Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Помощь при лечении компьютера от вирусов

Модерирует : KLASS, IFkO

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105

Открыть новую тему     Написать ответ в эту тему

gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
КВАЛИФИЦИРОВАННАЯ ПОМОЩЬ БОЛЕЕ НЕ ОКАЗЫВАЕТСЯ!!!
ПРОСЬБА ЗАКРЫТЬ ТЕМУ

 

Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 17:34 18-03-2010 | Исправлено: gjf, 02:10 04-06-2013
bredonosec



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ради интереса запустил гмер -  
во вкладке руткит-малваря вижу 2 строки:  
AttachedDevice \Driver\Kbdclass \Device\Keyboardclass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics.inc)
AttachedDevice \Driver\Kbdclass \Device\Keyboardclass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics.inc)
 
- Это как понимать?  
Дрова к нему, как помнится, сливал еще в 9 году, когда ставил систему на этом ноуте.  
Почему данные дрова считаются руткитами?

----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.

Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 20:01 22-04-2012
Kiter70



Full Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
gjf
Спасибо, если ошибка опять проявится будем копать в другом направлении.

Всего записей: 452 | Зарегистр. 21-12-2008 | Отправлено: 21:29 22-04-2012
gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec
А никто ничего и не считает руткитами, простое указание на перехват событий клавиатуры драйвером клавиатуры. Где хоть слово про руткит?
 
Kiter70
Проверьте внимательно журнал событий. Такое впечатление, что падает какая-то служба.

----------
Тут могла бы быть Ваша реклама... или эпитафия

Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 22:56 22-04-2012
bredonosec



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
gjf

Цитата:
А никто ничего и не считает руткитами, простое указание на перехват событий клавиатуры драйвером клавиатуры. Где хоть слово про руткит?  

ну, название вкладки )  
я так понял, там оно должно отображаться )  
 
И есть-ли некие ключи проверки логов? Или как и в случаях скрина процессов или чего еще - только проверка "знакомые-незнакомые названия" + гугл на незнакомые?  
 


----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.

Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 01:27 23-04-2012
gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec
Ну в базисе - так и есть. А в жизни - сложнее. Книжки читать + практика.
Дальше - в ПМ, не будем оффтопить, тут этого и так хватает.

----------
Тут могла бы быть Ваша реклама... или эпитафия

Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 02:21 23-04-2012
Kawashik

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Нод 32 находит вирус, но не может его удалить. Работоспособность машина упала. Выдает подобную вещь - Модуль сканирования файлов, исполняемых при запуске системы    файл    Оперативная память = explorer.exe(688)    вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа    очистка невозможна
С трояном жить не очень... Логи ниже
 
http://rghost.ru/37752592
http://rghost.ru/37752620
http://rghost.ru/37752634

Всего записей: 1 | Зарегистр. 24-04-2012 | Отправлено: 22:36 24-04-2012
gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Kawashik
- Выполните скрипт:

Код:
begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);  
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\Documents and Settings\Kano Kun\Главное меню\Программы\Автозагрузка\sURBwzuhW68.exe');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1); {IE - запретить запуск программ и файлов в IFRAME без запроса}
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); {IE - запретить автоматические запросы элементов управления ActiveX}
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); {IE - запретить загрузку неподписанных элементов ActiveX}
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); {IE - запретить загрузку подписанных элементов ActiveX без запроса}
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); {IE - запретить использование ActiveX, не помеченных как безопасные}
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0); {запретить отправку приглашений удаленному помошнику}
 BC_ImportAll;
ExecuteSysClean;
 SetAVZPMStatus(true);
 BC_Activate;
 RebootWindows(true);
end.

Система перезагрузится. После перезагрузки логи повторить.


----------
Тут могла бы быть Ваша реклама... или эпитафия

Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 10:00 25-04-2012
sergei1963



Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Добрый день форумчане. проблема такая? на рабочем компе пойман вирус еxplorer. exe(1876) модифицированный троян , лежит в оперативной памяти, не удаляется, Антивирусник NOD/
Подскажите что мне сделать.

Спаисбо убили руками, и доктором вебомза пол дня

Всего записей: 302 | Зарегистр. 15-03-2008 | Отправлено: 05:19 26-04-2012 | Исправлено: sergei1963, 10:21 26-04-2012
KismetT



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
sergei1963

Цитата:
Подскажите что мне сделать.

