Ну здрасьте! Умеет, конечно же. Если знает - то умеет.Все, ушел проверяться кьюритом, хотя сдается мне это бесполезно, т.к. не умеет оно с файловыми потоками и вирусами в них бороться.
Теперь под видом Internet Security
#81
Отправлено 12 Январь 2010 - 01:18
Борис А. Чертенко aka Borka.
#82
Отправлено 12 Январь 2010 - 11:12
Код отправки СМС К208214300 на номер 4460.
На компе установлен DrWeb 5.0, обновления баз от 10-01-2010 18:54. Вирус прошёл мимо незамеченым (
Сейчас качаю CureIt. Попробую, что получится.
По поводу сказанного выше...
Не у всех есть под рукой ERD Commander или LiveCD своей системы. Сейчас пробую вылечить систему без них. Если получится, опишу подробно оптимальный вариант.
В темпе вирус создает файлы *.tmp, у меня это ~DF3970.tmp. Видно он же и запущен в связке с каким-либо потоком (это особенность данной разновидности вируса).
Копия вируса уже в вирлабе.
Ссылка на файл в Virus Total
Сэр Уинстон Черчилль
#83
Отправлено 12 Январь 2010 - 11:42
ERD Сommander и/или загрузочный WinLiveCD быть должен... и не только он.Только что принесли ноут
- Мы здесь все сумасшедшие. Я сумасшедший. Ты сумасшедшая.
- Откуда вы знаете, что я сумасшедшая? - спросила Алиса.
- Ты безусловно должна быть сумасшедшей, - ответил Кот, - иначе ты не попала-бы сюда.
#84
Отправлено 12 Январь 2010 - 12:09
У меня он есть, лежит под носом. Я и начинал топик этой ветки с того, что нужно загрузить ссистему с востановительного дискт или с ERD Comm. Но 90% пользователей даже и незнают что это такое, поэтому и пробую вылечить без них.ERD Сommander и/или загрузочный WinLiveCD быть должен... и не только он.
Сэр Уинстон Черчилль
#85
Отправлено 12 Январь 2010 - 12:14
Оно, конечно, должен... а кто-нибудь пробовал по телефону объяснить, как с этим коммандером обходиться? Нет, даже не блондинке, а нормальному пользователю, который все же файл программы от файла данных отличает? Нельзя мириться с тем, что вирусописатели находят путь сделать свою заразу недоступной для автоматических антивирусов. Пардон, просто наболело, как очередной налет какого-нибудь "блокера", так "покой нам только снится", просто физически и морально тяжело всем знакомым компы чистить.ERD Сommander и/или загрузочный WinLiveCD быть должен... и не только он.
#86
Отправлено 12 Январь 2010 - 12:29
Я, кстати, тоже об этом подумывал. Почему нельзя сделать в DrWeb защиту системы от несанкционированных изменений реестра. По поводу отключения диспетчера задач, о добавлении файлов в автозагрузку, блокировка политик безопасности и блокировки реестра сторонними программами.Нельзя мириться с тем, что вирусописатели находят путь сделать свою заразу недоступной для автоматических антивирусов.
А то вот этот последний вирус, как в насмешку, разрешает запуск и сканера и лечащей утилиты ДрВеба, но толку от этого нет никакого, пока вирус не будет добавлен в базу.
Сегодняшний вирус, что я отправил в вируслаб, на вирустотале только в двух вирусных базах. Если оперативно отреагируют ребята, ДрВеб будет третий, который его будет определять.
Тикет сегодняшнего вируса [drweb.com #1129566].
ЗЫ Сегодняшний Курилка (от 12-01-2010 08:54) тоже ничего не нашёл. Ни файлов, ни потоков (может их и нет?)
Сэр Уинстон Черчилль
#87
Отправлено 12 Январь 2010 - 12:36
copy-paste:Я, кстати, тоже об этом подумывал.
"Чтобы блокер установился, ему необходимо прописаться в автозапуск, установить модуль противодействия, заблокировать сис. утилиты типа Диспетчер задач, некоторым установить свой драйвер в систему и т.д.
