать подобное. Нашёл Spyware Doctor, с торентов стянулся свободно и установился нормально. Пустил в проверку. В обще обноружил он мне кучу троянов, вирус и червя. Проблема в том что это не сильно мне помогло. Действующий процес не остановился, а при перезагрузки всё по новой. Но покрайней мере я хоть знал от чего отталкиваться.
Мои проблемы: trojan.generic - всего одна инфекция, сколько не удаляй всегда есть; worm.sality - довольно много инфецировано, после перезагрузки опять оживает.
Ну я загуглил это дело. Нашёл по червю способ спастись:

Спойлер про инфа по червю:

В общем сходство есть.

Спойлер про лечение:

Давайте здесь я поясню свою мысль и закроем эту тему.

Как я вылечился от этого вируса.

Вирус попал на компьютер. Если заражённый файл попал из интернета - то он лёг в папку C $:\$ Documents and Settings\Имя пользователя\Local Settings\Temporary Internet Files. Если из другого места - с флешки, из местной сети - то в папку C $:\$ Documents and Settings\Имя пользователя\Local Settings\Temp. Так как вирус был свежий, то антивирусник его не заметил.

Просто так вирусу лежать было неинтересно, да и не для этого его хакер написал. Он скопировал себя с именем "syschost.exe" или "ntos.exe" в папки C $:\$ Documents and Settings\ + C $:\$ Documents and Settings\Имя пользователя + C $:\$ WINDOWS\system32. Кроме этого, была добавлена запись в реестре Windows, чтобы при следующей перезагрузке этот вирус загрузился в память. Добрая система Windows создала точку отката и скопировала его же в папку C $:\$ System Volume Information\restore, как будто он часть системы.

Нигде здесь антивирусы еще даже не подозревают о его существовании.

Далее, при следующей перезагрузке вирус загрузился в память, и начал тырить пароли и передавать их хакеру. О чём, собственно, и сообщает межсетевой экран - фаерволл. Типа, "эгей, кто-то устанавливает связь, тебе это действительно надо?" Сам вирус из памяти при этом не выгружается, заражённые файлы из всех вышеуказанных мест не удаляются.
Воть.

Чё предложил я? Физически опустошить ненужные папки: Temporary Internet Files и Temp. Убрать откаты - папку restore. После этого там вирусов нет, потому что там нет ничего. Теперь нам надо убрать вирус из памяти. В диспетчере задач файлов с такими названиями нет - так их убить не получится. Перезагружаемся в безопасном режиме - заражённая учётная запись не участвует, реестр (автозагрузка) не грузится, в памяти вирусов тоже нет. Проверяем весь оставшийся комп - вуаля! Заразы больше нет! Ах да, одна ремарка, данный вирус появился в базах DrWeb 24 июля, в Kaspersky - 30 июля, про NOD32 - не знаю. То есть если базы у Вас раньше, то антивирус его не заметит.
Ну и остались только безвредные ссылки в реестре на уже удалённые файлы. Их можно удалить либо вручную, либо с помощью скриптика какого-нить.

Для всех вышеуказанных действий интернет НЕ НУЖЕН.

Еще раз повторю, мой совет не претендует на истину в последней инстанции, я сам сделал так, результатом доволен. Если у кого есть предложения лучше - веллкам, выкладывайте!

Всё бы было отлично, но у меня немного иная версия данной вреданосной субстанции. Я не могу зайти в Диспечер задачь. Какие проги есть для того что б можно было завершать процесс в виндовсе? Если процесс не завершить то файлы удаляться не хотят, да и саветовали это в другом, похожем, способе излечиться.

alekssh · 06.12.2008, 00:40

Цитата:

Сообщение от Ctacbes

.....
Я не могу зайти в Диспечер задачь. Какие проги есть для того что б можно было завершать процесс в виндовсе? Если процесс не завершить то файлы удаляться не хотят, да и саветовали это в другом, похожем, способе излечиться.

Есть такая прога: Process Explorer v11.3
взять здесь: http://technet.microsoft.com/en-us/s.../bb896653.aspx
или может в нашей сетке или городе есть.....

Ctacbes · 06.12.2008, 04:11

Цитата:

Сообщение от alekssh

Есть такая прога: Process Explorer v11.3
взять здесь: http://technet.microsoft.com/en-us/s.../bb896653.aspx
или может в нашей сетке или городе есть.....

Скачал прогу. Запустил. Проверил и вправду работает. Остановил процесс, для пробы. Ну комп отключился. Загрузил. Попытался повторно открыть программу, выдала туже ошибку, что и при запуски ДС или работе ЦЦКлинера.
Учится падла. В воскресение нарежу Др.Вэб курейт или Др.Вэб лайф СД у друга на компе. Возможно, на всякий случай, нарежу обе вещи. В инете разные варианты предлогают. )

dRe · 06.12.2008, 05:29

Поставь себе аваст серверный(именно серверный) и поставь проверку до загрузки винды, как он проверит комп, попробуй еще раз в безопасный заити если зайдешь то куреитом прогони, если нет то в обычном прогони, должно помочь

Ctacbes · 08.12.2008, 10:30

Цитата:

Сообщение от dRe

Поставь себе аваст серверный(именно серверный) и поставь проверку до загрузки винды, как он проверит комп, попробуй еще раз в безопасный заити если зайдешь то куреитом прогони, если нет то в обычном прогони, должно помочь

Как делитанту определить серверный авас или нет? )

Нарезал доктора курейт и лайф СД.
Лайвом вроде просканил, вроде за 5 часов нашёл чегото, да что с этим делать. У меня графический интерфейс так и не грузится, а в командной строке я не знаю что писать. Вроде надыбал команды cu и cud, для лечения и удаления соответсвенно, но я не как их вводить. В чистой формк или нужно ещё, что-то дописывать? Сёдня вечером попробую.
С урейтом другая ситуация. Требует лицензионный ключ и отказывается работать. А везде писалось, что программа бесплатная.

SIMPSON · 09.12.2008, 20:42

Скажите что за чорт залез. Появляется окно что обнаружен вирус жму удалить из трея сообщение что просто закрыт доступ и так каждые 2 часа примерно

05.12.2008, 00:29	#13
Кеша Такой Кеша Регистрация: 01.08.2006 Сообщений: 6,007	флэшку червивую подсунули ) __________________ кто не верит в холокост — сволочи и суки! это ж было для людей, и даже для науки

