Вирусы и Лекарства

[amanita 0]

Кстати, сегодня выезжал в Батайск по поводу очередного смс-блокера... По классификации Dr.WEB это Trojan.Winlock.2354 с той разницей, что номер телефона на который просят положить бабки не такой как на скриншоте (2-й скрин по вышеуказанной ссылке), а именно - 89654028619

Так вот из предложенных кодов помог выделенный (под спойлером):

Открыть текст

1. ^77723094^

2. 443309556

3. %10923810%

4. @59403E4@

5. =403967434=

6. =390275473=

7. 100583643

8. 177852

9. $30293E09&

10. 475791179115

11. $1100668395$

12. 22110833064277553

13. $20683054%

14. !48950345!

15. 0Q20P04X

16. #73736640#

17. тратататака

18. -37218875-

19. $009264834$

20. (30958374)

21. $334327890$

22. -405938475-

23. !8912034'

24. @34208923@

25. #5020543#

26. 30958374

Самое интересное, что Каспер его в упор не видит, как впрочем и Web c Авастом и хваленым NOD'ом. Безопасный режим вызывает синий экран смерти на стадии загрузки. Загрузка в безопасном режиме с командной строкой дает тот же эффект. Попытка запуска установки системы с чистого дистрибутива и восстановления вызывает тот же эффект. Естественно танцы с переводом времени назад ни к чему не приводят, ибо бабки требуют не за потраченнное время, а за разблокирование как таковое.

После очистки Каспером был найден Kido, который впрочем отношения к смс-блокеру имеет весьма отдаленное ИМХО. Такие дела, будьте аккуратны.

[dzzz 0]

Безопасный режим вызывает синий экран смерти на стадии загрузки.

Изменяется один из ключей раздела реестра (какой именно, при желании, гуглится в сети), который отвечает за какую-то железяку в безопасном режиме. Из-за этого получаем БСОД при safe-mode.

Сталкивался с подобной заразой, только не смс-блокер, а просто какая-то дикая вещь. Блокировала все, что можно: диспетчер задач, эксплорер, safe-mode, установку\запуск любых приложений, в том числе и антивирусов (в том числе и отдельных антивирусных утилит с динамическим названием файла). Лечение производилось через правку реестра (как следствие, снятие БСОД) и соответствующим лечением из безопасного режима.

P.S.: В безопасном режиме каспер ругался на присутствие руткита в системе.

[K0nsTant1n 1]

Я тоже так хочу, научи

Да не помешало бы...

Но теперь по теме,стоял касперский сначала радовал потом нет,вот думаю NOD32 и прошу дать ссыль на нормальный НОД32 с ключиками.Буду очень признателен.

[Osip 2]

_http://zashitapc.com/index.htm_l

редирект стоит

Изменено 28 сентября, 2010 пользователем mistacker
защита от дурака)

[Bumble-Bee 2]

Поправьте предыдущее сообщение, "шоп" нихто туда не вступил... Мало ли какие изменения...

[GlobeTrotter 0]

"нормальный нод"?!!

[antipod98 0]

"нормальный нод"?!!

Ага Кому-то и стандартные службы антивирусной защиты Винды кажутся нормальными. Ну да ничего, со временем приходит понимание

[Гость mistacker]

Кстати, сегодня выезжал в Батайск по поводу очередного смс-блокера... По классификации Dr.WEB это Trojan.Winlock.2354 с той разницей, что номер телефона на который просят положить бабки не такой как на скриншоте (2-й скрин по вышеуказанной ссылке), а именно - 89654028619

Так вот из предложенных кодов помог выделенный (под спойлером):

Открыть текст

1. ^77723094^

2. 443309556

3. %10923810%

4. @59403E4@

5. =403967434=

6. =390275473=

7. 100583643

8. 177852

9. $30293E09&

10. 475791179115

11. $1100668395$

12. 22110833064277553

13. $20683054%

14. !48950345!

15. 0Q20P04X

16. #73736640#

17. тратататака

18. -37218875-

19. $009264834$

20. (30958374)

21. $334327890$

22. -405938475-

23. !8912034'

24. @34208923@

25. #5020543#

26. 30958374

Самое интересное, что Каспер его в упор не видит, как впрочем и Web c Авастом и хваленым NOD'ом. Безопасный режим вызывает синий экран смерти на стадии загрузки. Загрузка в безопасном режиме с командной строкой дает тот же эффект. Попытка запуска установки системы с чистого дистрибутива и восстановления вызывает тот же эффект. Естественно танцы с переводом времени назад ни к чему не приводят, ибо бабки требуют не за потраченнное время, а за разблокирование как таковое.

После очистки Каспером был найден Kido, который впрочем отношения к смс-блокеру имеет весьма отдаленное ИМХО. Такие дела, будьте аккуратны.

Еще летом ловил. Как ни странно, можно легко найти под PE шной виндой безо всяих кодов. Единственный косяк потом нужно "здоровый" эсплорер прописать, он его бьет. Самое смешное в билайне знают про этот номер...

Для тех кто не в курсе с билайна МОЖНО вывести бабло...

[Bumble-Bee 2]

Никто не в курсе как в Авасте, изменить предустановленные профили сканирования дисков (не создавая свой, со своими настройками)???

Хочу воткнуть в режим полной проверки "чувствительность на максимум", лезу в свойства, а "панелька" "белесо-закрытая"... Можно, конечно, и свой профиль создать, только он оказывается даааалеко внизу (я бы встроенный "прибил" бы!)...

Вот в свойствах "экранов" такое можно делать, правда, на 4* было удобнее для всех таких действий был один общий ползунок, здесь же приходится "думать" индивидуально (впрочем так же было и в 4*, но там был один общий!)...

И ещё: кто-нибудь пользовался коммерческой версией Аваста??? Меня интересует его сетевой экран (фаерволл), а то в бесплатной версии он "чисто" "отбивающий", а блокировать приложения в нем нельзя... Так в коммерческой версии что-то подобное есть???

[GlobeTrotter 0]

Никто не в курсе как в Авасте, изменить предустановленные профили сканирования дисков (не создавая свой, со своими настройками)???

Хочу воткнуть в режим полной проверки "чувствительность на максимум", лезу в свойства, а "панелька" "белесо-закрытая"... Можно, конечно, и свой профиль создать, только он оказывается даааалеко внизу (я бы встроенный "прибил" бы!)...

Вот в свойствах "экранов" такое можно делать, правда, на 4* было удобнее для всех таких действий был один общий ползунок, здесь же приходится "думать" индивидуально (впрочем так же было и в 4*, но там был один общий!)...

И ещё: кто-нибудь пользовался коммерческой версией Аваста??? Меня интересует его сетевой экран (фаерволл), а то в бесплатной версии он "чисто" "отбивающий", а блокировать приложения в нем нельзя... Так в коммерческой версии что-то подобное есть???

юзал коммерческий аутпост-fw

превосходные результаты с авастом, хотя не помешает ещё и lavasoft ad-ware (free)

[Bumble-Bee 2]

Так... Ещё вопрос, насчет касперыча. Я так смотрю, что одноименные продукты равнозаменяемые KAV2009=KAV2011... Я тут случайно наступил на "грабли", вида ошибка вызванная каспером при обращении к реестру, вобщем, я думал этот антивирь докачает себя сам, а он похоже как был тупо с диска, так и остался... Я думаю, можно перескочить на 2011 --- только я уже активировался. Вопрос: там, на базе, не посчитают, что вторичная активация лицензии?

На сайте вроде доступно написано, типа, снесите старую, сохраните настройки, ставьте новую и всё "Окейно"... (Как правильно перейти с Антивируса Касперского 2010 на Антивирус Касперского 2011?)

Можно попробовать по ихнему способу... но у меня есть копия раздела перед установкой оного каспера 2010, если восстановить вообще "с нуля" --- по-идее всё будет в порядке, только вот что будет для второго компа???

[Bumble-Bee 2]

Так, вроде "похватил", но всё равно пришлось перенастраивать... Попутно на "каспере" появилась одна проблема, комп вдруг начал перезагружаться --- в ошибках по нулям уже, или перегрев проца ("табурет-а" 63 град. Цельсия без нагрузки, при наличии большего времени комп перебрал и поискал бы медную "ногу"), или БП --- ровесник "табурета".

[VicG 0]

Так... Ещё вопрос, насчет касперыча. Я так смотрю, что одноименные продукты равнозаменяемые KAV2009=KAV2011... Я тут случайно наступил на "грабли", вида ошибка вызванная каспером при обращении к реестру, вобщем, я думал этот антивирь докачает себя сам, а он похоже как был тупо с диска, так и остался... Я думаю, можно перескочить на 2011 --- только я уже активировался. Вопрос: там, на базе, не посчитают, что вторичная активация лицензии?

Все гораздо проще. Если каспер легальный, то при активации кода через инет запрашивается адрес электронки (нужно указывать свой реально действующий) для создания личного кабинета. Так вот, если зайти в свой личный кабинет на сайте касперского, там будет информация об активированной лицензии, а также возможность получить (скачать) свой же уже готовый ключ. Ключ вышлют сразу на электронку. Имея ключ, спокойно активируй этим "полученным ранее ключем", не боясь вторичной активации.

