Боремся с вирусами (autorun'ом, и пр. гадостью)

Обсуждение проблем, связанных с ПО для компьютеров

Модераторы: Al_lexx, Sharp, ionika, Happy_MAN, 0xFF, Atom, Serega S.U.

Аватара пользователя
Vose
Сообщения: 4346
Зарегистрирован: 12 июн 2006, 14:22
Откуда: Свердл. обл.

Сообщение Vose » 26 июн 2009, 20:17

KyJIy писал(а):нашел авастом в SVI/_restore в виде екзешников. ранее находил нодом, но он их оттуда не удалял.
Отключить нафиг восстановление системы, отключить простой общий доступ к файлам, дать себе права на папку с точками восстановления и удалить всю папку SVI нафиг ручками, если сопротивлятся будет ещё - заюзать unlocker!
KyJIy писал(а):проблема в том что процессы "csrss.exe" "smss.exe" висят, в безопасном режиме тоже, но сами файлы, лежащие в C:\WINDOWS\system32\ не удаляются никак и не выгружаются. Диспетчер задач говорит что файлы критические и отключить он их не может, а Starter при нажатии Завершить процесс перезагружает комп как по нажатию ресета.
если антивирь говорить, что они заражены, то загрузиться с Live-CD и заменить их на оригинальные или с AVZ попробуйте их полечить, или SFC /scannow (диск с оригинальной виндой попросит и надо будет дожидаться конца процесса, или накатить винду поверх в режиме восстановления.
KyJIy писал(а):как вычистить? прочитал что троян лезет в svchost и скачивает файлы, те, что в процессах потом висят. svchost чинить? если да, то как.
AVZ, Cure-It
KyJIy писал(а):у меня 6 svchost.exe в процессах.. ето нормально?
Нормально
Глупый пингвин робко прячет, умный - смело достаёт...

Аватара пользователя
fant
Сообщения: 3799
Зарегистрирован: 24 фев 2007, 00:30
Откуда: Дубна.МО
Контактная информация:

Сообщение fant » 19 июл 2009, 23:31

Все , надеюсь, слышали про вирус " Отправь СМС бла-бла-бла...". Оказывается вышла новая версия.. Вэбовской приблудой не лечится... Лайв СД от того же ВЭБа ничего не нашёл. Нет нашёл, но в теле самого антивируса )). Человеку ( знакомый) комп был очень нужен, не стал он ждать 2 часа, послал СМС..Авторы сняли со счёта на мобильном 160р, выслали ключ и ссылку , по которой можно более подробно ознакомиться с данной проблемой ))) Какие у нас честные вирусописатели...
"Ask not what your country can do for you, ask what you can do for your country." JFK

Аватара пользователя
Abdulla
Сообщения: 649
Зарегистрирован: 10 июн 2008, 18:52
Откуда: Роддом №1

Сообщение Abdulla » 29 июл 2009, 22:05

Сёдня свояк принёс на флэхе своему отцу (моему тестю) "подарочек" - авторанового зверька весом аж 970 кБ!!! Причём зверёк свеженький, от 27 июля. Естественно, Каспер его по сигнатурам не вычислил, а вот после запуска (он, сука, таки автозапустился :x ) началось шоу: при проверке каспер эвристикой нашёл dll-ку в профиле All Users\Application Data, типа троян, предложил стандартное - удалить, карцер и пох. Ну мы, конечно, дружно орём "удаляй!", он пытается удалить, тут начинают сыпаться системные ошибки "Файл Windows\System32\***.dll не является библиотекой Windows NT" или что-то в этом роде, к сожалению, не запомнил (эт похоже зверь переписывает системные файлы), потом каспер просит ребут, жмём ОК, перезагрузка,... и после запуска каспера всё по новой точно так же. :( Раза 3 повторилось, потом решили зверя в карцер - каспер туда его засунул, но заражённые файлы оставил на местах. К сожалению (а скорее к счастью) комп к интернету не подключен. У меня была загрузочная флэха с собой, но с неё не удалось грузнуться - х.з. почему, до этого всегда всё грузилось - а вот зверёк заскочил. В безопасном режиме винда ваще не грузится - доходит до загрузки системных файлов и снова в ребут.
Запаковал WinRAR'ом самого зерька, а вот autorun.inf не удалось - "Файл занят, отвали!". Дома уже отключил ЖД (аппаратно, выдернув провода), загрузился с LiveCD Ubuntu, запаковал авторан как .tar.gz, удалил нах с флэхи зверька, оставил только в rar-архиве (он же оттуда не запустится, а, ребят? :? ), потом загрузил винду и отправил архивы в ЛК - пусть копают... Правда копать 970 кБ кода... это примерно 50-60 страниц текста...
Вечером звонит свояк: "У меня комп раком встал! Запущенные приложеня вылетают, постоянно выскакивает ошибка explorer.exe, ужос!" :shock: Я грю, жди...

