Курский Форум

Кто когда последний раз делал проверки? Скока вирусов было? Много ли они испортили? и т. д.

В последний раз када пришёл с винтом от друга нашёл около 7!!!

последний раз по весне мочила гадов… выцепила у знакомого, покоцали всю масяню и еще чего по мелочи… масяню жалко… скорбим. ::blink.gif::

А у меня вообще нету антивирусника я просто убиваю систему каждые 2мес и ставлю новую..

BlackSun писал(а):А у меня вообще нету антивирусника я просто убиваю систему каждые 2мес и ставлю новую..

А вирусягт ведь ещё заражают .ехе фалы и плодяца как кролики, тут тебе на помощь прейдёт антивирусник - Касперский::smile24.gif::

Когда увлекался вирусами - насчитывал около 200-300…
А сейчас забил на это дело и ни одного…

Виталик писал(а):Когда увлекался вирусами - насчитывал около 200-300…
А сейчас забил на это дело и ни одного…

Эт чё? ты сам делал? или просто было впадлу убивать их?

Не далее как вчера проверял, нашел пару троянов…

BlackSun писал(а):А у меня вообще нету антивирусника я просто убиваю систему каждые 2мес и ставлю новую..

RESPECT FOR YOU
А Norton Ghoost позволит тебе делать копию винды и быстро восстанавливать ее!
Я ставлю винду, дрова, основной софт. Потом делаю образ диска. Потом пишу его на DVD!
Восстановление занимает 20 минут при этом все уже установлено и настроено!
Norton Ghoost входит в комплект Norton Utilites Prof

ПРОСТО И СО ВКУСОМ!
Я в сети сижу только под VmVare! НА виртуальном компе! Если замечаю атаку делаю
восстановление!
На виртуальном компе винт не отформатируют проц не разгонят Bios не прошьют!
А еще можно использовать Virtual PC вот только где его взять?

Caratel писал(а):
BlackSun писал(а):А у меня вообще нету антивирусника я просто убиваю систему каждые 2мес и ставлю новую..

А вирусягт ведь ещё заражают .ехе фалы и плодяца как кролики, тут тебе на помощь прейдёт антивирусник - Касперский::smile24.gif::

На самом деле все гораздо хуже и одним Касперским не отмохаешься
ПОВЕРЬ МНЕ!
Кстати на файловом обменнике есть ключ к Касперскому для ИНТЕРНЕТА и он работает аж год и обновление по FTP поддерживает!
http://tutmatov.kursknet.ru/files/programms/_kis6KEY2007.rar

BlackSun писал(а):А у меня вообще нету антивирусника я просто убиваю систему каждые 2мес и ставлю новую..

Нада сказать весма глупо…. За системой можно просто ухаживать…

BlackSun писал(а):А у меня вообще нету антивирусника я просто убиваю систему каждые 2мес и ставлю новую..

афигительный подход. наверно рады твои знакомые когда приходят к тебе за парочкой и программок и фильмов, а получают в подарок бесплатно еще с десяток вирусов::laugh24.gif::
они ж (вирусы) у тебя никуда не денутся от сноса венды, так и гуляют по винту::biggrin24.gif::
сам сижу уже давно в линуксе и в антивирусе не нуждаюсь, правда стоит clamav, после скачки какого-либо файла, который может оказаться зараженным виндовым вирусом, он сканируется - вдруг мне придется его кому-то давать?
clamav бесплатный, консольный, оперативу почти не грузит

BlackSun писал(а):А у меня вообще нету антивирусника я просто убиваю систему каждые 2мес и ставлю новую..