Прочитать шапку темы и сделать, как там описано.

Всего записей: 3213 | Зарегистр. 08-09-2009 | Отправлено: 10:09 26-04-2012
anis1079

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Компьютер №1 Win XP 3SP
Kaspersky Virus Removal Tool 2011 находит trojan.bat.killfiles.pf
Удаляет, после перезагрузки снова его находит.
Интернет глючит.
\avz4\log\virusinfo_syscure.zip
http://rghost.ru/37921188
RSIT log.txt
http://rghost.ru/37921226
RSIT info.txt
http://rghost.ru/37921235

Всего записей: 25 | Зарегистр. 13-12-2006 | Отправлено: 12:08 05-05-2012
thyrannosaurus

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
anis1079
Находит случайно не в файлах типа _uninst_ какие-то_циферки.bat? Это фолс на свой же деинсталлятор  
 
Пофиксите в HiJack

Код:
O20 - AppInit_DLLs:
 Больше необычного не увидел в логах

Всего записей: 247 | Зарегистр. 16-07-2007 | Отправлено: 13:53 06-05-2012 | Исправлено: thyrannosaurus, 21:14 06-05-2012
krserv



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
подскажите пжс какие есть еще online глобальные ресурсы или программные комплексы, типа Secunia,  позволяющие делать проверку на вирусы файлов и учитывать новые уязвимости.
В качестве дипломной работы разрабатывается рабочее место аналитика вредоносного ПО, которое может поступать на FTP сервер при открытом поступлении файлов на него из интернета. Т.е задача аналитика проверять все новые поступающие файлы на отстутствие вредоносного кода. Интересует обзор программ анализаторов вирусной активности, начиная от встроенных модулей в Internet Security Suites до профессиональных, которые используются у вендоров антивирусных продуктов.  
 
Anti-Malware.ru - первый в России независимый информационно-аналитический
центр, полностью посвященный информационной безопасности.
 
Дополняйте список пожалуйста: AVZ; Virustotal; Secunia.
 
Также утилиты типа: HiJack; Security Advisor Tool; Anvir task manager;...

Всего записей: 3728 | Зарегистр. 21-11-2006 | Отправлено: 09:43 07-05-2012
gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
krserv
Это не тема данного раздела.

----------
Тут могла бы быть Ваша реклама... или эпитафия

Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 11:55 07-05-2012
SkorpEaGLe



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Доброго времени суток всем.  
 
Жена подцепила вредоносное ПО, которое зашифровало все графические файлы, mp3, flac, ape, MSOffice Docs, PDF и бог что еще знает, при этом, видео-файлы не задеты (хоть это хорошо). Сама система работает вполне нормально (но на всякий случай все равно буду переставлять).После шифрования благополучно удалилось, потому что новые файлы не шифруются, а просматриваются, прослушиваются, открываются вполне нормально.  
 
После шифрования не создались никаких файлов дубликатов, с какими-то подозрительными расширениями, в инете уже почитал немного о такого рода вредоносных ПО. Вирус вывел такое вот сообщение:  
 
ПРИВЕТ Я ЗЛОЙ И СТРАШНЫЙ ВИРУС КОТОРЫЙ БЛОКИРОВАЛ РАБОТУ ТВОИХ ФАЙЛОВ  
ЕСЛИ ХОЧЕШЬ УВИДЕТЬ СВОИ ФАЙЛЫ ВНОВЬ ПИШИ НА ПОЧТУ МОЕМУ ХОЗЯИНУ  
zinbin1@yahoo.com.vn  
 
Попробовал утилиты дешифраторы от DrWeb и Kapserа, не помогли. Открыл один из зашифрованных граф.файлов в Блокноте, что увидел на вскидку сразу, первые 12 байт изменены относительно оригинального файла, благо абсолютное большинство семейной коллекции фото месяца 2-3 назад сохранил на съемном диске.  
 
Вот такие вот дела. Если кто встревал с такой проблемой и поборол, поделитесь опытом.  
 
Очень жалко новые фото, что не успел забэкапить, а также коллекцию аудио-файлов  
 
Спасибо всем кто откликнется.

Всего записей: 133 | Зарегистр. 26-10-2004 | Отправлено: 14:10 07-05-2012
gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
SkorpEaGLe
Вам сюда: http://forum.ru-board.com/topic.cgi?forum=55&topic=1363&glp#lt

----------
Тут могла бы быть Ваша реклама... или эпитафия

Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 14:17 07-05-2012
SkorpEaGLe



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Спасибо за правильное направление

Всего записей: 133 | Зарегистр. 26-10-2004 | Отправлено: 14:21 07-05-2012
Erekle



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Здравствуйте.
gjf
По логам и остальному у меня чисто, насколько могу судить. Однако uVS говорит, что IPL одного из пяти дисков не совпадает со стандартным. TDSSKiller, о котором Вы упоминали, как о средстве лечения в данном случае, не находит его ненормальным. Винлоков и предложений обновляться у меня отродясь не было. Могу считать этот загрузчик следствием нестандартного форматирования, или там всё-таки что-то есть?
Спасибо.
 
Не по теме, но можно спросить? Помогает ли RSIT при поиске по времени, если у зловреда изначально прописана другая, ранняя дата?

Всего записей: 1554 | Зарегистр. 13-10-2004 | Отправлено: 19:34 07-05-2012 | Исправлено: Erekle, 19:38 07-05-2012
gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Erekle
Мне трудно делать выводы, не видя материала.
 
uVS - утилита молодая и, к сожалению, не совершенная. IPL обычно свидетельствует о заражении "Маячком", но если TDSS Killer молчит - это просто фалс. Можете не обращать внимания. А можете отписаться автору uVS - возможно, он поправит фалс.
 
RSIT показывает изменённые файлы по времени. Там используется не дата создания, а именно дата изменения. Это помогает, если зловред работает даунлоадером и качает новые модули из сети. Сама дата создания зловреда тут не при чём.
 
Это неплохо работает с р2р-червями типа Kolab, но отнюдь не является панацеей - скачивание может вестись на скрытый раздел, с удалением исходника, подменой даты и т.д. Отнеситесь к этому моменту, как к инструменту, но универсальных инструментов не бывает.

----------
Тут могла бы быть Ваша реклама... или эпитафия

Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 23:57 07-05-2012
Erekle



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
gjf

Цитата:
трудно делать выводы, не видя материала.  

Пожалуйста... я не горделивый настолько, чтобы задирать нос - логи AVZ и RSIT в одном архиве.  
(Есть ещё от RKU, TDSSKiller и UVS (включая образ того загрузчика и он же, сохраненный в файл.
Драйверы от ГМЕР и остальных упоминаются, конечно. Записи в Центре сообщений о Касперском и НОДе остались от недопортабелизированных вариантов, уже давно. Задумывал о смене ХИПСа аналогом от Торчсофта, но пока передумал, хотя оставил на месте на будущее, без хуков)
 
Из странных симптомов примерно с середины марта есть такое, пожалуй, было на 1-2 случая больше; почти всегда происходило моментально при открытии какой-либо страницы, или через секунду после перехода на неё. 3 раза - грузинских файловых серверов, 1- filehippo, остальное - разные, но вполне порядочные сайты. Один раз, кажется, при открытии папки (которую открываю много раз ежедневно). Не причисляю сюда нестыковку с новым ProcessExplorer-ом. Списывал на смену Файрфокса, IDM (его TDI драйвер убрал два дня назад) или периодичные обновления Авиры, не придавал должного значения, хотя потом частота случаев обеспокоила.

Всего записей: 1554 | Зарегистр. 13-10-2004 | Отправлено: 11:12 08-05-2012 | Исправлено: Erekle, 11:17 08-05-2012
gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Erekle
Ну вредоносного не вижу, но нелогичного - много. Во-первых - видно, что Вы всячески пытались обезопасить систему различными программами, но при этом не установили Service Pack 3. Вроде ж уже скоро ему 10 лет исполнится, верно? Во-вторых - очень много хвостов. Просто колоссально.
 
Начал бы я именно с подчистки хвостов, удаления ненужного - а потом поставил все обновления. Если повезёт - ошибка исчезнет. Если не повезёт - значит, слишком много грязи накопилось. Не вредоносной грязи - а именно остатков когда-то некорректных удалений, чужих драйверов и модулей.

----------
Тут могла бы быть Ваша реклама... или эпитафия

Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 13:20 08-05-2012
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Помощь при лечении компьютера от вирусов


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru