Перейти к содержимому


Фото
- - - - -

Неизвестный Вирус


  • Закрыто Тема закрыта
172 ответов в этой теме

#21 Rock_Master

Rock_Master

    Newbie

  • Posters
  • 7 Сообщений:

Отправлено 09 Январь 2009 - 16:11

Вылечил я эту дрянь...

вобщем какое то чудо под названием Net-Worm.Win32.Kido.da

#22 Алексс

Алексс

    Member

  • Posters
  • 356 Сообщений:

Отправлено 09 Январь 2009 - 16:18

Слегка разочарован в этом програмном продукте.

Не боись я за вчера сегодня несколько продуктов уже испробовал, результат нулевой. Прямо невидимка какая-то.

#23 Алексс

Алексс

    Member

  • Posters
  • 356 Сообщений:

Отправлено 09 Январь 2009 - 16:19

Вылечил я эту дрянь...

вобщем какое то чудо под названием Net-Worm.Win32.Kido.da

Это я у себя уже находил, правда пояски понадобились с бубном не малые, на остальных машинах если и есть эта зараза, то неждетектируемая даже с лайв сд :rolleyes:

#24 Алексс

Алексс

    Member

  • Posters
  • 356 Сообщений:

Отправлено 09 Январь 2009 - 16:26

Слейте переносную версию каспера (avp tool) и лечите компы, потом заразу которую найдет каспер залейте вирлабу веба.

Это уже проходили, за сегодня уже несколько раз обновлял.
проверил только что убил аторан на флешке, вставил назад, атворан появился. т.е. приблуда с чудным именем только "спутник" основного виря.
Могу добавить ещё что при запуске компьютера появляется в логе запись типа C:\WINDOWS\system32\01.tmp - инфицирован Win32.HLLW.Autoruner.5555
т.е. копать нужно к прародителю этого виря. 5-я версия детектит это только на эвристике, 4-я по базам похоже ловит.

Вот этот авторан http://www.virustotal.com/ru/analisis/fa96...af1a1e3c0f2795c присылать в веб если нужно пошщлю, но посленее сообщение заглохло необработанным, есть ли смысл слать.

#25 Rock_Master

Rock_Master

    Newbie

  • Posters
  • 7 Сообщений:

Отправлено 09 Январь 2009 - 16:27

хм, да все завелось вроде бы...
все днс запросы сразу стали работать как надо, вебер апдейтится и все остальное ок...

#26 FireFly

FireFly

    Newbie

  • Posters
  • 8 Сообщений:

Отправлено 09 Январь 2009 - 18:01

хм, да все завелось вроде бы...
все днс запросы сразу стали работать как надо, вебер апдейтится и все остальное ок...

А что ты делал? Я сканил каспером, нашёл тоже такой вирь "Net-Worm.Win32.Kido.da" удалил, а толку нет ,все равно не обновляется!

#27 Rock_Master

Rock_Master

    Newbie

  • Posters
  • 7 Сообщений:

Отправлено 09 Январь 2009 - 18:52

Хм, последнего каспера запустил из под второго маздая... нашел этот файлик и насильно удалил.

Если не помогло, в папке с вебером есть файлик update.drl, попробуй вместо урл адресов забить туда айпишники, те что я рекомендовал в host прописывать.
Впрочем и в хост пропиши тоже, у меня апдейтился вебер даже с вирусом, хотя толку от этого было мало.

#28 Valery Ledovskoy

Valery Ledovskoy

    Poster

  • Posters
  • 1 367 Сообщений:

Отправлено 09 Январь 2009 - 19:15

Если не помогло, в папке с вебером есть файлик update.drl, попробуй вместо урл адресов забить туда айпишники


И он перестанет работать. В drl так просто сервера обновлений не поменять...
http://ledovskoy.com - Приятно познакомиться (с) :)

#29 Rock_Master

Rock_Master

    Newbie

  • Posters
  • 7 Сообщений:

Отправлено 09 Январь 2009 - 19:36

И он перестанет работать. В drl так просто сервера обновлений не поменять...


Я думаю проблему насильственной замены файла можно решить, если он не дает это сделать стандартными методами
Впрочем мне хватило только изменения файла hosts...

#30 Borka

Borka

    Забанен за флуд

  • Moderators
  • 19 512 Сообщений:

Отправлено 09 Январь 2009 - 19:42

И он перестанет работать. В drl так просто сервера обновлений не поменять...

Я думаю проблему насильственной замены файла можно решить, если он не дает это сделать стандартными методами

Нет, нельзя. Файл update.drl подписан - любое изменение делает его невалидным.
С уважением,
Борис А. Чертенко aka Borka.

#31 FireFly

FireFly

    Newbie

  • Posters
  • 8 Сообщений:

Отправлено 09 Январь 2009 - 19:44

Жду и надеюсь как кучерявая блондинка :rolleyes: , лекарства от этой эпидемии.

#32 Borka

Borka

    Забанен за флуд

  • Moderators
  • 19 512 Сообщений:

Отправлено 09 Январь 2009 - 19:48

Жду и надеюсь как кучерявая блондинка :rolleyes: , лекарства от этой эпидемии.

Попробуйте ИЭ переставить - очень много хвостов от него болтается.
С уважением,
Борис А. Чертенко aka Borka.

#33 Rock_Master

Rock_Master

    Newbie

  • Posters
  • 7 Сообщений:

Отправлено 09 Январь 2009 - 19:53

И он перестанет работать. В drl так просто сервера обновлений не поменять...

Я думаю проблему насильственной замены файла можно решить, если он не дает это сделать стандартными методами

Нет, нельзя. Файл update.drl подписан - любое изменение делает его невалидным.



Понятно...

Ну в таком случае доктору нечего противопоставить вирусу...

#34 FireFly

FireFly

    Newbie

  • Posters
  • 8 Сообщений:

Отправлено 09 Январь 2009 - 20:30

Разработчикам....

Прикрепленный файл  12.JPG   62,94К   467 Скачано раз

вот .dll --типа вирус :rolleyes:

Сообщение было изменено Eugeny Gladkih: 09 Январь 2009 - 20:40
нарушение правил. ссылка прислать вирус вверху страницы.


#35 Artym

Artym

    Newbie

  • Posters
  • 21 Сообщений:

Отправлено 09 Январь 2009 - 21:04

Всем страждущим избавиться от того вируса Докладую!
Образец мною был обнаружен во вторник 6 января утром, в сети машины вели себя странно, то вылетали с ошибкой svchost.exe, то не печатали по сети.
При установки флешки на ней появлялась директория RECYCLER с файлом jwgkvsq.vmx и естественно autorun.inf.
Вот тут-то и начинается самое интересное, я пакую этого паразита и отправляю по следующим адресам: [ RIP ].
Включая и DrWеb
На 12:00, 6 января на вирустотале http://www.virustotal.com/ru/ из 38 антивирусов этого червя определяло 7 антивирусов.
На сегодня, 9 января, из 38 антивирусов его определяет уже 25 антивирусов.
Уже в 23:00, 6 января его начал определять Касперыч, но его бесплатная утилита этого червя нормально не лечит.

Ну а DrWeb-у я образец отправлял 4(четыре раза). А воз и ныне там.

Теперь как от него избавиться. Активный файл вируса живет в C:\WINDOWS\system32\
Посмотреть на него можно в Far-e, заходим в эту папку и ищем dll с hidden атрибутами, он обычно там один такой (его размер от 169кб до 171кб), файл с безобразным названием. Из под Explorer-a вы его не увидите и не удалите.

Как избавиться от червя без помощи антивирусов:
Грузимся ERD-commander-om заходим C:\WINDOWS\system32\ и удаляем. Все!!!
Компьютер выключаем и идем так по все сети. Пока последний компьютер не будет вылечен не включать вылеченные компьютеры или по крайней мере отключить их от сети.
Сегодня таким способом вылечил 10 машин в двух разных сетях.
Скажу, одна сеть большая вторая маленькая, этим червем не заразились только машины с последними обновлениями Windows или на которых стоял ДРУГОЙ антивирус, какой не скажу, дабы не рекламировать.

Почитать про брата близнеца этого червя можно здесь:
http://av-school.ru/news/a-186.html
Это его предыдущая модификация, как я понимаю, и решение немного другое.
Выводы делайте сами.
Немного сумбурно, спешу, звЫняйтЭ.
Спасибо, что дочитали до конца.

#36 Rock_Master

Rock_Master

    Newbie

  • Posters
  • 7 Сообщений:

Отправлено 09 Январь 2009 - 23:56

Можно и так конечно, просто неохота лишние телодвижения делать, отвык чтоли, понадеялся на дрвеб...
Просто и без этого проблем бывает хватает, а тут еще и эта фигня...

Ладно вобщем правильно, расслабляться нельзя )

#37 FireFly

FireFly

    Newbie

  • Posters
  • 8 Сообщений:

Отправлено 10 Январь 2009 - 01:01

Вот ещё один такой собрат)) Net-Worm.Win32.Kido.fw
Всё также заражает .dll в system32, и клонируется себя по сети.
В Net-Worm.Win32.Kido.da порт размножения через 8884
Отправил на анализ, ждем полноценно лекарства от Паучка

#38 Алексс

Алексс

    Member

  • Posters
  • 356 Сообщений:

Отправлено 10 Январь 2009 - 09:16

Я вчера уже нашёл этот файлик. Он при работе скрыт достаточно хорошо, его не берёт даже прямой доступ, по крайней мере найти утилиту которая могла бы его скопировать не получилось т.е. с зараженной винды лечить и искать аирус бесполезно. Единственный вариант, это когда антивирус найдёт нужный процесс (скрытый в нужном процессе) и удалит заразу из памяти.
Могу добавить что размножается вирь странно, он не идёт на все машины к которым есть доступ, предпочитает сидеть только на некоторых. Предполагаю что процесс зараждения идёт через знакомую вебу сигнатуру и соответсвенно блокируется на ранней стадии (заражены машины только с устаревшими базами в районе 20 дней на 8-е число), но там где базы устарели, т.е. нет ещё нужной сигнатуры заражение происходит и тогда большоя проблема при лечении. Непонятно чего так долго возятся с добавлением в баз.

Из интересного нахождение какого-то Net-Worm.Win32.Kido.fw и его лечение вчера не вылечило машину. Минут через 15 буду вытирать файик руками.

#39 FireFly

FireFly

    Newbie

  • Posters
  • 8 Сообщений:

Отправлено 10 Январь 2009 - 09:57

Я вчера уже нашёл этот файлик. Он при работе скрыт достаточно хорошо, его не берёт даже прямой доступ, по крайней мере найти утилиту которая могла бы его скопировать не получилось т.е. с зараженной винды лечить и искать аирус бесполезно. Единственный вариант, это когда антивирус найдёт нужный процесс (скрытый в нужном процессе) и удалит заразу из памяти.
Могу добавить что размножается вирь странно, он не идёт на все машины к которым есть доступ, предпочитает сидеть только на некоторых. Предполагаю что процесс зараждения идёт через знакомую вебу сигнатуру и соответсвенно блокируется на ранней стадии (заражены машины только с устаревшими базами в районе 20 дней на 8-е число), но там где базы устарели, т.е. нет ещё нужной сигнатуры заражение происходит и тогда большоя проблема при лечении. Непонятно чего так долго возятся с добавлением в баз.

Из интересного нахождение какого-то Net-Worm.Win32.Kido.fw и его лечение вчера не вылечило машину. Минут через 15 буду вытирать файик руками.


поробуй программу "Unlocker" снимает любой процесс. Я пока что вылечил на одном компьютере.

#40 Artym

Artym

    Newbie

  • Posters
  • 21 Сообщений:

Отправлено 10 Январь 2009 - 10:35

Для всех страждущих, у кого есть сети на обслуживании(или домашних пользователей) и нет домена, чтобы процессом запуска autoruna поуправлять, вот хорошая темка:
http://forum.ixbt.com/topic.cgi?id=22:71030
- на будущее.
Предлагаются ДВА рещения:
1.при помощи программы. http://www.davisr.com/downloads/InstallFlashGuard1.0.zip
2. и ключа реестра.

REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

Причем, ключ классный, так как функция autorun перестает работать как КЛАСС! Т.е. даже если есть файл autorun.inf windows перестает его выполнять (не путать с автоматическим запуском).
Так как эта последняя зараза расползается двумя путями - через авторан и через дЫрку в винде. Не надеясь на антивирус можно проапдейдить windows и использовать два верхних решения и хоть как-то облегчить себе жизнь, но предварительно нужно, естественно, вылечить систему.


Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых