Боремся с вирусами (autorun'ом, и пр. гадостью)
Модераторы: Al_lexx, Sharp, ionika, Happy_MAN, 0xFF, Atom, Serega S.U.
Re: Боремся с вирусами (autorun'ом, и пр. гадостью)
Спасибо за совет, буду пытаться. Если есть советы по конкретным программам этого класса и их настройкам - буду признателен.
Re: Боремся с вирусами (autorun'ом, и пр. гадостью)
Maugly
А как насчёт имеющегося у вас уже Аутпоста? В нём нет случайно сабжевого анализатора? Я сам просто с данным файером незнаком...
А как насчёт имеющегося у вас уже Аутпоста? В нём нет случайно сабжевого анализатора? Я сам просто с данным файером незнаком...
Я не знаю, за что мне платят деньги. Но я удивляюсь, почему так мало?..
Re: Боремся с вирусами (autorun'ом, и пр. гадостью)
Как убить ручками червя, который висит всегда в процессах и когда его убиваешь в ручную то он сразу рождается под другим именем(имя всегда из 3х цифр.)
- Atom
- Концептуальный
- Сообщения: 1873
- Зарегистрирован: 09 июн 2006, 21:39
- Откуда: местный
- Контактная информация:
Re: Боремся с вирусами (autorun'ом, и пр. гадостью)
Убить самокопирующегося полиморфного червя ручками можно, но - лишь специалисту, типа вирусного аналитика. В остальных случаях на это просто может уйти куча времени, причем не обязательно - с успешным результатом.
В общем случае могу посоветовать следующее:
1. Если хотябы примерно известно название червя (в том случае, если он детектируется какой-либо из антивирусных программ, у вас установленных) - можно посмотреть и скачать соответствующую бесплатную утилиту с сайта kaspersky.ru, и попробовать вылечить компьютер с помощью одной из таких утилит.
2. Если на компьютере НЕТ антивирусной программы, тогда можно было бы поставить, например, - неплохой бесплатный антивирусник, типа Avira AntiVir Personal (размер в дистрибутиве: 28 МБ, язык программы: английский) и попробовать "вылечить" компьютер с помощью данного антивируса.
Ну и 3-ий, "запасной" вариант - обратиться к специализированным форумам типа Kaspersky Lab Forum, если вышеперечисленные советы вам по каким-либо причинам не подойдут.
В общем случае могу посоветовать следующее:
1. Если хотябы примерно известно название червя (в том случае, если он детектируется какой-либо из антивирусных программ, у вас установленных) - можно посмотреть и скачать соответствующую бесплатную утилиту с сайта kaspersky.ru, и попробовать вылечить компьютер с помощью одной из таких утилит.
2. Если на компьютере НЕТ антивирусной программы, тогда можно было бы поставить, например, - неплохой бесплатный антивирусник, типа Avira AntiVir Personal (размер в дистрибутиве: 28 МБ, язык программы: английский) и попробовать "вылечить" компьютер с помощью данного антивируса.
Ну и 3-ий, "запасной" вариант - обратиться к специализированным форумам типа Kaspersky Lab Forum, если вышеперечисленные советы вам по каким-либо причинам не подойдут.
На каждую мышку найдётся своя кошка. : )
Re: Боремся с вирусами (autorun'ом, и пр. гадостью)
2 Abdulla:
Точно! Атака идет с адреса 94.76.194.116 если интересно. Блокировал его, посмотрим, что будет. В интернете нашел много упоминаний этого адреса как раз в связи с вирусными атаками.
Что интересно, в одном форуме сначала советовали (не мне, нашел по запросу об ай-пи-шнике) обновить систему до SP3 (речь, как и у меня о XP), человек отписал, что обновил, но все по фигу, тогда посоветовали левую сборку SP4 (!), и человек отписал, что все стало зашибись (!!!).
Спасибо!
Точно! Атака идет с адреса 94.76.194.116 если интересно. Блокировал его, посмотрим, что будет. В интернете нашел много упоминаний этого адреса как раз в связи с вирусными атаками.
Что интересно, в одном форуме сначала советовали (не мне, нашел по запросу об ай-пи-шнике) обновить систему до SP3 (речь, как и у меня о XP), человек отписал, что обновил, но все по фигу, тогда посоветовали левую сборку SP4 (!), и человек отписал, что все стало зашибись (!!!).
Спасибо!
Re: Боремся с вирусами (autorun'ом, и пр. гадостью)
З-зараза! Не успел я создать правило в Outpost! Эта сволочь в очередной раз мутировала, и Каспер с новыми базами ее пропустил . Так что установленный монитор себя не оправдывает (ну, это я так - повыдрючиваться ). Но зато Outpost "обратно" его уже не выпускал - правило уже работало. Прибил вручную , отослал на сайт Касперского.
Да, а доменное имя адреса - java.kultufamily.com.
