Если ваш антивирус нашел что то подозрительное в сборке!!!
Внимание всем! Если ваш антивирус нашел что то подозрительное в сборке, прежде чем сообщить об этом, поищите в этом форуме, может вы не первый и ситуация уже обсуждалась. За "кукарекание" об уже найденных и обсужденных "вирусах" будет следовать наказание.
Публикация ключей, номеров, лицензий, всякого рода взломщиков и кряков категорически запрещена.
|
Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
mannaleks Командир команды
Стаж: 15 лет 6 месяцев и 6 дней Сообщения: 2449 Благодарности: 1711/388 Откуда: Куда: Зачем:
|
24.01.2009 16:24 |
|
|
Уважаемые форумчане!
Хочу поделиться информацией.
В течение последней недели несколько раз встречал новую модификацию Autorun-вируса. Антивирусы CureIt и сканер от DrWeb, а также NOD-32 его не знают, остальные не пробовал...
В файле Autorun.inf содержится следующее:
Внешние проявления: в меню автозапуска флешки вместо полного набора действий присутствуют только 3 пункта:
Open folder to view files
Открыть папку для просмотра файлов
Не выполнять никаких действий
Первый пункт меню запускает вирус на исполнение, т.е., вирус запускается не сам, как раньше, а предоставляет сделать это пользователю.
Кроме файла SbiCtr.exe видел еще файл Rize.exe или нечто подобное, точно уже не помню...
Где они локализуются в системе не разбирался из-за нехватки времени. Но определенно могу сказать, что только на диске С:, потому-что на других логический дисках их не было.
Проблему решал ручным удалением "сюрприза" с флэхи и переустановкой системы.
Желаю всем удачной охоты... _________________ Заклинания и молитвы работают только у тех, кто живет лицензионную версию жизни.
Иногда пятая нога добавляет собаке скорости...
15-ти летний капитан - это вымысел, а 14-ти летний майор - это реальность.
Последний раз редактировалось: mannaleks (12.02.2009 22:03), всего редактировалось 1 раз
|
|
Вернуться к началу |
|
|
|
|
Eastoop Гость
|
24.01.2009 16:34 |
|
|
В качестве презерватива могу предложить рег файл для запрета любого автозапуска устройств (комплексный) такого содержания Код: | REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutorun"=dword:000000ff
"NoDriveAutoRun"=dword:3fffffff
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
"*.*"=""
| В комплексе с USBguard все прекрасно предохраняет.
Вот и сам рег файл.
А также батфайл protect.bat следующего содержания Код: | attrib -s -h -r autorun.*
del autorun.*
mkdir %~d0\AUTORUN.INF
mkdir "\\?\%~d0\AUTORUN.INF\.nul."
attrib +s +h %~d0\AUTORUN.INF | который создает на флешке папку с именем AUTORUN.INF и в ней файл с неправильным именем, который не дает удалить эту папку. При наличии на флешке этой папки, одноименный файл не может быть создан. Соответственно даже на компьютере с неотключенным автозапуском, вирус при втыкании флешки стартовать не может. protect.bat копируется в корень флешки и запускается, появляется папка. После этого protect.bat можно удалить.
Поблагодарили(3): mannaleks, товарищ2, Alex4 | |
|
|
Вернуться к началу |
|
|
Vovva Навечно в строю
Возраст: 65 Стаж: 16 лет 1 месяц и 7 дней Сообщения: 1026 Благодарности: 324/283 Откуда: г.Мегион Россия
|
24.01.2009 21:44 |
|
|
mannaleks писал(а): | Проблему решал ручным удалением "сюрприза" с флэхи и переустановкой системы. |
Жёстко. А главное кардинально. mannaleks писал(а): | Да я то ладно, я уже разобрался, это для других.. | Спасибо, но переустановка это не выход, а тем более не решение проблемы. Проще было отправить вирус на проверку тому же drWeb и максимум через 2 дня он был добавлен в базы того же CureIt.
