172 ответов в этой теме

[Алексс]

Форум что-то тормозит.
Краткий отчёт. Удаление в ручную ч лайв сд никчему не привёло.Файл по прежнему сидит в тойже папке, востановлен с тем же именем и размером. Для нового харажения былобы характерно изменение имени и размера.
в реетре данный файл не прописан. т.е. это не основноетело вируса, сам вирус сидит ещё где-то. Интеренсо что местами модификации есть не только с размером и временем создания, но и модификации с атрибутами, таким образом вообще местами его так и не вычислили. Или как вариант копия в system32 и не создавалась. есть ещё идеи по отлову вирей? Машины в домене, общие доступы и принтера делают малоприятной работу в сети с этим вирусом.


Новости ещё появились. Вирус себя может по разному вести. к примеру не работает аська, но не создаётся авторан на флешках и сеть не отваливается. Есть варианты когда сеть отваливается, но авторан не пишется. т.е. поведение несколько меняется и после заражения по видимому вирус ведет себя какое-то время на машине тихо

[Borka]

Я вчера уже нашёл этот файлик. Он при работе скрыт достаточно хорошо, его не берёт даже прямой доступ, по крайней мере найти утилиту которая могла бы его скопировать не получилось т.е. с зараженной винды лечить и искать аирус бесполезно. Единственный вариант, это когда антивирус найдёт нужный процесс (скрытый в нужном процессе) и удалит заразу из памяти.

Вообще говоря, сканер Доктора - прекрасный инструмент для копирования скрытых файлов. Если Шилд видит файл - его можно скопировать.
Для этого нужно прочитать документацию про ключ сканера /@ и по аналогии с ним воспользоваться недокументированным ключом /copy.

[Алексс]

Для этого нужно прочитать документацию про ключ сканера /@ и по аналогии с ним воспользоваться недокументированным ключом /copy.

ключ недокументирован этим отношение разработчиков показывает, что они не считают данную возможность нужной (скопировать можно и с лайв сд, но проблема в том что нужно найти всё что нужно для удаления). Пока борьсь анлокером и авп туллс, последняя на большинсве заражённых машин тупо вылетает после установки и не запускается уже
Очень "хотелось бы услышать начальника транспортного отдела" когда будут базы веба видеть и лечить эту заразу? Путём пары утилит выяснил что еть ещё вири которые не видит веб. Возможно один маскирует другие. Запускается вирь через WINDOWS\system32\svchost.exe. подробней не копал.
Открылись новые таланты виря -блокирование работы компьютера, диспечера устройсв, explorer.exe. после перезагрузки с кнопки даёт какое-то время поработать. К сожалению пока избавиться от виря не получается, эта зараза востанавливается откуда-то и после утилиты каспера и после ручной чистки, копаю дальше, но надёюсь что вебовцы сделают это быстрее и облегчат труд.

[Borka]

Открылись новые таланты виря -блокирование работы компьютера, диспечера устройсв, explorer.exe. после перезагрузки с кнопки даёт какое-то время поработать. К сожалению пока избавиться от виря не получается, эта зараза востанавливается откуда-то и после утилиты каспера и после ручной чистки, копаю дальше, но надёюсь что вебовцы сделают это быстрее и облегчат труд.

Ну так лог спайдера в помощь - определить PID процесса, который дроппает трояна. Если Доктор не видит дроппаемое, то уж дроппера он точно не видит. А вот дроппер интереснее будет. Но если не отключаться от сети, то искать можно бесконечно...

[Алексс]

Ну так лог спайдера в помощь - определить PID процесса, который дроппает трояна. Если Доктор не видит дроппаемое, то уж дроппера он точно не видит. А вот дроппер интереснее будет. Но если не отключаться от сети, то искать можно бесконечно...

Отключать надолго нельзя от сети. К машине подключены и другие пользователи идёт обмен информацией и в этих условиях нужно уничтожить заразу. т.е. нужны решения от антивирусной компании. каспера не предлагать он от этой заразы валится т.е. запустить его не получится. может есть подобные курету утилиты от других производителей антивирусов?

[v.martyanov]

Ну так лог спайдера в помощь - определить PID процесса, который дроппает трояна. Если Доктор не видит дроппаемое, то уж дроппера он точно не видит. А вот дроппер интереснее будет. Но если не отключаться от сети, то искать можно бесконечно...

Отключать надолго нельзя от сети. К машине подключены и другие пользователи идёт обмен информацией и в этих условиях нужно уничтожить заразу. т.е. нужны решения от антивирусной компании. каспера не предлагать он от этой заразы валится т.е. запустить его не получится. может есть подобные курету утилиты от других производителей антивирусов?

Думается мне, что это свежий червяк :-) А исправлять дыры в ОС - не задача антивирусных компаний...

[mrbelyash]

Ну так лог спайдера в помощь - определить PID процесса, который дроппает трояна. Если Доктор не видит дроппаемое, то уж дроппера он точно не видит. А вот дроппер интереснее будет. Но если не отключаться от сети, то искать можно бесконечно...

Отключать надолго нельзя от сети. К машине подключены и другие пользователи идёт обмен информацией и в этих условиях нужно уничтожить заразу. т.е. нужны решения от антивирусной компании. каспера не предлагать он от этой заразы валится т.е. запустить его не получится. может есть подобные курету утилиты от других производителей антивирусов?

Поставьте файрвол, может хоть что -нибудь возможно будет определить

[Borka]

Ну так лог спайдера в помощь - определить PID процесса, который дроппает трояна. Если Доктор не видит дроппаемое, то уж дроппера он точно не видит. А вот дроппер интереснее будет. Но если не отключаться от сети, то искать можно бесконечно...

Отключать надолго нельзя от сети. К машине подключены и другие пользователи идёт обмен информацией и в этих условиях нужно уничтожить заразу. т.е. нужны решения от антивирусной компании.

Если это сетевой червяк, то НЕ отключаться от сети нельзя. Если нужно уничтожить заразу, то как минимум нужно знать ее. То есть кто ее садит на машину, как ее садит и что можно этому противопоставить. А не имея на руках никакой информации можно долго махать шашками...

[Алексс]

Думается мне, что это свежий червяк :-) А исправлять дыры в ОС - не задача антивирусных компаний...

Апрочем как иной раз думается и обновлять базы тоже не ихняя работа. Была бы возможность вручную добавить файлы не мучился бы сейчас, а так с так с такой оперативностью веселой начало нового года
Обходные пути кажется найдёны и от вирей получится избавиться, сеть при этом отключтаь нельзя. только вот вопрос один, а зачем мне антивирь в сети если неработает достаточно оперативно? Первые вири были ещё до нового года судя по инету, прислали и аналитика веба вирь на закуску, но результат http://www.virustotal.com/ru/analisis/111d...9ee5d50880bbba7 весьма плачевный, что можно бесплатному ваерволу, то нельзя платной специализированной программе.
к сожалению встроенный фаервол в 5-й версии отсутсвует в любом виде.

[Black Angel]

Алексс
Пропуски бывают у всех.

[_Sandra_]

Алексс
Пропуски бывают у всех.

Дело ведь не в пропуске как таковом...

Вот, например, теме http://forum.drweb.com/index.php?showtopic=276829 казалось бы просто вопрос. Как распространяется вирус. Если верить PR статьям про компанию ДрВеб, каждый попавший к ним образец досконально анализируется и добавляется в базу. Тот вирус, о котором вопрос, в базе есть. Но на официальном форуме компании ДрВеб, в профильной ветке, народ уже 2-е сутки пытается догадатся, как же всетаки работает этот вирус. А почему молчат специалисты с ДрВеб? Они этого не знают, но не признаются в открытую, чтобы не портить репутацию? Или это "секрет фирмы"? Но тогда бы дали конкретные рекомендации, что сделать, какую заплатку поставть. Или по мнению специалистов пользовотель должен получать кайф от того что каждый 15-30 минут появляется сообщение от Спайдера, что прибит очередной семпл, как-то прорвавшийся на комп (и типа антивирус молодец, а заплатки это не наша забота)?

ТОже непонятная ситуация с вирусом, обсуждаемым в этой теме. Файл вируса вирлаб получил уже больше суток тому и до сих пор никакой реакции... Может он сложный и сильно запутанный, никто не требует "в базы за пол-часа". Но если дело идет, успокойте народ (опять таки было бы неплохо если бы это сделал специалист ДрВеба), что дело идет, конец виден и т.д. Не плохо бы дать какие-нибудь рекомендации, как защитить ОС от проникновения этого вируса и т.д. Но этого ничего нету!!!

[Pavel Plotnikov]

Может он сложный и сильно запутанный, никто не требует "в базы за пол-часа". Но если дело идет, успокойте народ (опять таки было бы неплохо если бы это сделал специалист ДрВеба), что дело идет, конец виден и т.д. Не плохо бы дать какие-нибудь рекомендации, как защитить ОС от проникновения этого вируса и т.д. Но этого ничего нету!!!

Обратитесь в службу поддержки пользователей.

[Leshiu]

Файл вируса вирлаб получил уже больше суток тому и до сих пор никакой реакции...

Для меня например это главная проблема компании... Ну не возможно же так работать...

[Диман_Д]

Алексс
Пропуски бывают у всех.

Дело ведь не в пропуске как таковом...

...каждый 15-30 минут появляется сообщение от Спайдера, что прибит очередной семпл...

Здравствуйте, у меня такая же проблема, каждые 42-43 минуты после удаления вируса снова появляется сообщение об обнаружении того же вируса:

10-01-2009 15:28:31 [CL] C:\WINDOWS\System32\exgrz.o - инфицирован Win32.HLLW.Autoruner.5555
10-01-2009 15:28:38 [CL] C:\WINDOWS\System32\exgrz.o - исцелен
10-01-2009 16:11:09 [CL] C:\WINDOWS\System32\exgrz.o - инфицирован Win32.HLLW.Autoruner.5555
10-01-2009 16:11:36 [CL] C:\WINDOWS\System32\exgrz.o - исцелен
.....


10-01-2009 20:37:08 [CL] C:\WINDOWS\System32\exgrz.o - инфицирован Win32.HLLW.Autoruner.5555
10-01-2009 20:37:38 [CL] C:\WINDOWS\System32\exgrz.o - исцелен
10-01-2009 21:19:58 [CL] C:\WINDOWS\System32\exgrz.o - инфицирован Win32.HLLW.Autoruner.5555
10-01-2009 21:20:09 [CL] C:\WINDOWS\System32\exgrz.o - исцелен



Пробовал и удалять и исцелять, все одно и тоже - файл удаляется. А потом в определенный момент снова появляется. А кто его создает, вирус - троян который сидит в памяти? Как его найти ? Сканер ничего не находит ни на дисках, ни в памяти.

Понимаю что вирус стартует с автораном, но у меня там около 20 модулей для программ...

А выключать каждый и ждать по полчаса обнаружится или нет вирус тоже не устраивает. Нужен другой вариант. Кто что подскажет ?

[Borka]

10-01-2009 15:28:31 [CL] C:\WINDOWS\System32\exgrz.o - инфицирован Win32.HLLW.Autoruner.5555
10-01-2009 15:28:38 [CL] C:\WINDOWS\System32\exgrz.o - исцелен
10-01-2009 16:11:09 [CL] C:\WINDOWS\System32\exgrz.o - инфицирован Win32.HLLW.Autoruner.5555
10-01-2009 16:11:36 [CL] C:\WINDOWS\System32\exgrz.o - исцелен
.....
10-01-2009 20:37:08 [CL] C:\WINDOWS\System32\exgrz.o - инфицирован Win32.HLLW.Autoruner.5555
10-01-2009 20:37:38 [CL] C:\WINDOWS\System32\exgrz.o - исцелен
10-01-2009 21:19:58 [CL] C:\WINDOWS\System32\exgrz.o - инфицирован Win32.HLLW.Autoruner.5555
10-01-2009 21:20:09 [CL] C:\WINDOWS\System32\exgrz.o - исцелен

4.44?

[Диман_Д]

10-01-2009 15:28:31 [CL] C:\WINDOWS\System32\exgrz.o - инфицирован Win32.HLLW.Autoruner.5555

...
4.44?

Да. Версия 4.44 обновление 9.01.2009.


И еще, со временем вылетает 

Generic Host Process for Win32 Services - обнаружена ошибка. Приложение будет закрыто. Приносим извинения за неудобства.

Подпись ошибки
szAppName : svchost.exe szAppVer : 5.1.2600.2180  
szModName : acgenral.dll szModVer : 5.1.2600.2558 offset : 000116e2.

И интернет не пашет, хоть соединение висит. Но разорвать не получается. Приходится перезагружаться.

Позже, через Аутпост файрвол было установлено что до обнаружения вируса

10-01-2009 15:28:31 [CL] C:\WINDOWS\System32\exgrz.o - инфицирован Win32.HLLW.Autoruner.5555

на мой комп шла активная атака на мой компьютер с определенного адреса:

Приложил обширный список в раре 3 кбайта.

И еще обнаружилисть открыты какие то новые порты:

Starwindserviceae 3260 и 3261.

Щас прикрыл и поставил галку на оповещение о активности этих портов. 32 минуты прошло после перезагрузки компа , пока все тихо.

Прикрепленные файлы:

•  ______________________.rar   3,26К   127 Скачано раз

[Borka]

10-01-2009 15:28:31 [CL] C:\WINDOWS\System32\exgrz.o - инфицирован Win32.HLLW.Autoruner.5555

...
4.44?

Да. Версия 4.44 обновление 9.01.2009.

Что-то спайдер староват, как мне кажется... Тогда читайте про недокументированные фишки спайдера. Нужен ключ LogPID - тогда можно будет увидеть, кто дроппает Авторанера.

И еще, со временем вылетает 
Generic Host Process for Win32 Services - обнаружена ошибка. Приложение будет закрыто. Приносим извинения за неудобства.
Подпись ошибки
szAppName : svchost.exe szAppVer : 5.1.2600.2180  
szModName : acgenral.dll szModVer : 5.1.2600.2558 offset : 000116e2.

А это нужно ставить свежие заплатки от Мелкософта.

[Диман_Д]

...Тогда читайте про недокументированные фишки спайдера. Нужен ключ LogPID - тогда можно будет увидеть, кто дроппает Авторанера.

Спасибо буду читать, а пока буду узнавать порты троянских прог. Больно много у меня пооткрывалось портов. Буквально за полдня накачал наверно троянов. 


1026,1027,1111,2869,3260,3261,58347, 12032 и т д

[slr]

Позже, через Аутпост файрвол было установлено что до обнаружения вируса
на мой комп шла активная атака на мой компьютер с определенного адреса:

На форуме конкурента утверждают, что Аутпост не защищает(ал) от этой атаки, получается, что это действительно так?
А какой Аутпост? У них там тоже с kido война идет

[Диман_Д]

Позже, через Аутпост файрвол было установлено что до обнаружения вируса
на мой комп шла активная атака на мой компьютер с определенного адреса:

На форуме конкурента утверждают, что Аутпост не защищает(ал) от этой атаки, получается, что это действительно так?
А какой Аутпост? У них там тоже с kido война идет

посмотрел в настройках , а они были автоматические, это доверенная зона. Снял галку и все прекратилось.