!Вирусы!, Achtung! |
Добро пожаловать, гость ( Вход | Регистрация )
!Вирусы!, Achtung! |
-=CHE@TER=- |
Aug 20 2007, 18:37
Сообщение
#1
|
Walter Sullivan Группа: Root Admin Сообщений: 1,361 Регистрация: 4-February 08 Пользователь №: 3 Спасибо сказали: 314 раз(а) |
Блин!!!
Поймал ещё один вирус. Прямо хрень какая-то в последнее время с этими вирусами! Всем в срочном порядке сохранить к себе на комп и запустить такой вот NoAutoRun.reg файл, после чего обязательно перезагрузить компьютер: CODE REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer] "NoDriveTypeAutoRun"=dword:000000ff "NoDriveAutoRun"=dword:03ffffff [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer] "NoDriveTypeAutoRun"=dword:000000ff "NoDriveAutoRun"=dword:03ffffff Он запрещает обработку "AutoRun.inf" для ВСЕХ дисков, даже если вы кликаете через эксплорер по ним, чтобы открыть (проверял на CD-ROM, жёстком диске и флэшке) - обработка "AutoRun.inf" ПОЛНОСТЬЮ игнорируется. Появился какой-то зверский вирус - вот тут как его выковыривать (на китайском): Original article (перевод на инглиш). QUOTE Кому нужно - вот в этом посте: пост №26 находится код .BAT файла, который полностью удаляет вирус с компьютера. If you need - this post contains batch file - Virus Removal Tool. Кстати, если кому-нибудь что-нибудь об этом вирусе известно, а также известно, что он портит, и что нужно потом восстановить, или есть утилита от какого-нибудь производителя антивирусного софта, которая его автоматически херит, а если уже похерен, то фиксит следы его "деятельности" - обязательно пишите тут. Отличительной характеристикой данного вируса является наличие файла AutoRun.inf в корне диска следующего содержания: CODE [AutoRun] Вместо ?? - какие-то непонятные символы.open=RUNAUT~1\autorun.pif shell\1=??(&O) shell\1\Command=RUNAUT~1\autorun.pif shell\2\=??(&B) shell\2\Command=RUNAUT~1\autorun.pif shellexecute=RUNAUT~1\autorun.pif А также скрытого каталога "autorun..", который так просто не схеришь (см. как это делают в Removal-скрипте). На данный момент: - Symantec с последними базами - кашпировский с последними базами не видит этот вирус - на форуме кашпировского прочитал, что, вроде бы, NOD32 блокирует работу вируса Вот ещё что - если вам притащили флэшку с файлом "AutoRun.inf" - то: 1) Открывайте его блокнотом или FAR'ом. 2) Смотрите на какие файлы он ссылается и херьте как их, так и сам этот файл. И постарайтесь, чтобы НИКТО НЕ ПИХАЛ СВОИ FLASH'КИ В ВАШ КОМП В ВАШЕ ОТСУТСТВИЕ! |
nickolayer |
Aug 21 2007, 11:50
Сообщение
#2
|
Member Группа: Delegated Сообщений: 23 Регистрация: 4-February 08 Пользователь №: 1,698 Спасибо сказали: 1 раз(а) |
Avira AntiVir - интересный антивирус. Недавно еще стоял у меня. Может быть, он поможет - немногим уступает NOD32. И спасибо за предупреждение!
|
-=CHE@TER=- |
Aug 24 2007, 03:31
Сообщение
#3
|
Walter Sullivan Группа: Root Admin Сообщений: 1,361 Регистрация: 4-February 08 Пользователь №: 3 Спасибо сказали: 314 раз(а) |
Подтверждено, что NOD32 может удалить этот вирус, но не каталог "autorun..".