П.С.. Уже боролся недавно с чем то подобным. На флэшке создавался файл autorun.inf и папка Restore, при чём папку удалить не даёт, удаляю autorun.inf, он тут же генерируется снова. Хорошо. Удаляю через Unlocker папку Restore, она тут же появляется снова. Переименовываю папку и файл, тут же рядом создаются оба под "родными" именами. Тыкаю Нод в них мордой, харю воротит, всё чисто хозяин. Скачиваю CureIt, тыкаю ему только флэшку на проверку, чисто. Ясен перец, сканировать систему толку нет, коли визуальные файлы не распознают как вирус. Иду поиском по этим именам, в system32 файл autorun.inf и в одноимённой папке Restore бледным цветом(скрытый) файл ххххх.ехе, Ковырнул их в корзину, с флэхи только через Unlocker снова папка удалилась, но уже через перезагрузку системы, держал её процесс "svchost.exe, что само по себе плохо, если вирус маскируется под этот процесс. После перезагрузки проблема исчезла, до сих пор не наблюдаю, наверно уже неделя или чуть меньше прошло.
П.С...Папку Restore на флэхе не открывал, подозревал что вирус может активироваться при открытии папки, сколько в ней было Кб уже не помню, но немного. _________________ В гостях хорошо, а дома интернет.
|
|
Вернуться к началу |
|
|
mannaleks Командир команды
Стаж: 15 лет 6 месяцев и 6 дней Сообщения: 2449 Благодарности: 1711/388 Откуда: Куда: Зачем:
|
24.01.2009 22:53 |
|
|
Vovva писал(а): | переустановка это не выход, а тем более не решение проблемы... |
Во-первых - не было времени, во-вторых - приглашали именно переставить систему...
А если не удаляется, а после удаления снова появляется, значит вирус находится в оперативке...
Надо посмотреть в Автозагрузке все процессы и отключить подозрительные, после чего перегрузиться и проверить результат...
А процесс "svchost.exe", если не ошибаюсь, как раз и работает с инетом... И не только, а еще и внутри компа через него многое завязано...
Кстати, процесс "csrcs.exe", о котором было сказано выше, не только запускает сам себя, но еще дописывается как параметр к запуску Explorer-а... _________________ Заклинания и молитвы работают только у тех, кто живет лицензионную версию жизни.
Иногда пятая нога добавляет собаке скорости...
15-ти летний капитан - это вымысел, а 14-ти летний майор - это реальность.
|
|
Вернуться к началу |
|
|
Vovva Навечно в строю
Возраст: 65 Стаж: 16 лет 1 месяц и 7 дней Сообщения: 1026 Благодарности: 324/283 Откуда: г.Мегион Россия
|
24.01.2009 23:11 |
|
|
mannaleks писал(а): | Кстати, процесс "csrcs.exe", о котором было сказано выше, не только запускает сам себя, но еще дописывается как параметр к запуску Explorer-а.. | Совершенно верно. В Shell Explorer.exe csrcs.exe удаляем только запись "csrcs.exe"все остальные ключи с упоминанием csrcs.exe удаляем совсем, их порядка 3 в реестре.
mannaleks писал(а): | Надо посмотреть в Автозагрузке все процессы и отключить подозрительные, после чего перегрузиться и проверить результат... А процесс "svchost.exe", если не ошибаюсь, как раз и работает с инетом | В автозагрузке "msconfig" ничего подозрительного не было. Вся фишка в том что процессов svchost.exe несколько и если принять во внимание мой случай, то это явно не интернет, и отключить этот процесс без остановки системы невозможно, или чревато. Ну а если заражённый процесс не остановлен, то соответственно он не даёт и удалять то, что из под него запущено.
mannaleks писал(а): | Я обычно смотрю сторонними просмотрщиками процессов, но иногда и они не все показывают... |
Процесс svchost.exe" является системным и важным и ни одна из чудо прог не посмеет его остановить при запущенной системе. Вогнать вирус в этот процесс, замечу, не в схожий по названию а именно в важный системный процесс, является высшим пилотажем для пишущих вирусы. Вот это я и имел в виду когда Vovva писал(а): | держал её процесс "svchost.exe, что само по себе плохо, если вирус маскируется под этот процесс |
П.С.. Вот к примеру сейчас у меня в диспетчере задач висят 7 процессов svchost.exe, 4 из них системных, 1 локальный, 2 нетворк сервис, у вас примерно столько. Допустим из под одного системного запущен и работает вирус, остановите системный процесс и вы сможете побороть вирус, но комп или отрубится или встанет в ступор. И ещё не факт что остановите нужный. _________________ В гостях хорошо, а дома интернет.
|
|
Вернуться к началу |
|
|
StrDt Админозавр
Возраст: 69 Стаж: 16 лет и 6 дней Сообщения: 1786 Благодарности: 1092/1996 Откуда: Солнечная система.Планета хищников
|
24.01.2009 23:41 |
|
|
Здесь рекомендации Скрытый текст почитайте
Последний раз редактировалось: StrDt (25.01.2009 0:52), всего редактировалось 1 раз
Поблагодарили(1): mannaleks | |
|
|
Вернуться к началу |
|
|
GoodWIN7 Ёжик
Стаж: 15 лет 2 месяца и 23 дня Сообщения: 2 Благодарности: 1/0
|
29.01.2009 1:33 |
|
|
После установки Zver8.10.4 (голый) при попытке поставить антивирь Symantec 2007 получаю сообщения типа "Невозможен запуск программы из-за отсутствующей XXXXX.dll" где в место ХХХХХ любой бред (в смысле кракозябры).
Такое же говорит про попытку запустить mmc.exe и msconfig.exe (мож и еще что-то - не заметил).
Как бы побороть? (sfc /scannow - не проходит, диск не подходит)
каким образом антивирь (с учетом того что его инсталяшка не запускается с указанной ошибкой) влияет на mmc и msconfig.
1. Сборка с torrents.ru (ща точно топик не скажу, нет под рукой)
2. MD5 совпадает
3. Писалось на cd-r с проверкой nero 6.6.
4. Сразу после установки и первой перезагрузки
5. Диски голые, отформатированные в процессе установки
6. отформатированные в процессе установки
7. про отсутсвие файлов в процесе установки ничего не говорилось
8. с питанием проблем небыло - все штатно
9. мамка ECS nforce6100tm-m2 проц непомню точно 4ядра видео ati3600
10 Никакие драйвера в процессе установки не ставил
|
|
Вернуться к началу |
|
|
Eastoop Гость
|
29.01.2009 2:11 |
|
|
GoodWIN7 Скачайте Cureit и проверьтесь. По всей видимости вы успели хватануть заразу откуда то. Достаточно было воткнуть грязную флешку. <rnd>.dll свидетельсьвует об этом.
Почитайте про файлы с динамически меняющимся именем.
|
|
Вернуться к началу |
|
|
Eastoop Гость
|
29.01.2009 6:19 |
|
|
Makedon писал(а): | NOD32 нашел "вирус" C:\WINDOWS\system32\yvapeuaz.dll - Win32/Conficker.AA worm - cleaned by deleting (after the next restart).
Перезагрузил. И после запуска NOD32 опять выскакивает сообщение о нахождении этого же файла и прсит опять перезагрузить. Тоже самое происходит при втыкании флешки. |
"очищен методом удаления (после перезагрузки)"
Удаляется только то что обнаружил антивирус при запуске системы, а вирус-первоисточник остается на диске и опять генерирует этот злополучный файл.
Makedon Скачайте CureIt и лечение производите загрузившись в безопасном режиме. И делать нужно тотальную проверку, включая все съемные носители, что у вас есть.
|
|
Вернуться к началу |
|
|
gloom Лис
Возраст: 52 Стаж: 15 лет 6 месяцев и 10 дней Сообщения: 46 Благодарности: 11/19 Откуда: Махачкала-Новосибирск-Новороссийск-Масква
|
29.01.2009 7:35 |
|
|
Часто бывает так, что при деинсталляции какого-либо приложения система выдает предупреждение, что удаляемые библиотеки могу быть использованы другими приложениями, и если их удалить, то могут возникнуть конфликты. У меня как-то пропал какой-то .dll
не стал заморачиваться - скачал, воткнул и забыл.
Скрытый текст _________________ Sapienti Sat.
|
|
Вернуться к началу |
|
|
GoodWIN7 Ёжик
Стаж: 15 лет 2 месяца и 23 дня Сообщения: 2 Благодарности: 1/0
|
29.01.2009 19:34 |
|
|
Всем спасибо (особо Eastoop).
Еси че проблема была в следующем:
В драйверах скаченных с инета был вирус win32.system.5 по версии drweb.
Соот-но после установки системы и драйверов возникала такая ошибка (невозможно запустить приложения из-за отсутвующей xxxxx.dll, где xxxxx - нечитаемые символы).
Вылечил - все работает.
Поблагодарили(1): StrDt | |
|
|
Вернуться к началу |
|
|
Bad Santa Ёжик
Стаж: 16 лет 4 месяца и 5 дней Сообщения: 13 Благодарности: 36/9
|
09.02.2009 19:55 |
|
|
Компьютер был заражен файлом, полученным из Skyp-а.Зараза препятствовала открытию дисков C: и D: обычным способом, а сами логические диски C: и D: стали отображаться как папки.Зараза удалена, а последствия остались - пропало отображение Vista Drive Icon, а диски отображаются в виде папок.
Вопрос такой - можно ли в данном случае применить "консоль восстановления" - [R=Восстановить] - fixboot - fixmbr - и так далее...
С обычным Windows XP все получалось, будут ли проблемы из-за того, что в данном случае используется сборка с твиками?
Добавлено спустя 22 часа 53 минуты 30 секунд:
Помогла маленькая утилитка VRCP AutoRuns Killer 1.6.0.2008.0
Скачать можно Скрытый текст
Советую форумчанам при аналогичной ситуации. Логические диски стали отображаться нормально, восстановилась работа Vista Drive Icon:
Правда, сейчас пытался сделать резервное копирование закладок Mozill-ы, не производится экспорт закладок в HTML в указанную папку, по-видимому, это последствия вирусов, как это вылечить не знаю... _________________
|
|
Вернуться к началу |
|
|
bob7 Гость
|
|
Вернуться к началу |
|
|
StrannikS Ёжик
Стаж: 15 лет 10 месяцев и 9 дней Сообщения: 18 Благодарности: 2/2
|
13.02.2009 10:08 |
|
|
Bad Santa писал(а): | Помогла маленькая утилитка VRCP AutoRuns Killer 1.6.0.2008.0 |
Хорошая утилитка, мне помогла в нескольких случаях уже.
GSpot писал(а): | Doctor Web Cute It!
Скачал - Проверил - Удалил
Крутая вещь для разовой проверки системы |
Почему для разовой? У меня в запасе всегда свежая версия с обновлением данной утилитки. Не раз уже выручала.
|
|
Вернуться к началу |
|
|
kolann Забанен
Стаж: 15 лет 1 месяц и 31 день Сообщения: 6 Благодарности: 0/1
|
20.02.2009 11:20 Посещение Антивирусных сайтов |
|
|
У меня стоит Dr WEB. Я словил какой-то вирус, который он (судя по всему) не находит (или не знет), проявляется так: сами собой меняются темы рабочего стола (включается классический вид на 5-7 секунд), возвращается все обратно само собой, но к Интернету невозможно подключиться (ошибка 1727), приходится перезагружаться. После этого все нормально минут на 10-15, но потом подключение теряется, та же ошибка, те же глюки.
Плюнув на все переустановил систему (8.8.4) с переразметкой жесткого диска и с форматированием обоих разделов.
прервана, отключены… (хотя на самом деле все подключено)
Найдя в поиске указанную ссылку,: Скрытый текст
не смог воспользоваться и ей тоже…
|
|
Вернуться к началу |
|
|
|
|
|
|
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете голосовать в опросах Вы не можете вкладывать файлы Вы не можете скачивать файлы
|
Заблокировано регистраций / сообщений: 623204 / 329
Powered by phpBB © 2001, 2005 phpBB Group
|
|
|