Персональный проект Александра Чижова, Иркутск 1998-2006Компьютерный журнал Cooler | скачать новые компьютерные игры | гаджеты | астрономия | обзоры программиста System's temperature
recent issueaboutarchiveLive TAMrubricatorlinksBooks digestComments
Компьютерный журнал "Cooler" Александра Чижова (Иркутск)

Выпуск от 29.03.2009в начало коммент   в конец коммент



Колупал одну машинку и натолкнулся я вот на что...

AnVir говорит то же самое, и даже больше:

Обратите внимание на первые две строчки.

Ни каспер, ни др-веб на них не реагиурют. Свежий CureIt - так же.

AVZ отметил только вот это: 1.5 Проверка обработчиков IRP (есть перехваты). И отладчик процесса "avz.exe" = "ntsd -d" - и так по всем (!) возможным именам всех известных антивирусов.

Пришлось изменять имя AVZ, чтобы запустить его. Regedit запускать не удается (только переименовав).

Может у меня паранойя :) Но я таких странных запусков драйверов не встречал. И как-то не нравится мне, что regedit и avz.exe не дают мне запускать :)

Кроме этого, еще посоветовали мне GMER, antirootkit detector, который по идее работы сильно похож на AVZ.

До сих пор не не придумал, как добраться до запуска этих странных "дров" , которые, скорее всего, как мне думается, запускаются из создаваемого потока. Но кем... В директориях, куда "указывают" "невидимки", вхождений нет.

Единственный, кто мне вообще помог вообще все это увидеть - это AnVir. После установки AnVir я обратил внимание на странную активность процесса System, после чего удалил руткит (Trojan.NtRootKit.2714). "странная" активность пропала, но "дрова-невидимки" не исчезли. Скорее всего, остались зомбяки, которые уже ничего не могут, но как их сколупнуть...
Активация предположительно была через Adobe Acrobat через интернете. Антивирусов при этом не стояло.

М? Есть мысли?

 
56  Px :
[to Peter Tomsky]
Всё проще, чтобы запустить всё вами перечисленное они бегают с бубном вокруг wine/cedega :D
    -   | rank:129 | post-id:33695|06.04.2009/11:09
 
55  Peter Tomsky :
[to UncleRus] - это получается, что Вы зарегистрировались только для того, что-бы высказать своё превосходство?! пост[49] над "несчастными виндузятниками :("?
- гы :)
[to Optimus] - Дарагой, а чё под лин уже налабали, что-то вроде SolidWorks? Наверное Вы как раз трудитесь над решением этой проблемы?! Или что-то типа MathCAD? или OrCAD? или типа Visio? (dia не в счёт). Ну ладно есть GIMP (почти = PhotoShop) и KiCad но ведь этого мало? Ах, да: 1С портировали на лин? Я наверное пропустил эту МЕГА-новость!
Чем Вы там трудитесь? Тексты с таблицами набираете? почту шлёте, музыку и кино слушаете? Что ещё на компьютере-то делаете?

Поэтому я Вам самому предлагаю "попробовать сменить подход", точнее написать какие серъёзные задачи, кроме серверных и набора текста вы решаете под лин?

Да ещё вопросец в догонку: сколько человек у вас в офисе и как Вам удалось их перевести на OpenOffice? Мне лично секретарши и сотрудники устраивали мелкие скандальчики и руководству оказалось проще купись MS Office. Не могу поверить, что не было проблем?
    -   | rank:4 | post-id:33690|06.04.2009/08:02
 
54  Peter Tomsky :
[to qqmbr], [to Cooler] - Пожалуйста! Это было не сложно, пришлось только зарегистрироваться. Зато теперь я вас буду переодически радовать всяким флудом :) (шучу, шучу ...)
    -   | rank:4 | post-id:33689|06.04.2009/07:59
 