Ну ты и извращенец::huh.gif::
Лечил как то в салоне компьютер, так там было разновидностей вирусов штук 40, и зараженых объектов около 90000, и с этим он продолжал работать, платижи вбивал, музыку и фильмы показывал::biggrin24.gif::, у самого вирусов нету уже года три, потому что стояли DrWeb, фаерволы, а щас стоит Kaspersky Internet Security v6.0.300::wink24.gif::

Недавно, где-то с месяц назад вышел новый кроссплатформенный вирус -работающий и под w32 и под linux. Вскоре выступил Линус Торвальдс (главный разработчик ядра, фактически основатель-создатель линукса) и грустно сообщил неизвестному афтару вируса, что уязвимости которую использует вирус уже давно нет в ядре, она присутствует лишь в очень старых версиях. Но пусть аффтар не горюет, потому как он (Линус Торвалдс) выпустил патч к свежему ядру, который позволяет этому вирусу нормально функционировать, правда за последующие версии он не ручается.::rolleyes24.gif::

Mental писал(а):Недавно, где-то с месяц назад вышел новый кроссплатформенный вирус -работающий и под w32 и под linux. Вскоре выступил Линус Торвальдс (главный разработчик ядра, фактически основатель-создатель линукса) и грустно сообщил неизвестному афтару вируса, что уязвимости которую использует вирус уже давно нет в ядре, она присутствует лишь в очень старых версиях. Но пусть аффтар не горюет, потому как он (Линус Торвалдс) выпустил патч к свежему ядру, который позволяет этому вирусу нормально функционировать, правда за последующие версии он не ручается.::rolleyes24.gif::

Жесть…. Майа ржаЛо…. До потери пульса….

2 FailSafe

А вот эта штука про востановление винды мне очень понравилась, нада гнеть надыбать

, А то 2 часа заморачиваться впадлу, надоело.

Caratel писал(а):2 FailSafe

А вот эта штука про востановление винды мне очень понравилась, нада гнеть надыбать , А то 2 часа заморачиваться впадлу, надоело.

Есть штука InstalRite Называеться… Делаешь снимокъ системы… устанавливаешь любой софтъ… Делаешь второй снимокъ… И всё… Прога создаётъ всего навсего одинъ *.exe… Который установитъ всю ту кучу софта, который ты устанавливалъ между снимками… ::cool24.gif:: Вотъ такая хреновина… Разъ сделалъ… - Всю жизнь юзаешь… ::wink24.gif::

У мну када все практически .exe перестали открываться решила сделать-таки проверку - около 500 нашел, бр)

2 Amneotdam

500 это ладно, я один раз около года проверку не делал… сделал…очень испугался… точное число 704 выируса. ВСЕМУ МОЕМУ СОФТУ НАСТАЛА КРЫШКА, я чуть с окошка не скинулся…

Скажите, плз, я в этом совсем не разбираюсь, просто интересно.вот когда проверку делаешь все эти инфицированные объекты в основном в папке .. дай бог памяти)) систем вольюм информэйшн вроде)
а почему и ваще что это значит?)))))

2 Amneotdam

Это кароче папочка, куды собираются файлы для востановления системы, я закрыл доступ к ней, она теперь вечно пустая….

Caratel писал(а):Это кароче папочка, куды собираются файлы для востановления системы, я закрыл доступ к ней, она теперь вечно пустая….

а вирусам теперь куда идти? ::blink.gif:: ))))

Мне один чел закинул вирус, запрещающий доступ к exe файлам :mad:

Бывают давольно редко ! А так восновном проверяю касперским каждую неделю + скаченые файлы ! ::-ph34r.gif::

правиряю раз в месядз - ибо нет у меня заразы….

Вирусов (червей) почти не находил => и часто не проверяю
Но трояны и другие вреданосные программы бывают!

2 Amneotdam

В память, зарожать .exe файлы и т.д. Они хитрые и очень жвучие….!!!!

Caratel писал(а):Кто когда последний раз делал проверки? Скока вирусов было? Много ли они испортили? и т. д.

где-то на ДДД я похожее видел, вот только автора не помню…*SCRATCH* хотя вопросы те же самые, и тема с топиком не сильно отличаются…]:->

Отсюда - предложение, давайте не будем просто обсуждать количество вирусов, а рассмотрим факторы воздействия оных на систему в целом и отдельные файлы, принципы их работы и т.д., а то к тупику придем

BlackSun писал(а):А у меня вообще нету антивирусника я просто убиваю систему каждые 2мес и ставлю новую..

