Боремся с вирусами (autorun'ом, и пр. гадостью)

Обсуждение проблем, связанных с ПО для компьютеров

Модераторы: Al_lexx, Sharp, ionika, Happy_MAN, 0xFF, Atom, Serega S.U.

Timo
УченичоГ
Сообщения: 1082
Зарегистрирован: 11 авг 2007, 19:19

Сообщение Timo »

в общем, вроде починил. Сидел он в Майл.ру агенте. если будет время - расскажу что было.

обнадежили :) я неделю назад на втором компьютере стер весь раздел с софтом, в по новой не залил

боюсь за свой квип, как бы в него не влезли
ВКОНТАКТЕ-ЗЛО
1#
Q6600 2.4@3.65/ASUS P5E@RF/4*1 Gb DDR2-1212/8600GT/600W FSP/500Gb+250Gb SATA2/2*320Gb Raid0/ASUS DRW-2014L1/NEC 7173

#2
P4 2.8@3.5 478/BOX/Intel D865PERL/1.5 Gb DDR400/120 PATA/DVD-RW/FSP 400Вт
Аватара пользователя
Vose
Сообщения: 4347
Зарегистрирован: 12 июн 2006, 14:22
Откуда: Свердл. обл.

Сообщение Vose »

100% СПОСОБ ПРЕДУПРЕЖДЕНИЯ ЗАРАЖЕНИЯ АВТОРАНАМИ (пока):
В корне каждого диска/флэшки создаётся папочка autorun.inf.
Для надёжности ей можно придать атрибуты "только для чтения" и "системная" и, если хочется скрыть с глаз долой, то и "скрытая".
Вирус обламывается, т.к не может записать на этот диске файл autorun.inf - имя уже занято (желающие могут сами легко проверить).
Этот способ использую уже месяца четыре. Уже много раз вставлял свою флэшку в зараженные авторанами компы, в т.ч. с вирями типа amvo - полёт нормальный.
РЕКОМЕНДУЮ ВСЕМ. Просто и надёжно.
Да, на эту папку делает стойку прога antiautorun.
Глупый пингвин робко прячет, умный - смело достаёт...
Аватара пользователя
Atom
Концептуальный
Сообщения: 1873
Зарегистрирован: 09 июн 2006, 21:39
Откуда: местный
Контактная информация:

Сообщение Atom »

На сайтах Касперского и "Вируслиста" вывесили предупреждение о средних размеров вирусной эпидемии, недавно начавшейся в Интернете (пока небольших размеров: "жёлтый уровень" = средняя опасность), если точнее, то:
  • Предупреждения: Virus.Win32.Gpcode.ak
    5.06.2008 16:57, GMT +0400, Москва , обновлено: 7.06.2008 14:41, GMT +0400, Москва.
    Статус : средняя опасность.
    (Информация взята с "Вируслиста".)
Описание угрозы: новая модификация шифровальщика пользовательских файлов - Virus.Win32.Gpcode.ak

Всем владельцам любых версий KAV/KIS рекомендуется обновить антивирусные базы этих программных продуктов.
На каждую мышку найдётся своя кошка. : )
Timo
УченичоГ
Сообщения: 1082
Зарегистрирован: 11 авг 2007, 19:19

Сообщение Timo »

Итак, я обещал рассказать про свой вирус в Mail.Ru Agent'е.
Однажды, 5.06.2008г, воя WinVista подвисла - полминуты не реагировала на мышку и клаву. Т.к. в тот день я поменял

некоторые параметры в биосе, касаемые разгона, и накинул еще 5 МГц на системную шину ;), то я подумал, что это

переразгон и "ждал" экрана смерти. Я ребутнул ось. После перезагрузки мой NOD32 радостно сообщил, что резидентный

модуль поврежден. Запускаю сканер нода32 - пишет, что поломан файл NOD32.000. Я смекнул, что у меня вирус, который

убил нод32.
На всякий случай на моем компе была оставлена другая ОСь - ХРень (мало что случится, вдруг с Вистой опять какой

трабл выйдет). Я шустро загрузил ХР. Там у меня стоял НОД32 и Spyware Terminator. Я подключился к инету (ХРень не

была поражена) и обновил у обоих базы. NOD32 не нашел ничего вкусненького, а вот Spyware Terminator нашел пару

файлов в папках Mail.Ru Agent'а! путь к ним:
Для Windows XP: C:\Documents and Settings\Имя пользователя\Application Data\Mra\Update
Для Windows Vista: C:\Users(Пользователи)\Тимофей Скворцов\AppData\Roaming\Mra\Update
Обратите внимание на размер файла menu.dll - 57.4 Кб в незараженной системе и ок. 25 Кб в зараженной. Именно там и

прятался вирус.

Рекомендация - проверить размер файла menu.dll, иметь файволл, хороший антивирус и Spyware Terminator :)

Еще наковырял кое-что, но это не проверено...
ВКОНТАКТЕ-ЗЛО
1#
Q6600 2.4@3.65/ASUS P5E@RF/4*1 Gb DDR2-1212/8600GT/600W FSP/500Gb+250Gb SATA2/2*320Gb Raid0/ASUS DRW-2014L1/NEC 7173

#2
P4 2.8@3.5 478/BOX/Intel D865PERL/1.5 Gb DDR400/120 PATA/DVD-RW/FSP 400Вт
Аватара пользователя
0xFF
entity
Сообщения: 5310
Зарегистрирован: 22 июн 2006, 09:15
Контактная информация:

Сообщение 0xFF »

Timo
Файлик menu.dll у меня был аж 60 кб. Вот только ни антивир, ни SpyBot, ни скачаный, обновленный Spyware Terminator файлик в упор за заразу не приняли.
Что я делаю не так? ;)
Три пути ведут к знанию: путь размышления - это путь самый благородный, путь подражания - это путь самый легкий и путь опыта - это путь самый горький. - Конфуций
proraze
Сообщения: 2
Зарегистрирован: 09 июн 2008, 08:01
Контактная информация:

Сообщение proraze »

Зачем так мучится пользуйтесь антивирус бесплатно , реальная вещь всегда спасает :)
Аватара пользователя
Vose
Сообщения: 4347
Зарегистрирован: 12 июн 2006, 14:22
Откуда: Свердл. обл.

Сообщение Vose »

0xFF писал(а):Что я делаю не так?
Пользуетесь Mail.Ru Agent-ом и НОД32.
А с 5-ти доп. МГц на шине комп наверно ЗАМЕТНО быстрее летать начал?
Детство-детство... "Мы мужественно преодолеваем препятствия, которые сами себе создаём..."
Глупый пингвин робко прячет, умный - смело достаёт...
Аватара пользователя
KPeMaTorii
Двуликий
Сообщения: 1061
Зарегистрирован: 17 июл 2006, 11:55

Сообщение KPeMaTorii »

Словил вот такую бяку Vundo . vundofix, и virtumondebegone прибить гадину не смогли, есть еще у кого соображения?
-админить локалхост наша стратегическая задача!

Это у них кризис, а у нас как всегда.
Timo
УченичоГ
Сообщения: 1082
Зарегистрирован: 11 авг 2007, 19:19

Сообщение Timo »

главное, чтоб файл не был размером около 25кб. наверное у вас другая версия агента.

5мгц? да просто ищу предел работы дешевой памяти
ВКОНТАКТЕ-ЗЛО
1#
Q6600 2.4@3.65/ASUS P5E@RF/4*1 Gb DDR2-1212/8600GT/600W FSP/500Gb+250Gb SATA2/2*320Gb Raid0/ASUS DRW-2014L1/NEC 7173

#2
P4 2.8@3.5 478/BOX/Intel D865PERL/1.5 Gb DDR400/120 PATA/DVD-RW/FSP 400Вт
Аватара пользователя
fant
Сообщения: 3799
Зарегистрирован: 24 фев 2007, 00:30
Откуда: Дубна.МО
Контактная информация:

Сообщение fant »

KPeMaTorii Здесь прога для убоя.. http://www.izcity.com/lib/30112004/troj ... -1-0-3.htm , сам не пробовал, т.к. пока не попался))))
P.S. Попоробовал Циферки-буковки бегут, сканирует..Видимо утилитка работает )))) Кароче сказала. что я чистый )))
"Ask not what your country can do for you, ask what you can do for your country." JFK
Аватара пользователя
KPeMaTorii
Двуликий
Сообщения: 1061
Зарегистрирован: 17 июл 2006, 11:55

Сообщение KPeMaTorii »

спасибо, будем пробовать.
-админить локалхост наша стратегическая задача!

Это у них кризис, а у нас как всегда.
Аватара пользователя
0xFF
entity
Сообщения: 5310
Зарегистрирован: 22 июн 2006, 09:15
Контактная информация:

Сообщение 0xFF »

Vose писал(а):Пользуетесь Mail.Ru Agent-ом и НОД32.
А с 5-ти доп. МГц на шине комп наверно ЗАМЕТНО быстрее летать начал?
Детство-детство... "Мы мужественно преодолеваем препятствия, которые сами себе создаём..."
нипониль ни разу.
Три пути ведут к знанию: путь размышления - это путь самый благородный, путь подражания - это путь самый легкий и путь опыта - это путь самый горький. - Конфуций
Timo
УченичоГ
Сообщения: 1082
Зарегистрирован: 11 авг 2007, 19:19

Сообщение Timo »

0xFF
Timo писал(а):Однажды, 5.06.2008г, воя WinVista подвисла - полминуты не реагировала на мышку и клаву. Т.к. в тот день я поменял



некоторые параметры в биосе, касаемые разгона, и накинул еще 5 МГц на системную шину
Vose сомневается, что мне эти 5 МГц много дали. Но мои 460 МГц как раз по 5 Мгц собирались :)
ВКОНТАКТЕ-ЗЛО
1#
Q6600 2.4@3.65/ASUS P5E@RF/4*1 Gb DDR2-1212/8600GT/600W FSP/500Gb+250Gb SATA2/2*320Gb Raid0/ASUS DRW-2014L1/NEC 7173

#2
P4 2.8@3.5 478/BOX/Intel D865PERL/1.5 Gb DDR400/120 PATA/DVD-RW/FSP 400Вт
Аватара пользователя
Vose
Сообщения: 4347
Зарегистрирован: 12 июн 2006, 14:22
Откуда: Свердл. обл.

Сообщение Vose »

fant писал(а):Здесь прога для убоя.. http://www.izcity.com/lib/30112004/troj ... -1-0-3.htm , сам не пробовал, т.к. пока не попался
Судя по дате онлайновой газеты, где она афиширована (30.11.04), этот троя должны уметь убивать все нормальные современные антивири. Та же CureIt, AVZ или каспер, например.
Глупый пингвин робко прячет, умный - смело достаёт...
iop
Сообщения: 72
Зарегистрирован: 07 апр 2007, 09:38

Сообщение iop »

Одна знакомая словила недавно тоже самое плюс еще целый букет. В результате голый рабочий стол. Загрузался с Live cd ни один встроенный антивирус плюс антивирусы с флешки ничего не нашли. Запустил total- какой только дряни нет.Все поубивал-не помогло,пришлось сносить систему.
Кстати первая строчка в гугле
http://www.bleepingcomputer.com/forums/topic126999.html
это от 21.01.08
Ответить