53  Optimus :
Как то вот подумалось мне. Шесть лет назад я бы сам кинулся врукопашную бороться с этими кошмарами. А сейчас... И на рабочей станции, и на домашнем ноуте имею Генту. Удовлетворён полностью. Офисные машинки защищены каспером (купленным естественно) + clamav на почтовом сервере плюс антивирь на прокси. И тем не менее на одну машинку в офисе как то что то в прошлом году
прорвалось. Вылечил разворачиванием образа эталонной системы. Документы все на файлсервере, с антивирусом естественно, всё цело. И это единственный эксцесс за год. Так что может в консерватории что то поправить, раз уж винда кривая на генетическом уровне? Что, кстати, эта ветка блестяще демонстрирует :) Не копить бессистемное шаманское знание о волшебных ключах, не забивать
голову списком чудокривулин, а попробовать подход сменить?
    -   | rank:119 | post-id:33646|05.04.2009/20:35
 
52  Cooler :
[to UncleRus] [to Optimus] ну ну :) у кого иммунитет выше ?
   chizh@irk.ru  | rank:1277 | post-id:33643|05.04.2009/20:15
 
51  Cooler :
[to Peter Tomsky] !! спасибо. буду знать. Всем рекомендую проверить эту веточку :)
только все стирать не надо.
   chizh@irk.ru  | rank:1277 | post-id:33642|05.04.2009/20:12
 
50  Optimus :
[to UncleRus]
Присоединяюсь :) Душераздирающее зрелище... Как же я счастлив, что уже четыре года не имею подобного геморроя.
    -   | rank:119 | post-id:33639|05.04.2009/20:06
 
49  UncleRus :
Несчастные вы виндузятники :(
    -   | rank:2 | post-id:33638|05.04.2009/18:20
 
48  DIKKI :
[to qqmbr] Кризис :((
    -   | rank:1035 | post-id:33633|05.04.2009/00:02
 
47  qqmbr :
[to Peter Tomsky] спасибо! очень своевременная информация. как раз недавно приносили "пролеченный" ноут на котором не запускаются ни каспер ни avira.
а в касперского хотелось бы кинуть камень - их жадность дошла до того что они внесли в черный список ключ, который приходит на официальном dvd одного компьютерного журнала. причем выбрасывает баннер с предупреждением каждые две минуты, пришлось снести. и это при том что я покупаю этот журнал на 90% изза ключа! ну не свинство ли?
    -   | rank:83 | post-id:33624|04.04.2009/19:02
 
46  pimpf_Rt :
Попала ко мне машинка одна как-то. В синий экран при загрузке постоянно отваливалась с ошибкой 0x0000008E. Будто дрова какие-то сглючили. Анализатор дампов не прояснил ничего. Запустил с LiveCD Autoruns и отрубил загрузку драйверов с подозрительными названиями. (Еще даты создания помогли) Загрузился нормально и CureItом прогнал. Он эти же дрова и опознал как вирусы и вычистил.
    -   | rank:4 | post-id:33619|04.04.2009/10:03
 
45  Peter Tomsky :
Перечитал здесь написанное, но по поводу запрета запуска каких либо программ есть более простой способ, как оказывается известный ещё с ~2002 года. Вирус, либо другой зловред прописывает в ветку реестра
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
имена файлов которые нужно запретить (например: "avp.exe", "regedit" и т.д, в моём случаее около 120 имён антивирусников, сканеров, чистилок и т.д.) c параметром "Debugger" = "C:\Program Files\Common Files\Microsoft Shared\virus_body_name.exe"
И всё! Далее наверное понятно, что происходит :)
Столкнулся с этим "эффектом" при установке KIS7 и KIS8 на "пролеченные", т.е. "чистые" машины. Установка проходит нормально, но при попытке запуска KIS (либо любой другой программы внесённой в этот список) ничего не происходило. Собирался переустанавливать систему, когда решил проверить всё ещё разок. Через FAR зашёл в папочку "C:\Program
Files\Kaspersky Lab\Kaspersky Internet Security X.0\" и попытался запустить 'avp.exe' и 'avp.com'. С огромным удивлением прочёл системное сообщение о том, что файл avp.exe (avp.com) не найден!
Об этом написал на форум Kasperskogo, - ни "спасибо", ни "пошёл нафик дурак", ответа небыло :) Дело было в сентябре 2008г, и как я понимаю до сих пор не исправлено.
    -   | rank:4 | post-id:33595|03.04.2009/14:16
 