Вирус, называется (по NOD32): Win32/Delf.NFP Вот ещё ссылка BKDR_DELF.GAX с кратким описанием (похоже это тотже вирус). Чтобы удалить каталог "autorun.." надо либо воспользоваться приведённым выше скриптом, либо программой Unlocker (у меня она постоянно стоит). ВАЖНО: внутри каталога НИЧЕГО не должно быть - т.е. файл autorun.pif должен быть УЖЕ удалён антивирусом, иначе Unlocker не сможет удалить каталог. Добавлено: Оказывается ключ HKEY_LOCAL_MACHINE, почему-то напрочь игнорируется. Приходится также писать ещё в HKEY_CURRENT_USER у каждого пользователя - тогда работает. Хотя, судя по msdn, HKEY_LOCAL_MACHINE должен был перекрывать значения из HKEY_CURRENT_USER. В общем, обновил .REG-файл в первом посте - снова качаем и запускаем. |
jTommy |
Aug 24 2007, 09:04
Сообщение
#4
|
Наблюдающий Группа: CTPAX-X Сообщений: 197 Регистрация: 4-February 08 Из: деревня Москва Пользователь №: 6 Спасибо сказали: 19 раз(а) |
Вообще, спасибо за информацию. У себя такого зверя не обнаружил. Но из всего этого вывод напрашивается такой: NOD32 лучший антивирус? Потому что, тот же Касперский до сих пор его не то что не лечит, но даже не видит. И к тому же он слишком тяжелый, даже для современных компьютеров.
|
nickolayer |
Aug 24 2007, 14:19
Сообщение
#5
|
Member Группа: Delegated Сообщений: 23 Регистрация: 4-February 08 Пользователь №: 1,698 Спасибо сказали: 1 раз(а) |
Не совсем лучший... говорю же (выше), что есть еще один примерно такого же уровня. Но лучше Касперского, безусловно. Его лечилка выглядит несколько комично, учитывая то, что удалять у него получается немного лучше.
|
-=CHE@TER=- |
Aug 24 2007, 19:56
Сообщение
#6
|
Walter Sullivan Группа: Root Admin Сообщений: 1,361 Регистрация: 4-February 08 Пользователь №: 3 Спасибо сказали: 314 раз(а) |
Ну, может быть, NOD32 и лучший.
Мне как-то narmo показывал .PDF файл с его наградами - их там охренеть сколько. (*улыбается*) Сам я юзаю Symantec, но он только файлы проверяет/лечит (при запуске/открытии/создании), т.е. процессы не блокирует когда они что-то "не то" делают. Таким образом, если что-то неизвестное случайно запустить - можно горько пожалеть. (*улыбается*) Кашпировский - это ваще жесть. Мне его дали в качестве бесплатного приложения к компу лет 5 назад. Поюзал полгода и плюнул - даже с последними базами все вирусы подряд пропускает, который другие антивирусы уже 100 лет как знают к тому же ужас какой тормозной и глючный - лечил машину как-то так он апосля тысячи с чем-то вылеченных файлов намертво завис. (*улыбается*) Ещё есть опыт юзания McAffee - у знакомых через почту был получен крутой червь, который себя в системных драйверах прописал. Уже не помню названия, но весь прикол был, что его даже в Safe Mode вытащить нельзя было, а его отличительной особенностью было то, что если попытаться создать файл с именем как у вируса (чего-то-там.sys) то компьютер сразу шёл в ребут, как будто RESET нажали. Там стоял McAffee - я обновил к нему базы через Интернет, проверил весь жёсткий диск - ничего подозрительного не нашёл. Снёс к чёрту, поставил Symantec, обновил базы и снова сделал полную проверку бердана - хрясь и захерил этого червя. Более того он ещё 4 троянца нашёл, которые McAffee тоже прохлопал. Вообще, всё, конечно, сильно зависит от того, насколько оперативно вирусы появляются в БД антивирусов - т.е. насколько часто пользователи туда эти самые вирусы шлют, чтобы их в БД добавили. На моей памяти есть такой случий: как раз до того, как я купил комп (5 лет назад) стоял у меня дома старенький 286. И надо же было такому случиться - поймал я новый вирус, под DOS, который Dr.Web (он у меня стоял) не видел. К слову, кашпер и AidsTest (если, конечно, кто-то помнит эту древнюю утилиту) его тоже не видели. Попросил знакомых, у которых каспер был - те, сказали - ноу проблем. Дал им какой-то заражённый системный файл, они его залили куда-то кашперу и, через неделю, вышла БД кашпировского, которая уже лечила этот вирус. Далее было дело техники - взял эту БД-обновление к себе на комп и всё вылечил. Так что, видимо, NOD32 просто пользователи больше любят. (*улыбается*) |
xkL0#J |
Aug 25 2007, 17:15
Сообщение
#7
|
Mock Tudor Группа: Delegated Сообщений: 59 Регистрация: 10-February 08 Пользователь №: 964 Спасибо сказали: 8 раз(а) |
Есть ещё Dr.Web, который имхо, ни в чём не уступает вышеизложенным конкурентам. Мало жрёт систему, сканит когда надо и прост в эксплуатации.