не всегда поможет… +софт тоже переставлять? геморрой….. а игры… с сэйвами м.п.

Caratel писал(а):А вирусягт ведь ещё заражают .ехе фалы и плодяца как кролики, тут тебе на помощь прейдёт антивирусник - Касперский::smile24.gif::

Да, потрясающее знание темы… Объясняю на личном знании информации о работе к.вирусов: для начала рассмотрим цели работы оных, таковых не так много: отказ в выполнении той или иной функции, раздражение пользователя, уничтожение данных и железа… существуют различные виды вирусов, среди них одни их наиболее распространенных - резидентные, обладающие поразительной плодовитостью и живучестью… Итак, теперь по порядку… для выполнения своей цели вирусу необходимо выполнить ряд действий… начнем с момента попадания вируса на ваш компьютер. Сначала большинство вирусов размножается, создавая свои копии в файлах, потом проявляются, в проявлении вирус выполняет свою цель. Иногда у вирусов встречается латентная фаза (без каких либо признаков размножения и проявления)
как правило фаза заканчивается выполнением определенного условия(ий) (возможно вирусу не подходит процессор компьютера для нормального функционирования)

Вирусу необходим исполняемый файл, таковыми как правило являются *.ком, *.ехе и текстовые файлы ворда с макросами…

Раскроем более подробно принцип работы резидентного вируса в целом (поражающего например *.exe файлы): сначала вирус должен перехватить управление, изменив точки входа, потом внести свою резидентную часть в выделенный блок оперативной памяти, и передать управление программе-носителю…
резидентная часть и поражает файлы, дописывая код вируса в начало, середину или конец найденного файла…
Постоянно находясь в оперативной памяти вирус перехватывает как правило прерывания ответственные за переход пользователя в другой каталог…(int 21h)
таким образом, меняя каталог за каталогом вы "открываете путь" вирусу, если он загружен в память… этим фактом и объясняется его высокая плодовитость.
При форматировании диска некоторые резидентные вирусы могут выживать!!!
Вирусы поражающие *.ехе файлы сильно распространены благодаря частому ипользованию тех же *.ехе файлов…

В заключение: каспер не всегда может помочь при борьбе с вирусами… суть в недостатке эвристического анализа при нахождении не известных антивиру вирусов…
Вывод: идеальной защиты от вирусов не может существовать, ибо фантазия их авторов безгранична, чему есть множество примеров…

40iN_KoS писал(а):Отсюда - предложение, давайте не будем просто обсуждать количество вирусов, а рассмотрим факторы воздействия оных на систему в целом и отдельные файлы, принципы их работы и т.д., а то к тупику придем

Чтож, согласен… давайте попробуем.

Caratel писал(а):
40iN_KoS писал(а):Отсюда - предложение, давайте не будем просто обсуждать количество вирусов, а рассмотрим факторы воздействия оных на систему в целом и отдельные файлы, принципы их работы и т.д., а то к тупику придем

Чтож, согласен… давайте попробуем.

