174 ответов в этой теме

[Borka]

Подскажите пожалуйста - Как решили проблему? Прочитал весь топик и не понял какие именно действия нужно сделать, что бы удалить этот вирус с компьютера. Я создал утром аналогичную тему, с логами и пока никто ничего не подсказал . Посему пишу здесь - прошу объясните пожалуйста конкретный ход последовательных действий для устранения вируса с компьютера

в тех. поддержке помогут обязательно

http://forum.drweb.com/index.php?showtopic...st&p=529803

Подскажите пожалуйста - Как решили проблему? Прочитал весь топик и не понял какие именно действия нужно сделать, что бы удалить этот вирус с компьютера. Я создал утром аналогичную тему, с логами и пока никто ничего не подсказал . Посему пишу здесь - прошу объясните пожалуйста конкретный ход последовательных действий для устранения вируса с компьютера

в тех. поддержке помогут обязательно

Прямо тайны мадридского двора

А то!

[Konstantin Yudin]

Подскажите пожалуйста - Как решили проблему? Прочитал весь топик и не понял какие именно действия нужно сделать, что бы удалить этот вирус с компьютера. Я создал утром аналогичную тему, с логами и пока никто ничего не подсказал . Посему пишу здесь - прошу объясните пожалуйста конкретный ход последовательных действий для устранения вируса с компьютера

в тех. поддержке помогут обязательно

Прямо тайны мадридского двора

да ну. какие тайны. дадут новый сканер и вылечат.

[Vindows]

Подскажите пожалуйста - Как решили проблему? Прочитал весь топик и не понял какие именно действия нужно сделать, что бы удалить этот вирус с компьютера. Я создал утром аналогичную тему, с логами и пока никто ничего не подсказал . Посему пишу здесь - прошу объясните пожалуйста конкретный ход последовательных действий для устранения вируса с компьютера

в тех. поддержке помогут обязательно

Прямо тайны мадридского двора

да ну. какие тайны. дадут новый сканер и вылечат.

Ёщё какая тайна. А это точно rootkit ?

[sda]

Как выяснилось ключевое значение имеет именно дроппер, ибо там нестандартная функция заражения бут-сектора, вернее VBR.

А на Windoes 7 x64 он инфицирует boot sector и в браузерах работает ?

на Windows 7 x64 нужно серфить на IE x64 и не "париться" Мультиплатформенных вредоносного программного обеспечения с "гулькин ...нос" и этот скорее всего к ним не относится.

это не панацея. прошли времена безопасности 64 битных процессов. вся безопасность была основана на слабом уровне писателей вирусов, а теперь поддержка 64 бита обязательный атрибут для новых угроз.

И много их кроме TDL 4? «Защита от патчей» работает прекрасно или к примеру, атакам типа SSDT-Hooks http://b23.ru/n20s x64 не подвержен. Могу напомнить что все 64-битные процессы в обязательном порядке поддерживают DEP и не имеют возможности для маневра и много чего еще
Как вы правильно отметили панацеи нет, но 64- х битность, как один из барьеров защиты себя вполне оправдывает и миллионов вирусов как под 32-х битный вариант на х64 нет.

[Konstantin Yudin]

Как выяснилось ключевое значение имеет именно дроппер, ибо там нестандартная функция заражения бут-сектора, вернее VBR.

А на Windoes 7 x64 он инфицирует boot sector и в браузерах работает ?

на Windows 7 x64 нужно серфить на IE x64 и не "париться" Мультиплатформенных вредоносного программного обеспечения с "гулькин ...нос" и этот скорее всего к ним не относится.

это не панацея. прошли времена безопасности 64 битных процессов. вся безопасность была основана на слабом уровне писателей вирусов, а теперь поддержка 64 бита обязательный атрибут для новых угроз.

И много их кроме TDL 4? «Защита от патчей» работает прекрасно или к примеру, атакам типа SSDT-Hooks http://b23.ru/n20s x64 не подвержен. Могу напомнить что все 64-битные процессы в обязательном порядке поддерживают DEP и не имеют возможности для маневра и много чего еще
Как вы правильно отметили панацеи нет, но 64- х битность, как один из барьеров защиты себя вполне оправдывает и миллионов вирусов как под 32-х битный вариант на х64 нет.

когда тебе из драйвера вставляют код. ни какие DEP и ASLR не помогут, ибо они от другого. будут, не сомневайтесь. сложности только с файловыми инфекторами драйверов, т.к. там подпись и все такое. любой винлок после минимальной допилки, прекрасно будет работать на 64 бита, а этого уже достаточно дл я головняка.

[sda]

Как выяснилось ключевое значение имеет именно дроппер, ибо там нестандартная функция заражения бут-сектора, вернее VBR.

А на Windoes 7 x64 он инфицирует boot sector и в браузерах работает ?

на Windows 7 x64 нужно серфить на IE x64 и не "париться" Мультиплатформенных вредоносного программного обеспечения с "гулькин ...нос" и этот скорее всего к ним не относится.

это не панацея. прошли времена безопасности 64 битных процессов. вся безопасность была основана на слабом уровне писателей вирусов, а теперь поддержка 64 бита обязательный атрибут для новых угроз.

И много их кроме TDL 4? «Защита от патчей» работает прекрасно или к примеру, атакам типа SSDT-Hooks http://b23.ru/n20s x64 не подвержен. Могу напомнить что все 64-битные процессы в обязательном порядке поддерживают DEP и не имеют возможности для маневра и много чего еще
Как вы правильно отметили панацеи нет, но 64- х битность, как один из барьеров защиты себя вполне оправдывает и миллионов вирусов как под 32-х битный вариант на х64 нет.

когда тебе из драйвера вставляют код. ни какие DEP и ASLR не помогут, ибо они от другого. будут, не сомневайтесь. сложности только с файловыми инфекторами драйверов, т.к. там подпись и все такое. любой винлок после минимальной допилки, прекрасно будет работать на 64 бита, а этого уже достаточно дл я головняка.

Пока с безопасностью 64-разрядные версии Windows 7и Windows Vista все нормально Отчет Microsoft показывает, что 64-разрядные версии Windows 7 и Windows Vista менее подвержены заражениям, чем их 32-битные собратья http://download.microsoft.com/download/6/0...010_English.pdf

Сообщение было изменено sda: 30 Июнь 2011 - 11:28

[Vindows]

И много их кроме TDL 4? «Защита от патчей» работает прекрасно или к примеру, атакам типа SSDT-Hooks http://b23.ru/n20s x64 не подвержен. Могу напомнить что все 64-битные процессы в обязательном порядке поддерживают DEP и не имеют возможности для маневра и много чего еще
Как вы правильно отметили панацеи нет, но 64- х битность, как один из барьеров защиты себя вполне оправдывает и миллионов вирусов как под 32-х битный вариант на х64 нет.

Там ещё в оперативную памать все грузится с разбросом в 256, эксплойты и хакеры - пока в нокауте.
Trojan.win32.ddox.ci тоже использует какой-то эксплойт и наобновлённой OC, даже UAC его обломает.

[Vindows]

Интересно, а защищает опция "Block applications from writing to disk using low-levels functions" от записи в VBR?

да

Даже если это опция включина, вредоносный процесс в теории может висеть в памяти и ждать когда эту функцию отключат или переустановят Dr.Web, и уже в этот момент инфицировать VBR. Так?
Так как нет HIPS, и понятных логов HIPS, а также прграммы анализа системы.

Сообщение было изменено Vindows: 30 Июнь 2011 - 16:47

[Konstantin Yudin]

Там ещё в оперативную памать все грузится с разбросом в 256, эксплойты и хакеры - пока в нокауте.

это ASLR. уже сломали. пока редко но возможно.

Даже если это опция включина, вредоносный процесс в теории может висеть в памяти и ждать когда эту функцию отключат или переустановят Dr.Web, и уже в этот момент инфицировать VBR. Так?

ну, можно много чего напридумывать при желании

[Aleksandra]

Microsoft
PWS:Win32/Sinowal.gen!Y
http://www.virustotal.com/file-scan/report...6b83-1309249407

Вот наверно такая виря:
http://www.threatexpert.com/report.aspx?md...d8027b75b2c9250
Незнаю та это виря или нет, но похожа!!!

Нет, это не то. Сами дропперы даже на VT не засвечены.

[Aleksandra]

Как выяснилось ключевое значение имеет именно дроппер, ибо там нестандартная функция заражения бут-сектора, вернее VBR.

Как правило, он всегда имеет ключевое значение. Можете дать прямую ссылку на закачку новой версии Вашего сканера?

[NastyaA]

Всем привет!
В-общем, сегодня я тоже "попала"!!!
Сначала меня "выбросило" со всех сайтов и ОС самопроизвольно перезагрузилась... Конечно, я заподозрила неладное, но тем не менее когда на сайте "В Контакте" меня попросили ввести номер телефона, я, сама не понимая, почему это послушно сделала. Пришло СМС с номера 5581 с просьбой отправить ответ с текстом 7830. И Я ЭТО СДЕЛАЛА!!! С меня списали 400 рублей... В ответ пришло еще одно смс: "Для завершения активации отправьте текст 2261 на номер 8353 или 3121. Служба поддержки 8-800-100-7337". А самое ужасное, что теперь при попытке зайти в интернет через IE появлется окно (прикрепила). Почитала - нала про него в интернете. Но что делать не знаю. Потому что:
1) утилита DrWeb CUREIT у меня не запускается: ошибка пишет, что "не является приложением WIN32"
2) hosts, как вы их называете вроде читсые. Или может быть я неправильно смотрю???
3) мой антивирусник Microsoft ничего не нашел.