05.12.2008, 03:50	#14
Ctacbes КсеноИнквизиция Регистрация: 01.09.2005 Сообщений: 5,004	Кароче, вспомнил, что лет 5 назад устанавливал какойто антишпион, он многое нашёл, решил поискать подобное. Нашёл Spyware Doctor, с торентов стянулся свободно и установился нормально. Пустил в проверку. В обще обноружил он мне кучу троянов, вирус и червя. Проблема в том что это не сильно мне помогло. Действующий процес не остановился, а при перезагрузки всё по новой. Но покрайней мере я хоть знал от чего отталкиваться. Мои проблемы: trojan.generic - всего одна инфекция, сколько не удаляй всегда есть; worm.sality - довольно много инфецировано, после перезагрузки опять оживает. Ну я загуглил это дело. Нашёл по червю способ спастись: Спойлер про инфа по червю: Алиасы Email-Worm.Win32.Warezov.et (Sunbelt) I-Worm.Warezov.et (CAT-QuickHeal) I-Worm/Stration.BOC (AVG) W32.HLLP.Sality (Symantec) W32/Sality-AD (Sophos) W32/Sality.AF (F-Prot) W32/Sality.dll (McAfee) W32/Sality.Y (Panda) W32/Saltiy.S (AntiVir) W32/Stration.EFZ (Norman) W32/Stration.ET@mm (Fortinet) W32/Warezov.et (TheHacker) Win-Trojan/Sality.40960 (AhnLab-V3) Win32:KillAV-CP (Avast) Win32.Sality.m (Rising) Win32.Sector.28682 (DrWeb) Win32.Warezov.ET@mm (BitDefender) Win32/Sality.NAM (NOD32v2) Win32/Sality.S (eTrust-Vet) Worm:Win32/Sality.T.dll (Microsoft) Worm.Stration.XR-1 (ClamAV) Worm.Warezov.et (Ewido) Дополнительные алиасы драйвера Generic3.KXG (AVG) TR/Drop.Warezov.A.1 (AntiVir) Trojan.Ipsof (DrWeb) Trojan/Sality.s (TheHacker) VirTool:Win32/Rootkit.C (Microsoft) W32/Rootkit.D!tr (Fortinet) W32/Sality.W (Norman) W32/Sality.X.drp (Panda) Win-Trojan/Sality.5477 (AhnLab-V3) Win32.Warezov.96 (BitDefender) Worm.Sality.s (CAT-QuickHeal) Описание Файловый вирус заражет файлы с расширениями .EXE и .SCR. Записывает нажимаемые пользователем клавиши. Затем отправляет эти записи по электронной почте. Встречен в темах http://virusinfo.info/showthread.php?t=17573 http://virusinfo.info/showthread.php?t=18343 http://virusinfo.info/showthread.php?t=18854 http://virusinfo.info/showthread.php?t=19369 http://virusinfo.info/showthread.php?t=19545 Файлы на диске Заражает выполняемые файлы. Кроме этого создает свои: c $:\$ windows\system32\wmdrtc32.dll 40960 байт C $:\$ WINDOWS\system32\drivers\_случайное_имя_.sys 5477 байт Способ запуска 1. Через зараженный файл. 2. Драйвер: NdisFileServices32 Описание: NdisFileServices32 C $:\$ WINDOWS\system32\drivers\_случайное_имя_.sys Внешние проявления (со слов пользователей) Нарушается работа антивирусных програм, их файлы удаляются. Доступ к сайтам антивирусных компаний заблокирован. В общем сходство есть. Спойлер про лечение: Давайте здесь я поясню свою мысль и закроем эту тему. Как я вылечился от этого вируса. Вирус попал на компьютер. Если заражённый файл попал из интернета - то он лёг в папку C $:\$ Documents and Settings\Имя пользователя\Local Settings\Temporary Internet Files. Если из другого места - с флешки, из местной сети - то в папку C $:\$ Documents and Settings\Имя пользователя\Local Settings\Temp. Так как вирус был свежий, то антивирусник его не заметил. Просто так вирусу лежать было неинтересно, да и не для этого его хакер написал. Он скопировал себя с именем "syschost.exe" или "ntos.exe" в папки C $:\$ Documents and Settings\ + C $:\$ Documents and Settings\Имя пользователя + C $:\$ WINDOWS\system32. Кроме этого, была добавлена запись в реестре Windows, чтобы при следующей перезагрузке этот вирус загрузился в память. Добрая система Windows создала точку отката и скопировала его же в папку C $:\$ System Volume Information\restore, как будто он часть системы. Нигде здесь антивирусы еще даже не подозревают о его существовании. Далее, при следующей перезагрузке вирус загрузился в память, и начал тырить пароли и передавать их хакеру. О чём, собственно, и сообщает межсетевой экран - фаерволл. Типа, "эгей, кто-то устанавливает связь, тебе это действительно надо?" Сам вирус из памяти при этом не выгружается, заражённые файлы из всех вышеуказанных мест не удаляются. Воть. Чё предложил я? Физически опустошить ненужные папки: Temporary Internet Files и Temp. Убрать откаты - папку restore. После этого там вирусов нет, потому что там нет ничего. Теперь нам надо убрать вирус из памяти. В диспетчере задач файлов с такими названиями нет - так их убить не получится. Перезагружаемся в безопасном режиме - заражённая учётная запись не участвует, реестр (автозагрузка) не грузится, в памяти вирусов тоже нет. Проверяем весь оставшийся комп - вуаля! Заразы больше нет! Ах да, одна ремарка, данный вирус появился в базах DrWeb 24 июля, в Kaspersky - 30 июля, про NOD32 - не знаю. То есть если базы у Вас раньше, то антивирус его не заметит. Ну и остались только безвредные ссылки в реестре на уже удалённые файлы. Их можно удалить либо вручную, либо с помощью скриптика какого-нить. Для всех вышеуказанных действий интернет НЕ НУЖЕН. Еще раз повторю, мой совет не претендует на истину в последней инстанции, я сам сделал так, результатом доволен. Если у кого есть предложения лучше - веллкам, выкладывайте! Всё бы было отлично, но у меня немного иная версия данной вреданосной субстанции. Я не могу зайти в Диспечер задачь. Какие проги есть для того что б можно было завершать процесс в виндовсе? Если процесс не завершить то файлы удаляться не хотят, да и саветовали это в другом, похожем, способе излечиться. __________________ The history of Russia is one of glory, and victory, and of sadness.

06.12.2008, 05:29	#17
dRe Новичок Регистрация: 19.07.2004 Сообщений: 255	Поставь себе аваст серверный(именно серверный) и поставь проверку до загрузки винды, как он проверит комп, попробуй еще раз в безопасный заити если зайдешь то куреитом прогони, если нет то в обычном прогони, должно помочь __________________ We all humans, after all...

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Вирусы	ЧегеВара	Техподдержка	28	02.10.2008 15:17
непонятные артефакты	Железяка	Железо	3	18.08.2008 20:06
про вирусы. как оно есть :)	Immelman	Юмор	11	18.10.2005 00:09