Форумы Серверы Суспільство
Игры Серверы VBIOS General Soft & Hard Увлечения А поговорить... Культура Полезная информация Межигір'я Чат

  1 из 5 1234>
Пользователь Сообщение: борьба с вирусом        (Тема#32762)
ME4EHbIU 
Only GOD can judge me
ME4EHbIU
Возраст: 34
: Киев
С нами с 05.01.06
Посты: 11673
10.12.09 15:01 Ukraine #666837
друган на ноут поймал вирус, который просит отправить СМС. при этом в ось попасть нельзя. в сейвмоде вроде тож самое....

если загрузиться с PE, то где его искать ?

подскажите методу борьбы с заразой (кроме переустановки вынь) ?
Shu®Mu® 
КонтрАдмирал
Shu®Mu®
Возраст: 50
: Kiev,Ukraine
С нами с 06.04.04
Посты: 17771
10.12.09 15:22 [Re: ME4EHbIU] Ukraine #666853
Попробуй если вирус старый может поможет отключить окно запроса смс, вебер сделал генератор
http://news.drweb.com/show/?i=304&c=5


Но дело в том что винду блокирует не вирус вирус являеться заносчиком проги, которую не видят антивирусники у нас один тоже подловил самую последнюю версию этой заразы антивирусы (вебер каспер) нашли по трояну причем одного трояна я сам вычислил подате, троянов поубивали, а эту прогу ни один из антизверей не нашел. По дате я тоже не нашел новых файлов. И у вебера на сайте такого скриншота как у него нету. Блокирует реестр, диспетчер задач, во всех учетках под которыми заходишь и в сайф моде тоже. Пока не зайдешь учеткой реестр можно править от имени незараженной учетной записи стоит только зайти все блокируеться. Восстановил образ. Носитель троян имя не помню но в имени кажеться 64 присутствует чтото типа ***64.exe Но даже по описанию вебера троянов заносчиков тьма.
Shu®Mu® 
КонтрАдмирал
Shu®Mu®
Возраст: 50
: Kiev,Ukraine
С нами с 06.04.04
Посты: 17771
10.12.09 15:46 [Re: Shu®Mu®] Ukraine #666871
Если доберешься до реестра измени на 0 для диспетчера задач
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System / DisableTaskMgr ”=dword:0
Редактор реестра разрешить можно так: меняем единицу на ноль в ветке
[HKCU\SOFTWARE\Microsoft\ Windows\CurrentVerson\Policies\System]
“DisableRegistryTools”=dword:00000001
Но если прогу не убьешь она поменяет эти значения назад, но можно успеть в диспетчере ее грохнуть, если она там отобразиться.
ME4EHbIU 
Only GOD can judge me
ME4EHbIU
Возраст: 34
: Киев
С нами с 05.01.06
Посты: 11673
10.12.09 17:44 [Re: Shu®Mu®] Ukraine #666938
гран мерси, буду пробовать )
ME4EHbIU 
Only GOD can judge me
ME4EHbIU
Возраст: 34
: Киев
С нами с 05.01.06
Посты: 11673
10.12.09 21:46 [Re: ME4EHbIU] Ukraine #667110
Саш, пасиба агромное......помогло ))
Shu®Mu® 
КонтрАдмирал
Shu®Mu®
Возраст: 50
: Kiev,Ukraine
С нами с 06.04.04
Посты: 17771
11.12.09 07:51 [Re: ME4EHbIU] Ukraine #667321
Везунчики, мне не помогло Всегда пожалуйста
Tester_1 
генералиссимус
Tester_1
Возраст: 43
: Kovel,Ukraine
С нами с 10.11.03
Посты: 13352
11.12.09 11:28 [Re: Shu®Mu®] Ukraine #667402
Образ линуха с Kaspersky Rescue Disk
http://narod.ru/disk/15861743000/rescuecd.iso.html
с базами от 10,12,2009
(если есть инет - можно и обновить)
Franchesko 
Пет Рарка
Franchesko
Возраст: 26
: Киев
С нами с 13.05.08
Посты: 15332
11.12.09 21:18 [Re: Tester_1] Ukraine #667872
Скачать файл

rescuecd.iso



Размер:
130.59 МБ

Закачан:
11 дек 2009 11:34

Скачан последний раз:
11 дек 2009 21:57

Файл проверен Dr.Web:
Вирусов нет

md5:
d94b7f07084768a2f434c15797e9e72e

Файл удален с сервиса.
5puTBa 
опасен!
5puTBa
Возраст: 38
: Odessa
С нами с 29.05.07
Посты: 2303
11.12.09 22:10 [Re: Franchesko] Ukraine #667893
Сталкнулся с таким же неделю назад .
Вот лекарство :
http://news.drweb.com/show/?i=304&c=5
Но перед вводом кода , в биосе надо выставить дату получения кода ,т.к. вирус привязан к дате .
я этого не знал и когда ввел код не чего не изменилось(по этому на первой попытке прогорел :))
Когде же исправил дату блокирока снялась !
Ganzilla 
мясник-звероящер
Ganzilla
: Киев, 36 лет
С нами с 24.02.06
Посты: 6371
14.12.09 00:05 [Re: 5opuc-5puTBa] Ukraine #668959
Полезная информация - http://michael-y.org/FAR/#registry
Это редактор реестра из-под "атавистического" FARa.
Работает с реестром даже работа с ним типа запрещена.

Есть еще Anvir Task Manager. Намного мощнее стандартного диспетчера задач. Также работает, если стандартный диспетчер задач типа запрещен.

Пользуюсь этими двумя инструментами для ручного вырезания вирусов.
Shu®Mu® 
КонтрАдмирал
Shu®Mu®
Возраст: 50
: Kiev,Ukraine
С нами с 06.04.04
Посты: 17771
14.12.09 08:28 [Re: Ganzilla] Ukraine #669027
Для редактирования заблокированного реестра юзаю RRM правда для использования его вначале надо установить, а так же плагин в тотал командере


Прикрепления: reg.jpg (284.25 KB) 70 Просмотр(ы)

Ganzilla 
мясник-звероящер
Ganzilla
: Киев, 36 лет
С нами с 24.02.06
Посты: 6371
14.12.09 17:44 [Re: Shu®Mu®] Ukraine #669401
Во-первых, он платный, во-вторых, его надо ставить, в-третьих - я любитель анахронизмов.
Tester_1 
генералиссимус
Tester_1
Возраст: 43
: Kovel,Ukraine
С нами с 10.11.03
Посты: 13352
15.12.09 02:43 [Re: Ganzilla] Ukraine #669674
  • Ganzilla Сказано:
Есть еще Anvir Task Manager. Намного мощнее стандартного диспетчера задач. Также работает, если стандартный диспетчер задач типа запрещен.

Тю. Любить так любить:

F11 - Process list


Выбираем процесс - жмем F3

не нравиццо - жмем F8
  • цитировать:
This plugin shows the active processes list. You can use F8 to
terminate selected processes, Enter to switch to process window an
F3 to view additional process information.

Be careful when killing a process. It stops the process
immediately, and any unsaved information will be lost, so it shoul
be used only when absolutely necessary.

Special keys used by this plugin:

F6 View processes on a remote machine over the network
Shift-F6 Return to the local machine
Shift-F1 Lower the priority class of the current process (local only)
Shift-F2 Raise the priority class of the current process (local only)
Shift-F3 View process info with default options overridden
Alt-Shift-F9 Call the Configuration dialog.

А двоечка - она еще и юникодная...



Прикрепления: Far1.gif (31.3 KB) 76 Просмотр(ы)
Прикрепления: Far2.gif (23.74 KB) 70 Просмотр(ы)

Shu®Mu® 
КонтрАдмирал
Shu®Mu®
Возраст: 50
: Kiev,Ukraine
С нами с 06.04.04
Посты: 17771
15.12.09 08:01 [Re: Ganzilla] Ukraine #669698
  • Ganzilla Сказано:
Во-первых, он платный, во-вторых, его надо ставить, в-третьих - я любитель анахронизмов.


Lite , бесплатный то про платный. Никто ж не заставляет
Shu®Mu® 
КонтрАдмирал
Shu®Mu®
Возраст: 50
: Kiev,Ukraine
С нами с 06.04.04
Посты: 17771
15.12.09 08:03 [Re: Shu®Mu®] Ukraine #669699
Кстати хочу вас разочаровать, что есть такая версия этой заразы которая блокирует выполнение любой задачи в том числе и фара итд.итп. Грубо говоря запустить вы ничего не сможете ни в каком режиме винды В этом и заключаеться проблема отлова оной. Под другой системой , например РЕ она не стартует и естественно отловить в процессах ее нельзя ,а под родной вы можете только созерцать окно ввода смс даже в режиме защиты от сбоев..
t0rik 
майор
t0rik
Возраст: 40
: /etc/passwd
С нами с 07.03.03
Посты: 1291
15.12.09 11:48 [Re: Shu®Mu®] Ukraine #669820
а как же любимый режим safe mode с командной строкой?
Ganzilla 
мясник-звероящер
Ganzilla
: Киев, 36 лет
С нами с 24.02.06
Посты: 6371
15.12.09 12:32 [Re: t0rik] Ukraine #669856
Дело в том, что Anvir Task Manager показывает длл-ки, используемые процессом и даже файлы, которые в данный момент залочены этим процессом.
Таким образом я отлавливал зашифрованные тельца, которые мне заражали флешки.
А в случае с "смс-вирусом" поможет ERD Commander. Загрузочный СД, который "подключается" к установленной винде и поможет справиться со многими проблемами.
Shu®Mu® 
КонтрАдмирал
Shu®Mu®
Возраст: 50
: Kiev,Ukraine
С нами с 06.04.04
Посты: 17771
15.12.09 12:43 [Re: Ganzilla] Ukraine #669863
РЕ это и есть твой загрузочный СД, повторяю в случае с бацильником который поймали у нас, троянов именно через ре и вытравили, а найти прогу блокирующую винду ( смс окно) неудалось не по дате новых файлов ни тремя антивирусами со свежайшими базами . Как процесс даннная прога стартует только на самой зараженной системе, а не на системе запущенной извне и естественно среди процессов ее там не будет. А запустить на зараженной даже в защищенном режиме тебе не удалось бы ни Anvir Task Manager ни какую либо другую прогу. К сожалению провести больше экспериментов по отлову заразы я не успел юзер начал ныть о срочной работе потому и был восстановлен образ.
Tester_1 
генералиссимус
Tester_1
Возраст: 43
: Kovel,Ukraine
С нами с 10.11.03
Посты: 13352
15.12.09 13:49 [Re: Shu®Mu®] Ukraine #669907
Тупо вешает отладчик приложений. По идее должно вместо запуска программы - сначала вызывается этот отладчик, который уже в свою очередь запускает приложение.
А само тело содержит сканирование заголовков окон и закрытие их.

Возвращаемся к самому правильному режиму повседневной работы - из под простого юзера, а не администратора.
Shu®Mu® 
КонтрАдмирал
Shu®Mu®
Возраст: 50
: Kiev,Ukraine
С нами с 06.04.04
Посты: 17771
15.12.09 13:53 [Re: Tester_1] Ukraine #669913
Прикол в том , что у юзера не было админ прав, и зайдя с РЕ винды я увидел что учетка локальная админа и моя админа домена не заражены, реестр этих учеток был доступен, но при попытке зайти под незараженной учеткой через 10-15 секунд после запуска блокировались реестр и диспетчер задач и машина опять записралась смсм окном. И что самое странное зайдя в реестр от имени админа домена и проделав все операции по борьбе с похожими бацилами в реестре всеравно машина заблокировалась. Короче до истинны я не докопался и позаражал все учетки
  1 из 5 1234>
Icon Legend Права Настройки темы
Распечатать тему


9314 Просмотры
Реклама
136 сейчас в онлайне
4 пользователей (Omanaman, Din0saur, Desert Eagle, monkey55) и 1 скрытых, а также 131 гостей сейчас онлайн.
     
VBIOS Version 3.0 FINAL | ©1999-2019
Execution time: 0.182 seconds.   Total Queries: 81   Zlib сжатие вкл.
All times are (GMT+3). Current time is 23:55
Top