Что мне сделать????

Прошу вашей ПОМОЩИ!

Прикрепленные файлы:

•  __________6.JPG   69,4К   25 Скачано раз

[mrbelyash]

Всем привет!
В-общем, сегодня я тоже "попала"!!!
Сначала меня "выбросило" со всех сайтов и ОС самопроизвольно перезагрузилась... Конечно, я заподозрила неладное, но тем не менее когда на сайте "В Контакте" меня попросили ввести номер телефона, я, сама не понимая, почему это послушно сделала. Пришло СМС с номера 5581 с просьбой отправить ответ с текстом 7830. И Я ЭТО СДЕЛАЛА!!! С меня списали 400 рублей... В ответ пришло еще одно смс: "Для завершения активации отправьте текст 2261 на номер 8353 или 3121. Служба поддержки 8-800-100-7337". А самое ужасное, что теперь при попытке зайти в интернет через IE появлется окно (прикрепила). Почитала - нала про него в интернете. Но что делать не знаю. Потому что:
1) утилита DrWeb CUREIT у меня не запускается: ошибка пишет, что "не является приложением WIN32"
2) hosts, как вы их называете вроде читсые. Или может быть я неправильно смотрю???
3) мой антивирусник Microsoft ничего не нашел.

Что мне сделать????

Прошу вашей ПОМОЩИ!

Действия пользователя
-Скачать TeamViewer http://www.teamviewer.com/download/TeamViewerQS_ru.exe
-Запустить(и ни в коем случае программу не закрывать...Она должна быть все это время запущена и работать. Единственное что можно сделать-это свернуть ее).
-Указать хелперам ID и пароль(они будут написаны в окошке этой программы)

[NastyaA]

Всем привет!
В-общем, сегодня я тоже "попала"!!!
Сначала меня "выбросило" со всех сайтов и ОС самопроизвольно перезагрузилась... Конечно, я заподозрила неладное, но тем не менее когда на сайте "В Контакте" меня попросили ввести номер телефона, я, сама не понимая, почему это послушно сделала. Пришло СМС с номера 5581 с просьбой отправить ответ с текстом 7830. И Я ЭТО СДЕЛАЛА!!! С меня списали 400 рублей... В ответ пришло еще одно смс: "Для завершения активации отправьте текст 2261 на номер 8353 или 3121. Служба поддержки 8-800-100-7337". А самое ужасное, что теперь при попытке зайти в интернет через IE появлется окно (прикрепила). Почитала - нала про него в интернете. Но что делать не знаю. Потому что:
1) утилита DrWeb CUREIT у меня не запускается: ошибка пишет, что "не является приложением WIN32"
2) hosts, как вы их называете вроде читсые. Или может быть я неправильно смотрю???
3) мой антивирусник Microsoft ничего не нашел.

Что мне сделать????

Прошу вашей ПОМОЩИ!

Действия пользователя
-Скачать TeamViewer http://www.teamviewer.com/download/TeamViewerQS_ru.exe
-Запустить(и ни в коем случае программу не закрывать...Она должна быть все это время запущена и работать. Единственное что можно сделать-это свернуть ее).
-Указать хелперам ID и пароль(они будут написаны в окошке этой программы)

Скачала, запустила, ID и пароль узнала. Кому их указывать? И не опасно ли это?.......

[mrbelyash]

[pig]

NastyaA, Ещё одно сообщение сюда напишите, чтобы личка у вас заработала.

Сообщение было изменено pig: 10 Июль 2011 - 21:45

[NastyaA]

Тестовое сообщение.
Этого достаточно, чтобы заработала "личка"?

[mrbelyash]

Тестовое сообщение.
Этого достаточно, чтобы заработала "личка"?

да

[Kit-kot]

Здравствуйте.
Перечитал все страницы , понял что сам точно не разберусь, как избавиться от этого вируса.
Скажите, есть ли уже какое-то решение или нужно так же как и NastyaA давать доступ к своему компу и ждать помощи?

[Ko6Ra]

Пролечите систему свежим CureIt.
Далее, если не поможет, в отдельную тему и логи по правилам.