44  rand0m :
удалить сервис под
GUI - A@S Install/Remove Service (free, недавно нашел, драйверы тоже чистит, но под вистой не тестировалась) http://rmen.ru/content/view/97/40/
    -   | rank:3 | post-id:33580|02.04.2009/16:43
 
43  rand0m :
удалить
CLI - instsrv.exe или sc.exe из resource kit
    -   | rank:3 | post-id:33577|02.04.2009/16:32
 
42  Alexx :
Если что-то непонятно как запускается - не забывайте проверять список сервисов, останавливать левые и только потом лечить/убивать. Кстати, как бы убрать из списка сервисов вирусные, которые остановлены, вылечены, сами исполняемые файлы удалены.. а в сервисах записи остались (
    -   | rank:159 | post-id:33575|02.04.2009/15:55
 
41  bitbucket :
[to Cooler] virustotal.com ловит то, что известно. А вот новые вещи можно в threatexpert.com скормить. Работает не быстро, но результаты довольно интересные бывают.
    -   | rank:8 | post-id:33563|02.04.2009/13:51
 
40  Sve :
В качестве профилактики есть проги типа ShadowUser. Система загружается, но все изменения пишутся в виртуальную файловую систему, расположенную в пустом пространстве диска, при перезагрузке изменения стираются. Оставить только несколько каталогов-исключений, и никаких проблем
    -   | rank:176 | post-id:33540|02.04.2009/04:42
 
39  RoadDreamer :
[to Umlyaut] Ещё раз убеждаюсь, что образ системного раздела жизненно необходим. Как и само разделение диска на системный и юзерский разделы.
А работа под учёткой локального админа - это реальность данная нам в ощущениях на каждой свежеустановленной голой ХР. Самопалам-юзерам остаётся лишь пользоваться этой реальностью, ибо настроить учётку с ограничениями им лениво или не хватает знаний, сюда-же уязвлённое "бабуинское эго". Результат плачевен, хоть и помогает зарабатывать: кому - на пиво, а кому - и на
автомобиль.
    -   | rank:1525 | post-id:33537|02.04.2009/03:16
 
38  IG :
Если AVZ не дают запускать, тут явно что-то не в порядке...
По поводу ловли гадов рекомендую форум virusinfo.info. Там как на военкоматском медосмотре, процедура многократно отработана, выполняется быстро.

ЗЫ: Уважаемые параноики! Имейте ввиду...
Я вот когда последний раз параноил на такую штуку натолкнулся... AVZ, GMER, Rootkit Unhooker и так далее, все они для колупания в "запретных" местах ставят свои драйверы, и потом не всегда удаляют. А поскольку маскируются они от вирусов, то отсюда случайные имена файлов и всё такое. Короче, чем больше софта уже использовано для борьбы с гадами, тем больше
подозрительных безымянных драйверов глаза мозолят. Создаётся иллюзия что "они наступают". :)
    -   | rank:3 | post-id:33536|02.04.2009/03:01
 
