Боремся с вирусами (autorun'ом, и пр. гадостью)

[Vose]

dolyk
AVZ при скане вычисляет и выключает callback.

Оффтоп

Vose, прошу прощения, подправил Ваше сообщение (в частности - оффтоп) в связи с переносом сообщений куда надо (собственно, о чём Вы и писали). Надеюсь, Вы не обижаетесь.

Отредактировано: Serega S.U.

2All
в связи с всё ещё актуальностью, 09.01.2010 систематизировал и переписал на 1-й страничке темы своё руководство по борьбе с авторанами.

!! 2All !!
http://support.kaspersky.ru/viruses/deblocker - очень полезная ссылка в помощь для отвязки от троянцев-sms-вымогателей

Оффтоп

Serega S.U. не обижаюсь, конечно, я за порядок 2-мя руками

[fant]

Сегодня слегка повеселил своих контактов из Аськи. Попал на Свинячий вирус http://habrahabr.ru/blogs/infosecurity/81172/#habracut

[Vose]

Свинячий вирус http://habrahabr.ru/blogs/infosecurity/81172/#habracut

Блоггер убрал документ, так что не удалось повеселится вместе с вами и понять что такое "Свинячий вирус".
Зато сейчас развлекусь по полной программе - комп с eKAV "антивирус" притаранили.

[fant]

Очередной SMS вымогатель... От моего имени моим контактёрам рассылалась жалоба на спам с их компов. И предлагалась утилита по ссылке. Сходил ( надо же знать, что невольно рекламирую). Респектабельный сайт, предложение онлайн проверки.. рискнул. Мои 400 с небольшим Гигов проверили не более чем за 15 ! сек. C сообщением, что попал, нашли зловредов в количестве пяти штук и предложили за SMS и снятие со счёта не более 12 руб ( очень даже не по-жлобски) излечить меня.. Чот не стал.. 12 руб пожалел.. Потом ( а вдруг всё же) проверился Авастом, Вебом и AVZ. Всё по нолям.. Какой то беззубый развод. Только поспамили...

[Vose]

От моего имени моим контактёрам рассылалась жалоба

Аську "поламали"?

предложили за SMS и снятие со счёта не более 12 руб

Номерок не пробовали пробить? сколько в реале снимают?

[fant]

Сервак вскрыли, я так понял.. У кого увели, кому пароли поменяли. Мне, выходит, повезло.. С тррррудом достучался до "кипового" сайта, поменял пароль. Да и откатился с Инфиниума на обычный QIP.

[Vose]

Зато сейчас развлекусь по полной программе - комп с eKAV "антивирус" притаранили.

ВО ГАДОСТЬ ПРОДВИНУТАЯ!!! Из под родной системы не бьётся НИКАК! Диспетчера, regedit, Total Commander, антивири (и cureit и AVZ) - блочит, у processexplorer - выкашивает. С Live-CD cureit dll-ки заразы убивает, AVZ заразу видит, но не убивает до конца - "зверь" "мутирует" после каждой перезагрузки - меняет имена своих файлов.
В общем, хоть и снёс его в основном и окно "антивиря" не вылазит больше, и запуск regedit и диспетчера задач и проч. востановил (отдельное спасибо kit за ссылку на XP-Quick-Fix-Plus), но AVZ всё равно о подозрительной активности рапортует и прибить заразу не может.
Снёс винду от греха и переставил. Надо было сразу, конечно, но интересно было "зверька "поковырять".

[Abdulla]

Товарищи, никто не ловил случайно U6KYBXP.EXE?

Качнул вчера вечером КуреИт, запустил проверку, он нашёл одного троянца в проге Flv Downloader, удалил с моего разрешения, более ничего.
Основным антивирем у меня Каспер2009, включаю его - проактивная защита орёт: "U6KYBXP.EXE пытается запустить скрытый процесс". Ну и ниже "Запретить", "Разрешить" и "Добавить в искл." Поставил я автоматом запрет, запустил поиск этого файла в локальных дисках - нету!.. В Гугл - "ничего по запросу не найдено". Обновил базы Каспера, полную проверку сделал - всё тихо.
До проверки КурИт-ом эта фигня не появлялась, зуб даю...
Собсна, вопрос: кто-нибудь сталкивался с подобным? Если да, то чем ещё провериться?

[Vose]

До проверки КурИт-ом эта фигня не появлялась, зуб даю...

А это похоже , собстнн-но куре-ит и есть - распаковывается при проверке в темповую папку, потом процесс ещё "висит" в памяти некоторое время, хотя в папке уже самоудалился.

В Гугл - "ничего по запросу не найдено"

В целях защиты куреита от определения и прибивания вирусами для каждой новой его версии "генерится" новое имя екзешника.

Если да, то чем ещё провериться?

Ну, Drweb, на Cute-It "стойку не делает"

[Abdulla]

...А это похоже , собстнн-но куре-ит и есть...

Была такая мысля, тем более, что адрес ехе-шника был %Temporary Folder%\RARSFX.360\U6KYBXP.EXE. Спасибо, что подтвердили догадку.
Опосля прогнал SpyBot и AdAware - чисто.

[Doomed]

Словил СМС-попрошайку. Заборол гада, все хорошо. Да только одна беда - этот гад перемолол политики таким образом что сейчас ни одна утилита (regedit например) не запускается Да к тому же еще и запуск в безопасном режиме невохможен Как вернуть стандартные настройки политики безопасности? Уж очень Винду переставлять не хочется!
Заранее спасибо.

[Vose]

ни одна утилита (regedit например) не запускается Да к тому же еще и запуск в безопасном режиме невохможен Как вернуть стандартные настройки политики безопасности?

А чуть выше темку прочитать слабо было?

запуск regedit и диспетчера задач и проч. восстановил (отдельное спасибо kit за ссылку на XP-Quick-Fix-Plus)

[Vose]

Лечил вчера комп один от Penetarator-а - первый раз с этой злобной гадостью столкнулся - зараза поубивала все фотки и картинки на компе хозяев. А DrWeb-5, "отключенный за неуплату", "стоял и спокойно на это смотрел". Хорошо ещё, что это был домашний практически исключительно игровой комп (оффлайновый причём!) и на нём не было никаких вордовских документов (а то бы и им перепало).
Опрометчиво сунул сначала в него свою флэху на 16 Гиг с антивирями и множеством полезной инфы и дистрибов (простофиля, блин ), потом на домашнием компе она всю ночь и утро вычищалась от заразы - повезло, что фотки эксклюзивные как раз перед этим успел с неё скинуть.
А с зараженным компом, посканив много из под жаражённой системы и с Live-CD, и оценив "масштабы бедствия", поступил просто - остатки того, что имело для хозяев практическую ценность, перекинул на отдельный раздел, а систему убил и потом восстановил из подходящего образа, а затем всё сохранённое просканил ещё раз.
ЗЫ. Сейчас прочитал, что мудаку, написавшему эту дрянь ВСЕГО 3 тыс. руб штрафу присудили!!!
ЗЫ.ЗЫ. Прихожу к выводу, что надо искать и покупать флэху с защитой от записи или юзать обычную, но небольшую флэху чисто для "антивирусных работ" и создавать и обновлять на ней постоянно антивирусный CD-раздел, защищённый от записи.
Пока не умер плэйер на 512M с защитой от записи - не было проблем.

ЗЫ.ЗЫ.ЗЫ. Вот тут http://netler.ru/pc/penetrator.htm подробное описание этой злобной дряни, если кому интересно.

[Al_lexx]

На работе SEPP регулярно блокирует ntoskernel.exe
Дома стоит он же, в подобном не был замечен.
В целом софтовая конфигурация схожая, за исключением того, что на работе постоянно активен TeamViewer.
Поставил его (екзешник и всю папку тимвьюера) в эксклюд.
Может что ещё.
Ещё странно, что снулый домашний контупер будится тимвьюером с рабочего места, а из дома нет. Точнее будится, но на домашнем не отображается экран приветствия (просто черный экран, курсор становится указательным, но залогиниться не получается).
??

[Serega S.U.]

Прихожу к выводу, что надо искать и покупать флэху с защитой от записи

Тут можно пользовать такую штуку, как USB кардридер для SD (только для одной SD - работает как обычный накопитель, да и по размерам почти как обычная флешка, естественно не менее габаритов самой SD-шки). Прелесть сего в том, что SD имеет механический ползунок защиты от записи.