Так, дождались:
Здравствуйте,


aUtoRuN.iNF

Вредоносный код в файле не обнаружен.

nvemisc.exe - Backdoor.Win32.Agent.ajmf

Детектирование файла будет добавлено в следующее обновление.
Я не знаю, за что мне платят деньги. Но я удивляюсь, почему так мало?..

Аватара пользователя
kit
Сообщения: 1141
Зарегистрирован: 18 июн 2006, 13:20
Откуда: Москва
Контактная информация:

Сообщение kit » 29 июл 2009, 22:49

Я теперь на всех компьютерах стал полностью отключать автозапуск. Хотя бы от части вирусни помогает.

а на флэшке попробовал создать пустой autorun.inf с атрибутами "arhs", да бестолку: вирь все равно перезаписывает его.

iop
Сообщения: 72
Зарегистрирован: 07 апр 2007, 09:38

Сообщение iop » 07 авг 2009, 22:48

подскажите пожлста вот по такому вопросу.начальник на дом компе через ие поймал порнушный вирус.я ему кинул на флешку cure it.он полечил-говорит все норм окна с порнухой больше не открываются но нет не работает.приехал поковырялся-нет работает поставил антивирус,базы обновляются.но при открытии ие пишет доступ ограничен введите пароль.с собой была только опера портейбл.скинул на комп работает.что был за вирус уже не выяснить.

Аватара пользователя
fant
Сообщения: 3799
Зарегистрирован: 24 фев 2007, 00:30
Откуда: Дубна.МО
Контактная информация:

Сообщение fant » 07 авг 2009, 23:07

kit Попробуйте прогу USB Tool, а Panda USB Vaccine ещё интереснее.. При подключении нового внешнего накопителя автоматом прописывает на него защиту..
"Ask not what your country can do for you, ask what you can do for your country." JFK

TillLinderman
Сообщения: 919
Зарегистрирован: 08 июн 2006, 20:11

Вирусы маскируются под файлы восстановления Windows

Сообщение TillLinderman » 31 авг 2009, 13:01

Здравствуйте!
Предыстория: (извините несколько длинная но иначе непонятно будет)
Проходили у меня проверку на вирусы и тестирование несколько компьютеров. Во всех случаях система не грузилась (или грузилась и перезагружалась). Оказалось на одной из них около сотни вирусов на другой около двухсот, была машина у которой на системном диске было более шестисот вирусов и так далее. Проверка осуществлялась посредством Avast Bart CD 2009. Это загрузочный диск с несколькими утилитами для чистки реестра проверки диска и естественно с вышеуказанным антивирусом. Плюс я подпихивал ему последние свежие базы при проверке. Очень много вирусов конечно попадало в системные папки.
В том числе в папки вида:
C:\System Volume Information\_restore{xxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}\xxxxx\xxxxxxxx.exe (цитата из отчета аваста x-это разные номера ключей).
И таких файлов очень много. Причем при манипуляциях с ними иногда аваст пишет что:
DELETE File is not packed. (То есть удалять то он их удаляет но при этом напротив очень многих файлов в данной папке подписывает что они вроде как не запакованы).

Вопрос:
В связи с такой тенденцией можно ли ограничить доступ к папке _restore настолько чтобы туда имела право записи и изменения только учетная запись "system" (Сама ОС как я понимаю). То есть даже администратору и всем пользователям с "расширенными" правами было бы запрещено что либо менять в данной папке. А иначе даже находясь под обычным пользователем я спокойно в безопасном режиме зашел и просмотрел все что меня в этой папке интересовало. Если я правильно понимаю в случае подобных ограничений система по прежнему сможет создавать точки восстановления при установке какого либо софта, а пользователи и администраторы не смогут.
Или это бессмысленная операция? И от имени учетки System вирусы тоже смогут "работать" внутри системы?

Сталкивался ли кто с бесплатной и наиболее адекватной программой для решения подобных проблем? (Отслеживание активности с других портов, выявление процессов маскирующихся под системные и т.д.). Не считайте за ленивого. В интернете пишут много а толку никакого пока. Пробовал Аутпост на своей домашней машине так он наглухо закрыл мне доступ в локальную сеть и никак не хотел меня туда пускать. При этом никаких специальных запрещений при первой настройке я не обнаружил. Здесь же в этой ветке много читал про Комодо. Можно ли его полноценно использовать для таких задач?
Пробовал антихакер. Все просто понятно. Ловил нормально но он далеко не бесплатный.
Аваст неплохо все отлавливает. Но он же не всесильный.

Может есть какой то недорогой (чтобы официально купить) комплекс? И то и другое и антивирус и фаерволл? Что бы вы могли порекомендовать?
Страдания каждый выбирает для себя сам

Аватара пользователя
Vose
Сообщения: 4346
Зарегистрирован: 12 июн 2006, 14:22
Откуда: Свердл. обл.

Re: Боремся с вирусами (autorun'ом, и пр. гадостью)

Сообщение Vose » 31 авг 2009, 17:30

TillLinderman писал(а):В том числе в папки вида:C:\System Volume Information\
Перед началом антивирусной проверки, чтобы облегчить лечение, надо отключать Восстановление системы (а иногда это и просто необходимое условие излечения) - содержимое папок System Volume Information убъётся само (ну или сильно сократиться, как минимум, а остатки можно и ручками прибить).
TillLinderman писал(а):можно ли ограничить доступ к папке _restore настолько чтобы туда имела право записи и изменения только учетная запись "system"
По-умолчанию именно так и есть.
TillLinderman писал(а):под обычным пользователем я спокойно в безопасном режиме зашел и просмотрел все что меня в этой папке интересовало
Это уже вирь дал права
Защищать какую-то отдельно взятую папку :shock: - глупость конечно несусветная :D Защищать надо комп целиком! причём защита должна быть комплексной, а не только антивирь+фаерволл.
TillLinderman писал(а):При этом никаких специальных запрещений при первой настройке я не обнаружил.
Надо было провести "вторую" настройку :wink:
TillLinderman писал(а):Здесь же в этой ветке много читал про Комодо. Можно ли его полноценно использовать для таких задач?
Ну если остальные используют, то почему нельзя вам?! :D Из бесплатных - один из лучших продуктов, имхо.
TillLinderman писал(а):Может есть какой то недорогой (чтобы официально купить) комплекс? И то и другое и антивирус и фаерволл? Что бы вы могли порекомендовать?
Из недорогих и "всё в одном", имхо, - KIS. Я лично юзаю KIS7, а не KIS8 (2009) - он менее гламурный, менее "самостоятельный" и, имхо, проще в настройке. Пока справляется. Главное не забывать держать включённым на нём "Обучающий режим", а не "Минимальную защиту", я всякую хрень из/в инет не разрешать пускать. Я для основных приложений правила сразу при установке KIS настраиваю, чтобы потом юзеров дилеммой "разрешить/не разрешить" не мучить. :wink:
Ещё рекомендую утилитку wwdc запустить разок и поотключать все лишние порты (если локалки нет, то отключаем все, что она предлагает, если есть, то 137:139 порты оставляем. также воспользуйтесь утилиткой XP-Antispy, чтобы отключить все микрософтовские "стучалки". И также ещё хорошо прогнать SafeXP - в ней тоже много полезных опций поп овышению безопасности системы. Ну а по поводу необходимости отключению автозапуска и созданию "жизненно необходимых" папок autorun.inf в корне каждого диска или носителя тут в теме выше всё разжёвано :D
ЗЫ. Правда всё вышерекомендованное и проделанное будет совершенно бесполезно, если у вас не стоят крайние пакеты обновлений ОС.
Глупый пингвин робко прячет, умный - смело достаёт...

TillLinderman
Сообщения: 919
Зарегистрирован: 08 июн 2006, 20:11

Re: Боремся с вирусами (autorun'ом, и пр. гадостью)

Сообщение TillLinderman » 01 сен 2009, 08:29

Да у меня то с этим все в порядке. Это я для дальнейшей работы. Ну чтобы в дальнейшем использовать это для "пострадавших" компьютеров. С комодо надо поэксперементировать сначала на своем компьютере. Извиняюсь за тупой вопрос но я полагал что антивирус плюс файерволл и есть комплексная защита. А какую еще защиту можно прибавить? Ограничить права до пользовательских разве что? Но тогда меня клиенты сьедят. Им администраторский доступ нужен. А что еще тогда к комплексной защите добавить? Еще я советую скрытые диски делать хранить на них нужную информацию и подключать их только когда она нужна плюс контейнер с содержимым перенести куда угодно можно. Даже не знаю что еще добавить.
Перед началом антивирусной проверки, чтобы облегчить лечение, надо отключать Восстановление системы
Иногда (очень часто) не могу. Так как иногда машина может просто тупо не доходить до загрузки системы не в каком виде и в безопасном тоже.
Страдания каждый выбирает для себя сам

Аватара пользователя
Vose
Сообщения: 4346
Зарегистрирован: 12 июн 2006, 14:22
Откуда: Свердл. обл.

Re: Боремся с вирусами (autorun'ом, и пр. гадостью)

Сообщение Vose » 01 сен 2009, 15:35

TillLinderman писал(а):я полагал что антивирус плюс файерволл и есть комплексная защита. А какую еще защиту можно прибавить?
ну так про это я написал вам уже
1. своевременная установка критических обновлений ОС
2. Повышение безопасности путём тонкой настройки ОС:
wwdc, XP-Antispy, SafeXP, и др. утилитами или прямой правкой реестра (если умеете :wink: ) отключение автозапуска.
3. Ограничение прав
4. Ограничение доступа в т.ч. и физического
.................
Ну, и доки юзеров резервируеми регулярно, и образ системного раздела делаем, чтобы поднимать легко было, а не тратить лучшие годы жизни на "выпас" антивирусных прог. и излечение глюкавой винды от глюков. :D
Глупый пингвин робко прячет, умный - смело достаёт...

Maugly
Сообщения: 35
Зарегистрирован: 04 дек 2006, 02:25
Откуда: Москва

Re: Боремся с вирусами (autorun'ом, и пр. гадостью)

Сообщение Maugly » 29 сен 2009, 18:25

Добрый день!
Есть такая проблема: постоянно на компьютер пробирается пара троянов. Они меняются, иногда свежие Каспер и Др. Веб не успевают обновить базы - не видят их. Однако, их поведение не меняется, они создают exe-шники в windows\system32\drivers\ - dcin.exe и нечто, содержащее символы LBT в имени - zLBT.exe, LBT.exe, LBTwiz.exe и пр., соответственно, прописывают себя в автозагрузку, создают одноименные процессы, создают в windows\system32\ файлы с расширением scr и именем в две цифры (82.scr, 13.scr и т.п.).
Приходят, судя по всему, из сети, поскольку первичное появление - в папке C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5 в одной из подпапок со случайным именем. Ослом не пользуюсь, его не запускали на компьютере уже очень давно.
Так вот, вопрос не в том, как убить, это просто, но вот как отследить, откуда приходит? Можно ли запретить, скажем, появление exe-шников в кэше Осла? Или в windows\system32\drivers\
Есть ли резиденты, реагирующие на событие (типа появления файла с именем по маске в определенной папке, создания определенного ключа реестра и т.д.)?

Антивирус стоит, но не мониторингом - только сканер, запускаю вручную. И это я менять не стану.
Вирусы приходят очень быстро: только удалил - в этот же или на следующий день. Есть подозрение, что приходят либо с какого-то весьма популярного ресурса (типа mail.ru), либо из локалки. Поэтому важно не прибить, а отследить.

Аватара пользователя
Abdulla
Сообщения: 649
Зарегистрирован: 10 июн 2008, 18:52
Откуда: Роддом №1

Re: Боремся с вирусами (autorun'ом, и пр. гадостью)

Сообщение Abdulla » 29 сен 2009, 22:33

Maugly писал(а):...Есть ли резиденты, реагирующие на событие (типа появления файла с именем по маске в определенной папке, создания определенного ключа реестра и т.д.)?Антивирус стоит, но не мониторингом - только сканер, запускаю вручную. И это я менять не стану...
Глупый человеческий детёнышшш!!! (С)
Противоречите сами себе. СтОит раз включить мониторинг, задав в настройках проверять только объекты автозапуска, Temporary Internet Files и Documents and Settings - антивирь столько нащёлкает!.. И система сильно нагружена не будет, поверьте. А если не просто антивирь, а KIS-NIS-DrWSS со вшитым файерволом, то и локалку отследить получится.
Я не знаю, за что мне платят деньги. Но я удивляюсь, почему так мало?..

Maugly
Сообщения: 35
Зарегистрирован: 04 дек 2006, 02:25
Откуда: Москва

Re: Боремся с вирусами (autorun'ом, и пр. гадостью)

Сообщение Maugly » 30 сен 2009, 01:42

Еще раз говорю - мне не нужно его прибить, мне нужно отследить, откуда он приходит. Борьба описанным методом - пшик. Вирусы прописывают себя в точки восстановления системы, куда простому смертному антивирусу, установленному в системе вход запрещен. Отменять восстановление системы не намерен. Это во-первых. Во-вторых, как я говорил, вирус постоянно мутирует, в свежих базах Каспера и Веба не всегда есть. Я отсылал им, ну, приходит ответ, типа, в следующем обновлении баз детектирование будет включено. Толку то что с того? Файервол стоит, Outpost, у меня нет причин считать его слабее вшитых в разные секьюрити-пакеты, однако ж вирусу на него как-то наплевать.
Мониторинг мне не нужен, я вирусы на глаз определяю :) и вычищаю частенько вообще без помощи антивируса - правкой реестра и удалением файлов. Я знаю, как грузят или не грузят систему мониторинт, сам тестировал антивирусы :) А когда нужно проверить все предпочитаю не установленный антивирус, которому сама система по рукам дает - не лузь куда не следует, а загрузку с Live-CD и запуск утилиты от dr. web, например. И не "нащелкивает", между прочим :). В общем, не нужно советов по антивирусам / их использованию, мне нужно определить, откуда приходят вполне конкретные файлы - все.

Аватара пользователя
Abdulla
Сообщения: 649
Зарегистрирован: 10 июн 2008, 18:52
Откуда: Роддом №1

Re: Боремся с вирусами (autorun'ом, и пр. гадостью)

Сообщение Abdulla » 30 сен 2009, 05:50

Maugly
Я вас понял. Вы действуете крайне нелогично, но последовательно. :)
Maugly писал(а):мне нужно определить, откуда приходят вполне конкретные файлы - все.
А нужна вам, наверное, программа - анализатор сетевых пакетов.
Я не знаю, за что мне платят деньги. Но я удивляюсь, почему так мало?..

Ответить