Обсуждение антивирусов, вирусов, способов лечения
Создана: 10 Февраля 2009 Втр 0:03:06.
Раздел: "Компьютерная безопасность, коды, доступы и т.д."
Сообщений в теме: 39, просмотров: 13246
-
В дополнение к голосованию решил создать такую тему. Возможно, кому то хочется обсудить антивирусные продукты разных производителей, обменяться опытом, поделиться тонкостями использования. Также в теме допускается обсуждение вирусов и способы борьбы с ними.
Например, сегодня столкнулся с такой заразой. Очевидно, масс-мэйлер - при соединении с Инетом непрерывно отсылаются пакеты, при неактивности пользователя. Входящие молчат.
Пробовал установить свежего Др.Веба 5, KIS 2009 - ставятся нормально, однако виря не видят, с родных серверов обновиться не могут. Файл hosts - чистый, значит запросы перехватываются на лету. Дело случилось у клиента в 22:00, на ночь глядя особого желания разбираться не было, но руки чешутся добраться до тельца... потом расскажу как все закончилось.
Еще нюанс - однажды поставил на зараженную машину Dr.Web, ну он ессно говорит - все чисто (вирь то прячется), и тут интуиция подсказала зайти в Windows safe mode. Че там началось...
К сожалению, не помню название вируса, который удалось победить таким способом... но может кому пригодится данная инфа.
Продолжаем тему
ps: и, да...
Holywar_mode /on (только без наездов и переходов на личности) -
Pirkx писал :
Когда компьютер заражен Kido.DV ссылки на сайты антивирусов не работают. Ссылка на касперского не рулит. Сам один комп вычищал. Прячется он не далеко system32 что-то типа fhreghege.dll, svhost здорово рубит, да. Drweb у меня тоже ничего не нашёл.
Насчет этой модификации не знаю, в моем случае я на сайт Каспера ходил без проблем, и KAV обновлял базы тоже с родных серверов. Но без толку, вирь не виделся. Что значит ссылка не рулит, скачать то можно по ней, пусть с другого компа. А .dll Kido создает со случайным именем каждый раз...
Удали всю защиту с компа и недельку поищи кряки или свеженькое порно Искать его не надо, он сам тебя найдет...
А если серьезно, че то мысль сохранить его на память не приходила в голову, как буду лечить опять, копирну тебе svchost, autorun и .DLL'ку, на мыло вышлю архивом, если еще актуально будет. -
indifound писал :
Что значит ссылка не рулит, скачать то можно по ней, пусть с другого компа. А .dll Kido создает со случайным именем каждый раз...
На заражённом, скачать не получалось ничем Хороший был вирус, но был уничтожен Авирой (кстати, у них на сайте есть live CD для проверки, правда на немецком и английском Avira AntiVir Rescue System [внешняя ссылка] Как раз случайное имя я и привел в пример. -
Кстати, немного не в тему, но поводу LiveCD от дохтура вэба. Господа, используйте данный инструмент с осторожностью. Такое ощущение, что там базы кастрированные по самые помидоры.
После полной проверки всех разделов с помощью dr.web LiveCD, Касперский, установленный в зараженной среде, нашел еще около 20 разновидностей(!) вирусни. И это еще не все...
После Касперского был установлен SpyBot Search & Destroy, который нашел еще около 30 разновидностей Spyware (шпионское ПО).
Граждане, будьте бдительны! Враг не спит...
ps: мораль. как показывает практика, одного антивиря для лечения зараженной системы (где не было антивируса или он был старый=неэффективный), в наше время - недостаточно. Делаем дополнительные проходы узкоспециализированным ПО (SpyBot, AdAware) и спим спокойно. Благо, эти программы правильные, читай - халявные. -
Нужен совет, суть проблемы:
Периодически вылазит сообщение от антивируса Нод32, что обнаружен вирус
Жму удалить, он вроде удаляется, но через некоторое время сообщение появляется вновь. Места где он появляется:Код: Win32/Conficker.Z червь
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\NXX8EEVH\pdih[1].jpg (имена картинок разные)
C:\WINDOWS\system32\x
Как боролся:
Dr.Web Curelt!
Касперский 7 Virus Removal Tool
Nod32
Spybot
AVZ4
У всех естественно самые новые базы. Результат - "Вирусов не обнаружено".
Ай нид хелп... -
Тему лень прочитать было? На первой странице рассказывал, как бороться с Kido, он же Conficker, он же Downadup.
Качай с сайта Каспера утилиту KidoKiller 3.1 -
indifound писал :
Тему лень прочитать было? На первой странице рассказывал, как бороться с Kido, он же Conficker, он же Downadup.
Качай с сайта Каспера утилиту KidoKiller 3.1
Спасибо, тему читал, но достаточно поверхностно)..
KidoKiller:
Код: Infected files: 0
Infected threads: 0
Dpliced functions: 0
Cured files: 0
Fixed registry keys: 0
На сайте [внешняя ссылка] рекомендуют для борьбы с Kido поставить заплатку KB958644, поставил, посмотрим что будет (заплатку ставил уже после проверки киллером).
