Неизвестный Вирус
#41
Отправлено 10 Январь 2009 - 12:24
Краткий отчёт. Удаление в ручную ч лайв сд никчему не привёло.Файл по прежнему сидит в тойже папке, востановлен с тем же именем и размером. Для нового харажения былобы характерно изменение имени и размера.
в реетре данный файл не прописан. т.е. это не основноетело вируса, сам вирус сидит ещё где-то. Интеренсо что местами модификации есть не только с размером и временем создания, но и модификации с атрибутами, таким образом вообще местами его так и не вычислили. Или как вариант копия в system32 и не создавалась. есть ещё идеи по отлову вирей? Машины в домене, общие доступы и принтера делают малоприятной работу в сети с этим вирусом.
Новости ещё появились. Вирус себя может по разному вести. к примеру не работает аська, но не создаётся авторан на флешках и сеть не отваливается. Есть варианты когда сеть отваливается, но авторан не пишется. т.е. поведение несколько меняется и после заражения по видимому вирус ведет себя какое-то время на машине тихо
#42
Отправлено 10 Январь 2009 - 15:40
Вообще говоря, сканер Доктора - прекрасный инструмент для копирования скрытых файлов. Если Шилд видит файл - его можно скопировать.Я вчера уже нашёл этот файлик. Он при работе скрыт достаточно хорошо, его не берёт даже прямой доступ, по крайней мере найти утилиту которая могла бы его скопировать не получилось т.е. с зараженной винды лечить и искать аирус бесполезно. Единственный вариант, это когда антивирус найдёт нужный процесс (скрытый в нужном процессе) и удалит заразу из памяти.
Для этого нужно прочитать документацию про ключ сканера /@ и по аналогии с ним воспользоваться недокументированным ключом /copy.
Борис А. Чертенко aka Borka.
#43
Отправлено 10 Январь 2009 - 15:55
ключ недокументирован этим отношение разработчиков показывает, что они не считают данную возможность нужной (скопировать можно и с лайв сд, но проблема в том что нужно найти всё что нужно для удаления). Пока борьсь анлокером и авп туллс, последняя на большинсве заражённых машин тупо вылетает после установки и не запускается ужеДля этого нужно прочитать документацию про ключ сканера /@ и по аналогии с ним воспользоваться недокументированным ключом /copy.
Очень "хотелось бы услышать начальника транспортного отдела" когда будут базы веба видеть и лечить эту заразу? Путём пары утилит выяснил что еть ещё вири которые не видит веб. Возможно один маскирует другие. Запускается вирь через WINDOWS\system32\svchost.exe. подробней не копал.
Открылись новые таланты виря -блокирование работы компьютера, диспечера устройсв, explorer.exe. после перезагрузки с кнопки даёт какое-то время поработать. К сожалению пока избавиться от виря не получается, эта зараза востанавливается откуда-то и после утилиты каспера и после ручной чистки, копаю дальше, но надёюсь что вебовцы сделают это быстрее и облегчат труд.
#44
Отправлено 10 Январь 2009 - 16:14
Ну так лог спайдера в помощь - определить PID процесса, который дроппает трояна. Если Доктор не видит дроппаемое, то уж дроппера он точно не видит. А вот дроппер интереснее будет. Но если не отключаться от сети, то искать можно бесконечно...Открылись новые таланты виря -блокирование работы компьютера, диспечера устройсв, explorer.exe. после перезагрузки с кнопки даёт какое-то время поработать. К сожалению пока избавиться от виря не получается, эта зараза востанавливается откуда-то и после утилиты каспера и после ручной чистки, копаю дальше, но надёюсь что вебовцы сделают это быстрее и облегчат труд.
Борис А. Чертенко aka Borka.
#45
Отправлено 10 Январь 2009 - 17:07
Отключать надолго нельзя от сети. К машине подключены и другие пользователи идёт обмен информацией и в этих условиях нужно уничтожить заразу. т.е. нужны решения от антивирусной компании. каспера не предлагать он от этой заразы валится т.е. запустить его не получится. может есть подобные курету утилиты от других производителей антивирусов?Ну так лог спайдера в помощь - определить PID процесса, который дроппает трояна. Если Доктор не видит дроппаемое, то уж дроппера он точно не видит. А вот дроппер интереснее будет. Но если не отключаться от сети, то искать можно бесконечно...
