126 ответов в этой теме

[Borka]

Все, ушел проверяться кьюритом, хотя сдается мне это бесполезно, т.к. не умеет оно с файловыми потоками и вирусами в них бороться.

Ну здрасьте! Умеет, конечно же. Если знает - то умеет.

[Dartline]

Только что принесли ноут с видоизмененной заразой. Установлен Win XP.
Код отправки СМС К208214300 на номер 4460.
На компе установлен DrWeb 5.0, обновления баз от 10-01-2010 18:54. Вирус прошёл мимо незамеченым (
Сейчас качаю CureIt. Попробую, что получится.
По поводу сказанного выше...
Не у всех есть под рукой ERD Commander или LiveCD своей системы. Сейчас пробую вылечить систему без них. Если получится, опишу подробно оптимальный вариант.
В темпе вирус создает файлы *.tmp, у меня это ~DF3970.tmp. Видно он же и запущен в связке с каким-либо потоком (это особенность данной разновидности вируса).

Копия вируса уже в вирлабе.
Ссылка на файл в Virus Total

[PAUK]

У тех, кому

Только что принесли ноут

ERD Сommander и/или загрузочный WinLiveCD быть должен... и не только он.

[Dartline]

ERD Сommander и/или загрузочный WinLiveCD быть должен... и не только он.

У меня он есть, лежит под носом. Я и начинал топик этой ветки с того, что нужно загрузить ссистему с востановительного дискт или с ERD Comm. Но 90% пользователей даже и незнают что это такое, поэтому и пробую вылечить без них.

[Spamkerdyk]

ERD Сommander и/или загрузочный WinLiveCD быть должен... и не только он.

Оно, конечно, должен... а кто-нибудь пробовал по телефону объяснить, как с этим коммандером обходиться? Нет, даже не блондинке, а нормальному пользователю, который все же файл программы от файла данных отличает? Нельзя мириться с тем, что вирусописатели находят путь сделать свою заразу недоступной для автоматических антивирусов. Пардон, просто наболело, как очередной налет какого-нибудь "блокера", так "покой нам только снится", просто физически и морально тяжело всем знакомым компы чистить.

[Dartline]

Нельзя мириться с тем, что вирусописатели находят путь сделать свою заразу недоступной для автоматических антивирусов.

Я, кстати, тоже об этом подумывал. Почему нельзя сделать в DrWeb защиту системы от несанкционированных изменений реестра. По поводу отключения диспетчера задач, о добавлении файлов в автозагрузку, блокировка политик безопасности и блокировки реестра сторонними программами.
А то вот этот последний вирус, как в насмешку, разрешает запуск и сканера и лечащей утилиты ДрВеба, но толку от этого нет никакого, пока вирус не будет добавлен в базу.
Сегодняшний вирус, что я отправил в вируслаб, на вирустотале только в двух вирусных базах. Если оперативно отреагируют ребята, ДрВеб будет третий, который его будет определять.

Тикет сегодняшнего вируса [drweb.com #1129566].

ЗЫ Сегодняшний Курилка (от 12-01-2010 08:54) тоже ничего не нашёл. Ни файлов, ни потоков (может их и нет?)

[PAUK]

Я, кстати, тоже об этом подумывал.

copy-paste:
"Чтобы блокер установился, ему необходимо прописаться в автозапуск, установить модуль противодействия, заблокировать сис. утилиты типа Диспетчер задач, некоторым установить свой драйвер в систему и т.д.
Ограниченная учетка защищает от изменений, почти все эти пункты, остальные надо закрыть от изменений вручную. Вредонос не сможет сбросить разрешения из огр. учетки, следовательно не сможет прописаться в систему. windir заркыт от изменений, поэтому максимум что сможет сделать вредонос,- прописаться в temp?, оттуда в автозапуск, запретил изменения run пользователя, теперь блокеры не ставятся. При разрешении run блокер установился, но снялся диспетрером задач, была возможность переключения задач Alt+Tab, удалился очисткой временных файлов без проблем, другие учетки не заразились. Вывод ограниченная учетка защищает нормально, а при дополнительной настройке отлично. "

[mrbelyash]

Я, кстати, тоже об этом подумывал. Почему нельзя сделать в DrWeb защиту системы от несанкционированных изменений реестра. По поводу отключения диспетчера задач, о добавлении файлов в автозагрузку, блокировка политик безопасности и блокировки реестра сторонними программами.

Почему бы не исправлять запрет запуска реджедита,диспетчера и проч. под админом?

Логически-админ ведь бы сам для себя не запретил работу с этими утилитами.


А если ограниченный пользователь(в Net можно проверить админ ты или нет...думаю и здесь то же самое)тогда следовать политике администрирования.






P.S.


подумал...наверное не получится...Разве что вносить ветки в ini как исключение и сравнивать админ ты или нет

А в исключение можно будет вносить только если ты админ и отключил самозащиту и руками правишь ini 

Короче в порядке бреда

[SergM]

AYK
Вам надо зайти в раздел Помощь по лечению, создать новую тему с описанием проблемы и сделать требуемые логи. Как и что сделать описано в Правилах этого раздела.

[userr]

AYK
http://forum.drweb.com/index.php?showtopic=287509

[шуша]

вот еще одна зараза из этой же серии: СМС с Кодом К204714700 на номер 4460, вчерашняя версия Cureit его не обнаружила, вручную нашел файлик и отправил на virustotal вот результат http://www.virustotal.com/ru/analisis/cc94...2ff7-1263278307
свежий Cureit определил его как Trojan.Siggen.45803, однако после лечения не запускался антивирус и фаервол, ссылаясь на политику безопасности. лечил удалением политик из HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths. после перезагрузки всю заработало

[boykoc]

Текст K206814200.

Cureit за 12.01.10 ничего не нашел !

Вылечил так:
1. Скачал и обновли AVZ4 (не реклама! лишь мой способ лечения).
2. Создал учетную запись с правами администратора (если уже существует, то не нужно создавать).
3. У своей учетной записи убрал права администратора.
4. Запустил avz4 с правами администратора (ведь запись и пароль вам известны заранее) и просканировал систему.
5. Нашлось 2 потока ( что-то опасно и все в этом роде, но я рискнул), удалил их.
6. Перегрузил машину.
7. Все ок, только не запускается антивирус. Зашел на комп под учетной записью с правами администартора и поправил в реестре (regedit) запись с упоминанием моего антивируса: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths. Удалил содержимое, кроме default.
8. Вернул права админа своей учетной записи (если необходимо) и обновил базу антивируса.
9. И наверное стоит почистить C:\Documents and Settings\Имя пользователя (основная запись)\Local Settings\Temp (просто я его периодически чищу поэтому и не заострял внимание.).

Сообщение было изменено boykoc: 13 Январь 2010 - 10:32

[Dartline]

Ограниченная учетка защищает от изменений, почти все эти пункты, остальные надо закрыть от изменений вручную. Вредонос не сможет сбросить разрешения из огр. учетки, следовательно не сможет прописаться в систему.

Да, всё это понятно, но как всё это объяснить простому пользователю. А при установке каких-либо программ, начинаются вопросы - а что это и почему мой комп не даёт мне установить какую-никакую программу. Другое дело когда выскакивает предупреждение от антивируса, тчо, например, неизвестная программа бытается заблокировать работу Вашего компьютера. Вот у юзера глазёнки на лоб полезут и он, ну 99% из 100, нажмет кнопку - запретить.

По поводу винлока от Интернет секьюрити, я только появился дома, буду пробовать алгоритм boykoc из сообщения выше. Проверю - отпишусь.

[Dartline]

Тикет сегодняшнего вируса [drweb.com #1129566].