Когда-то поставил антивирус от тов. Касперского. После установки, шарясь по своему винту, зашел в папку где был дистр. Nero 7-го, комп завис ("наверно проверяет дистрибутив" - подумал я) через 40! мин. комп завис полностью, мишь и клава перестали работать. Решение проблемы: reset и uninstall. После этого случая, ПО данной компании, меня больше не интересует. (Пусть лучше лепят хранители экрана, раз за столько лет так и не смогли сделать нормальный антивирус). Вот моя история. Недавно подхватил червя, сущее проклятье. В инет выхожу с помощью мобилы (это меня и спасло). Вечером решил проверить почту, подключился но через 2 сек. меня выбросило, а телефон по прежнему оставался в режиме пакетной передачи данных, Outpost молчит (какие-либо соединения отсутствуют) и Dr.Web тоже. А тем временем комп, через мобилу, используя GPRS соединение, начинал звонить на непонятный номер. На следующий день, на работе, обновил все базы на все имеющиеся антивири (Symantec, NOD32 и Dr.Web) и с этим боекомплектом пришел домой... День 1: Symantec - нашёл... впрочем он и сам не понял что он нашёл, короче какая-то херь с шести-буквенным, хаотично расположенным, названием. Хаотично расположенным потому что сначала нашёл - "njdfhl", а при повторном сканировании - "fhnldj". Потом он обнаружил в себе баг и решил рапортонуть своему создателю (ага, мне осталось только в инет выйти ) NOD32 - ничего не нашёл. Dr.Web - ничего не нашёл. День 2: (обновил базы) Symantec - !!!ничего не нашёл!!! Походу точно какой-то баг. NOD32 - ничего не нашёл Dr.Web - ничего не нашёл День 3 - 6: тоже самое . За это время я обнаружил такое: в ветке C:\Documents and Settings\xkL0#J\Application Data появилась папка iamgreyuser в ней оказались 2 файла, названий не помню, но точно помню что exe-шник занимал 12kb, а другой без расширения - 128kb. День 7: Symantec - ничего не нашёл. NOD32 - ничего не нашёл. Dr.Web - находит две каких-то dll-ки, удалил. После перезагрузки они опять появились, в паке iamgreyuser ничего не нашёл! Загрузка в safe mode - результат тот же. Но на этот случай у меня есть XP которая грузится с болванки, ей не нужен винт грузится в оперативку. Там из cmd запускаю Dr.Web - находит 2 клятых dll-ки и !!!exe-шник в папке iamgreyuser!!!, как это понять я не знаю, получается червь блокировал действия антивируса. Но заразу всё-таки убил. P.S. Кто лучше я не знаю, но с Dr.Web мне спокойней чем с монструозно-неудобным NOD32, а за Symantec-овский я вобще молчу. |
-=CHE@TER=- |
Aug 27 2007, 05:11
Сообщение
#8
|
Walter Sullivan Группа: Root Admin Сообщений: 1,361 Регистрация: 4-February 08 Пользователь №: 3 Спасибо сказали: 314 раз(а) |
Там из cmd запускаю Dr.Web - находит 2 клятых dll-ки и !!!exe-шник в папке iamgreyuser!!!, как это понять я не знаю, получается червь блокировал действия антивируса. Но заразу всё-таки убил. Это потому что вирус перехватывал функции работы с файлами и ты .EXE вообще не видел из-за вируса (он просто его скрывал).Что касаемо антивирусов - то тут чаще главную роль играют пристрастия каждого конкретного человека к тому или иному продукту, а не его надёжность/качество - как говорится, на вкус и цвет фломастеры разные. (*улыбается*) |
Axsis |
Aug 27 2007, 13:53
Сообщение
#9
|
Advanced Member Группа: CTPAX-X Сообщений: 121 Регистрация: 6-February 08 Пользователь №: 374 Спасибо сказали: 149 раз(а) |
Выскажу и я своё мнение
Дома юзаю ДрВеб, с того самого момента как я осознал что совсем без антивиря дальше жить нельзя (года 3-4 назад ) Ложных срабатываний минимум - за всё время раза 2-3 было, несрабатывания на явных угрозах бывают, в основном на свежих модификациях вирусов/троянов (я базы обновляю 1 раз в неделю, как правило в обновлении баз добавлялось и детектирование "свежачка"), но это бывает со всеми антивирями. Для дома Веб - самое то: быстр, неглючен, прост. На работе стоит НОД32 - инструмент посерьёзнее Тут >25 компов, поэтому поднят нодовский сервак с зеркалом обновлений, установка на компы юзеров и сбор статистики с них ведётся с сервера. Ложных срабатываний почти за год работы не было, палит практически всё что можно, может это потому что автообновление каждый час. Пару раз пропускал троянцев, приходилось вручную чистить, но учитывая что 25 машин - простительно В настройке посложнее (хотя можно сказать более гибкий) чем Веб, подходит когда много компов с одинаковыми настройками - один раз создал конфиг и ставишь на клиентские тачки уже настроенный антивирь. Также есть небольшой опыт общения с кашперовским - гадость ужасно тормозная, и, вопреки всем отзывам о его превосходной защите (типа "он тормозный, но ловит всё"), у меня были случаи когда он не ловил очень опасные вещи (из разряда руткитов, но ещё на стадии установки, то есть когда руткит ещё не борется с антивирем). Симантек. Стоял на работе до нода, ничего сказать про него не могу, т.к почти сразу с моим приходом заменили на нод. Сразу после установки нод на нескольких компах нашел парочку червей, но это можно списать на старые базы симантека (там непонятно обновлялись ли они вообще). Вот так вот |
-=CHE@TER=- |
Aug 27 2007, 20:43
Сообщение
#10
|
Walter Sullivan Группа: Root Admin Сообщений: 1,361 Регистрация: 4-February 08 Пользователь №: 3 Спасибо сказали: 314 раз(а) |
Насчёт "ложных срабатываний" - Symantec рубит все кейгены и кряки на корню - "HackTool" и всё. Моя твоя не понимай. Причём у меня какой-то кряк валялся чуть ли не два года. Недавно обновил базы - бац! и Symantec его схерил. (*улыбается*)
Кстати, насчёт кашпировского - почитайте, мне тут недавно товарищи статейку подкинули: Касперский - человек и маска? |
xkL0#J |
Aug 28 2007, 17:50
Сообщение
#11
|
Mock Tudor Группа: Delegated Сообщений: 59 Регистрация: 10-February 08 Пользователь №: 964 Спасибо сказали: 8 раз(а) |
Кстати, насчёт кашпировского - почитайте, мне тут недавно товарищи статейку подкинули: Касперский - человек и маска? |
jTommy |
Aug 28 2007, 18:03
Сообщение
#12
|
Наблюдающий Группа: CTPAX-X Сообщений: 197 Регистрация: 4-February 08 Из: деревня Москва Пользователь №: 6 Спасибо сказали: 19 раз(а) |
Кстати, насчёт кашпировского - почитайте, мне тут недавно товарищи статейку подкинули: Касперский - человек и маска? Совершенно невразумительная статья, особенно к концу. Даже если все это правда, мне все равно.Притом, что от вирусов я еще не разу серьезно не страдал, считаю, что с создателями вирусов бороться надо всеми средствами. |
nickolayer |
Aug 29 2007, 15:01
Сообщение
#13
|
Member Группа: Delegated Сообщений: 23 Регистрация: 4-February 08 Пользователь №: 1,698 Спасибо сказали: 1 раз(а) |
Я бы отнесся к этой статье как к факту для справки. Материал приняли к сведению - и действуем по своему выбору. Можем пользоваться, можем не пользоваться. Но я считаю, что данная статья на решение влиять не должна.