37  otv :
Мне кажется, ссылка на порноресурсы элементарно правиться Ad-Aware. Да он, к тому же, бесплатен. Совет по лечению заразы: LiveCD (DrWeb, KAV 5.0 в запущенных случаях - ставим локально, базы со своего сервака по сети (флэхи) и записываем Ad-Aware со свежей базой. Вирусы убиваем, трояны... сложный случай. Они (некоторые) могут прописать себя первичным shell'ом! Кокнуть
легко, но запусти потом винду;) Одним словом, грузите по ребуту в Safe mode, и Ad-Aware первым залпом. Уж регистры-то он вам исправит. Потом - тяжелой артиллерией, вроде Каспера с новейшими базами. И вот вам из последнего - накануне 1 го апреля случилось: Понадобилось редактнуть содержимое старой своей веб-странички на Народ.ру: файл выложить, ссылку воткнуть на Home page. Из
лени решил прямо из FrontPage это сделать, да и времени было в обрез. Вообще-то я такое из FAR'а привычен стряпать, да в облом стало качать туда-сюда, да сравнивать. Надо ли говорить, что лень сия моментально (и увы, справедливо) была наказана? Страница болтается года, боюсь соврать, с 2002-го, а правил ее последний раз в 2004-м. Ну, скриптами народными я не пользовался,
хотя их и не удалил. А зря, выходит - похоже, были они дырявы, и кто-то подменил главный индекс на установщика троянов. Агнитум честно предупредил об активности по внедрению, но я как раз занимался копи-пастом из ВинВорда, потому и не среагировал - подумалось, обновленный ОутПост делает ререги... Самое смешное было в том, что базы все были дня текущего. Но никто ничего не
увидел! А укж проверял всем, как только неладное заподозрил - модем начал помигивать в ситуации, когда от него того не ждали. ФАР, как всегда, не подвел: сортировка по времени в каталоге с ЭксПёй, ну и волшебное Alt+F1, "0" - и память как на ладони. Короче, если найдете у себя файлы с именем servises.* (А не services.* !), то знайте - вас посетил Зверёк! Да сортировка
по времени вам сразу это подскажет. Не думая ни секунды, удаляйте нафиг из памяти, потом в каталоге по Shift+Del, и готовтесь к опрокидону, как в случае с тем первым, нашумевшим Бластом. По часикам-таймеру система опрокинется. Но не совсем, конечно - повиснет сетевой сервис только, но штатно после этого уже не ребутнуться. Только резет! Возможно, оно и к лучшему - в такой
ситуации "намазанные дерьмом" регистры не сохраняться, и читается их копия из "сохраненки", которая была успешна последней (и она чиста от зверя!). При старте выходим по F8 в Safe mode, чистим для контроля Ad-Aware, (результативность не гарантирую;) но совесть очищается, точно! Не забываем глянуть msconfig, или XP Tweaker'ом, но запуск этого
serviSes.exe запрещаем. Последующий ребут еще не избавит от поиска в домашнем каталоге текущего пользователя одноименного с папкой экзешника: Если под админом - Администратор.exe, а если вы Вася - файла Вася.exe - и такие логины видел тоже. Хотя, это можно проделать еще в безопаске. Да, найденный файл удаляем мимо корзины. И только после этого говорим: "Пипец!" Забыл
добавить: в каталогах времянок - винды и юзера (как и в \XP\TEMP !) генерятся файлы, вкл. экзешники, так вот: сносите их тоже нах... контролируя память из FAR'а. Сначала в памяти убей, потом - экзешник (либу) А не наоборот;) Убить нельзя - хоть перешли, куда-нить в \0\ в ХРюшином разделе, и только!
    -    ICQ:401083608  | rank:77 | post-id:33532|02.04.2009/01:57
 
36  DIKKI :
Блин 3 часа провозился.. там комп ещё нереально тормознутый...
короче DrWeb тоже них не смог найти как не нашел ни Нод ни Каспер..
пришлось ручками.. обнаружил эту подлую .dll в плагине (медиаплеера) по адресу:
Documents and Settings -> All Users->Application Data->Microsoft->Media Player вот тут была dll шка которой там вообще-то быть вообще не должно. Она и показывала порнуху в браузере.
    -   | rank:1035 | post-id:33514|01.04.2009/22:44
 
35  Рус :
Брались за Юникс, и за Линукс. Только как-то при открытом коде спрятаться негде. $10000 за вирус.
    -   | rank:185 | post-id:33501|01.04.2009/19:52
 
34  TedBeer :
файлы могут быть и не видны - грамотные вирусы/трояны скрываются в файловых потоках на NTFS
    -    ICQ:9637948  | rank:73 | post-id:33496|01.04.2009/19:14
 
33  Umlyaut :
[to StraNNicK]
>дело не только и не столько в линуксе, сколько в привычке работать под админской учёткой.

Это не только привычка, но, зачастую, неизбежность - сплошь и рядом криворукие головожопые программеры пишут свои поделия так, что они требуют прав локального админа даже для работы. Про инсталляцию уж и не говорю... Ну а наступая на эти грабли раз от разу, поневоле "привыкнешь" сидеть под локальным админом.
Впрочем, это я уже повторяюсь -
здесь http://cooler-online.com/sc.php?cl130209.html&9
всё это уже перекашляли (богатая выросла ветка).

>Виста в этом смысле куда ближе к линуксу. :)

Если только как подражание (своим UAC-ом). В вышеуказанной ссылке уважаемые соресурсники говорили, что и в Висте эти корявости не изжиты... Плюс у висты своих "скелетов в шкафу" хватает...
    -   | rank:600 | post-id:33482|01.04.2009/17:01
 
32  StraNNicK :
Блин, не то нажал...
Вот ссылка: http://strannick.blogspot.com/2009/03/skuchniye-veshi.html

Просто я последний месяц разгребаю последствия вирусной эпидемии в локалке на новой работе, наболело.
   strannick@gmail.com   ICQ:7436239  | rank:17 | post-id:33473|01.04.2009/14:55
 
31  StraNNicK :
Я думаю, что если линукс, то панацея, да. Все эти "за него просто плотно не брались" я слышу уже дай бог памяти лет 10.
Между тем, я полностью согласен с камрадом Umlyaut - дело не только и не столько в линуксе, сколько в привычке работать под админской учёткой. Виста в этом смысле куда ближе к линуксу. :)

Вот скажите честно, как часто вы встречаете выполнение вот этих нехитрых правил?
   strannick@gmail.com   ICQ:7436239  | rank:17 | post-id:33472|01.04.2009/14:54
 
30  Cooler :
а вы что, думаете, если линукс, то панацея, да?
просто за него плотно не брались. винды больше. ее и окучивают.
   chizh@irk.ru  | rank:1277 | post-id:33467|01.04.2009/14:39
 
29  Umlyaut :
[to Jh]
>проще переставить систему, хотя это не спортивно

Неспортивно, ага. Зато эффективно.
У винды из рук вон плохо с прозрачностью при всяких траблах - даже логгирование слабо помогает: сообщения в Event Log`е предельно лапидарны и малоинформативны, а МСный сайт на каждый код ошибки выдаёт сильно больше одной версии происходящего (попробуйте то, потеребите сё, плюньте тут, потрите это... тьфу, шаманство какое-то).
    -   | rank:600 | post-id:33464|01.04.2009/14:17
 
28  Umlyaut :
...созерцая ветку, на ум приходит недавняя дискуссия с элементами холивара по ОСям. В частности, тот её аспект, где обсуждались "подводные грабли" работы в винде под локальным админом и всё такое. Что-то мне шепчет, что во всех упомянутых тут случаях дело было именно под админской учёткой, ы?

//меня попрошу лишний раз не холиварить - я-то как раз, в основном, по винде... что, впрочем, не обязывает меня любить её больше, чем она того заслуживает... //
    -   | rank:600 | post-id:33462|01.04.2009/14:12
 
27  Jh :
[to DIKKI]
если есть подозрения на вирус, я обычно сразу загружаюсь с liveCD и с флешки запускаю свежий антивирус - исключается ситуация когда висящий в памяти вирус не дает себя обнаружить. основой недостаток - долгое время проверки при большом количестве файлов. в этом случае проще переставить систему, хотя это не спортивно.
    -   | rank:144 | post-id:33460|01.04.2009/14:06
 
26  DIKKI :
[to Cooler] у мя не паранойя ))
Там конфликт в семье.. отец говорит что жена порнуху подцепила - жена что он сам а потом они оба на сына - 7 лет который играл в игру с диска.. сын теперь сидит под арестом, жена не готовит а муж курит...
    -   | rank:1035 | post-id:33456|01.04.2009/13:28
 
25  DIKKI :
[to dimm] И тебе спаибо
[to otz] И тебе!
Пошел я на пиво зарабатывать, потом отпишусь как прошло..
    -   | rank:1035 | post-id:33455|01.04.2009/13:24
 
