| Статистика |
|---|
Посетители за сутки:
|
|
|
Приветствую Вас Гость
|
Вирусы
| |
| The_NooB | Дата: Пятница, 25.09.2009, 09:33 | Сообщение # 1 |
Рейтинг: 6.53
Группа: Администратор
Сообщений: 749
Награды: 10
Статус: Offline
| Недавно ко мне в аську пришла ссылка на картинку с вопросом: "Посмотри заметно что фотка отредактирована в фотошопе?" или некое сообщение на английском, типа мне вот написали что кто-то там знает тебя, ссылка на вирус-застаку, "посмотри ни кого не узнаешь?"
Пришла ссылка не от кого нибудь а от старого моего друга, в итоге там предлагалось либо скачать программу заставку либо ее запустить, ну как самый "грамотный" нажал сохранить, после запуска появилось полноэкранная заставка которая содержала форму отправки смс, для якобы разблокирования ОС, данная программа отключает диспетчер задач и блокирует все попытки ее уничтожить, перепробывал: заходил в безопасном режиме, как сис админ, но все это не помогало. Я знаю 2 варианта как ее можно убить: переустановить ОС или загрузиться с внешнего носителя (или просто с другой ОС если у вас их несколько), далее если вы загрузились с другой ОС нужно руками будет искать размещение вредоносного фаила т.к. не один антивирус ее не блокирует(если у вас стоит касперский запустите его и там будет 3 фаила исходника это программы в слабых ограничениях и их размещение), обычно размещается в C:\Documents and Settings\ (следующую папку не запомнил но что-то связанное с Date)
Если кто-то хочет похимичить с такой программой, могу выслать "закрытую" копию
Be good from harm because it any more from what to do.
|
| |
| |
| The_NooB | Дата: Суббота, 10.10.2009, 11:21 | Сообщение # 2 |
|
Рейтинг: 6.53
Группа: Администратор
Сообщений: 749
Награды: 10
Статус: Offline
| В сети разгуливает некий троян-загрузчик, который попав на ваш ПК, загружает неизвестный мне вирус, KIS 2009 определяет его как простого трояна, но не тут-то было, касперский "умер" примерно через 1.5 часа после загрузки вируса, имейте ввиду, попались трояну-загрузчику, ставьте ваш антивир на максимальную защиту, отключайтесь от любого вида сети(локальной сети с провайдером, и сети интернет), и запускайте полную проверку системы на наличие вирусов и прочей нечисти, если антивир ничего не нашел, советую скачать программу антишпиона(по возможности делайте это заранее, "на всякий пожарный"), и проверить им, т.к. после такой атаки мне пришлось переустановить ОС с полным форматирование файловой системы, но после установки антивируса Agnitum: Outpost Security Suite Pro 2009, была еще попытка такой атаки(определялся так же как у каспера), антивирус смог обнаружить его встроенным антишпионом, далее смог удалить его исходный фаил при перезагрузке, однако остались библиотеки .dll основного фаила, которые его восстанавливали, поэтому если попадетесь на этот вирус запишите его размещение, а после если библиотеки не удается удалить, переименуйте их в формат .ехе и проверьте на наличие вирусов, поидеи любой антивирус опредилит их как троянов, и сможет бес проблем их удалить при перезагрузке, большой опасности библиотеки не представляют если конечно вы их вовремя обнаружили 
А да и еще, по возможности, сохраните исходный фаил вируса куда-нибудь на флешку, или отправьте в зависимости от антивира в соотвествующую лобараторию, для добавления его в базы данных
Be good from harm because it any more from what to do.
|
| |
| |
| Petroff | Дата: Воскресенье, 11.10.2009, 00:41 | Сообщение # 3 |
Группа: Администратор
Сообщений: 454
Награды: 3
Статус: Offline
| сенкс за инфо!
|
| |
| |
| The_NooB | Дата: Среда, 14.10.2009, 21:37 | Сообщение # 4 |
|
Рейтинг: 6.53
Группа: Администратор
Сообщений: 749
Награды: 10
Статус: Offline
| Все наверно хоть раз встречались с информером, который содержит не нормативную лексику и который можно было удалить либо после истечения его срока годности либо отправкой смс для его блокирования. Так вот если информер появился в браузере, избавиться от него проще простого, просто переустановить браузер, если IE 8 или выше, то там можно откатить до начальной версии и поставить обнову заново. Есть такие информеры которые появляются на рабочем столе перекрывая все остальные окна, то тут всего лишь 4 варианта наиболее простых: 1) Отфармотировать винт и поставить все поновой
2) Зайти с другой ОС, заранее найти исходное размещение и подтереть руками (поидеи должно получиться) 3) Если установлен касперский (оптимальный вариант) находите все исходники информера в папке слабых ограничений и переносите в недоверенные, далее все фаилы информера переводите в формат .exe (руками с помощью переименования), проверяете на наличие вирусов, если нет вирусов, запускаете (ну чтобы в каспер добавилось как приложение), и переносите в недоверенные. Осталось перезагрузить комп и дело сделано.
4) Заходим в биос (клавишей Delete или Del при загрузке ОС, перед появлением картинки Windows где показывает что загрузка началась), выбираем первую строку в левой колонке, заходим, меняем время на несколько лет вперед, жмем F10 выходим из биос, ждем пока загрузит и смотрим, помогло ли, т.к. не все информеры можно так удалить, если не помогло, у вас для разбора еще 3 варианта выше
Be good from harm because it any more from what to do.
|
| |
| |
| sve3131 | Дата: Пятница, 16.10.2009, 22:07 | Сообщение # 5 |
|
Рейтинг: 0.09
Группа: Проверенные
Сообщений: 268
Награды: 3
Статус: Offline
| Проблема с вирусами весьма актуальна.
С недавнего времени и я страдаю от этой проблемы
Через некоторое время диспечер начинает показывать
100% -ую загрузку процессора(во время игры моментально пинг
оказывается порядка 350-400)
Приходиться перезагружать систему.
Антивирус Nod32 c последними, обновленными базами, ничего
не определяет при проверке!
Не знаю, как назвать такое явление...
|
| |
| |
| The_NooB | Дата: Пятница, 16.10.2009, 23:51 | Сообщение # 6 |
|
Рейтинг: 6.53
Группа: Администратор
Сообщений: 749
Награды: 10
Статус: Offline
| Обновление к вирусу-заставке:
Теперь рассылают как:
"ничего? если я тебя отмечу на этой фотке ?"
И ссылка на программу-заставку блокирующую вашу систему,
фаил: foto35.scr
Be good from harm because it any more from what to do.
|
| |
| |
| The_NooB | Дата: Пятница, 16.10.2009, 23:59 | Сообщение # 7 |
|
Рейтинг: 6.53
Группа: Администратор
Сообщений: 749
Награды: 10
Статус: Offline
| Quote (sve3131) Через некоторое время диспечер начинает показывать 100% -ую загрузку процессора(во время игры моментально пинг оказывается порядка 350-400) Приходиться перезагружать систему.
Укажи процессы которые расходуют ресурсы и сколько. От чего начинаются тормоза (от запуска каких приложений). Укажи точное название Nod 32 (IS или простой) и его версию (версию приложения, а не базы данных). Далее, примерная дата последней переустановки ОС.
Если начнутся проблемы с NOD'ом типа "Невозможно установить связь с ядром NOD 32", то можешь смело его закапывать, т.к. это означает что его накрыл вирус, и вероятно не один. Далее пока работает интернет (можно заранее) качаешь отсюда http://files.mail.ru/11T648 любой из архивов или все, устанавливаешь что-то одно, проверяешь на вирусы.
Версия Removal tools старая у меня, но если оно тебе надо скачаешь с офф сайта более новую. Любой продукт Agnitum в угрозы будет заносить так же критические изменения реестра, а они у тебя будут полюбому (наименьшая угроза), все прочее в основном вирусы. Если вирусов нет (После проверки продуктом Agnitum который находится в папке "обычный" 100% гарантия, вот только он не определит вирус "Красная лента" - довольно паршивая вещица, т.к. антишпион вероятнее всего работать не будет, если ты не снесешь другие антивиры), тогда решить проблему не составит труда
Be good from harm because it any more from what to do.
|
| |
| |
| sve3131 | Дата: Суббота, 17.10.2009, 20:08 | Сообщение # 8 |
|
Рейтинг: 0.09
Группа: Проверенные
Сообщений: 268
Награды: 3
Статус: Offline
| Quote (The_Dark_Lord) Укажи процессы которые расходуют ресурсы и сколько. От чего начинаются тормоза (от запуска каких приложений). Укажи точное название Nod 32 (IS или простой) и его версию (версию приложения, а не базы данных). Далее, примерная дата последней переустановки ОС. Вот самые емкие процессы:
ekrn.exe - 46 160 kb
svchost.exe - 27 908 kb
explorer.exe - 32 232 kb
Остальные в пределах 3-5 kb
Пробовал последовательно закрывать все возможные в диспечере
до критических - это не помогает.
Я заметил, что подобный сбой происходит через некоторое время, при любом запросе
интеренет ресурсов(будь-то сайт или соединение с игровым сервером)
Антивир стоит ESET NOD 32 ANTIVIRUS 4.0.314.0
Сканировал им систему сегодня - ничего нет!Все вроде чисто
Твою ссылку пока не трогал еще. Есть конечно эдакий русский вариант как это все вылечить
это полный формат жесткого диска... |
| |
| |
| The_NooB | Дата: Суббота, 17.10.2009, 20:49 | Сообщение # 9 |
|
Рейтинг: 6.53
Группа: Администратор
Сообщений: 749
Награды: 10
Статус: Offline
| Quote (sve3131) Есть конечно эдакий русский вариант как это все вылечить это полный формат жесткого диска...
Может не поможет это не всегда эффективно.
Quote (sve3131) Твою ссылку пока не трогал еще.
Скачай по ней архив "продукты Agnitum" поставь любой из них и проверь. Далее, я так и неувидел примерной даты установки твоей ОС, т.к. хотя бы раз в год ее либо нужно чистить либо ставить заново.
Ну у меня есть вариант как твое "заражение" вылечить, но мне нужно еще кое-что посмотреть.
Be good from harm because it any more from what to do.
|
| |
| |
| The_NooB | Дата: Воскресенье, 18.10.2009, 21:36 | Сообщение # 10 |
|
Рейтинг: 6.53
Группа: Администратор
Сообщений: 749
Награды: 10
Статус: Offline
| Ну думаю можно пополнить список угроз на нынешний момент, в сети появился вирус который многие могут знать как "Красная лента", используется очень просто, просто обрушивает систему.
Раньше был известен как "Папа и Мама", по одиночке они не являются вирусом, но как только на ваш ПК попадет и Мама и Папа, они тут же начнут плодить своих детей - вирусы. До тех пор пока ваша система не рухнет. Так же проникновения такого вируса или его части без помощи хакера не возможно. )
Be good from harm because it any more from what to do.
|
| |
| |
| sve3131 | Дата: Понедельник, 19.10.2009, 13:17 | Сообщение # 11 |
|
Рейтинг: 0.09
Группа: Проверенные
Сообщений: 268
Награды: 3
Статус: Offline
| Quote (The_Dark_Lord) Скачай по ней архив "продукты Agnitum" поставь любой из них и проверь. Далее, я так и неувидел примерной даты установки твоей ОС, т.к. хотя бы раз в год ее либо нужно чистить либо ставить заново.
Ну у меня есть вариант как твое "заражение" вылечить, но мне нужно еще кое-что посмотреть. Я ее месяца 3 назад переустанавливал!Возможно через аську что-то
прицепилось.Постоянно кто-то стучится и предлагает левые ссылки.
Осталось с твоим архивом поработать |
| |
| |
| The_NooB | Дата: Понедельник, 19.10.2009, 15:21 | Сообщение # 12 |
|
Рейтинг: 6.53
Группа: Администратор
Сообщений: 749
Награды: 10
Статус: Offline
| Quote (sve3131) с твоим архивом поработать
Вот как агнитум проверит, тогда и бум решать что делать
Be good from harm because it any more from what to do.
|
| |
| |
| sve3131 | Дата: Понедельник, 19.10.2009, 16:06 | Сообщение # 13 |
|
Рейтинг: 0.09
Группа: Проверенные
Сообщений: 268
Награды: 3
Статус: Offline
| Quote (The_Dark_Lord) Вот как агнитум проверит, тогда и бум решать что делать :) Он не конфликтует с Nod 32?
Или ставиться как второй антивирус? |
| |
| |
| The_NooB | Дата: Понедельник, 19.10.2009, 17:50 | Сообщение # 14 |
|
Рейтинг: 6.53
Группа: Администратор
Сообщений: 749
Награды: 10
Статус: Offline
| Quote (sve3131) Он не конфликтует с Nod 32?
Лучше все же отключи его, заодно убери его процесс из автозагрузки, т.к. за Nod 32 версии 4.0 и выше не ручаюсь, после того как проверишь, вернешь все обратно если ничего не найдет.
Quote (sve3131) Или ставиться как второй антивирус?
По возможности лучше удалить Nod 32 чтобы работал антишпион, но если переустановить Nod 32 возможности нет, тогда ставь как второй антивир.
Be good from harm because it any more from what to do.
|
| |
| |
| sve3131 | Дата: Среда, 21.10.2009, 00:31 | Сообщение # 15 |
|
Рейтинг: 0.09
Группа: Проверенные
Сообщений: 268
Награды: 3
Статус: Offline
| Quote (The_Dark_Lord) Лучше все же отключи его, заодно убери его процесс из автозагрузки Отключить проблем не было, но из автозагрузки убрать не смог.
Поставил OutpostPro как второй антивирус...
Они не конфликтуют и могу работать одновременно.
Долго он проверял, но нашел 8 зараженных обьектов.
Эти файлы в карантине - они изолированны?
Еще увидел фразы:
Не удалось извлеч объект: c:\pagefile.sys
Не подскажешь что это означает? |
| |
| |
| The_NooB | Дата: Среда, 21.10.2009, 10:40 | Сообщение # 16 |
|
Рейтинг: 6.53
Группа: Администратор
Сообщений: 749
Награды: 10
Статус: Offline
| Quote (sve3131) Эти файлы в карантине - они изолированны?
Да, чтобы от них избавиться открывай меню агнитума, заходи в карантин, и поочереди удаляй карантинные фаилы, эти фаилы будут стерты с компа.
Quote (sve3131) Не удалось извлеч объект: c:\pagefile.sys
Я такого не встречал, но если агнитум показывает угрозу почти максимальную значит вирус, а если он с ним совладать не сумел в пробной версии, то лучше удали руками.
Be good from harm because it any more from what to do.
|
| |
| |
| sve3131 | Дата: Среда, 21.10.2009, 16:23 | Сообщение # 17 |
|
Рейтинг: 0.09
Группа: Проверенные
Сообщений: 268
Награды: 3
Статус: Offline
| Quote (The_Dark_Lord) Я такого не встречал, но если агнитум показывает угрозу почти максимальную значит вирус Он просто как уведомление показывает.
Еще брандмауэр отключил(он вешал игровые приложения)
Все равно внешнего ip нет, комп не виден во внешней сети.
А так вроде перестал висеть как раньше! |
| |
| |
| The_NooB | Дата: Среда, 21.10.2009, 21:20 | Сообщение # 18 |
|
Рейтинг: 6.53
Группа: Администратор
Сообщений: 749
Награды: 10
Статус: Offline
| Quote (sve3131) Еще брандмауэр отключил(он вешал игровые приложения)
Режим разрешения и дело в шляпе, там должна быть настройка такая "настройка игрового режима"
Be good from harm because it any more from what to do.
|
| |
| |
| sve3131 | Дата: Четверг, 22.10.2009, 03:29 | Сообщение # 19 |
|
Рейтинг: 0.09
Группа: Проверенные
Сообщений: 268
Награды: 3
Статус: Offline
| Quote (The_Dark_Lord) Режим разрешения и дело в шляпе, там должна быть настройка такая "настройка игрового режима" Хорошо я понял!Все вроде нормализовалось и пошло своим чередом.
Спс за помощь и содействие! |
| |
| |
| The_NooB | Дата: Пятница, 23.10.2009, 23:13 | Сообщение # 20 |
|
Рейтинг: 6.53
Группа: Администратор
Сообщений: 749
Награды: 10
Статус: Offline
| Quote (sve3131) Не удалось извлеч объект: c:\pagefile.sys
С этим я разобрался, pagefile.sys - системный фаил, который используется постоянно, поэтому с ним нельзя работать, т.к. в случае попытки начать с ним работать будет выдано сообщение "Закройте все программы которые могут использовать этот фаил и повторите попытку.", следовательно он не может быть проверен на наличие вирусов, т.к. используется системой
Be good from harm because it any more from what to do.
|
| |
| |
|
|
| Форма входа |
|---|
Среда 24.04.2024
Гость, мы рады вас видеть. Пожалуйста зарегистрируйтесь или авторизуйтесь!
|
|
