IPB

Добро пожаловать, гость ( Вход | Регистрация )

5 Страниц V < 1 2 3 4 > »   
Reply to this topicStart new topic
> !Вирусы!, Achtung!
-=CHE@TER=-
Sep 1 2007, 18:02
Сообщение #21


Walter Sullivan
***

Группа: Root Admin
Сообщений: 1,361
Регистрация: 4-February 08
Пользователь №: 3
Спасибо сказали: 314 раз(а)



QUOTE(Axsis @ Aug 31 2007, 10:15 PM) *
хехе, если не секрет, чем истреблял?
Ну ты, в принципе, сам на этот вопрос и ответил:
QUOTE(Axsis @ Aug 31 2007, 10:15 PM) *
зы: а, это тот которого ты Симантеком убил после "МакКофе"? biggrin.gif
(*улыбается*)

QUOTE(Axsis @ Aug 31 2007, 10:15 PM) *
а всего-то девушка зашла из эксплорера по одной ссылке, которую выдал ей яндекс (запрос не помню)
Я тоже уже так накололся. Теперь никогда и ни за что не использую IE. Только Opera.


jTommy!
Смысл просто был в том, чтобы понять из-за чего это вообще. Вдруг, ты напишешь программу и на неё NOD32 тоже ругаться будет. Тогда нужно быть, так сказать, подкованным - знать что где изменить/заменить в коде программы, чтобы не было ложных срабатываний. Не будешь же всем пользователям объяснять, что это NOD32 - тупой и ложно срабатывает - они, скорее, поверят что у тебя в программе вирус.
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Дмитрий-Нск
Sep 2 2007, 04:05
Сообщение #22


Незарегистрирован









здравствуйте

у меня побывал Delf - поленился я месяц обновлять базы Nod'a
базы обновил - вирь везде, где можно было был удалён антивирусом, но! комп не исзелчён. был не излечён - я форматнул диск С (10 гигов) и восстановил образ.

почему не удалён? потому что от него остались следы в директории Windows
файлы regedit.exe, msconfig.exe, cmd.exe были ущемлены - до них был закрыт доступ - файлы есть, а доступа нет. взамен им система или антивир создали их дубли с именами regedit.exe.exe и в т.д...
в общем формат.

теперь вопрос:
на локальном диске D (он у меня 290 гигов) у меня склад информации - я сисадмин и дизайнер. форматнуть диск D у меня рука не подыметься. на этом диске осталась папка "runauto..".
самая соль в том, что антивирус периодически удаляет из неё один и тот же файл (следовательно он не может его удалить, а пытается это сделать, как только файл с вирусом пытается активироваться. меня, разумеется, смущает эта папка. Unlocker'ом, как выше было сказано, удалить нет возможности - пробовал 2 версии (1.7.1 и 1.8.5) - даже не появляется вариант удалить эту папку с помощью unlocker'a - на всех других такой вариант есть...
что думаете, господа?

P.S.: ваш reg файл я внёс в реестр, спасибо
Go to the top of the page
+Quote Post
nickolayer
Sep 2 2007, 08:46
Сообщение #23


Member
**

Группа: Delegated
Сообщений: 23
Регистрация: 4-February 08
Пользователь №: 1,698
Спасибо сказали: 1 раз(а)



to xkLO#J:
Возможно, экспериментаторов немного. Но я согласен насчет борьбы. Люди занимаются вредительством в том числе и для того, чтобы нам было хуже. Не поддаваясь на их трюки, мы делаем их труд бессмысленным... хотя если они и пожрут друг друга, то очень нескоро.
to jTommy:
В роли подопытных кроликов мы, пототму что больше некому... где же они узнают об исходе эксперимента, как не от растерянных пользователей? smile.gif sad.gif
to -=CHE@TER=-::
Opera, конечно, малость сложнее в обращении, чем IE, но рекламу в этом обозревателе в виде всплывающих окон почти и не увидишь. Когда NOD32 находит вирус где-то на той страничке, куда я захожу, это происходит в IE, но никогда в Opera. Поэтому я принял тот же выбор.
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
-=CHE@TER=-
Sep 2 2007, 13:27
Сообщение #24


Walter Sullivan
***

Группа: Root Admin
Сообщений: 1,361
Регистрация: 4-February 08
Пользователь №: 3
Спасибо сказали: 314 раз(а)



Дмитрий-Нск!
Тут есть одна хитрость. Если внимательно присмотреться к содержанию файла autorun.inf, который создаёт вирус, то там можно заметить, что вирус сам обращается к каталогу не как "autorun..", а как "RUNAUT~1". Чем мы и воспользуемся.
Делаем так:
1) Пуск -> Выполнить...
2) Набираем там: d:\runaut~1\
3) Щёлкаем по кнопке ОК - и открывается этот самый каталог.
Теперь щёлкаем на autorun.pif правой клавишей и херим его Unlocker'ом.
После этого поднимаемся в корень диска и оттуда опять-таки Unlocker'ом херим и сам каталог (пустой каталог будет хериться, а с файлом - нет).

Насчёт копий CMD.EXE, REGEDIT.EXE, MSCONFIG.EXE - ничего сказать не могу, т.е. у меня их нет - всё ок (пользовался скриптом приведённым по ссылке в первом посте). Дубли с именами *.EXE.EXE создавал вирус.

P.S. У меня Unlocker 1.8.5.
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Дмитрий-Нск
Sep 3 2007, 02:15
Сообщение #25


Незарегистрирован









спасибо, '-=CHE@TER=-'
пиф удалил, но по-прежнему не появляется в меню Unlocker...sad.gif
Go to the top of the page
+Quote Post
-=CHE@TER=-
Sep 6 2007, 19:07
Сообщение #26


Walter Sullivan
***

Группа: Root Admin
Сообщений: 1,361
Регистрация: 4-February 08
Пользователь №: 3
Спасибо сказали: 314 раз(а)



QUOTE(Дмитрий-Нск @ Sep 3 2007, 02:15 AM) *
спасибо, '-=CHE@TER=-'
пиф удалил, но по-прежнему не появляется в меню Unlocker...:(
Кто не появляется? Вызов Unlocker на каталоге "RUNAUT~1"? Он в контекстное меню что-ли не встроен?
При установке Unlocker есть такая галочка "Встроить в Проводник" - так вот, она должна быть включена.


Добавлено:
Всё, начиная с сегоднешнего дня Symantec видит этот троян: Trojan.KillAV (правда там мало чего вразумительного написано о том, как его удалить). Сам проверил - видит и удаляет.


Ещё добавлено:
Затрахало. Это оказалась старая версия вируса. Сегодня притащили новую. Вот VirDelete.bat файл, который я переделал из китайского - он херит эту сволочь раз и навсегда (в том числе и из оперативной памяти):


Кликните правой клавишей мышки на ссылке и выберите "Сохранить как..."
Click right mouse button to link and select "Save as..."
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Siberian GRemlin
Sep 8 2007, 03:29
Сообщение #27


Advanced Member
***

Группа: CTPAX-X
Сообщений: 537
Регистрация: 4-February 08
Пользователь №: 2
Спасибо сказали: 221 раз(а)



У меня палево: вчера скидывал знакомой с флэшки на флэшку инфу, потом в силу обстоятельств - обалдуи с её группы вырезали с флэшки файлы, вставили на рабочий стол, переставили флэшку и в этот момент у компа отказал USB порт, в итоге у них началась истерика - мне пришлось их выручать, скидывая через интернет на другой комп. Вообщем, печаль не в этом, а в том, что на одной их их флэшек я заметил два файла: AUTORUN.INF и SVCHOST.EXE с розовой иконкой, для меня даже не стало удивлением, что они не знают что это и откуда. Явно, это сифон какой-то. NOD32 на том компе его не поймал. Теперь я палюсь вставлять свою флэшку в свой комп. Не, можно конечно отключить функцию автозапуска, а потом включить, но мне как-то лень... мне интересно, если зажать левый SHIFT и вставить флэшку, проигнорируется ли автозапуск, как это с оптическими дисками происходит?
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
-=CHE@TER=-
Sep 8 2007, 11:27
Сообщение #28


Walter Sullivan
***

Группа: Root Admin
Сообщений: 1,361
Регистрация: 4-February 08
Пользователь №: 3
Спасибо сказали: 314 раз(а)



