forum.rastrnet.ru - Показать сообщение отдельно

Ctacbes · 05.12.2008, 03:50

Кароче, вспомнил, что лет 5 назад устанавливал какойто антишпион, он многое нашёл, решил поискать подобное. Нашёл Spyware Doctor, с торентов стянулся свободно и установился нормально. Пустил в проверку. В обще обноружил он мне кучу троянов, вирус и червя. Проблема в том что это не сильно мне помогло. Действующий процес не остановился, а при перезагрузки всё по новой. Но покрайней мере я хоть знал от чего отталкиваться.
Мои проблемы: trojan.generic - всего одна инфекция, сколько не удаляй всегда есть; worm.sality - довольно много инфецировано, после перезагрузки опять оживает.
Ну я загуглил это дело. Нашёл по червю способ спастись:

Спойлер про инфа по червю:

В общем сходство есть.

Спойлер про лечение:

Давайте здесь я поясню свою мысль и закроем эту тему.

Как я вылечился от этого вируса.

Вирус попал на компьютер. Если заражённый файл попал из интернета - то он лёг в папку C $:\$ Documents and Settings\Имя пользователя\Local Settings\Temporary Internet Files. Если из другого места - с флешки, из местной сети - то в папку C $:\$ Documents and Settings\Имя пользователя\Local Settings\Temp. Так как вирус был свежий, то антивирусник его не заметил.

Просто так вирусу лежать было неинтересно, да и не для этого его хакер написал. Он скопировал себя с именем "syschost.exe" или "ntos.exe" в папки C $:\$ Documents and Settings\ + C $:\$ Documents and Settings\Имя пользователя + C $:\$ WINDOWS\system32. Кроме этого, была добавлена запись в реестре Windows, чтобы при следующей перезагрузке этот вирус загрузился в память. Добрая система Windows создала точку отката и скопировала его же в папку C $:\$ System Volume Information\restore, как будто он часть системы.

Нигде здесь антивирусы еще даже не подозревают о его существовании.

Далее, при следующей перезагрузке вирус загрузился в память, и начал тырить пароли и передавать их хакеру. О чём, собственно, и сообщает межсетевой экран - фаерволл. Типа, "эгей, кто-то устанавливает связь, тебе это действительно надо?" Сам вирус из памяти при этом не выгружается, заражённые файлы из всех вышеуказанных мест не удаляются.
Воть.

Чё предложил я? Физически опустошить ненужные папки: Temporary Internet Files и Temp. Убрать откаты - папку restore. После этого там вирусов нет, потому что там нет ничего. Теперь нам надо убрать вирус из памяти. В диспетчере задач файлов с такими названиями нет - так их убить не получится. Перезагружаемся в безопасном режиме - заражённая учётная запись не участвует, реестр (автозагрузка) не грузится, в памяти вирусов тоже нет. Проверяем весь оставшийся комп - вуаля! Заразы больше нет! Ах да, одна ремарка, данный вирус появился в базах DrWeb 24 июля, в Kaspersky - 30 июля, про NOD32 - не знаю. То есть если базы у Вас раньше, то антивирус его не заметит.
Ну и остались только безвредные ссылки в реестре на уже удалённые файлы. Их можно удалить либо вручную, либо с помощью скриптика какого-нить.

Для всех вышеуказанных действий интернет НЕ НУЖЕН.

Еще раз повторю, мой совет не претендует на истину в последней инстанции, я сам сделал так, результатом доволен. Если у кого есть предложения лучше - веллкам, выкладывайте!

Всё бы было отлично, но у меня немного иная версия данной вреданосной субстанции. Я не могу зайти в Диспечер задачь. Какие проги есть для того что б можно было завершать процесс в виндовсе? Если процесс не завершить то файлы удаляться не хотят, да и саветовали это в другом, похожем, способе излечиться.