Сам так неоднократно делал.

[Bumble-Bee 2]

Хм... Поскольку с "лицухой" дел НИКОГДА не имел, я на авторские предолжения по регистрации всегда "забивал"... И в этом случае, когда появился адрес, и я посчитал его не нужным, я пропустил это дело... Потом уже... владелец компа попросил ему до кучи организовать почту, но поез уже ушел...

Насчет так называегого "индивидуального номера железа" я уже понял (где-то на сайте написано), просто проверить было не начем... Насчет "личного кабинета" не знал, в первый раз слышу.

[Bumble-Bee 2]

Рылся недавно на одном компе. Хозяева второй раз подцепили известно что... Шикарную ссылку на Virustotal я не сохранил, а стоило бы --- только 5 антивирусов определили, что это "троянчех": каспер, доктор, макафи, ещё какой-то и ДАЖЕ NOD, все остальные, в том числе и бесплатный AVAST5 --- про... глядели данное существо... (по доктору: Trojan.Mildrop.*) Собственно, как обычно два симптома: не заходит на некоторые сайты (антивирусные в первую очередь) + при использовании проводника (копировать+вырезать+вставить+переместить) --- вылет на рабочий стол, а потом просто вылет и только картинка рабочего стола.

С сайтами просто: полазить в Реестре по "службе" TCPIP в папке Persistant Routes --- всё что нашлось --- всё удалялось...

А вот, что я нашел в строковом параметре Userinit (Winlogon)

C:\WINDOWS\system32\userinit.exe,
C:\WINDOWS\system32\lxkhwhl.exe,
C:\WINDOWS\system32\wrfhln.exe,
C:\WINDOWS\system32\nwjautx.exe,
C:\WINDOWS\system32\veycglf.exe,
C:\WINDOWS\system32\tsllgn.exe,
C:\WINDOWS\system32\oiefyo.exe,
C:\WINDOWS\system32\qsvfpz.exe,
C:\WINDOWS\system32\mcaelpc.exe,
C:\WINDOWS\system32\mahzzw.exe,

Вот именно эта зараза "C:\WINDOWS\system32\lxkhwhl.exe," --- оказалась самой живучей (Trojan.Mildrop.*) --- удалось выкосить из-под SafeMode, потом RESET, потому как ПУСК-Перезагрузка не доверяю даже в Безопасном режиме --- вуаля: и можно без зазрения совести удалять из Winlogon. Кстати, в том же Winlogon кроме USERINIT "рисовался" строковый параметр с непонятно цифро-буквенным названием с адресом C:\WINDOWS\system32\lxkhwhl.exe --- вобщем AVAST5 его в упор не видел... На всякий пожарный по папке Windows тем же Авастом --- что нашлось --- убилось.

Правда, остался один не понятный момент: не далее как недели две назад я там рылся и чистил от mcss.exe, который "почти" был и на этот раз. "Почти" --- потому как Аваст его нашел и прибил --- но не понятно, как этот же Аваст про... глядел ЭТО же во второй раз?..

Изменено 21 ноября, 2010 пользователем Bumble-Bee

[Гость mistacker]

Аваст от Алвила давно просится на помойку.

К сожалению, милдопа (мередопа) выводить приходилось, только у меня процессы назывались по-другому. Наверное - это рандомно.

Еще добавлю к симптомам собственно причину, захламленный файл hosts. Кстати, реестр страдает только автозапуском, иначе бы антитвари находили.

________

На момент написания православный MSE (читай ForeFront) имеет в базах сигнатуры, а значит и фревые скоро добавят.

[Bumble-Bee 2]

Аваст от Алвила давно просится на помойку.

К сожалению я какое-то время насаждал у некоторых пользователей доктора, хотя и достаточно подробно указывал как его обновлять... Немногие решились на покупку лицензионного каспера... А те что остались с доктором --- ... короче: помойка не помойка, а пожалуй единственный антивирь, коий бесплатный и с обновлениями. У знакомых стоял "зонт", вот на нем и убедился, что Аваст это "круть" --- причем предварительно (или постфактум?) после "зонта" прошлись CureIt что нашлось --- убилось, а потом уже Авастом5 --- ещё что-то нашлось и убилось... Есть в природе КОМОДО, например, KIS (а ля каспер тырнет сыкурити), или просто антивирь --- знаю что бесплатный, но душа как-то не лежит, хотя фаер в нем более-менее настраиваемый (в отличии от Аваста).

[Данил 1]

доброго времени суток.

вот вопрос такой

у меня был вирус Win32.Nechta,антивири его распознавали...но он заразил почти все программы,в основном exeшники,и антивирь блокировал программу и удалял важные файлы программы в следствии чего она не работала .

вопрос вот в чем:как удалять этот вирус но чтобы программы целыми оставались?

антивирь avast!

[GlobeTrotter 0]

доброго времени суток.

вот вопрос такой

у меня был вирус Win32.Nechta,антивири его распознавали...но он заразил почти все программы,в основном exeшники,и антивирь блокировал программу и удалял важные файлы программы в следствии чего она не работала .

вопрос вот в чем:как удалять этот вирус но чтобы программы целыми оставались?

антивирь avast!

поставьте нормальный антивирусник+файрволл, KIS свою цену вполне оправдывает

[saha777 0]

поставил комод премиум позакрывал порты отключил нэтбиос живу ненарадуюсь а все антивиры полное г только деньги дерут я комодовским антивиром пробил так аж 23 вира убил а остальные не видели и скорость вдруг увеличилась

[Bumble-Bee 2]

Был у знакомых. "Затарился".

Начало как обычно. При входе в учетку, на рабочем столе ничего нет, кроме собственно самого "виновника торжества". Хорошо, что не пришлось весь комп лопатить, а так: по-мелочи. Сперва, через SonyaPE, проверил "наличие отсутствия" проблем с userinit.exe, winlogon.exe, explorer.exe. Следующим шагом ERD собственно winlogon: userinit & shell --- всё как обычно... Выправил. На всякий пожарный пробежался по автозагрузке в реестре и в Главном меню каждого пользователя, но видно, что-то пропустил. Потому что...

...потому что быстренько полез на один знакомый вар... информационный сайт в поисках Тотала. И бабах! Ещё окно --- уже другое! Непонятно! То ли контра недобитая оказалась, то ли презент с сайта --- хотя я на тот сайт регулярно хожу, и без приколов (почти)!

Опять SonyaPE, опять shell & userinit... Обнаруживаю в Главном меню пользователя из-под которого выходил igfxtray.exe скрытый, системный + новые, что были в shell... опять пробежался. Перезагрузил! ВСЁ! Никаких интернетов! Отключил и локалку! Пока все работает --- запустил Каспера пусть работает...

На борту стоит AVAST6Home, сам ставил. Судя по блокираторам он о них ни сном ни духом. Подозрительные файлы в архив, и дома на Докторе проверил --- по нулям. Отправил на VirusTotal --- каспер знает всех! Доктор и Аваст никого! Впрочем, кроме каспера, были ещё AV, но мало...

Надоть САЛД порадовать! Правда, уж не знаю --- щас пока стоит DrWeb6 и полагаю пора с него сваливать --- всего его "прелести" уже закончились --- он теперь в памяти своим dwengine отжирает не хуже каспера (~150x2 как физической, так и файлоподкачки). Я молчу про..., если запустить сам сканер.

Вот отчет, если интересно.

Открыть текст

0.668_etc
http://www.virustotal.com/file-scan/report.html?id=d13eaf94c553565a8c6cbc0275d488ec313dcd81630d5f2dd65695b9ee23dd18-1309202171

0.402707951719826
http://www.virustotal.com/file-scan/report.html?id=51f5d9d195b4fc47746a47b0580685ee73a03d40286618e1b5ba10b32066fa35-1309202782

22CC6C32-oldfriend
http://www.virustotal.com/file-scan/report.html?id=a0eacc9b78147834bf760abdff009111df75be9596f785c32a12baf5f1fe89bb-1309202911


igfxtray
http://www.virustotal.com/file-scan/report.html?id=4edc68801f78816eb3f75a4c800be3b482eb75ffbd29be1466b9f77fe952ae0f-1309203443

Изменено 27 июня, 2011 пользователем Bumble-Bee

[Bumble-Bee 2]

На АВАСТ зла не хватает, хотя что можно сказать за бесплатную версию --- если она "не в дугу"??

ВОПРОС: кто в курсе где на сайте Аваст есть форма отправки вируса? Или как им отправить?? У каспера есть, у доктора есть...

Ситуация. Уже неоднократно видел как данная "срань" пропускала один и тот же вирус, заменяющий USERINIT с периодичностью в неделю, то есть зараза есть, лечения нет. Вот сейчас, вот прям вчерась на компе соседа отловил две заразы:

- первая, относительно безвредная: самораспаковщик SMS-вымогатель, что-то типа, недораспаковка ПО, но нужно чуть-чуть денег. Ситуация знакома?.. Но оказался в автозагрузке, а поскольку нЭтбук --- занимал чуть ли не весь экран, но можно закрыть. Сидел в автозагрузке в реестре.

Второй хуже! оказался загрузочным! Я такое вижу в первый раз живьем! Правда, до этого видел только на картинках. Запуск SonyaPE, там же у меня оказался Каспер AVP tool 11 недельной выдержки, я его запустил, и вуаля: в загрузочной области "типа троян". Убился! Запускаю нэтбук, в TEMP нахожу мелочь в 60 кБ, по времени вроде как оно. Virustotal показал, что его знают только 11 из 43, доктор и аваст как всегда. даже НОД его знает! А вот Симантек нет!

http://www.virustotal.com/file-scan/report.html?id=6381d603a18427310b059cbce51e2373a54a34c3016c4eb7f7ef480b172fa39c-1310673332

[Bumble-Bee 2]

Поскольку АВАСТу доверия УЖЕ не было, поставил Microsoft Essential Security. Теперь я только что у человека забрал ~61 объект. Собственно тут уже видно, что MES (или как он там правильно?) особо не виноват, ибо в журнале напротив двух записей стояло РАЗРЕШИТЬ... Хм!.. Принёс я эту толпу. Закинул на машину с MES что-то нашлось, однако, на машине с доктором добились те, что MES не видит... Тем не менее поэкспериментировал с Доктором и выявил, что он тоже не всё видит! Вобщем, взял исходную "ораву", обработал доктором, а потом подсунул MES --- три штуки (или всё-таки две?) не видит!

И это не считая того, что есть ещё порядка 30 объектов, которые ни тот ни другой не видят -- хотя и не факт, что они тоже вирусы.

P.S.

СТРАННО! Доктора на VirusTotal уже нет!

каспер, кстати, тоже нифига не видит

Изменено 23 июля, 2011 пользователем Bumble-Bee

[Гость mistacker]

Поскольку АВАСТу доверия УЖЕ не было, поставил Microsoft Essential Security. Теперь я только что у человека забрал ~61 объект. Собственно тут уже видно, что MES (или как он там правильно?) особо не виноват, ибо в журнале напротив двух записей стояло РАЗРЕШИТЬ... Хм!.. Принёс я эту толпу. Закинул на машину с MES что-то нашлось, однако, на машине с доктором добились те, что MES не видит... Тем не менее поэкспериментировал с Доктором и выявил, что он тоже не всё видит! Вобщем, взял исходную "ораву", обработал доктором, а потом подсунул MES --- три штуки (или всё-таки две?) не видит!

И это не считая того, что есть ещё порядка 30 объектов, которые ни тот ни другой не видят -- хотя и не факт, что они тоже вирусы.

P.S.

СТРАННО! Доктора на VirusTotal уже нет!

каспер, кстати, тоже нифига не видит

Раз уж мне на плечи досталось отдуваться за МС - дам комментарий.

Базы MSE составляются из набора как минимум четырех вендоров, вы их перечислили.

До сих пор ПОРНО-БАННЕРЫ, назовем их так: USERinit TASKman и прочее заменяющие, не лечились антивирами по причине того, что собственно вирусами не являлись. Однако в лаборатории касперского приняли решение именно такой класификации. Теперь они детектируются. Однако в день выходит примерно 50-100 версий с разнами номерами телефона и соотвественно с разными CRC - отсюда пропуски антивирами.

Во всех случаях (даже только что :-) ) срабатывание MSE налицо. Только Баннер Висит ©

Я советую менять определенные ключи в реестре для лечения этого. Инфу прилaгаю.

userinit.txt

[Bumble-Bee 2]

Я советую менять определенные ключи в реестре для лечения этого. Инфу прилaгаю.

СТОП!

Для чего все значения Policies в нуль???

Установить

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

все значения по 0 и перезагрузить компьютер

Вот у меня там, всего-то DWORD (значения в десятичной):

ForceClassicControlPanel 1

NoDriveTypeAutoRun 145

NoLowDiskSpaceChecks 1

NoSMMyPictures 1

Ну, и нафига туды нули??? Еули, судя по rusdoc.ru, что-то отключают, или разрешают. ни одного "моёго" параметра там нет...

P.S.

Однако в день выходит примерно 50-100 версий с разнами номерами телефона и соотвественно с разными CRC - отсюда пропуски антивирами.

Что-то у меня необоснованно-предвзятое "чуйство", шта-а-а-а антивирусник занимается не только "чтением" контрольных сумм.

Изменено 24 июля, 2011 пользователем Bumble-Bee