Siberian GRemlin!
SHIFT должен, по идее, помочь. Плюс не забудь .REG файл из первого поста (и перезагурзись после его применения).
Если совсем сомневаешься сделай так: возьми WinXPBootableCD, отключи жёсткие диски (выдерни шлейфы), грузанись с этого CD-ROM и там втыкай флэшку - тогда точно ничего не заразится.
Кстати, если будете покупать флэшки, то лучше брать те, где есть перемычка как на дискетах - "запись запрещена". Тогда при копировании чего-либо на заражённый компьютер не заразитесь сами.
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
jTommy
Sep 8 2007, 15:32
Сообщение #29


Наблюдающий
***

Группа: CTPAX-X
Сообщений: 197
Регистрация: 4-February 08
Из: деревня Москва
Пользователь №: 6
Спасибо сказали: 19 раз(а)



QUOTE(-=CHE@TER=- @ Sep 8 2007, 03:27 PM) *
Кстати, если будете покупать флэшки, то лучше брать те, где есть перемычка как на дискетах - "запись запрещена". Тогда при копировании чего-либо на заражённый компьютер не заразитесь сами.
Ну уж нет, флешки надо брать, те, у которых скорость обмена больше и фирма известная (к примеру Kingston). А флешек с таким переключателем я еще ни разу не встречал, только знаю, что они где-то существуют.

Кстати, у меня вопрос: если я вставил флешку, пошло ее сканирование, и потом появилось стандартное меню WinXP с запросом действия (посмотреть фотки, открыть, распечатать)... этого достаточно, чтобы комп заразился?
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
-=CHE@TER=-
Sep 8 2007, 15:45
Сообщение #30


Walter Sullivan
***

Группа: Root Admin
Сообщений: 1,361
Регистрация: 4-February 08
Пользователь №: 3
Спасибо сказали: 314 раз(а)



QUOTE(jTommy @ Sep 8 2007, 03:32 PM) *
Ну уж нет, флешки надо брать, те, у которых скорость обмена больше и фирма известная (к примеру Kingston). А флешек с таким переключателем я еще ни разу не встречал, только знаю, что они где-то существуют.
Нет, это, конечно, всё верно, но переключатель тоже бы не помешал...

QUOTE(jTommy @ Sep 8 2007, 03:32 PM) *
Кстати, у меня вопрос: если я вставил флешку, пошло ее сканирование, и потом появилось стандартное меню WinXP с запросом действия (посмотреть фотки, открыть, распечатать)... этого достаточно, чтобы комп заразился?
Скорее всего, это значает то, что на такой флэшке просто напросто нет autorun.inf - иначе запустился бы он. Не уверен на все 100%, но скорее всего так.
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
-=CHE@TER=-
Sep 10 2007, 10:43
Сообщение #31


Walter Sullivan
***

Группа: Root Admin
Сообщений: 1,361
Регистрация: 4-February 08
Пользователь №: 3
Спасибо сказали: 314 раз(а)



Оказывается, существует несколько вариаций на тему "RUNAUTO..".
Одну из них Symantec не знал. Отослал им вирус (BTW, это может сделать любой желающий отсюда) 07.09.2007, и вот сегодня, только они мне ответили, что базы за 09.09.2007 rev.17 его лечат. Обновился, проверил - точно лечат. Почему-то они определили его как Backdoor.Graybird, хотя по описанию нихрена не похож. Ну да ладно - главное, что он теперь лечится.
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Siberian GRemlin
Sep 11 2007, 15:36
Сообщение #32


Advanced Member
***

Группа: CTPAX-X
Сообщений: 537
Регистрация: 4-February 08
Пользователь №: 2
Спасибо сказали: 221 раз(а)



QUOTE(jTommy @ Sep 8 2007, 11:32 PM) *
А флешек с таким переключателем я еще ни разу не встречал, только знаю, что они где-то существуют.

Может ты его не заметил?! =) Лично я без него ещё ни одной не видел.
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
jTommy
Sep 11 2007, 16:07
Сообщение #33


Наблюдающий
***

Группа: CTPAX-X
Сообщений: 197
Регистрация: 4-February 08
Из: деревня Москва
Пользователь №: 6
Спасибо сказали: 19 раз(а)



QUOTE(Siberian GRemlin @ Sep 11 2007, 07:36 PM) *
Может ты его не заметил?! =) Лично я без него ещё ни одной не видел.
Интересно... Мы наверное о разных флешках говорим? Я держал в руках много USB-флешек от Transcend и A-Data - ни на одной, также Kingston DataTraveler I&II - тоже нету. Флешки SD (Secure Digital), вот эти точно все с таким переключателем.
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Siberian GRemlin
Sep 13 2007, 11:03
Сообщение #34


Advanced Member
***

Группа: CTPAX-X
Сообщений: 537
Регистрация: 4-February 08
Пользователь №: 2
Спасибо сказали: 221 раз(а)



Гляжу на Transcend... сбоку такой овальный переключатель.
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Дмитрий-Нск
Sep 20 2007, 16:48
Сообщение #35


Незарегистрирован









у меня, как я уже говорил, разные версии unlocker. есть и последняя
встроенная в меню опция появляется на всех папках, кроме runaut..
как её грохнуть без формата?
Go to the top of the page
+Quote Post
-=CHE@TER=-
Sep 20 2007, 21:20
Сообщение #36


Walter Sullivan
***

Группа: Root Admin
Сообщений: 1,361
Регистрация: 4-February 08
Пользователь №: 3
Спасибо сказали: 314 раз(а)



QUOTE(Дмитрий-Нск @ Sep 20 2007, 04:48 PM) *
у меня, как я уже говорил, разные версии unlocker. есть и последняя
встроенная в меню опция появляется на всех папках, кроме runaut..
как её грохнуть без формата?

Воспользуйтесь .BAT файлом вот из этого поста.

Или только вот этой его частью (сохраните как .BAT файл и запустите):
CODE
@echo off
for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do (
if exist %%d:\autorun.inf cacls %%d:\autorun.inf /c /e /p /t everyone:f
if exist %%d:\autorun.inf attrib -s -h -r %%d:\autorun.inf
if exist %%d:\autorun.inf del %%d:\autorun.inf /q
if exist %%d:\autorun.inf rd %%d:\autorun.inf /s /q

if exist %%d:\runaut~1 cacls %%d:\runaut~1 /c /e /p /t everyone:f
if exist %%d:\runaut~1 rd %%d:\runaut~1 /s /q
if exist %%d:\autorun.inf.tmp attrib -s -h -r %%d:\autorun.inf.tmp
if exist %%d:\autorun.inf.tmp del %%d:\autorun.inf.tmp /q
)
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Siberian GRemlin
Oct 3 2007, 16:10
Сообщение #37


Advanced Member
***

Группа: CTPAX-X
Сообщений: 537
Регистрация: 4-February 08
Пользователь №: 2
Спасибо сказали: 221 раз(а)



Товарищи, я уже несколько раз ловил комп за тем, что он качает что-то большое из инета. Все автообновления и отсылки докладов разработчикам отключены. За обновлениями замечен был только Flash - как ему обновление вырубить? И ещё вроде же есть программки, которые отслеживают и выдают информацию о том какое ПО откуда и сколько в данный момент качает или качало или пытается. Посоветуйте, пожалуйста, если пользуетесь... А то вдруг сифон какой-нибудь.
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
xkL0#J
Oct 3 2007, 16:29
Сообщение #38


Mock Tudor
***

Группа: Delegated
Сообщений: 59
Регистрация: 10-February 08
Пользователь №: 964
Спасибо сказали: 8 раз(а)



Outpost - при правильной настройке этому фаерволу нет цены (но полноценной защиты всеравно не существует mad.gif ), при неправильной - полный кошмар... Он выдает достаточно подробную инфу на все активные подключения, какой процесс и сколько он скачал. Попробуй.
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
jTommy
Oct 3 2007, 16:35
Сообщение #39


Наблюдающий
***

Группа: CTPAX-X
Сообщений: 197
Регистрация: 4-February 08
Из: деревня Москва
Пользователь №: 6
Спасибо сказали: 19 раз(а)



Siberian GRemlin, ставь файерволл обязательно. Он тебе покажет все программы, которые рвутся в инет, плюс расскажет о том, кто хочет залезть в твое личное дисковое пространство.
Я без теперь файера в открытый инет не выхожу.

Кому есть что сказать про этот класс программ - добро пожаловать в соседную ветку.
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Дмитрий-Нск
Oct 8 2007, 12:38
Сообщение #40


Незарегистрирован









спасибо вам огромное!
Go to the top of the page
+Quote Post

5 Страниц V < 1 2 3 4 > » 
Reply to this topicStart new topic
8 чел. читают эту тему (гостей: 8, скрытых пользователей: 0)
Пользователей: 0 -

 



Упрощённая версия Сейчас: 31st October 2024 - 09:29