Forums.Avtograd.Ru: Virus track - Forums.Avtograd.Ru

Перейти к содержимому

  • (20 Страниц)
  • +
  • 1
  • 2
  • 3
  • 4
  • 5
  • Последняя »
  • Вы не можете создать новую тему
  • Вы не можете ответить в тему

Virus track

#1 Пользователь офлайн   Macro-Y

  • Активный пользователь
  • PipPipPip
  • Группа: Пользователи
  • Сообщений: 844
  • Регистрация: 01 Ноябрь 07

Отправлено 02 Ноябрь 2007 - 22:30

В данной теме отписываемся о неизвестных вирусах, троянов, которые не "палятся" антивирусами, antispy-ями, etc, а также о методах лечения.
0


  • (20 Страниц)
  • +
  • 1
  • 2
  • 3
  • 4
  • 5
  • Последняя »
  • Вы не можете создать новую тему
  • Вы не можете ответить в тему

Другие ответы в этой теме

#41 Пользователь офлайн   Macro-Y

  • Активный пользователь
  • PipPipPip
  • Группа: Пользователи
  • Сообщений: 844
  • Регистрация: 01 Ноябрь 07

Отправлено 08 Январь 2008 - 18:48

Просмотр сообщенияmusashi (8.1.2008, 16:13):

поучаствовать в написании виря? тема обещает быть интересной =)

Цитата

В разделе запрщещается:
...
3. Информация, ресурсы противозаконного характера.
...

0

#42 Пользователь офлайн   Fat

  • Старожил
  • PipPipPipPipPip
  • Группа: Пользователи
  • Сообщений: 1 370
  • Регистрация: 25 Ноябрь 07

Отправлено 11 Январь 2008 - 19:50

Имеется винт с просьбой о помощи - размножаются папки WINFILE под этим или другими именами, будучи удаленными тут же воскрешаются, исчезают экзешники, дикие траблы с установлением программ. У меня же стоит Ad-Aware и Avast! постоянно обновляемые. Также имеется диск с месячной давности Каспером.
Занесен, скорее всего, с ВАЗовского сервака, по крайней мере в цеху все компы заражены. Кто знает, что это за вирус и какие меры предосторожности при подключении и сканировании "больного" дабы и вылечить, и самому не заразиться...
0

#43 Пользователь офлайн   Macro-Y

  • Активный пользователь
  • PipPipPip
  • Группа: Пользователи
  • Сообщений: 844
  • Регистрация: 01 Ноябрь 07

Отправлено 11 Январь 2008 - 19:54

Просмотр сообщенияFat (11.1.2008, 19:50):

Имеется винт с просьбой о помощи - размножаются папки WINFILE под этим или другими именами, будучи удаленными тут же воскрешаются, исчезают экзешники, дикие траблы с установлением программ. У меня же стоит Ad-Aware и Avast! постоянно обновляемые. Также имеется диск с месячной давности Каспером.
Занесен, скорее всего, с ВАЗовского сервака, по крайней мере в цеху все компы заражены. Кто знает, что это за вирус и какие меры предосторожности при подключении и сканировании "больного" дабы и вылечить, и самому не заразиться...

Если не ошибаюсь - касперский 7 спокойно от них избавляет. Если ошибаюсь - чистить винт. Process Explorer + msconfig + regedit тебе в помощь. Если будут конкретные вопросы - обращайся.
0

#44 Пользователь офлайн   tap

  • Новичок
  • Pip
  • Группа: Пользователи
  • Сообщений: 67
  • Регистрация: 01 Ноябрь 07

Отправлено 12 Январь 2008 - 04:10

Касперский либо 6 версии либо 7 ставь себе и на работу. И никаких проблем не будет, а лучше сразу поставь KIS и защита от вирусов и firewall в одном комплекте.
0

#45 Пользователь офлайн   Fat

  • Старожил
  • PipPipPipPipPip
  • Группа: Пользователи
  • Сообщений: 1 370
  • Регистрация: 25 Ноябрь 07

Отправлено 14 Январь 2008 - 19:30

Всем спасибо! Wukill 1.0.0 сдался максимально обновленному АВАСТу без шума и пыли. Не знаю, какой Каспер стоял на работе, скорее всего 5-й, но эта тварь съела его в первую очередь, а потом принялась за остальное (и то же самое сейчас у всех любителей халявы в цеху вплоть по начальника цеха! Хи-хи-хи...).
Теперь хозяин спасет личное видео и пойду к нему форматать...
Да здравствует бесплатный софт, коньяк приносящий!
0

#46 Пользователь офлайн   Helis

  • Старожил
  • PipPipPipPipPip
  • Группа: Пользователи
  • Сообщений: 1 003
  • Регистрация: 01 Ноябрь 07

Отправлено 15 Январь 2008 - 03:51

Просмотр сообщенияFat (14.1.2008, 19:30):

Да здравствует бесплатный софт, коньяк приносящий!

Хе, это уже "коммерческое использование", т.е. нарушение лицензии Home Edition :))) Придется тебе поделиться коньяком с ребятами из Чехии :)
Или просто напиши им письмо с благодарностью. Уверен, что им будет приятно узнать, что их работа оказалась очень полезной.

PS: и не забывай при дезинфекции отключать на время чистки "Восстановление системы". Иначе, кое-что спрятавшееся в папке System Volume Information будет возвращено к жизни при следующем обновлении даты.
0

#47 Пользователь офлайн   Rased

  • Активный пользователь
  • PipPipPip
  • Группа: Пользователи
  • Сообщений: 886
  • Регистрация: 01 Ноябрь 07

Отправлено 15 Январь 2008 - 08:11

Просмотр сообщенияHelis (15.1.2008, 3:51):

Хе, это уже "коммерческое использование", т.е. нарушение лицензии Home Edition :))) Придется тебе поделиться коньяком с ребятами из Чехии :)
Или просто напиши им письмо с благодарностью. Уверен, что им будет приятно узнать, что их работа оказалась очень полезной.

PS: и не забывай при дезинфекции отключать на время чистки "Восстановление системы". Иначе, кое-что спрятавшееся в папке System Volume Information будет возвращено к жизни при следующем обновлении даты.


При полной проверке Avast (да и другие антивирусы) проверяют папку System Volume Information, так что отключение "Восстановления системы"
является хотя и желательным, но необязятельным.
0

#48 Пользователь офлайн   Helis

  • Старожил
  • PipPipPipPipPip
  • Группа: Пользователи
  • Сообщений: 1 003
  • Регистрация: 01 Ноябрь 07

Отправлено 15 Январь 2008 - 10:14

Просмотр сообщенияRased (15.1.2008, 8:11):

отключение "Восстановления системы" является хотя и желательным, но необязятельным.

Согласен. Я полагаю, что отключение этой опции должно помочь в тех нередких случаях, когда новый, неизвестный вирус еще отсутствует в антивирусной базе.
0

#49 Пользователь офлайн   Blondink0

  • Новичок
  • Pip
  • Группа: Пользователи
  • Сообщений: 49
  • Регистрация: 02 Ноябрь 07

Отправлено 29 Январь 2008 - 17:31

Win32/Pacex.Gen вирус
чтобы избавиться выполнил скрипт через avz
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('zxsderfbukjfys');
SetServiceStart('zxsderfbukjfys', 4);
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\xo8wr9.exe','');
QuarantineFile('C:\WINDOWS\system32\amvo.exe','');

QuarantineFile('C:\WINDOWS\system32\wincab.sys',''
);
QuarantineFile('C:\WINDOWS\system32\amvo1.dll','');

DeleteFile('C:\WINDOWS\system32\amvo1.dll');
DeleteFile('C:\WINDOWS\system32\wincab.sys');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFile('E:\autorun.inf');
DeleteFile('H:\autorun.inf');
DeleteFile('C:\xo8wr9.exe');
DeleteFile('D:\xo8wr9.exe');
DeleteFile('E:\xo8wr9.exe');
DeleteFile('H:\xo8wr9.exe');
BC_ImportALL;
BC_QrSvc('zxsderfbukjfys');
BC_DeleteSvc('zxsderfbukjfys');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После этого вируса нет, но все рано не получается включить отображение скрытых файлов.
Далее в реестре HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Explorer\Advanced\Folder\Hidden\SHOWALL
параметр CheckedValue меняем на 1, пока в системе сидит вирус он постоянно меняет его обратно на 0.
0

#50 Пользователь офлайн   VOROTILOFF

  • Пользователь
  • PipPip
  • Группа: Пользователи
  • Сообщений: 117
  • Регистрация: 01 Ноябрь 07

Отправлено 27 Февраль 2008 - 12:20

я тоже чё нить напишу :) суть косяка вот в чём:вирус гадит тем, что в системном диске не остается места для чего-либо.Например нужно установить какую-то прогу а он пишет что свободного места недостаточно.хотя фактически места дофига.место освобождаешь а он опять - места нет.кароче вирус не нашелся пришлось сносить винду.
Времена не выбирают, в них живут и умирают!
0

#51 Пользователь офлайн   Rased

  • Активный пользователь
  • PipPipPip
  • Группа: Пользователи
  • Сообщений: 886
  • Регистрация: 01 Ноябрь 07