Ну тогда начнем:
на мой взгляд, интересны факты из истории становления вирусов…

Подробнее:
История возникновения вирусов уходит достаточно глубоко в прошлое. Еще в 1959 году американский журнал "Scientific American" опубликовал статью Л.С.Пенроуза (L.S.Penrose) о самовоспроизводящихся механизмах. На ее основе F.G.Stahl создал модель миниатюрной линейной Вселенной, в которой существа жили, двигались и умирали от голода. Модель была запрограммирована на машинном языке ЭВМ IBM 650. Пищей для этих существ служили ненулевые слова. После съедания определенного количества слов существо порождало новое. При размножении были предусмотрены возможности мутаций, в ходе которых существа могли приобретать способность пожирать себе подобных и терять возможность к размножению. Однако ограниченная память и быстродействие IBM 650 послужили препятствием для получения интересных результатов: в ходе пробного прогона один бесплодный мутант убил и съел единственного, способного к размножению.
В 1972 году М.Макилрой из AT&T Bell Laboratories изобрел игру "ДАРВИН". По правилам этой игры, всякий игрок предоставлял известное количество программ, написанных на ассемблере, которые загружались в память компьютера вместе с программами других игроков. Эти программы были названы "организмами". Организмы, созданные одним игроком (т.е. принадлежащие к одному "виду"), должны были "убивать" представителей другого вида и занимать "жизненное пространство". Победителем считался тот игрок, чьи организмы захватывали всю память или набирали наибольшее количество очков. Разумеется, такие программы нельзя назвать вирусами, однако и здесь просматривается определенная аналогия с простейшими биологическими существами. Кроме того, здесь демонстрируется идея борьбы
программ, которая в известной мере предвосхищает ситуацию "вирус - средства защиты", имеющую место сегодня.
Другим ранним примером вирусоподобных программ была игра "ANIMAL" ("ЖИВОТНОЕ"). Суть этой игры состояла в том, что человек задумывал некоторое животное, и программа, задавая вопросы, пыталась определить, какое животное загадал человек. Программист, написавший игру, предусмотрел в ней возможность саморазмножения. Когда программа угадывала неправильно, она просила пользователя
предложить вопрос, который позволил бы улучшить ее способности к отгадыванию данного животного. Запомнив этот вопрос,программа не только модифицировала себя, но и пыталась переписать свою обновленную копию в другой каталог. Если там уже была программа "ANIMAL", то она стиралась. В противном случае создавалась новая копия. Оказалось, что через некоторое время все каталоги файловой системы содержали копию "ANIMAL". Более того, если пользователь переходил с машины на
машину, то он переносил и свой каталог, и в результате во всех каталогах этой ЭВМ также появлялась "ANIMAL".
При этом совокупность копий "ANIMAL" занимала значительное файловое пространство, что в те времена воспринималось как проблема. Для решения этой проблемы была создана новая, более "инфицирующая" копия "ANIMAL", которая копировала себя не один раз, а дважды. По истечении заданного срока она предлагала пользователю сыграть последний раз, а затем сама стирала себя с
диска. В вышедшем в 1975 году бестселлере "The shockware Rider" Джон Бруннер (John Brunner) описал "червей" - программы, распространяющиеся по сети, идею, которая произвела определенное впечатление, хотя ее осуществление находилось за пределами возможностей компьютеров того времени. Не без влияния этой книги в 1982 году в исследовательском центре фирмы XEROX была создана программа-червь. Идея, которой руководствовались авторы программы, состояла в том, что программа,
требующая значительных вычислительных мощностей, захватывала все простаивающие, но подключены к сети ЭВМ с тем, чтобы, например, ночью использовать максимум подключенных вычислительных мощностей, а утром, когда пользователи начинают выполнять свои вычисления, освобождать их, сохраняя промежуточные результаты вычислений. Днем программа "перебивалась" бы одной - двумя машинами, а ночью опять захватывала бы все свободные вычислительные мощности. В связи с этой
способностью к ночному распространению такую программу правильнее было бы назвать не червяком, а вампиром.
В своей статье, посвященной червяку, авторы упоминают о том, что основной проблемой, связанной с отладкой червяка, оказалось его неконтролируемое распространение и зависание части зараженных червяком машин. Поскольку эксперимент проводился на локальной сети Ethernet и часть комнат с включенными машинами следующим утром оказалась закрытой, копии червя в этих машинах заражали другие машины. К счастью, авторы предусмотрели такую возможность и послали по сети команду самоуничтожения всем копиям червяка.
Сюжет французского "шпионского" детектива "Software: La Cinerre Dance" Терри Брентона и Дениса Бениша, опубликованного в 1985 году, основан на продаже СССР американского суперкомпьютера для метеорологической сети. Вместо блокирования сделки американская администрация демонстрирует напускное нежелание санкционировать сделку. В то же время в системное программное обеспечение
компьютера заносится "логическая бомба". При определенных условиях она "взрывается" и уничтожает все программное обеспечение в советской сети. В той мере, в которой этот сюжет представляет собой реальную возможность, это самая настоящая война программ с агентом - подрывником в качестве действующего лица. Поскольку метеорологическая сеть так или иначе связана с авиационными и ракетными системами, роман заставляет нас задуматься.
В 1985 году в журнале "Scientific American" опубликована игра "Core war. В ней два игрока пишут по одной программе каждый на языке низкого уровня REDCODE. Программы помещаются в большой циклически замкнутый участок памяти. Управляющая программа поочередно исполняет одну команду каждой программы, подобно простейшей системе реального времени. Программы атакуют друг друга и в тоже время пытаются избежать повреждений и восстанавливать поврежденные области. Простейшая атака
состоит в использовании команды MOV (записать в память). Например: MOV #0, 1000 может "убить наповал" вражескую программу, если попадет в следующую исполняемую команду (т.е. если следующая выполняемая команда врага расположена по адресу 1000), или "ранить", если это данные или исполняемые команды, или, наконец, "попасть мимо", если ячейка 1000 противной стороной не используется.

так, уважаимыи… столкнулся я с такой заразой у друга:

win32.brontok.a - эта тварь поразила системные файлы и каспер не хотел лечить….

(он канешна форматнул винт и все путем) - но што енто за вирус, и с чем его едят…. ( я к тому што мож был у кого он)

Valdis Black писал(а):так, уважаимыи… столкнулся я с такой заразой у друга:

win32.brontok.a - эта тварь поразила системные файлы и каспер не хотел лечить….

(он канешна форматнул винт и все путем) - но што енто за вирус, и с чем его едят…. ( я к тому што мож был у кого он)

Вот - вот, каспер его не берет, это факт, можешь даже не пытаться….. ]:->

Вот инфа:

Email-Worm.Win32.Brontok.a

Другие названия
Email-Worm.Win32.Brontok.a («Лаборатория Касперского») также известен как: W32/Rontokbro.gen@MM (McAfee), W32.Rontokbro@mm (Symantec), BackDoor.Generic.1138 (Doctor Web), W32/Korbo-B (Sophos), WorBrontok.a (H+BEDV), Win32.Brontok.A@mm (SOFTWIN), Worm.Mytob.GH (ClamAV), W32/Brontok.C.worm (Panda), Win32/Brontok.E (Eset)
Детектирование добавлено 12 окт 2005 17:16 MSK
Обновление выпущено 12 окт 2005 21:22 MSK
Описание опубликовано 01 фев 2006
Поведение Email-Worm, почтовый червь
Технические детали

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь представляет собой PE EXE-файл. Размер зараженного файла около 41 КБ.
Инсталляция

При инсталляции червь копирует себя в следующие каталоги со следующими именами:
%Documents and Settings%UserLocal SettingsApplication Datacsrss.exe
%Documents and Settings%UserLocal SettingsApplication Datainetinfo.exe
%Documents and Settings%UserLocal SettingsApplication Datalsass.exe
%Documents and Settings%UserLocal SettingsApplication Dataservices.exe
%Documents and Settings%UserLocal SettingsApplication Datasmss.exe
%Documents and Settings%UserLocal SettingsApplication Datawinlogon.exe
%Documents and Settings%UserStart MenuProgramsStartupEmpty.pif
%Documents and Settings%UserTemplatesWowTumpeh.com/m
%System%<Имя пользователя>'s Setting.scr
%Windir%eksplorasi.pif
%Windir%ShellNewbronstab.exe

После чего червь регистрирует себя в ключе автозапуска системного реестра:
[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
"Bron-Spizaetus"="%Windir%ShellNewbronstab.exe"

[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
"Tok-Cirrhatus"="%Documents and Settings%UserLocal SettingsApplication Datasmss.exe"

[HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon]
"Shell"="Explorer.exe %Windir%eksplorasi.pif"

При каждой следующей загрузке Windows автоматически запустит файл червя.

Также червь изменяет следующие записи в системном реестре, чтобы заблокировать работу некоторых приложений и опций Windows (Системный Реестр, свойства папок):
[HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]
"NoFolderOptions"="1"

[HKCUSoftwareMicrosoftWindowsCurrentVersionexploreradvanced]
"Hidden"="0"
"ShowSuperHidden"="0"
"HideFileExt"="1"

[HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
"DisableRegistryTools"="1"
"DisableCMD"="0"

Также червь создает следующую папку:
%Documents and Settings%UserLocal SettingsApplication DataBron.tok-XX

XX – 2 случайные цифры.
Распространение через email

Для поиска адресов жертв червь сканирует файлы, имеющие следующие расширения:

asp
cfm
csv
doc
eml
html
php
txt
wab

При этом червем игнорируются адреса, содержащие следующие подстроки:

ADMIN
AHNLAB
ALADDIN
ALERT
ALWIL
ANTIGEN
ASSOCIATE
AVAST
AVIRA
BILLING@
BUILDER
CILLIN
CONTOH
CRACK
DATABASE
DEVELOP
ESAFE
ESAVE
ESCAN
EXAMPLE
GRISOFT
HAURI
INFO@
LINUX
MASTER
MICROSOFT
NETWORK
NOD32
NORMAN
NORTON
PANDA
PROGRAM
PROLAND
PROTECT
ROBOT
SECURITY
SOURCE
SYBARI
SYMANTEC
TRUST
UPDATE
VAKSIN
VAKSIN
VIRUS

При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.
Характеристики зараженных писем
Тема письма:

<пустое поле>
Имя файла-вложения:

Kangen.exe
Прочее

Червь перегружает зараженную систему в том случае, если обнаруживает открытое окно со следующими строками в заголовке:

.exe
Registry

Не здоровая канитель у тебя засела, решай дело с ним быстрее, червь есть червь…

Попробуй его вебом забить, мож поможет…хз

эт не у меня, у товарища - а он уже винт форматнул (так надежнее)

Valdis Black писал(а):эт не у меня, у товарища - а он уже винт форматнул (так надежнее)

единственный сто - процентный способ очистки винта от вирусов - механический: молоток, циркуль, ну карандаш на край…. Проверено!!!
Смотри посты выше… не все вирусы убиваются форматированием, но если уж не формат С, то куда там вообще антивирям…*FOCUS*
Резидентные вирусы Рулят…

У меня на компе был очень странный вирус. Вот сидишь в Worde работаешь, а тут бац все буквы в кучу ссыпаются и надо снова печатать. Я так и не понял что это такое. Просто Винчестер отформатировал

А вот у меня что-то стали ярлыки дюже стандартные, на одного друга похоже, он любит так делать, ща ключ на веба найду, и он умрет…

BlackSun писал(а):А у меня вообще нету антивирусника я просто убиваю систему каждые 2мес и ставлю новую..

И новый жеский раз в пол года берешь?=-O*HOHO*

P.S. У кого-нить стоит такая тема,как Lavasoft Ad-Aware SE Personal ???
Если нет,поставьте,проверьте систему и удалите столько всякой х….будете шокированы,если раньше этого не делали)). Трояны,автодозвонщики…и прочая х. *FOCUS*

40iN_KoS писал(а):Резидентные вирусы Рулят…

к счастью для моего bios`a таковых не встречал

)

Valdis Black
Это ты так думаешь, были они у тебя… 100%
Просто с тобой не поздоровались… их много и они оч.часто встречаются…

Dust писал(а):P.S. У кого-нить стоит такая тема,как Lavasoft Ad-Aware SE Personal ???
Если нет,поставьте,проверьте систему и удалите столько всякой х….будете шокированы,если раньше этого не делали)). Трояны,автодозвонщики…и прочая х. [/b][/color][/size]

насчет адварины (ad-ware) я могу сказать - гнать ее в зашей… эта прога хороша…

з.ы. новый каспер тож видит адвар и спивар (spyware) программы…??

