28 ответов в этой теме

[Guest346]

Тикет [drweb.com #5574187]

 

https://www.virustotal.com/ru/file/0cef8c199c3a3d5d813c7d9424a527919de914571c0913b382742a4cd5a498d1/analysis/1429794364/

 

Файл появляется при открытии чертежа, а сам файл чертёжа вроде бы как исчезает, при открытии имеет такой вид:

http://s020.radikal.ru/i713/1504/34/f32a740b9f35.png

 

Он уже акад заразил я так понимаю?

[Dr.Robot]

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web подробнее.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig


Для этого проделайте следующее:

• Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
• В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
• Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
• Приложите этот файл к своему сообщению на форуме.

Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.

[RomaNNN]

Что-то очень редкое...

[Guest346]

Можно как нибудь ускорить диагностику и очистку файлов от этой заразы? Она расползается очень и очень быстро. Может ключ регистрации нужно куда приложить или создать с ним дополнительный тикет?

[Kirv]

Про червя - https://www.f-secure.com/v-descs/worm_acad_kenilfe_a.shtml. Заражает через внешние накопители. сделайте логи, и вам помогут.

[VVS]

Можно как нибудь ускорить диагностику и очистку файлов от этой заразы? Она расползается очень и очень быстро. Может ключ регистрации нужно куда приложить или создать с ним дополнительный тикет?

http://forum.drweb.com/index.php?showforum=49

[Guest346]

Про червя - https://www.f-secure.com/v-descs/worm_acad_kenilfe_a.shtml. Заражает через внешние накопители. сделайте логи, и вам помогут.

Смысл делать логи если есть тело? Сейчас он уже внутри и десяток машин заражены, эпидемия нарастает.

[Igor Zdobnov]

Добавил в базу.

[brisyo]

Что-то очень редкое...

Вообще-то нет) Видел такое сплошь и рядом. Спасает только бэкап, ибо даже запуск автокада с параметром "acadlspasdoc=0" не спасает...

 

 

Добавил в базу.

Спасибо

[Guest346]

Добавил в базу.

Cпасибо, определяет. Но маленькая проблема: зараженный файл при активном и обновленном антивирусе можно открыть и на редактирование и на просмотр - и при этом никакой реакции на файл нет, реагирует при создании нового тела.

Наверное это связано с тем что не под все действия и не под все типы файлов идёт проверка на открытие и редактирование?

А этот файл квазиисполняемый,  он загружается вместе с чертежом при старте любого чертежа из текущей директории...

Как утверждает уважаемый brisyo не спасает и отключение автозагрузки...

Вобщем, при настройках по умолчанию имеющиеся тела не обнаруживает, что ведёт к неизлечению машины, а садится он много куда... Можно конечно провести полную проверку, но уж очень большие трудозатраты и времени тоже немало...

Можно ли внести в базу исполняемых файлов у антивируса следующие самозагружающиеся расширения, чтобы их и при открытие на чтение проверяло?

 

*.VLX
*.FAS
*.LSP

[brisyo]

 

Добавил в базу.

Cпасибо, определяет. Но маленькая проблема: зараженный файл при активном и обновленном антивирусе можно открыть и на редактирование и на просмотр - и при этом никакой реакции на файл нет, реагирует при создании нового тела.

Наверное это связано с тем что не под все действия и не под все типы файлов идёт проверка на открытие и редактирование?

А этот файл квазиисполняемый,  он загружается вместе с чертежом при старте любого чертежа из текущей директории...

Как утверждает уважаемый brisyo не спасает и отключение автозагрузки...

Вобщем, при настройках по умолчанию имеющиеся тела не обнаруживает, что ведёт к неизлечению машины, а садится он много куда... Можно конечно провести полную проверку, но уж очень большие трудозатраты и времени тоже немало...

Можно ли внести в базу исполняемых файлов у антивируса следующие самозагружающиеся расширения, чтобы их и при открытие на чтение проверяло?

 

*.VLX
*.FAS
*.LSP

 

Я думаю, тут это не поможет. Мы поступаем следующим образом:

даем доступ только на чтение этим файлам автокада (acadlsp, acaddoc, acad2013...), в самом автокаде прописываем (в модулях) единственный путь к этим файлам (потому что по умолчанию автокад смотрит кучу папок с данным параметром). Другими словами, он не будет "дергать" левые кадовские "лиспы" (lsp).

 

А еще просите пользователей сначала открывать автокад, а потом уже конечный файл.

Сообщение было изменено brisyo: 27 Апрель 2015 - 20:12

[Guest346]

Я думаю, тут это не поможет. Мы поступаем следующим образом:

 

даем доступ только на чтение этим файлам автокада (acadlsp, acaddoc, acad2013...), в самом автокаде прописываем (в модулях) единственный путь к этим файлам (потому что по умолчанию автокад смотрит кучу папок с данным параметром). Другими словами, он не будет "дергать" левые кадовские "лиспы" (lsp).

 

А еще просите пользователей сначала открывать автокад, а потом уже конечный файл.

 

Непонятно, как это "доступ только на чтение"? Какими средствами? Для каких файлов? У них имена постоянно меняются, единое только расширение.

Потом, как прописывать единственный путь?

Вот этот, который я поймал, суёт свои копии везде, в програмфайлы, в каталоги пользователей, рабочие каталоги профилей - до 5 мест, проверяется доктором это всё очень долго, там проверяемых +50тыщ файлов, потому что он каждую хтмл "помощи" разбирает на запчасти и проверяет и указывает как отдельный файл...

Сегодня оказалось что заразились практически все без исключения, работать без постоянной заразы почти невозможно, активные лиспы в каталогах куда установлен акад не удаляются... Да, она уже не распространяется, на флешки, по сети, но открываешь чертёж - и "15 тел обнаружено"...

[mrbelyash]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]

[Guest346]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]

 

[brisyo]

 

Я думаю, тут это не поможет. Мы поступаем следующим образом:

 

даем доступ только на чтение этим файлам автокада (acadlsp, acaddoc, acad2013...), в самом автокаде прописываем (в модулях) единственный путь к этим файлам (потому что по умолчанию автокад смотрит кучу папок с данным параметром). Другими словами, он не будет "дергать" левые кадовские "лиспы" (lsp).

 

А еще просите пользователей сначала открывать автокад, а потом уже конечный файл.

 

Непонятно, как это "доступ только на чтение"? Какими средствами? Для каких файлов? У них имена постоянно меняются, единое только расширение.

Потом, как прописывать единственный путь?

Вот этот, который я поймал, суёт свои копии везде, в програмфайлы, в каталоги пользователей, рабочие каталоги профилей - до 5 мест, проверяется доктором это всё очень долго, там проверяемых +50тыщ файлов, потому что он каждую хтмл "помощи" разбирает на запчасти и проверяет и указывает как отдельный файл...

Сегодня оказалось что заразились практически все без исключения, работать без постоянной заразы почти невозможно, активные лиспы в каталогах куда установлен акад не удаляются... Да, она уже не распространяется, на флешки, по сети, но открываешь чертёж - и "15 тел обнаружено"...

 

Не, имеется в виду оставить путь в автокаде для оригинальных файлов.

Момент, найду.....а то все на работе осталось) 

[mrbelyash]

на wiki есть,что и как

[brisyo]

В общем, 

http://adn-cis.org/posledovatelnost-zagruzki-prilozhenij-v-autocad.html

http://autolisp.ru/2015/02/26/clear-lisp-virus/

 

Только не советую на последнем ресурсе применять чистилку...

 

Насчет где прописывать единственный путь в автокаде на исполняемые файлы спрошу завтра у нашего отдела САПР.

[mrbelyash]

САПР компас,бикад,автокад,плораб/плобан?

 

--

ага автокад..

а номер версии подскажите

Сообщение было изменено mrbelyash: 27 Апрель 2015 - 20:42

[VVS]

Вот этот, который я поймал, суёт свои копии везде, в програмфайлы, в каталоги пользователей, рабочие каталоги профилей - до 5 мест, проверяется доктором это всё очень долго, там проверяемых +50тыщ файлов, потому что он каждую хтмл "помощи" разбирает на запчасти и проверяет и указывает как отдельный файл...

Посмотрите в сторону ключей командной строки для сканера.

[Guest346]

 

Вот этот, который я поймал, суёт свои копии везде, в програмфайлы, в каталоги пользователей, рабочие каталоги профилей - до 5 мест, проверяется доктором это всё очень долго, там проверяемых +50тыщ файлов, потому что он каждую хтмл "помощи" разбирает на запчасти и проверяет и указывает как отдельный файл...

Посмотрите в сторону ключей командной строки для сканера.

 

Проблема глобальнее: каждый неизвестный вирус будет сначала распространяться, а потом его придётся "ключами командной строки". Хотелось бы "у целом", чтобы когда его считывает кад - смывало сразу....

ps

А распространяются они со скоростью ветра, гораздо быстрее чем обычные вирусы: текущие чертежи в работе у нескольких человек, а у каждого из них - свой список чертежей, которыми пользуются другие - получается плотная сеть.

Сообщение было изменено Guest346: 27 Апрель 2015 - 21:02