Отправлено 27 Февраль 2008 - 13:48

Для удаления таких вирусов используйте (настойчиво рекомендую) AVZ (Антивирус Зайцева). Кроме удаления таких вирусов AVZ умеет восстанавливать настройки системы, параметров безопасности, настройки сети и т.д. Всю информацию по работе с AVZ можете найти на сайте Virusinfo.info. Саму программу и базы можно взять здесь
0

#52 Пользователь офлайн   Van4o

  • Активный пользователь
  • PipPipPip
  • Группа: Пользователи
  • Сообщений: 535
  • Регистрация: 01 Ноябрь 07

Отправлено 11 Март 2008 - 12:20

вчера столкнулся с такой штукой:
комп постоянно качает трафик, проверил на вирусы avz, потом поставил нод, avz нашёл только avtorun.inf благополучно его удалил и всё, вирусов больше не обнаруживается. Поставил Аутпост, доступ в сеть просит только svhost и winlogon, и опять же качает трафик. Причём трафик не маленький, пару секунд и уже 500 кило. Не знаю уже чего думать. Подскажет может кто?
Man for all of season (с) Concord Dawn
0

#53 Пользователь офлайн   ErRoR

  • Активный пользователь
  • PipPipPip
  • Группа: Пользователи
  • Сообщений: 735
  • Регистрация: 01 Ноябрь 07

Отправлено 11 Март 2008 - 13:22

Обновления выключены/настроены?
Жизнь человеческая — как детская рубашонка, коротка и обосрана.
Mой кот мяукаeт в ночи и мы не спаeм. Mы устали в утрe потому что мой кот хочет есть в ночи.
0

#54 Пользователь офлайн   Van4o

  • Активный пользователь
  • PipPipPip
  • Группа: Пользователи
  • Сообщений: 535
  • Регистрация: 01 Ноябрь 07

Отправлено 11 Март 2008 - 13:57

да!
Man for all of season (с) Concord Dawn
0

#55 Пользователь офлайн   Rased

  • Активный пользователь
  • PipPipPip
  • Группа: Пользователи
  • Сообщений: 886
  • Регистрация: 01 Ноябрь 07

Отправлено 11 Март 2008 - 20:30

winlogon не должен иметь доступ в сеть.
при проверке AVZ надо обязательно включить драйвер расширенного мониторинга (начнет действовать только после перезагрузки), включить AVZ guard. В параметрах проверки все ставить на максимум. Обязательно посмотреть список автозагрузки, наверняка winlogon загружается из временной папки. Советую так же запустить CureIT (в меню AVZ Guard - запустить приложение, как доверенное). Затем сделать восстановление системы (поставить все галки, кроме настроек рабочего стола и сброса настроек сети)
0

#56 Пользователь офлайн   Macro-Y

  • Активный пользователь
  • PipPipPip
  • Группа: Пользователи
  • Сообщений: 844
  • Регистрация: 01 Ноябрь 07

Отправлено 11 Март 2008 - 20:37

И не забудь проверить - тот ли winlogon, а не фейковый, просится в сеть?
0

#57 Пользователь офлайн   Van4o

  • Активный пользователь
  • PipPipPip
  • Группа: Пользователи
  • Сообщений: 535
  • Регистрация: 01 Ноябрь 07

Отправлено 17 Март 2008 - 10:14

Проблема решена!
всем кому интересно могут почитать тут http://virusinfo.inf...ead.php?t=19872
Man for all of season (с) Concord Dawn
0

#58 Пользователь офлайн   Sokol

  • Старожил
  • PipPipPipPipPip
  • Группа: Пользователи
  • Сообщений: 1 657
  • Регистрация: 01 Ноябрь 07

Отправлено 21 Апрель 2008 - 22:39

ребят извините за нубство) раньше вроде не наблюдал в процессах два explorer.exe ... их должно быть 2? (Win xp sp2) проверял комп нодом,кур итом и AVZ ничего ненайдено...)
пс сорри если не в той теме написал...
0

#59 Пользователь офлайн   Clamp

  • Старожил
  • PipPipPipPipPip
  • Группа: Пользователи
  • Сообщений: 1 133
  • Регистрация: 01 Ноябрь 07

Отправлено 21 Апрель 2008 - 23:20

нзвания одинаковые? или один _exploler.exe или чо-нить подобное??
0

#60 Пользователь офлайн   Sokol

  • Старожил
  • PipPipPipPipPip
  • Группа: Пользователи
  • Сообщений: 1 657
  • Регистрация: 01 Ноябрь 07

Отправлено 22 Апрель 2008 - 12:32

абсолютно одинаковые explorer.exe
0

  • (20 Страниц)
  • +
  • 1
  • 2
  • 3
  • 4
  • 5
  • Последняя »
  • Вы не можете создать новую тему
  • Вы не можете ответить в тему

1 человек читают эту тему
0 пользователей, 1 гостей, 0 скрытых пользователей