Бороться с создателями вирусов всеми средствами? Нельзя ли подробнее? Бороться до конца сопротивления или до перевоспитания? |
-=CHE@TER=- |
Aug 30 2007, 08:49
Сообщение
#14
|
Walter Sullivan Группа: Root Admin Сообщений: 1,361 Регистрация: 4-February 08 Пользователь №: 3 Спасибо сказали: 314 раз(а) |
Совершенно невразумительная статья, особенно к концу. Даже если все это правда, мне все равно. "Спокойствие, только спокойствие!" © сами знаете кто (*улыбается*)Притом, что от вирусов я еще не разу серьезно не страдал, считаю, что с создателями вирусов бороться надо всеми средствами. Данная статья была дана как информация к размышлению. Я и сам считаю, что пишут на заборах и пишут вирусы люди не от большого ума. И то что с этим "бороться надо всеми средствами" - согласен. В этом смысле полностью согласен с nickolayer'ом - "Материал приняли к сведению - и действуем по своему выбору." Что насчёт решения по выбору антивируса, то отдавать деньги всё-таки, да, хочется именно за качественный продукт - это раз. А два - не кормить при этом людей, мягко говоря, недостойных. Кстати, возврящаясь к одному из своих первых постов - про вирус, который прописывался как системный драйвер - нашёл свои бумажные записи: C:\WINDOWS\SYSTEM32\DRIVERS\runtime2.sys C:\WINDOWS\TEMP\STARTDRV.EXE (обратите внимание, не SMARTDRV, а STARTDRV - типа, маскируется под системный, хоть и во временном каталоге) Попробуйте у себя создать в любом каталоге файл с именем runtime2.sys - если комп при попытке создать такой файл пойдёт в перезагрузку - у вас вирус. |
jTommy |
Aug 30 2007, 17:28
Сообщение
#15
|
Наблюдающий Группа: CTPAX-X Сообщений: 197 Регистрация: 4-February 08 Из: деревня Москва Пользователь №: 6 Спасибо сказали: 19 раз(а) |
Бороться с создателями вирусов всеми средствами? Нельзя ли подробнее? Бороться до конца сопротивления или до перевоспитания? А их можно перевоспитать? Я в этом сомневаюсь.Вирусописателей я считаю, ни много, ни мало террористами. При приведении ими в действие своих детищ страдают невинные люди. Вчера поставил NOD32 и Dr.Web. Оба понравились, шустрые и не тяжелые. NOD32 за вечер умудрился проверить (глубокая проверка) все диски, а это, судя по логам, более 1 млн. файлов. Полную проверку Dr.Web'ом еще не устравивал. Кстати, -=CHE@TER=-, NOD32 утверждает, что в ToolD2.dat из твоего MW конвертора это Win32.Spy.Agent. Файл находится в оригинальном архиве. В шпионы играете, уважаемый? Что можете сказать в свое оправдание? Шучу конечно, я понимаю, что это ложное срабатывание. Dr.Web на этом файле ничего не сказал. |
nickolayer |
Aug 31 2007, 10:14
Сообщение
#16
|
Member Группа: Delegated Сообщений: 23 Регистрация: 4-February 08 Пользователь №: 1,698 Спасибо сказали: 1 раз(а) |
Террористами - сильновато сказано. Я готов допустить, что 70% вирусов написаны с совершенно вредительскими целями. Пусть даже 90%. Но кадры, занимающиеся постановкой экспериментов типа "а если я вот так сделаю, что получится?" или "а если так закончить, что эта программка сумеет сделать?", еще не перевелись. И вряд ли когда-нибудь переведутся.