05.12.2008, 03:50	#14
Ctacbes КсеноИнквизиция Регистрация: 01.09.2005 Сообщений: 5,004	Кароче, вспомнил, что лет 5 назад устанавливал какойто антишпион, он многое нашёл, решил поискать подобное. Нашёл Spyware Doctor, с торентов стянулся свободно и установился нормально. Пустил в проверку. В обще обноружил он мне кучу троянов, вирус и червя. Проблема в том что это не сильно мне помогло. Действующий процес не остановился, а при перезагрузки всё по новой. Но покрайней мере я хоть знал от чего отталкиваться. Мои проблемы: trojan.generic - всего одна инфекция, сколько не удаляй всегда есть; worm.sality - довольно много инфецировано, после перезагрузки опять оживает. Ну я загуглил это дело. Нашёл по червю способ спастись: Спойлер про инфа по червю: Алиасы Email-Worm.Win32.Warezov.et (Sunbelt) I-Worm.Warezov.et (CAT-QuickHeal) I-Worm/Stration.BOC (AVG) W32.HLLP.Sality (Symantec) W32/Sality-AD (Sophos) W32/Sality.AF (F-Prot) W32/Sality.dll (McAfee) W32/Sality.Y (Panda) W32/Saltiy.S (AntiVir) W32/Stration.EFZ (Norman) W32/Stration.ET@mm (Fortinet) W32/Warezov.et (TheHacker) Win-Trojan/Sality.40960 (AhnLab-V3) Win32:KillAV-CP (Avast) Win32.Sality.m (Rising) Win32.Sector.28682 (DrWeb) Win32.Warezov.ET@mm (BitDefender) Win32/Sality.NAM (NOD32v2) Win32/Sality.S (eTrust-Vet) Worm:Win32/Sality.T.dll (Microsoft) Worm.Stration.XR-1 (ClamAV) Worm.Warezov.et (Ewido) Дополнительные алиасы драйвера Generic3.KXG (AVG) TR/Drop.Warezov.A.1 (AntiVir) Trojan.Ipsof (DrWeb) Trojan/Sality.s (TheHacker) VirTool:Win32/Rootkit.C (Microsoft) W32/Rootkit.D!tr (Fortinet) W32/Sality.W (Norman) W32/Sality.X.drp (Panda) Win-Trojan/Sality.5477 (AhnLab-V3) Win32.Warezov.96 (BitDefender) Worm.Sality.s (CAT-QuickHeal) Описание Файловый вирус заражет файлы с расширениями .EXE и .SCR. Записывает нажимаемые пользователем клавиши. Затем отправляет эти записи по электронной почте. Встречен в темах http://virusinfo.info/showthread.php?t=17573 http://virusinfo.info/showthread.php?t=18343 http://virusinfo.info/showthread.php?t=18854 http://virusinfo.info/showthread.php?t=19369 http://virusinfo.info/showthread.php?t=19545 Файлы на диске Заражает выполняемые файлы. Кроме этого создает свои: c $:\$ windows\system32\wmdrtc32.dll 40960 байт C $:\$ WINDOWS\system32\drivers\_случайное_имя_.sys 5477 байт Способ запуска 1. Через зараженный файл. 2. Драйвер: NdisFileServices32 Описание: NdisFileServices32 C $:\$ WINDOWS\system32\drivers\_случайное_имя_.sys Внешние проявления (со слов пользователей) Нарушается работа антивирусных програм, их файлы удаляются. Доступ к сайтам антивирусных компаний заблокирован. В общем сходство есть. Спойлер про лечение: Давайте здесь я поясню свою мысль и закроем эту тему. Как я вылечился от этого вируса. Вирус попал на компьютер. Если заражённый файл попал из интернета - то он лёг в папку C $:\$ Documents and Settings\Имя пользователя\Local Settings\Temporary Internet Files. Если из другого места - с флешки, из местной сети - то в папку C $:\$ Documents and Settings\Имя пользователя\Local Settings\Temp. Так как вирус был свежий, то антивирусник его не заметил. Просто так вирусу лежать было неинтересно, да и не для этого его хакер написал. Он скопировал себя с именем "syschost.exe" или "ntos.exe" в папки C $:\$ Documents and Settings\ + C $:\$ Documents and Settings\Имя пользователя + C $:\$ WINDOWS\system32. Кроме этого, была добавлена запись в реестре Windows, чтобы при следующей перезагрузке этот вирус загрузился в память. Добрая система Windows создала точку отката и скопировала его же в папку C $:\$ System Volume Information\restore, как будто он часть системы. Нигде здесь антивирусы еще даже не подозревают о его существовании. Далее, при следующей перезагрузке вирус загрузился в память, и начал тырить пароли и передавать их хакеру. О чём, собственно, и сообщает межсетевой экран - фаерволл. Типа, "эгей, кто-то устанавливает связь, тебе это действительно надо?" Сам вирус из памяти при этом не выгружается, заражённые файлы из всех вышеуказанных мест не удаляются. Воть. Чё предложил я? Физически опустошить ненужные папки: Temporary Internet Files и Temp. Убрать откаты - папку restore. После этого там вирусов нет, потому что там нет ничего. Теперь нам надо убрать вирус из памяти. В диспетчере задач файлов с такими названиями нет - так их убить не получится. Перезагружаемся в безопасном режиме - заражённая учётная запись не участвует, реестр (автозагрузка) не грузится, в памяти вирусов тоже нет. Проверяем весь оставшийся комп - вуаля! Заразы больше нет! Ах да, одна ремарка, данный вирус появился в базах DrWeb 24 июля, в Kaspersky - 30 июля, про NOD32 - не знаю. То есть если базы у Вас раньше, то антивирус его не заметит. Ну и остались только безвредные ссылки в реестре на уже удалённые файлы. Их можно удалить либо вручную, либо с помощью скриптика какого-нить. Для всех вышеуказанных действий интернет НЕ НУЖЕН. Еще раз повторю, мой совет не претендует на истину в последней инстанции, я сам сделал так, результатом доволен. Если у кого есть предложения лучше - веллкам, выкладывайте! Всё бы было отлично, но у меня немного иная версия данной вреданосной субстанции. Я не могу зайти в Диспечер задачь. Какие проги есть для того что б можно было завершать процесс в виндовсе? Если процесс не завершить то файлы удаляться не хотят, да и саветовали это в другом, похожем, способе излечиться. __________________ The history of Russia is one of glory, and victory, and of sadness.