И еще, а кто вообще дает названия вирусам? Каждый антивирус во что горазд? Первое, что я сделал при попытке вылечить комп это набрал Conficker на сайте каспера, и ничего не получил. На вируслисте тоже не говорят, что Conficker и Kido одно и тоже... Как в случае необходимости искать "однофамильцев"?) -
Ловец снов писал :
И еще, а кто вообще дает названия вирусам? Каждый антивирус во что горазд? Первое, что я сделал при попытке вылечить комп это набрал Conficker на сайте каспера, и ничего не получил. На вируслисте тоже не говорят, что Conficker и Kido одно и тоже... Как в случае необходимости искать "однофамильцев"?)
Я могу конечно ошибаться, но по идее названия дает антивирусная компания, которая первая обнаружила вирус. После этого остальным проще использовать уже озвученное название. Также название может быть прописано в теле вируса, или то, что принимают за название. А вот в случае, когда вирус попадает в лабораторию разных компаний примерно в одно время, и названия не имеет, возникает такая путаница каждый присваивает свое имя. Как то так наверное.
ps: искать надо через Google, это все таки глобальный поиск, а на сайте Каспера поиск в рамках своей номенклатуры.
ps: заплатку ставьте, несомненно. Она не для борьбы, она для защиты. Kido не сможет проникать в svchost снаружи (Инет, сеть), используя известную уязвимость. -
-
После входа в систему появляется окошко типо виндосовского цвета, все остальное сереет типа фон и говорит виндовс не активирован отправьте смс для получения кода активациии, ни на какие комбинации клавишь не отвечает...
в безопасном тоже самое выскакивает
НОД не поймал вирус этот((( -
Вылечилось так
Загрузился с лив СД ЕР командер зашел в редактор реестра
HKEY\_LOCAL\_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
имя Userinit в значении было написано E:\WINDOWS\system32\userinit.exe, E:\ documents and....bloker.exe выделенное курсиром стираем
потом в реестре еще поискал ссылку на bloker.exe
и сам файл на диске поискал помимо bloker.exe нашелся bloker.расширение не помню
их стер перезагрузил и все ок -
Это не совсем вирус, такой класс программ называют "информер", хотя, несоменно, поведение вполне вредоносное. Дерьмо как не назови, оно дерьмом и останется. Инструкции по удалению информеров составить тяжело, поскольку каждый день новые информеры появляются, и файлы называются по новому, соответственно, и записи в реестре...
Хорошее лекарство против этого одно - мозг. Не надо соглашаться на установку всяких кодеков из интернета для просмотра вожделенной порнухи, и вообще на предложение установить что то вам на компьютер через окно браузера, 10 раз подумайте, а действительно ли оно вам надо.
Ну и антивирь + SpyBot: Search & Destroy (бесплатная, анти-шпионаж), AdAware Personal (бесплатная, анти-реклама), в качестве профилактики раз в три месяца хотя бы, все носители просканировать. -
У мну вот какое дело помнится воевал с какой-то гадостью - бошку отрубил но корешки остались
при отключении "стандартного экрана" аваста
и запуске любого приложения, в процессах появляется windows.ext, которая стопорит загрузку приложения и вдобавок блокирует диски сраным автораном
плюс сразу после загрузки винды вылазит окно мол не обнаружены драйвера на SCSI/RAID controller
Ловил эту гадость сканированием и фаршированием перед Авастом загрузкой - пишет всё почикано а фигня опять вылазит -
Тем временем продолжается эпидемия вируса Kido. Такой вот долгоиграющий червячилло тут у нас имеется. Не будьте жертвами и зомби. Не становитесь ячейкой бот-сети. Своим бездействием или игнорированием вирусов в своей системе, вы помогаете распространению эпидемии.
Kido - один из самых хитрожопых червей, имеет мощные алгоритмы шифрование, сам обновляет свое ядро, используя приличный список адресов, то есть это зараза ведет себя как антивирус почти - если поселилась у вас, качает себе обновления автоматически, ядро модифицирует.
Ужос. Месяц назад только качал KidoKiller 3.1, а сегодня на сайте Касперского уже можно скачать версию 3.4.4, настолько быстро модифицируется вирь.
Кто то всерьез объявил войну интернет-сообществу. Как и куда однажды выстрелит гигантская бот-сеть Kido (а это уже миллионы компьютеров по всему миру) - пока неизвестно. Предположительно, 1 апреля возможна была атака (судя по анализу кода экспертами), но ее не произошло. Однако, это не значит, что атаки не будет. Есть такой прием - отвлекающий маневр, чтобы все расслабились. А потом - бах-нах.
В общем, качаем 3.4.4, друзья. И лечимся, если кто нездоров.
Toxubai писал :
Ловил эту гадость сканированием и фаршированием перед Авастом загрузкой - пишет всё почикано а фигня опять вылазит
Я вообще мало какому антивирю доверяю, а в Авасте вообще сильно сомневаюсь. Пройдись как минимум парой других антивирей, у тебя там заразы больше чем ты думаешь, имхо. Ну и плюс SpyBot:S&D.
ps: кстати, у Каспера появлется новый продукт - SOS, ставится параллельно с любым антивирем и работает без конфликта. Двойной контроль типа. Я beta-версию стянул, работает. На оф. сайте все есть, с beta ключом. -