Код отправки СМС К208214300 на номер 4460

Итог разблокировки по мотивам поста http://forum.drweb.com/index.php?s=&sh...st&p=368422 от boykoc.
Под рукой, или на флешке, нужно иметь Тотал Коммандер, утилиту AVZ.
1) Если у вас на компе одна учетная запись с правами администратора.
Загрузитесь в безопасном режиме. Зайдите в панель управления и откройте Учетные записи пользователей. Создайте новую запись и присвойте ей права администратора, поставьте на неё пароль (не забудьте какой ).
Зайдите в свою учетную запись, выберите пункт "Изменение типа учетной записи", отметьте значение "ограниченная учетная запись". Если она не подсвечена и нельзя изменить оставьте как есть.
Перезагрузитесь в безопасном режиме. Для входа в систему выберите учетную запись администратора, которую вы только что создали.
Запустите утилиту AVZ, зайдите в меню: Файл - Мастер поиска и устранения проблем. В окне нажмите кнопку "Пуск". После сканирования отметьте найденые значения галочкой и нажмите кнопку "Исправить отмеченные проблемы".
Запустите Тотал коммандер, включите "Показывать скрытые и системные файлы". Зайдите в папку C:\Documents and Settings\Имя пользователя (основная запись)\Local Settings\Temp, выделите все файлы в папке и нажмите УДАЛИТЬ. Тоже самое сделайте в папке Temporary Internet Files и в папках вновь созданной учетной записи.
Запуск ADSSpy ничего не дал, как и запуск AVZ. Скрытых потоков у данной модификации вируса не обнаружено.
Перезагрузитесь обычным способом, но зайдите под учетной записью Администратора.
Зайдите в ветку реестра, что указал boykoc HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths. Удалите содержимое. У меня тоже был заблокирован ДрВеб.
Всё должно заработать.
Усчетные записи можете вернуть, а можете оставить.

[exhub]

У меня просит послать смс k20411400 на 4460. Причем не сразу после включения компьютера, после попытки запуска какой-нибудь программы и "обнаружения вирусов после сканирования". Cвежескаченный Cureit ничего не видит, подключение зараженного винта к компу с drweb Еterprise Suite и сканирование ничего не дает. При этом msconfig запускается, regedit и диспетчер задач - нет.
В защищенной от сбоев режиме под учетной записью нового сисадмина AVZ не запускается - уже при наведении курсора на файл система самопроизвольно перегружается. После переименования (согласно вышеприведеным рекомендациям) исполняемого файла в rundll32.exe переименованный AVZ отрабатывает секунд 5 , а потом снова перезагрузка. Правда за эти 5 секунд он успел заблокировать
u.bat, находившийся в C:\Documents and Settings\Имя пользователя (основная запись)\Local Settings\Temp.

[Borka]

У меня просит послать смс k20411400 на 4460. Причем не сразу после включения компьютера, после попытки запуска какой-нибудь программы и "обнаружения вирусов после сканирования". Cвежескаченный Cureit ничего не видит, подключение зараженного винта к компу с drweb Еterprise Suite и сканирование ничего не дает. При этом msconfig запускается, regedit и диспетчер задач - нет.
В защищенной от сбоев режиме под учетной записью нового сисадмина AVZ не запускается - уже при наведении курсора на файл система самопроизвольно перегружается. После переименования (согласно вышеприведеным рекомендациям) исполняемого файла в rundll32.exe переименованный AVZ отрабатывает секунд 5 , а потом снова перезагрузка. Правда за эти 5 секунд он успел заблокировать
u.bat, находившийся в C:\Documents and Settings\Имя пользователя (основная запись)\Local Settings\Temp.

http://news.drweb.com/show/?i=304&c=9&p=0
http://forum.drweb.com/index.php?showtopic=287441
http://forum.drweb.com/index.php?showtopic=287460
Попытайтесь разблокировать, а затем делайте логи по правилам.

[userr]

exhub

Cвежескаченный Cureit ничего не видит

то есть cureit работает. где лог?

подключение зараженного винта к компу...

убить всё в C:\Documents and Settings\Имя пользователя (основная запись)\Local Settings\Temp

[Никола]

Блин. Ничего не успеваю сделать. Не помогает создание новой учетки с админом, не помогает защищенный режим. Или тупо не запускается ни курилка, ни AVZ, либо моментально перезагружается комп. Лайф нифига не находит. Но на флешке организуется файл в корзине, распознаваемый доктором на другом компе как F:\RECYCLER\ypjg.dll инфицирован Trojan.DownLoad1.26948 или F:\srcimt.exe инфицирован Win32.HLLW.Autohit.11377
Чего делать то?

Да, забыл сказать, просит на номер 4460 отправить К204814300 и ни один код из темы выше не подходит.

[userr]

Никола

Лайф нифига не находит.

лог проверки "c:\Documents and Settings" ; c:\WINDOWS давайте

[Никола]

Удалось подобрать код 9972682177 с http://mips.narod.ru/sms.html (не ради рекламы) по реальнойй дате.