24  Miaso :
Да тоже решил свои 5 коп кинуть в общую базу знаний. Так вот самая крутая штука это Autoruns.zip от Марка Руссиновича http://www.sysinternals.com/ вот она все показывает в ней удобно отключить не нужные загружаемые автоматически всякие бяки. Да и удалить тоже не проблема. А если вирус мониторит ветки реестра и автоматом добавляет себя и его не видно в процессах то поможет AVZ с
его функцией отложенное удаление файла. ВОТ!
    -   | rank:1 | post-id:33454|01.04.2009/13:19
 
23  otz :
Не мог пройти мимо прочитав все это.
Приятель также подцепил такого порно-виря с отправкой смс.
Порно баннер был на пол экрана, поверх всех окон. Ничего не возможно было запустить, ни avz,ни другие бесплатные антивир-утилиты, ни редактор реестра, ни безопасный режим. IE тоже не запускался. Ах да, и диспетчер задач также. Хотел запустить ProcessExplorer от SYSINTERNALS чтобы посмотреть процесс который нужно убить - фиг там. Помогла утилита CurrProcess. И то пришлось
переименовать файл в такой примерно вид fhkhfgmk.exe. Увидел процесс примерно такого же вида - хаотичный набор символов и цифр, убил его, баннер пропал. Секунд через 5 появляеться опять. Смотрю в процессы, имя у него уже другое, так же хаотичный набор символов. В ..\Local Settings\Temp\ обнаружил штук 10 файлов, без расширения с такими же именами(наборами сиволов) в том числе
там были уже имена, одноименные процессы которых я убил. Удаляю все эти файлы, завершаю процесс - все, баннер не появляется. НО!! как и раньше ничего не запускается, пробую установить антивирус, никакой реакции. Перезагружаю комп, все по новой. Часа три я возился с этой машиной. Помогло мне одно, в каспере на своем ноуте обновил базы и сделал загрузочный диск(потребовался
pebuilder и дистрибутив винды). Загрузился с него, и просканировал весь диск. Убил вирусы, это были какие то dll-ки в папках Documents and Settings и windows/system32/. И все, при следующей загрузке баннера уже не было. Пришлось еще правда почистить от остатков вируса реестр.

Счастливый отец теперь разрешил своему ребенку(который не понимал, почему папа с крупными глазами не разрешает ему включать компьютер говоря что он поломался) включить компьютер.
   otz@inbox.ru  | rank:1 | post-id:33423|01.04.2009/11:10
 
22  Cooler :
[to Creature] http://www.virustotal.com/
помогает, когда есть что проверять. В данном случае, как я писал, я даже вхождения не нашел.
Однако, Rootkit Unhooker помогает сделать дамп.
Классная штука. Можно все подозрительные процессы дернуть и скормить VirusTotal.
несколько муторновато, но...
скормил прикольный "драйвер" из директории temp/ - VirusTotal ничего не сказал.
скормил все подозрительные тоже - пусто.

наверное, паранойя разгулялась :)
"тяжело искать кошку, когда ее нет..."
   chizh@irk.ru  | rank:1277 | post-id:33399|01.04.2009/08:11
 
21  dimm :
[to DIKKI] Гугль-то работает? Вот пара ссылок по теме:

http://blog.jawsik.com/?p=420&cp=5
http://www.dmosk.ru/polezno.php?review=9
    -   | rank:120 | post-id:33398|01.04.2009/08:05
 
20  vayer :
2 DIKKI
В IE7 зайди Сервис - Управление надстройками - в появившемся списке отруби все подозрительные - и будет тебе пиво.
    -   | rank:15 | post-id:33389|01.04.2009/05:17
 
19  DIKKI :
[to R.U.S.I.K.] Там у соседа русский виндоус (и к мя тоже) но идею я понял.. No Add-ons вот это я нашел.. я Reset не вижу...
Боюсь что не поможет.. я уже ресет делал сегодня пару раз.. не помогает ((
Там адрес то можно любой писать и он открывается на полсекунды а потом всплывает эта порнуха (а адрес правильный в строке)
Я же говорю - полный ресет делал и надстройки отключал и блокировал все всплывающие окна и возвращал заводские настройки.. не помогает ((
Я за время это мог уже винду 3 раза переставить.. но у него там игры ценные ....
    -   | rank:1035 | post-id:33381|01.04.2009/04:27
 