#46
Отправлено 10 Январь 2009 - 17:14
Отключать надолго нельзя от сети. К машине подключены и другие пользователи идёт обмен информацией и в этих условиях нужно уничтожить заразу. т.е. нужны решения от антивирусной компании. каспера не предлагать он от этой заразы валится т.е. запустить его не получится. может есть подобные курету утилиты от других производителей антивирусов?Ну так лог спайдера в помощь - определить PID процесса, который дроппает трояна. Если Доктор не видит дроппаемое, то уж дроппера он точно не видит. А вот дроппер интереснее будет. Но если не отключаться от сети, то искать можно бесконечно...
Думается мне, что это свежий червяк :-) А исправлять дыры в ОС - не задача антивирусных компаний...
Личный сайт по Энкодерам - http://vmartyanov.ru/
#47
Отправлено 10 Январь 2009 - 17:19
Отключать надолго нельзя от сети. К машине подключены и другие пользователи идёт обмен информацией и в этих условиях нужно уничтожить заразу. т.е. нужны решения от антивирусной компании. каспера не предлагать он от этой заразы валится т.е. запустить его не получится. может есть подобные курету утилиты от других производителей антивирусов?Ну так лог спайдера в помощь - определить PID процесса, который дроппает трояна. Если Доктор не видит дроппаемое, то уж дроппера он точно не видит. А вот дроппер интереснее будет. Но если не отключаться от сети, то искать можно бесконечно...
Поставьте файрвол, может хоть что -нибудь возможно будет определить
#48
Отправлено 10 Январь 2009 - 17:20
Если это сетевой червяк, то НЕ отключаться от сети нельзя. Если нужно уничтожить заразу, то как минимум нужно знать ее. То есть кто ее садит на машину, как ее садит и что можно этому противопоставить. А не имея на руках никакой информации можно долго махать шашками...Отключать надолго нельзя от сети. К машине подключены и другие пользователи идёт обмен информацией и в этих условиях нужно уничтожить заразу. т.е. нужны решения от антивирусной компании.Ну так лог спайдера в помощь - определить PID процесса, который дроппает трояна. Если Доктор не видит дроппаемое, то уж дроппера он точно не видит. А вот дроппер интереснее будет. Но если не отключаться от сети, то искать можно бесконечно...
Борис А. Чертенко aka Borka.
#49
Отправлено 10 Январь 2009 - 18:27
Апрочем как иной раз думается и обновлять базы тоже не ихняя работа. Была бы возможность вручную добавить файлы не мучился бы сейчас, а так с так с такой оперативностью веселой начало нового годаДумается мне, что это свежий червяк :-) А исправлять дыры в ОС - не задача антивирусных компаний...
Обходные пути кажется найдёны и от вирей получится избавиться, сеть при этом отключтаь нельзя. только вот вопрос один, а зачем мне антивирь в сети если неработает достаточно оперативно? Первые вири были ещё до нового года судя по инету, прислали и аналитика веба вирь на закуску, но результат http://www.virustotal.com/ru/analisis/111d...9ee5d50880bbba7 весьма плачевный, что можно бесплатному ваерволу, то нельзя платной специализированной программе.
к сожалению встроенный фаервол в 5-й версии отсутсвует в любом виде.
#50
Отправлено 10 Январь 2009 - 18:40
Пропуски бывают у всех.
Dr.Web Security Space 12.0
Windows 10 x64 + автообновления
#51
Отправлено 10 Январь 2009 - 19:54
Алексс
Пропуски бывают у всех.
Дело ведь не в пропуске как таковом...
Вот, например, теме http://forum.drweb.com/index.php?showtopic=276829 казалось бы просто вопрос. Как распространяется вирус. Если верить PR статьям про компанию ДрВеб, каждый попавший к ним образец досконально анализируется и добавляется в базу. Тот вирус, о котором вопрос, в базе есть. Но на официальном форуме компании ДрВеб, в профильной ветке, народ уже 2-е сутки пытается догадатся, как же всетаки работает этот вирус. А почему молчат специалисты с ДрВеб? Они этого не знают, но не признаются в открытую, чтобы не портить репутацию? Или это "секрет фирмы"? Но тогда бы дали конкретные рекомендации, что сделать, какую заплатку поставть. Или по мнению специалистов пользовотель должен получать кайф от того что каждый 15-30 минут появляется сообщение от Спайдера, что прибит очередной семпл, как-то прорвавшийся на комп (и типа антивирус молодец, а заплатки это не наша забота)?
ТОже непонятная ситуация с вирусом, обсуждаемым в этой теме. Файл вируса вирлаб получил уже больше суток тому и до сих пор никакой реакции... Может он сложный и сильно запутанный, никто не требует "в базы за пол-часа". Но если дело идет, успокойте народ (опять таки было бы неплохо если бы это сделал специалист ДрВеба), что дело идет, конец виден и т.д. Не плохо бы дать какие-нибудь рекомендации, как защитить ОС от проникновения этого вируса и т.д. Но этого ничего нету!!!
#52
Отправлено 10 Январь 2009 - 20:10
Может он сложный и сильно запутанный, никто не требует "в базы за пол-часа". Но если дело идет, успокойте народ (опять таки было бы неплохо если бы это сделал специалист ДрВеба), что дело идет, конец виден и т.д. Не плохо бы дать какие-нибудь рекомендации, как защитить ОС от проникновения этого вируса и т.д. Но этого ничего нету!!!
Обратитесь в службу поддержки пользователей.
#53
Отправлено 10 Январь 2009 - 20:19
Для меня например это главная проблема компании... Ну не возможно же так работать...Файл вируса вирлаб получил уже больше суток тому и до сих пор никакой реакции...
#54
Отправлено 10 Январь 2009 - 22:00
Здравствуйте, у меня такая же проблема, каждые 42-43 минуты после удаления вируса снова появляется сообщение об обнаружении того же вируса:Алексс
Пропуски бывают у всех.
Дело ведь не в пропуске как таковом...
...каждый 15-30 минут появляется сообщение от Спайдера, что прибит очередной семпл...
10-01-2009 15:28:31 [CL] C:\WINDOWS\System32\exgrz.o - инфицирован Win32.HLLW.Autoruner.5555
10-01-2009 15:28:38 [CL] C:\WINDOWS\System32\exgrz.o - исцелен
10-01-2009 16:11:09 [CL] C:\WINDOWS\System32\exgrz.o - инфицирован Win32.HLLW.Autoruner.5555
10-01-2009 16:11:36 [CL] C:\WINDOWS\System32\exgrz.o - исцелен
.....
10-01-2009 20:37:08 [CL] C:\WINDOWS\System32\exgrz.o - инфицирован Win32.HLLW.Autoruner.5555
10-01-2009 20:37:38 [CL] C:\WINDOWS\System32\exgrz.o - исцелен
10-01-2009 21:19:58 [CL] C:\WINDOWS\System32\exgrz.o - инфицирован Win32.HLLW.Autoruner.5555
10-01-2009 21:20:09 [CL] C:\WINDOWS\System32\exgrz.o - исцелен
Пробовал и удалять и исцелять, все одно и тоже - файл удаляется. А потом в определенный момент снова появляется. А кто его создает, вирус - троян который сидит в памяти? Как его найти ? Сканер ничего не находит ни на дисках, ни в памяти.
Понимаю что вирус стартует с автораном, но у меня там около 20 модулей для программ...
А выключать каждый и ждать по полчаса обнаружится или нет вирус тоже не устраивает. Нужен другой вариант. Кто что подскажет ?
#55
Отправлено 10 Январь 2009 - 22:02
4.44?10-01-2009 15:28:31 [CL] C:\WINDOWS\System32\exgrz.o - инфицирован Win32.HLLW.Autoruner.5555
10-01-2009 15:28:38 [CL] C:\WINDOWS\System32\exgrz.o - исцелен
10-01-2009 16:11:09 [CL] C:\WINDOWS\System32\exgrz.o - инфицирован Win32.HLLW.Autoruner.5555
10-01-2009 16:11:36 [CL] C:\WINDOWS\System32\exgrz.o - исцелен
.....
10-01-2009 20:37:08 [CL] C:\WINDOWS\System32\exgrz.o - инфицирован Win32.HLLW.Autoruner.5555
10-01-2009 20:37:38 [CL] C:\WINDOWS\System32\exgrz.o - исцелен
10-01-2009 21:19:58 [CL] C:\WINDOWS\System32\exgrz.o - инфицирован Win32.HLLW.Autoruner.5555
10-01-2009 21:20:09 [CL] C:\WINDOWS\System32\exgrz.o - исцелен
Борис А. Чертенко aka Borka.
#56
Отправлено 10 Январь 2009 - 23:27
10-01-2009 15:28:31 [CL] C:\WINDOWS\System32\exgrz.o - инфицирован Win32.HLLW.Autoruner.5555
...
4.44?
Да. Версия 4.44 обновление 9.01.2009.
И еще, со временем вылетает
Generic Host Process for Win32 Services - обнаружена ошибка. Приложение будет закрыто. Приносим извинения за неудобства.
Подпись ошибки
szAppName : svchost.exe szAppVer : 5.1.2600.2180
szModName : acgenral.dll szModVer : 5.1.2600.2558 offset : 000116e2.
И интернет не пашет, хоть соединение висит. Но разорвать не получается. Приходится перезагружаться.
Позже, через Аутпост файрвол было установлено что до обнаружения вируса
10-01-2009 15:28:31 [CL] C:\WINDOWS\System32\exgrz.o - инфицирован Win32.HLLW.Autoruner.5555
на мой комп шла активная атака на мой компьютер с определенного адреса:
Приложил обширный список в раре 3 кбайта.
И еще обнаружилисть открыты какие то новые порты:
Starwindserviceae 3260 и 3261.
Щас прикрыл и поставил галку на оповещение о активности этих портов. 32 минуты прошло после перезагрузки компа , пока все тихо.
Прикрепленные файлы:
#57
Отправлено 10 Январь 2009 - 23:36
Что-то спайдер староват, как мне кажется... Тогда читайте про недокументированные фишки спайдера. Нужен ключ LogPID - тогда можно будет увидеть, кто дроппает Авторанера.Да. Версия 4.44 обновление 9.01.2009....10-01-2009 15:28:31 [CL] C:\WINDOWS\System32\exgrz.o - инфицирован Win32.HLLW.Autoruner.5555
4.44?
А это нужно ставить свежие заплатки от Мелкософта.И еще, со временем вылетает
Generic Host Process for Win32 Services - обнаружена ошибка. Приложение будет закрыто. Приносим извинения за неудобства.
Подпись ошибки
szAppName : svchost.exe szAppVer : 5.1.2600.2180
szModName : acgenral.dll szModVer : 5.1.2600.2558 offset : 000116e2.
Борис А. Чертенко aka Borka.
#58
Отправлено 10 Январь 2009 - 23:53
...Тогда читайте про недокументированные фишки спайдера. Нужен ключ LogPID - тогда можно будет увидеть, кто дроппает Авторанера.
Спасибо буду читать, а пока буду узнавать порты троянских прог. Больно много у меня пооткрывалось портов. Буквально за полдня накачал наверно троянов.
1026,1027,1111,2869,3260,3261,58347, 12032 и т д
#59
Отправлено 11 Январь 2009 - 03:36
На форуме конкурента утверждают, что Аутпост не защищает(ал) от этой атаки, получается, что это действительно так?Позже, через Аутпост файрвол было установлено что до обнаружения вируса
на мой комп шла активная атака на мой компьютер с определенного адреса:
А какой Аутпост? У них там тоже с kido война идет
#60
Отправлено 11 Январь 2009 - 10:06
На форуме конкурента утверждают, что Аутпост не защищает(ал) от этой атаки, получается, что это действительно так?Позже, через Аутпост файрвол было установлено что до обнаружения вируса
на мой комп шла активная атака на мой компьютер с определенного адреса:
А какой Аутпост? У них там тоже с kido война идет
посмотрел в настройках , а они были автоматические, это доверенная зона. Снял галку и все прекратилось.
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых