Странный вирус.....

Obviouser, смысл в том что искать надо находясь в не зараженной винде.Скачиваешь к примеру последний CureIt,загружаешься с какого нибудь LiveCD c BartPE или загрузочной флэшки и сканируешь системный зараженный диск.
Вариант еще просто загрузиться в безопасном режиме проверять в нем.Часто прокатывает.
 
q_h написал(а):
мало того они и не отображаются и на винте хотя они точно там есть.
Нажмите для раскрытия...
Remy написал(а):
Некоторые "умные вирусы" не отображаются в процессах...
Нажмите для раскрытия...
ребяты, ну не надо мистики:smile:
посто нужно хороший тул для просмотра процессов и файлов, все будет...
для успешного обнаружения (ручного) достаточно просмотреть все варианты запуска (их не больше десятка)
если вирус не отображается в процессах, значит он загружен как драйвер, если не отбражается в файлах, значит он вне партиции, и то и другое удаляется на раз два...
что касается данной заразы
лечится так:
запускаем вынь в консоль (через диск с виндой),
там вправляем ключ
'HKEY_LOCAL_MACHINE\'Software\Microsoft\Windows NT\CurrentVersion\Winlogon\userinit,
запускаем виндовс в обычном режиме, удаляем болезные файлы.
на все про все минут 5.
 
Broda,
Только если руткит сидит в памяти он опять себя запишет на винт и в автозагрузку.
 
q_h,
сабо самой, вот и предлагается с консольки сходить, чтоб все голышом :)
отредактировать реестр с посторонего загрузчика ведь не получится. а с консольки юзеринит не отрабатывает.
имеется в виду именно консоль восстановления что на первом экране установки выни вызывается по "R"
все остальные варианты приведут к инициализации вируса.
 
Broda,так я примерно про это и писал, автозапуски в безопасном режиме не обрабатывается.В консоли восстановления не запустить антивирусник,а это не помешает если заражен или заменен например userinit или еще где вирус мог замаскироваться.
P.S. Уменя для таких случаев вакцинированая загрузочная флэшка BartPe c erd ,CureIt , плюс там всякие DreamPack,Acronis,Victoria и т.д..
 
Последнее редактирование:
при загрузке с CD ключ userinit отрабатывает свежезакинутый, а не из реестра с HDD, запускать в ней антивирь не нужно, нужно просто исправить ключ, вирус не заменяет файл Userinit.exe, он просто записывает в этот ключ запуск себя любимого. ни в какие автозагрузки он не прописывается, по сему после исправления ключа можно смело грузить винду, и удалять там файлы, они не будут запущены.

правда и твой способ тоже работает, достаточно подглядеть под виндой что написано в вышеуказаном ключе, загрузиться с любого live CD и грохнуть запускаемые файлы, ну а потом уже под видой вправить собственно ключик...

в любом случае после этих процедур полная проверка свежеобнавленным антивиром по вкусу...
 
Эх, мужики, все это здОрово, но вот только когда почитаешь про "прогресс" в области вирусостроительства, понимаешь, что самое лучшее средство - откатиться на рабочий образ системы.

Уж мы их душили-душили (с)
 
tarzan,
ну не знаю, прогресс прогрессом, а вот сижу за фаирволом на отдельной машинке, и уже 5лет у себя ничего не находил... тьфу тьфу тьфу...:victory:
для уверенности держу бесплатную авиру, но проверяю все же ручками периодически.
образ конечно штука пользительная, но больше от повреждений чем от вирусяги...
 
tarzan написал(а):
Я в таких случаях поступаю так:
Нажмите для раскрытия...
+1000. Только вместо Акрониса у меня Norton Ghost.

Broda написал(а):
образ конечно штука пользительная, но больше от повреждений чем от вирусяги
Нажмите для раскрытия...
От вирусов так же...

Broda написал(а):
сижу за фаирволом на отдельной машинке, и уже 5лет у себя ничего не находил
Нажмите для раскрытия...
[
Так же и я. Но вот студийные компы ни к чему не припендюрены, а вирусы то и дело притаскивают мне на внешних девайсах... И иной раз вруса либо прибить трудно, либо времени нет - а тут тебе чистый образ! Быстро и надёжно!
 
Последнее редактирование:
прям "железо vs софт" какойто получается - "образ vs руки" :laugh4:
каждый нашел для себя удобную форму, каждому проще определенным способом. т.е. на вкус на цвет....

а мораль то проста: образ - иметь, лечить - уметь. :dance:
 
3DStas, хреново.....
пытается соединяться с адресами 85.131.154.34 и 94.75.216.102, обращается к kajgana.exe.
Так же вирус обращается к thenewspedia.com/index.php/components/family, nullroute.bosna.ws, pornicari.com, prichaonica.com, ultimate-fight.si, balkan-hosting.net.

способ описанный тут
http://virusinfo.info/showthread.php?t=54644
не помогает....:dash2:
 
Пробовал на незараженном кампе зараженный винт лечить антивирусниками + поудалять вручную все эти стремные файлы ? (кстати, я уже его предлагал тебе выше в топе))
имхо, самый оптимальный вариант в этом случае.


з.ы.

Obviouser написал(а):
и в корневой еще autorun.inf, который сцуко, не убивается, будто бы уже висит в системе как резидент.
Нажмите для раскрытия...
от этих тоже не избавился ?
 
3DStas,
Broda, ох, это все я давно уже сделал......Вирус уж больно новый.....Ни в реестре ни в процессах его нету, системную память не съедает, но его активность ощущается.
Explorer.exe заражен однозначно, заменив его на чистый при запуске оно заражается вновь...
 
Obviouser написал(а):
Explorer.exe заражен однозначно, заменив его на чистый при запуске оно заражается вновь...
Нажмите для раскрытия...
занчит осталась только консоль...
если я правильно понял автозагрузки, назначенные задания, список скрытых дров, сервисы, wilogon (весь) ты проверил, и там все ок.
поройся в
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\
там огут быть видны сервисы и дрова которых через консольку не видать.
замени еще раз експлорер и поставь на него readonly, есть шанс что поможет хотя и небольшой.
 
чур чур, как хорошо, что я пересел на мак. Хоть с этим теперь нет гемора. Почитаешь вот про такие гадости и вообще перестанешь пользоваться интернетом. :hang1:
 
casper написал(а):
я пересел на мак. Хоть с этим теперь нет гемора.
Нажмите для раскрытия...
Да и на PC никакого гемора. Всего и делов-то - автозапуск отключить :)
Абсолютно на ВСЕХ компах!
В командной строке gpedit.msc, и далее:
1. конфигурация компьютера -> дминистративные шаблоны ->
система -> отключить автозапуск -> на всех дисководах.
2. конфигурация пользователя -> дминистративные шаблоны ->
система -> отключить автозапуск -> на всех дисководах.

Вирусы мне в студию приносят на флешках практически ежедневно,
втыкаю их в специальный ноут, никогда не открываю виндовыми
окошками, а только командером (чтобы по даблклику не выполнился
авторан), на ноуте есть инет и защита в виде аваст/аутпост/адаваре фри,
cо студийным компом (на котором разумеется никакой софтовой защиты
нет) ноут связан по сети, модификация файлов отключена. За долгие годы
использования подобной системы так и не смог ни один из ежедневно
приносимых вирей залезть в студийную машину. Ибо это при таком
раскладе принципиально невозможно.

Хотя образ акрониса тоже имеется, на всякий случай...
 
Alexander Yakuba, автор уже писал, что автозапуск для носителей у него отключен. Я потом вспомнил, что MS выпускали какой-то дополнительный патч, который, насколько я помню, устраняет возможность заражения системы даже при отключенном автозапуске. Но номер его мне найти так и не удалось.
 
Alexander Yakuba,

Empires написал(а):
Я потом вспомнил, что MS выпускали какой-то дополнительный патч, который, насколько я помню, устраняет возможность заражения системы даже при отключенном автозапуске. Но номер его мне найти так и не удалось.
Нажмите для раскрытия...
 
Alexander Yakuba, вы начало поста читали? я не пробовал еще 2 вещи, снести систему и сеанс экзорцизма.......
 
Empires написал(а):
Alexander Yakuba,
Нажмите для раскрытия...
Да нету при отключеном авторане никакой автоматической
возможности заражения! Если только сам не нажмёшь :)
ОК, перечитал тему. Сравните ваш совет по отключению автозапуска
из поста #8 и мой - если у топикстартера автозапуск "отключен"
также как в вашем совете - ничего удивительного.

Obviouser написал(а):
Alexander Yakuba, вы начало поста читали?
я не пробовал еще 2 вещи, снести систему и сеанс экзорцизма.......
Нажмите для раскрытия...
Не, ну разумеется, вам теперь уже позно автозапуски отключать.
Мой пост был ответом на "проблемный PC и безпроблемный мак",
только и всего. От себя порекомендую Ad-Aware Free с последними
базами. Ну и авастом во время загрузки винды пройтись...
 
Попробуй эти 3 програмки. Они помогли мне прекратить распространение вируса autorun. До них боролся долго и безуспешно
 

Вложения

Obviouser,
Тему не читал, но попробуй загрузится в безопасном режиме и там запустить атнивир(ы).
Один раз только так смог убить вирус.
 
Alexander Yakuba написал(а):
ОК, перечитал тему. Сравните ваш совет по отключению автозапуска
из поста #8 и мой - если у топикстартера автозапуск "отключен"
также как в вашем совете - ничего удивительного.
Нажмите для раскрытия...

Сравнил. А зачем вы отключаете параметры автозапуска ещё и для пользователя? Если эта политика не задана явно, её значение и так перенимается из политик более высокого приоритета.

Кстати, патчей, которые лечат уязвимости автозапуска, оказывается несколько. От уязвимости двойного щелчка на диске, от узявимости контекстного меню диска, от невозможности отключения сетевого диска... какой редкостный дуршлаг эта система. Остаётся сожалеть, что для большинства писателей музыкального софта дебиан всё ещё неизведанная территория.

View hidden content is available for registered users!
 
q_h, Ура, победа!
Только этой прогой и удалил заразу.
Вирус - Worm. Autorun.C,
мутировал суко.....
 
Войдите или зарегистрируйтесь для ответа.

Сейчас просматривают

Всего: 1 (пользователей: 0, гостей: 1)
Сверху Снизу