18  DIKKI :
[to R.U.S.I.K.]ыыы и тебе спасибо, завтра попробую :)
    -   | rank:1035 | post-id:33380|01.04.2009/04:17
 
17  Cooler :
[to theli] О! спасибо! слона то я и не приметил. Попробую, расскажу.
   chizh@irk.ru  | rank:1277 | post-id:33374|01.04.2009/03:31
 
16  R.U.S.I.K. :
[to DIKKI] Всё проще простого, тем более с IE8. Запускаем IE с ключом -extoff (No Add-ons), ярлык есть в Start -> Programs -> Accessories -> System Tools.
Menu Tools -> Internet Options -> Advansed -> [Reset]
Через пару минут всё чисто. А соседу скажи, что бы не тыкал мышом во всё что движется в наших интернетах ;-)

P.S. Знакомые идиоты отправили SMS, лишились 170 р., но так и не получили лекарства. Зато я упился пивом ровно за 7 мышиных кликов :-)
   rusik@land.ru   ICQ:1314468  | rank:522 | post-id:33370|01.04.2009/03:13
 
15  Creature :
Rootkit Unhooker поможет, анхукнуть и убить.
virustotal.com поможет в опознании тела.
    -   | rank:27 | post-id:33369|01.04.2009/02:56
 
14  DIKKI :
[to Dimonius] ыыы спасибо, завтра попробую... блин 4 часа убил...

бывают же такие бесцовестные любди которые таким способом зарабатывают себе на хлеб с маслом ((
    -   | rank:1035 | post-id:33365|01.04.2009/02:39
 
13  PG :
Ну всё. Пошли охотничьи истории. :)
    -   | rank:95 | post-id:33358|01.04.2009/01:52
 
12  Dimonius :
Лично у мя вообще все из ветки Internet Explorer снесено (я им не пользуюсь, поэтому никакие тулбары, екстеншены и прочее мне не нужны).

Один раз на машине вира прописалась в прокси - поднимала локальный прокси и все браузеры показывали порнуху (она этим локальным прокси автоматом цеплялась в конец). Но 90% - Helper Object
    -    ICQ:3977220  | rank:62 | post-id:33353|01.04.2009/00:25
 
11  Dimonius :
[to DIKKI] поставь на машину http://www.anvir.net/ (он бесплатный). Идешь на закладку "Автозагрузка" (первая) и сносишь все, что в ветке IE Helper Objects - оно туда прописывается. Я эту порнуху уже с 6 компов друзей/знакомых вычистил ей :)
    -    ICQ:3977220  | rank:62 | post-id:33352|01.04.2009/00:23
 
10  kuslik :
можно ещё hosts посмотреть
скорее всего туда накакано

    -   | rank:11 | post-id:33349|01.04.2009/00:09
 
9  611 :
Первую бяку (kdsak...) каспер уже находит, правда с чистой системы, из под зараженной - нет. Со второй не сталкивался.
Бяка выражала себя странно - убивала процессы оперы и мозилы, ie при этом не трогала. Похоже, скачивала какие-то mission-specific модули - в темпах обнаружилась пара странных исполняемых файлов, не ловящихся антивирусами.
Вылечилась просто - откатом на чистый бэкап :)

Как влетела - х3, на машине стоял каспер, юзалась исключительно опера, правда с включенными жабаскриптом и плагинами (по факту = включенным флешем, ничего другого под нее не ставилось). В сети чисто + включен kernel packet filter с весьма агрессивными настройками, винда SP3. Итого либо дыра в опере, либо дыра во флеше. Влетело, вероятно, с какого-то сайта с онлайн-кино.
    -   | rank:31 | post-id:33343|31.03.2009/23:41
 
8  goggio :
2 DIKKI:
Посмотри HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes
Иногда злобные вирусы прописывают вместо стандартного префикса http:// свой адрес с редиректом. В результате ты почти в любом случае попадаешь на какую-то порноту...
    -   | rank:1 | post-id:33339|31.03.2009/23:15
 
7  DIKKI :
Блин сегодня весь вечер провозился с компом соседа - подцепил в IE порнуху какую-то.. короче при открытии любой страницы вылезает 4 картинки сексуально-непотребного плана и предложение послать СМС и получить код для того чтобы это убрать..
Чего я только не делал.. Каспер - не видит, NOD32 тоже.. поставил IE8 с диска - эта хрень появилась в IE8, легализировал винду - но не могу выйти на сайт апдейта чтобы пропатчить вместо майкрософта вылезает все таже порнуха..
Прикиньте?
- загрузил Оперу (тоже с диска) но с нее на сайте майкрософта токо говорят "спасибо за проявленный интерес.. и скачайте себе IE"
Установил IE8 заново (он предыдущую сначала удаляет) но все равно тоже самое..
Отключил все надстройки, установил стартовой пустую страницу - нет не помогает...

Чего делать-то? копаться во всей винде выискивая подозрительные файлы? - я не очень отличаю нормальные от подозрительных в отличие от Касперского.. (да и он тоже вот не отличил)
Короче первый раз такое скотство увидел....


Поставил ему автоматическое обновление с сайта майкрософт (без браузера, автоапдейт) но не знаю поможет ли...
    -   | rank:1035 | post-id:33337|31.03.2009/22:55
 
6  qqmbr :
Есть еще такая штука - ERD Commander. это windows live cd от Winternals. позволяет ковыряться в реестрах мёртвых/зараженных систем. ну и куча прочих плюшек. есть даже некий Service and Driver Manager но я им не пользовался, не знаю как он себя покажет в данной ситуации.
    -   | rank:83 | post-id:33328|31.03.2009/22:37
 
5  theli :
т.к. присутствует SPTD то, скорее всего, это драйвера виртуальных приводов Alcohol 120% / Daemon Tools

"нет вхождений" потому как из режима ядра очень просто себя спрятать от пользователя

в любом случае можешь просто их снести как драйвера из
HKLM\SYSTEM\CurrenControlSet\Services
или из менеджера устройств (вид-отображать какие-то там устройства)
    -   | rank:3 | post-id:33313|31.03.2009/21:40
 
4  Ezbar :
попробуй утилиту sality_off, мне помогло. вирус прятался в драйверах. блокировал запуск антивирусов, регедита и безопасного режима. промучался весь день. поставил Авиру - узнал название вируса, нашёл утилитку у Касперского. Все починил за 10 минут :) надо сканировать все файлы.

Удачи :)

P.S. в комплекте набор рег файлов для разблокирования безопасного режима. утилиту запускать в обычном режиме.
    -   | rank:5 | post-id:33310|31.03.2009/21:27
 
3  vvd :
Отправь в антивирусную лабораторию. Мне, бывало, приходили письма с экзешниками, на которые антивирус не реагировал. Отправлял в drweb на мыло (сейчас там даже форму сделали, http://vms.drweb.com/sendvirus/ ). Попадало в сканер в тот же день. Мне присылали стандартное письмо-благодарность с условным названием нового вируса :-) .

Дряни в интернете ежедневно рождается достаточно. Не всё успевает попасть на ловушки лаборатории.
    -   | rank:135 | post-id:33305|31.03.2009/21:16
 
2  ilya_ya :
Загрузиться с какого-нибудь LiveCD типа Windows PE или Puppy Linux
http://puppyrus.org/ и поискать эти странные файлы в условиях незаражённой системы. Ещё попробовать Rootkit Unhooker (правда, где найти свежий дистрибутив, не знаю).
    -   | rank:4 | post-id:33296|31.03.2009/20:57
 
1  als :
реестр можно пошерстить, загрузившись с сидюка c BartPE c плагином http://regeditpe.sourceforge.net/
    -   | rank:33 | post-id:33294|31.03.2009/20:53

это мой е-майл Боря делал дизайн