О! Ответ от Каспера пришел:
"Здравствуйте,
BSLBT.exe - Net-Worm.Win32.Kolab.ecx
Детектирование файла будет добавлено в следующее обновление."
---------
Теперь он уже сетевой червь, раньше троян-даунлоадером был
Да, а доменное имя адреса - java.kultufamily.com.
О! Ответ от Каспера пришел:
"Здравствуйте,
BSLBT.exe - Net-Worm.Win32.Kolab.ecx
Детектирование файла будет добавлено в следующее обновление."
---------
Теперь он уже сетевой червь, раньше троян-даунлоадером был
Re: Боремся с вирусами (autorun'ом, и пр. гадостью)
Добрый день, друзья !
Возможно решение проблемы не сложное и оно обсуждалось. (на работе так занят, что нет возможности прочитать и вникнуть во всю ветку обсуждения)
Проблема появилась со спам программой, которая периодически выскакивает на компьютере и рекламирует всякую похабную хрень.
Антивирусы ее не видят - проверял Авастом и НОДОМ.
Выключается только CTRL+ALT+DEL
Название имеет "CMedia" и еще ,
если нажать на убрать рекламу,он предлагает данный текст:
согласно принятому вавми договору оферты получения условно бесплатного доступа к материалам сайтов,вы обязаны просмотреть еще 937 показов рекламных рассылок,либо отказаться от просмотра рекламы путем отправки смс с текстом 7728 на номер 4125 (стоимость смс 150 р. без ндс).
Мне кажется что решение не очень сложное, но к сожалению мои знания позволяют только обновить WINDOWS.(или переставить)
Заранее Благодарен.
Возможно решение проблемы не сложное и оно обсуждалось. (на работе так занят, что нет возможности прочитать и вникнуть во всю ветку обсуждения)
Проблема появилась со спам программой, которая периодически выскакивает на компьютере и рекламирует всякую похабную хрень.
Антивирусы ее не видят - проверял Авастом и НОДОМ.
Выключается только CTRL+ALT+DEL
Название имеет "CMedia" и еще ,
если нажать на убрать рекламу,он предлагает данный текст:
согласно принятому вавми договору оферты получения условно бесплатного доступа к материалам сайтов,вы обязаны просмотреть еще 937 показов рекламных рассылок,либо отказаться от просмотра рекламы путем отправки смс с текстом 7728 на номер 4125 (стоимость смс 150 р. без ндс).
Мне кажется что решение не очень сложное, но к сожалению мои знания позволяют только обновить WINDOWS.(или переставить)
Заранее Благодарен.
Re: Боремся с вирусами (autorun'ом, и пр. гадостью)
А выскакивает в браузере, закрывая собой весь сайт? Или отдельно запускается?MobyDick писал(а):выскакивает на компьютере и рекламирует всякую похабную хрень.
Don't warry, be happy!
Re: Боремся с вирусами (autorun'ом, и пр. гадостью)
Появляется отдельным окном заданного размера
Re: Боремся с вирусами (autorun'ом, и пр. гадостью)
Притащили ноут на антивирусную проверку.
Странная ситуация:
В панели задач постоянно висит значок (красный круг с белым крестиком) и с регулярностью в 3-5мин выдаёт сообщение
"Windows has detected infection! ..."
Короче просит установит антиспай/антивирь. При клике на сообщение, начинает закачивать какой то AntivirusPro 2010. Эта хрень закачивается, устанавливается, сканирует диск, показывает какие то вирусы, а потом просит 50обамчиков для регистрации.
В общем шантаж.
Из выявленых...
В документ/сеттинг валялся файл seres.exe Удалён с помощью SpywareTerminator.
Пока продолжаю сканировать. Попробую разные сканеры..
Кто нить с таким сталкивался?
Странная ситуация:
В панели задач постоянно висит значок (красный круг с белым крестиком) и с регулярностью в 3-5мин выдаёт сообщение
"Windows has detected infection! ..."
Короче просит установит антиспай/антивирь. При клике на сообщение, начинает закачивать какой то AntivirusPro 2010. Эта хрень закачивается, устанавливается, сканирует диск, показывает какие то вирусы, а потом просит 50обамчиков для регистрации.
В общем шантаж.
Из выявленых...
В документ/сеттинг валялся файл seres.exe Удалён с помощью SpywareTerminator.
Пока продолжаю сканировать. Попробую разные сканеры..
Кто нить с таким сталкивался?
Re: Боремся с вирусами (autorun'ом, и пр. гадостью)
Al_lexx Было такое дело... Попытаюсь вспомнить... Я убил так... Останавливаю этот процесс, пока он снова не запустился, бегу и удаляю папку этой хрени... Потом по имени чистил реестр.. Кажется даже не в безопасном режиме проделал... Здесь предлагают другой способ. http://virusinfo.info/archive/index.php/t-8032.html похоже ваш случай..
MobyDick В программах ищете папку этой гадости и с помощью программы Unlocker разблокируете и удаляете.. Возможно будет ругаться, для верности несколько раз проделайте эту манипуляцию над данной папкой. Может жить по адресу c:\Documents and Settings\\application date\ и имя этой фигни.. У меня обзывалась AbSubscribe. Потом пререгрузитесь...
Удачи.
MobyDick В программах ищете папку этой гадости и с помощью программы Unlocker разблокируете и удаляете.. Возможно будет ругаться, для верности несколько раз проделайте эту манипуляцию над данной папкой. Может жить по адресу c:\Documents and Settings\\application date\ и имя этой фигни.. У меня обзывалась AbSubscribe. Потом пререгрузитесь...
Удачи.
"Ask not what your country can do for you, ask what you can do for your country." JFK
Re: Боремся с вирусами (autorun'ом, и пр. гадостью)
fant
Cпасибо. Случай действительно очень похожий. Разве что значок без анимации. Сегодня провозился три часа, перепробовал несколько антивирьных пакетов. Нашлась куча бяки, удалилась, но... Без толку.
Дело в том, что я не очень понимаю, какой процесс останавливать, а тем более в какой папке искать зловреда (где то в документ/сеттинг, но где именно?)..
Завтра попробую по методике, которая по вашей ссылке.
Что примечательно - ни одна из точек восстановления не работает...
Хотелось бы услышать ещё чьё то мнение по этому поводу.
Cпасибо. Случай действительно очень похожий. Разве что значок без анимации. Сегодня провозился три часа, перепробовал несколько антивирьных пакетов. Нашлась куча бяки, удалилась, но... Без толку.
Дело в том, что я не очень понимаю, какой процесс останавливать, а тем более в какой папке искать зловреда (где то в документ/сеттинг, но где именно?)..
Завтра попробую по методике, которая по вашей ссылке.
Что примечательно - ни одна из точек восстановления не работает...
Хотелось бы услышать ещё чьё то мнение по этому поводу.
- Serega S.U.
- Сообщения: 897
- Зарегистрирован: 18 авг 2006, 16:38
- Откуда: Москва, Degunino.NET
Re: Боремся с вирусами (autorun'ом, и пр. гадостью)
Хм, если известен процесс, то легко найти откуда у него и ноги растут - Process Explorer покажет всё (если что - там есть "мишень", ставишь на визуальное проявление процесса и он его показывает). Если ни одна точка восстановления не помогла - значит точно в документах (ибо восстановление это не затрагивает).
Так же в помощь можно попробовать и другие утилиты Руссиновича\Sysinternals - AutoRuns как продвинутый просмотрщик всей подноготной автозагрузки (включая дрова, бибилотеки, службы и т.п.), ну и если всё же сие инкогнито - возможно Process Monitor, Regmon, Filemon. Ну и местный RootkitRevealer - для порядку.
А вообще про эту гадость (и производные) не в первый раз слышу. Кто чем выводит - кто руками, кто AVZ, кто Др.Вебом (Лайв-СД)... Смотря у кого какой случай.
Так же в помощь можно попробовать и другие утилиты Руссиновича\Sysinternals - AutoRuns как продвинутый просмотрщик всей подноготной автозагрузки (включая дрова, бибилотеки, службы и т.п.), ну и если всё же сие инкогнито - возможно Process Monitor, Regmon, Filemon. Ну и местный RootkitRevealer - для порядку.
А вообще про эту гадость (и производные) не в первый раз слышу. Кто чем выводит - кто руками, кто AVZ, кто Др.Вебом (Лайв-СД)... Смотря у кого какой случай.
СерёгА aka button
Re: Боремся с вирусами (autorun'ом, и пр. гадостью)
Не то что не помогла. Система сообщила о том, что "не смогла восстановиться и ни каких изменений не произошло".Serega S.U. писал(а):Если ни одна точка восстановления не помогла...
Причем с нескольких точек (точнее со всех) в т.ч. и с тех, которые я сам делал пару месяцев назад. Вот это то и удивило. Очевидно, что зараза каким то образом блокирует систему откатов на точки восстановления.
Спасибо, что напомнили про всем известные инструменты. Я как то притупил по этому поводу. Завтра буду копать глубже. AVZ не успел прогнать (уже было поздновато), а Д.Вебовский лив завтра качну..
Re: Боремся с вирусами (autorun'ом, и пр. гадостью)
Я открывал Виндовый Диспетчер задач и , так сказать , визуально вылавливал новый процесс. Прикол в том, что эта "бяка" не давала установить ни Нода, ни Каспера..
Последний раз редактировалось fant 08 окт 2009, 21:47, всего редактировалось 1 раз.
"Ask not what your country can do for you, ask what you can do for your country." JFK