Ограниченная учетка защищает от изменений, почти все эти пункты, остальные надо закрыть от изменений вручную. Вредонос не сможет сбросить разрешения из огр. учетки, следовательно не сможет прописаться в систему. windir заркыт от изменений, поэтому максимум что сможет сделать вредонос,- прописаться в temp?, оттуда в автозапуск, запретил изменения run пользователя, теперь блокеры не ставятся. При разрешении run блокер установился, но снялся диспетрером задач, была возможность переключения задач Alt+Tab, удалился очисткой временных файлов без проблем, другие учетки не заразились. Вывод ограниченная учетка защищает нормально, а при дополнительной настройке отлично. "
- Мы здесь все сумасшедшие. Я сумасшедший. Ты сумасшедшая.
- Откуда вы знаете, что я сумасшедшая? - спросила Алиса.
- Ты безусловно должна быть сумасшедшей, - ответил Кот, - иначе ты не попала-бы сюда.
#88
Отправлено 12 Январь 2010 - 12:40
Почему бы не исправлять запрет запуска реджедита,диспетчера и проч. под админом?Я, кстати, тоже об этом подумывал. Почему нельзя сделать в DrWeb защиту системы от несанкционированных изменений реестра. По поводу отключения диспетчера задач, о добавлении файлов в автозагрузку, блокировка политик безопасности и блокировки реестра сторонними программами.
Логически-админ ведь бы сам для себя не запретил работу с этими утилитами.
А если ограниченный пользователь(в Net можно проверить админ ты или нет...думаю и здесь то же самое)тогда следовать политике администрирования.
P.S.
подумал...наверное не получится...Разве что вносить ветки в ini как исключение и сравнивать админ ты или нет
А в исключение можно будет вносить только если ты админ и отключил самозащиту и руками правишь ini
Короче в порядке бреда
#89
Отправлено 12 Январь 2010 - 13:54
Вам надо зайти в раздел Помощь по лечению, создать новую тему с описанием проблемы и сделать требуемые логи. Как и что сделать описано в Правилах этого раздела.
#91
Отправлено 12 Январь 2010 - 15:00
свежий Cureit определил его как Trojan.Siggen.45803, однако после лечения не запускался антивирус и фаервол, ссылаясь на политику безопасности. лечил удалением политик из HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths. после перезагрузки всю заработало
#92
Отправлено 12 Январь 2010 - 17:00
Cureit за 12.01.10 ничего не нашел !
Вылечил так:
1. Скачал и обновли AVZ4 (не реклама! лишь мой способ лечения).
2. Создал учетную запись с правами администратора (если уже существует, то не нужно создавать).
3. У своей учетной записи убрал права администратора.
4. Запустил avz4 с правами администратора (ведь запись и пароль вам известны заранее) и просканировал систему.
5. Нашлось 2 потока ( что-то опасно и все в этом роде, но я рискнул), удалил их.
6. Перегрузил машину.
7. Все ок, только не запускается антивирус. Зашел на комп под учетной записью с правами администартора и поправил в реестре (regedit) запись с упоминанием моего антивируса: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths. Удалил содержимое, кроме default.
8. Вернул права админа своей учетной записи (если необходимо) и обновил базу антивируса.
9. И наверное стоит почистить C:\Documents and Settings\Имя пользователя (основная запись)\Local Settings\Temp (просто я его периодически чищу поэтому и не заострял внимание.).
Сообщение было изменено boykoc: 13 Январь 2010 - 10:32
#93
Отправлено 12 Январь 2010 - 22:43
Да, всё это понятно, но как всё это объяснить простому пользователю. А при установке каких-либо программ, начинаются вопросы - а что это и почему мой комп не даёт мне установить какую-никакую программу. Другое дело когда выскакивает предупреждение от антивируса, тчо, например, неизвестная программа бытается заблокировать работу Вашего компьютера. Вот у юзера глазёнки на лоб полезут и он, ну 99% из 100, нажмет кнопку - запретить.Ограниченная учетка защищает от изменений, почти все эти пункты, остальные надо закрыть от изменений вручную. Вредонос не сможет сбросить разрешения из огр. учетки, следовательно не сможет прописаться в систему.
По поводу винлока от Интернет секьюрити, я только появился дома, буду пробовать алгоритм boykoc из сообщения выше. Проверю - отпишусь.
Сэр Уинстон Черчилль
#94
Отправлено 13 Январь 2010 - 00:57
Тикет сегодняшнего вируса [drweb.com #1129566].
Итог разблокировки по мотивам поста http://forum.drweb.com/index.php?s=&sh...st&p=368422 от boykoc.Код отправки СМС К208214300 на номер 4460
Под рукой, или на флешке, нужно иметь Тотал Коммандер, утилиту AVZ.
1) Если у вас на компе одна учетная запись с правами администратора.
Загрузитесь в безопасном режиме. Зайдите в панель управления и откройте Учетные записи пользователей. Создайте новую запись и присвойте ей права администратора, поставьте на неё пароль (не забудьте какой ).
Зайдите в свою учетную запись, выберите пункт "Изменение типа учетной записи", отметьте значение "ограниченная учетная запись". Если она не подсвечена и нельзя изменить оставьте как есть.
Перезагрузитесь в безопасном режиме. Для входа в систему выберите учетную запись администратора, которую вы только что создали.
Запустите утилиту AVZ, зайдите в меню: Файл - Мастер поиска и устранения проблем. В окне нажмите кнопку "Пуск". После сканирования отметьте найденые значения галочкой и нажмите кнопку "Исправить отмеченные проблемы".
Запустите Тотал коммандер, включите "Показывать скрытые и системные файлы". Зайдите в папку C:\Documents and Settings\Имя пользователя (основная запись)\Local Settings\Temp, выделите все файлы в папке и нажмите УДАЛИТЬ. Тоже самое сделайте в папке Temporary Internet Files и в папках вновь созданной учетной записи.
Запуск ADSSpy ничего не дал, как и запуск AVZ. Скрытых потоков у данной модификации вируса не обнаружено.
Перезагрузитесь обычным способом, но зайдите под учетной записью Администратора.
Зайдите в ветку реестра, что указал boykoc HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths. Удалите содержимое. У меня тоже был заблокирован ДрВеб.
Всё должно заработать.
Усчетные записи можете вернуть, а можете оставить.
Сэр Уинстон Черчилль
#95
Отправлено 13 Январь 2010 - 16:42
В защищенной от сбоев режиме под учетной записью нового сисадмина AVZ не запускается - уже при наведении курсора на файл система самопроизвольно перегружается. После переименования (согласно вышеприведеным рекомендациям) исполняемого файла в rundll32.exe переименованный AVZ отрабатывает секунд 5 , а потом снова перезагрузка. Правда за эти 5 секунд он успел заблокировать
u.bat, находившийся в C:\Documents and Settings\Имя пользователя (основная запись)\Local Settings\Temp.
#96
Отправлено 13 Январь 2010 - 16:47
http://news.drweb.com/show/?i=304&c=9&p=0У меня просит послать смс k20411400 на 4460. Причем не сразу после включения компьютера, после попытки запуска какой-нибудь программы и "обнаружения вирусов после сканирования". Cвежескаченный Cureit ничего не видит, подключение зараженного винта к компу с drweb Еterprise Suite и сканирование ничего не дает. При этом msconfig запускается, regedit и диспетчер задач - нет.
В защищенной от сбоев режиме под учетной записью нового сисадмина AVZ не запускается - уже при наведении курсора на файл система самопроизвольно перегружается. После переименования (согласно вышеприведеным рекомендациям) исполняемого файла в rundll32.exe переименованный AVZ отрабатывает секунд 5 , а потом снова перезагрузка. Правда за эти 5 секунд он успел заблокировать
u.bat, находившийся в C:\Documents and Settings\Имя пользователя (основная запись)\Local Settings\Temp.
http://forum.drweb.com/index.php?showtopic=287441
http://forum.drweb.com/index.php?showtopic=287460
Попытайтесь разблокировать, а затем делайте логи по правилам.
Борис А. Чертенко aka Borka.
#97
Отправлено 13 Январь 2010 - 18:45
то есть cureit работает. где лог?Cвежескаченный Cureit ничего не видит
убить всё в C:\Documents and Settings\Имя пользователя (основная запись)\Local Settings\Tempподключение зараженного винта к компу...
#98
Отправлено 13 Январь 2010 - 20:00
Чего делать то?
Да, забыл сказать, просит на номер 4460 отправить К204814300 и ни один код из темы выше не подходит.
#99
Отправлено 13 Январь 2010 - 20:31
лог проверки "c:\Documents and Settings" ; c:\WINDOWS давайтеЛайф нифига не находит.
#100
Отправлено 13 Январь 2010 - 20:53
Читают тему: 1
0 пользователей, 1 гостей, 0 скрытых