|
xkL0#J |
Aug 31 2007, 16:50
Сообщение
#17
|
Mock Tudor Группа: Delegated Сообщений: 59 Регистрация: 10-February 08 Пользователь №: 964 Спасибо сказали: 8 раз(а) |
to nickolayer
Это защита, оправдание или просто логическое мышление. Спору нет, есть экспериментаторы, и весьма серьёзные, у них цель одна - победить систему или попытаться её обойти. Я не согласен с твоим процентным соотношением, думаю 99,9% именно (очень хорошо замечено) террористы, 0,01 - экспериментаторы. А что касается борьбы... в первую очередь нужно за самим собой следить. Если перестать вестись на ихние уловки, то имхо, в конечном итоги они пожрут друг друга (хоть и появятся новые), другого пути нет наверно. |
-=CHE@TER=- |
Aug 31 2007, 19:21
Сообщение
#18
|
Walter Sullivan Группа: Root Admin Сообщений: 1,361 Регистрация: 4-February 08 Пользователь №: 3 Спасибо сказали: 314 раз(а) |
Кстати, -=CHE@TER=-, NOD32 утверждает, что в ToolD2.dat из твоего MW конвертора это Win32.Spy.Agent. Файл находится в оригинальном архиве. В шпионы играете, уважаемый? Что можете сказать в свое оправдание? Гм. Странно. Ничего не могу сказать. Могу дать исходные коды - компиль сам. Убедишься, что там ничего нет.Шучу конечно, я понимаю, что это ложное срабатывание. Dr.Web на этом файле ничего не сказал. Мне больше интересно на основании чего NOD32 решил, что ToolD2.dat - вирус. Более того, почему он так же не решил, скажем, об Tool2.dat - т.к. они оба не сильно различаются. |
Axsis |
Aug 31 2007, 22:15
Сообщение
#19
|
Advanced Member Группа: CTPAX-X Сообщений: 121 Регистрация: 6-February 08 Пользователь №: 374 Спасибо сказали: 149 раз(а) |
Кстати, возврящаясь к одному из своих первых постов - про вирус, который прописывался как системный драйвер - нашёл свои бумажные записи: C:\WINDOWS\SYSTEM32\DRIVERS\runtime2.sys C:\WINDOWS\TEMP\STARTDRV.EXE (обратите внимание, не SMARTDRV, а STARTDRV - типа, маскируется под системный, хоть и во временном каталоге) Попробуйте у себя создать в любом каталоге файл с именем runtime2.sys - если комп при попытке создать такой файл пойдёт в перезагрузку - у вас вирус. хехе, если не секрет, чем истреблял? у меня на работе на компе, который в принципе не входит в мою компетенцию, во вторник была эта хрень - попросили помочь, ну я там и вычистил не менее 5ти разновидностей всякой заразы, среди которой была и такая как ты описал а всего-то девушка зашла из эксплорера по одной ссылке, которую выдал ей яндекс (запрос не помню) на компе был нод32 с базами примерно полугодичной давности - оказался полностью бесполезным, так что важнее не то какой антивирь, а то, насколько свежие у него установлены базы. зы: а, это тот которого ты Симантеком убил после "МакКофе"? |
jTommy |
Sep 1 2007, 09:35
Сообщение
#20
|
Наблюдающий Группа: CTPAX-X Сообщений: 197 Регистрация: 4-February 08 Из: деревня Москва Пользователь №: 6 Спасибо сказали: 19 раз(а) |
Террористами - сильновато сказано. Я готов допустить, что 70% вирусов написаны с совершенно вредительскими целями. Пусть даже 90%. Но кадры, занимающиеся постановкой экспериментов типа "а если я вот так сделаю, что получится?" или "а если так закончить, что эта программка сумеет сделать?", еще не перевелись. И вряд ли когда-нибудь переведутся. Может и сильновато, но схожесть их действий видна невооруженным глазом.А экспериментаторы пускай эксперементируют, только почему мы выступаем в роли подопытных кроликов? Гм. Странно. Ничего не могу сказать. Могу дать исходные коды - компиль сам. Убедишься, что там ничего нет. Не заморачивайся. Это всего-лишь ложное срабатывание эвристики.Мне больше интересно на основании чего NOD32 решил, что ToolD2.dat - вирус. Более того, почему он так же не решил, скажем, об Tool2.dat - т.к. они оба не сильно различаются. |
Упрощённая версия | Сейчас: 1st November 2024 - 23:24 |