Valdis Black писал(а):насчет адварины (ad-ware) я могу сказать - гнать ее в зашей… эта прога хороша…

з.ы. новый каспер тож видит адвар и спивар (spyware) программы…??

Не нравица адвейр?*SCRATCH*

Dust
читай правильнее "насчет адварины (ad-ware) я могу сказать - гнать ее в зашей" ad-ware программы имелись ввиду…

Есть предложение: вы пишите имя найденных на вашей машине вирусов, я - их описание (сжатое или развернутое)…
Тут почитал, кто, что делает:

Название: WIN32.MTV.
Класс: вирус, резидентный, деструктивный.
Платформа: Win32.
Опасность: высокая.
Заражение компьютера происходит в результате запуска заразного файла. Остается в памяти Windows как обычное приложение, ищет EXE-файлы во всех каталогах диска C и заражает их. При заражении шифрует содержимое файла, сдвигает его вниз на длину вируса, а сам записывается в начало файла. Если при работе возникают какие-либо ошибки, выводит сообщение с текстом “Sorry” (какой вежливый), и принудительно завершает работу Windows (а вот это уже наглость!). И берегитесь: 13 числа каждого месяца удаляет все файлы с диска C.

Название: FlashKiller
Класс: троян, очень деструктивный
Платформа: Win32.
Опасность: очень высокая.
FlashKiller обладает всеми присущиму троянам функциями (т.е. процедурой распространения), но с добавлением одной очень неприятной вещи. Приходит троян, как и обычно, приаттаченным к письму в виде Win32 EXE файла. При запуске включается процедура посылки копий трояна всем адресатам из базы данных адресов Outlook/OutlookExpress. А вот затем срабатывает процедура, уничтожающая все данные на винчестере и стирающая Flash Bios, наподобие WinCiH. Анализ трояна показал, что это процедура была полностью списана из CiH, что уже облегчает нахождение паразита.

жесть.

40iN_KoS мне Ц не жалко… лишь бы Д Е и Х не потрахал ( а у товарища вообще нет Ц, то получается что, вирус не сработает?? или он работает на активном разделе винта с папочкой %windir%???)
а вот FlashKiller меня стращает =((( злой он

Valdis Black
FlashKiller - жесть, жалко, что копипастом сделан… хотя все равно, не хотелось бы столкнуться…

Ищу ключ на веба, засело минимум две вещи, предположительно порекс и еще что-то…не знакомое

каму нада найти рабочий вирь - http://www.spywareguide.be

FailSafe писал(а):Восстановление занимает 20 минут при этом все уже установлено и настроено! Norton Ghoost входит в комплект Norton Utilites Prof

Я пользую Acronis True Image, восстанавление проходит за 5 минут

FailSafe писал(а):Я в сети сижу только под VmVare! НА виртуальном компе! Если замечаю атаку делаю
восстановление!
На виртуальном компе винт не отформатируют проц не разгонят Bios не прошьют!
А еще можно использовать Virtual PC вот только где его взять?

ХА-ЁПТ! ну и зачем такое траханье мозгов? Нормально настроенного фаерволла хватит вполне. Сколько сижу в интернете, но через сеть у меня еще никто не форматировал винт! И насчет частоты моего процессора тоже никто не волновался, и никто так не заботился обо мне! (разгоняя его) :-D

С таким подходом параноя у тебя скоро разовьется до такой степени, что ты без презерватива в интернет выходить не станешь.

По поводу антивируса: сейчас у меня нет ничего, кроме фаервола, и вирусов тож нет. за три года у меня не было ни одного вируса который бы мне нанес сильный вред, был только безобидный MyDoom который ребутил систему. Я может и поставлю Каспера чуть позже, но не как постоянно работающее приложение, не как монитор, просто иногда буду запускать его и проверять систему. Мониторинг системы мне не нужен, лишняя трата системных ресурсов, да и зачем, если вирусы не пролазят.
Каждый решает сам, но я знаю точно: НИКАКИЕ ФАЕРВОЛЫ ВАМ НЕ ПОМОГУТ, НИ ОДИН АНТИВИРУС НЕ СПАСЕТ, ЕСЛИ У ВАС "КРИВЫЕ РУЧКИ/МОЗГИ"

FORTIS.EGO!ST
В.
Совершенно согласен…

Вопрос:
А что делаешь с инфой, перенесенной на винтах, дисках, дискетах…?

ПРО "Доктор Веб"

Компания "Доктор Веб" с радостью сообщает о публикации интервью с автором Антивируса Dr.Web Игорем Даниловым в журнале CNews.
Разработчик легендарного отечественного антивируса Dr.Web Игорь Данилов стал "человеком номера" майского выпуска журнала. По его мнению, антивирусы исторически занимают ключевые позиции на рынке информационной безопасности. Вместе с тем весь рынок антивирусов – это огромный мыльный пузырь, который держится на страхе пользователей.

В интервью журналу CNews гуру российского антивирусного рынка, основатель и технический директор компании «Доктор Веб» рассказал о том, каким должен быть настоящий антивирус, как выжить и развиваться, не ориентируясь только на максимизацию продаж.

Компания "ДиалогНаука" представила в каталоге Softkey.ru антивирус Dr.Web для Windows - мощное и надежное средство защиты персонального компьютера. В комплект программы входят шесть компонентов, объединенный в единый пакет, с общим инсталлятором, электронной справочной системой и документацией. Дружественный интерфейс программы обеспечивает простоту и гибкость настройки и предлагает - наглядные и гибкие средства выбора объектов тестирования вплоть до уровня отдельных файлов.

Сканер DrWeb32 позволяет гарантировано находить и обезвреживать непосредственно в памяти Windows изощренные "троянские" программы и вирусы, использующие нетрадиционные способы внедрения в память.

Другой важной составляющей антивируса является резидентный сторож SpIDer Guard, который позволяет организовать антивирусную проверку приходящих файлов "на лету" и осуществляет полный контроль вирусной активности на компьютере.

SpIDer является резидентной, то есть постоянно находящейся в памяти компьютера антивирусной программой, позволяя осуществлять перехват обращений к файлам и системным областям дисков и их проверку на наличие вирусов "на лету". Также SpIDer поддерживает специальный режим работы, в котором обнаруживается и блокируется вирусная активность, то есть попытки вирусов, в том числе неизвестных и даже неопределяемых эвристическим анализатором, заражать объекты на дисках компьютера.

Сторож SpIDer может делать все проверки автоматически, не отвлекая пользователя на специальные действия по обеспечению антивирусной безопасности. Важным частным случаем использования сторожа SpIDer является автоматическая проверка файлов, присоединенных к входящим электронным письмам. Если же зараженный файл получается по сети Интернет или другим каналам электронной коммуникации, то вирус будет обнаружен немедленно при создании файла на компьютере.

ЕЩЕ:
Мифы об антивирусе Dr.Web

Количество мифов, которые гуляют по просторам Интернета про антивирус Dr.Web, не перестает удивлять.
Мы решили собрать на нашем сайте все мифы, которые мы нашли про наш антивирус, и предлагаем Вашему вниманию то, что у нас получилось! Подробнее…

Эт с официального сайта… завтра скачаю, выложу…

[quote="FORTIS.EGO!ST"][/quote]
1)
НУ ЕСЛИ НА ВИНТЕ НИЧЕГО НЕ ИЗМЕНЯТЬ ТО И ВОССТАНОВЛЕНИЕ БОЛЬШЕ МИНУТЫ ВРЕМЕНИ НЕ ПОТРЕБУЕТ!

Попробовал Acronix - около двадцати минут вышло. Видимо или у тебя винт маловат, либо у меня комп тормозной! 40GB за пять минут даже скопировать не удалось!

Ты лучше подскажи где взять Acronis True Image в ISO формате очень хочется грузиться с флешки или CD.

2)
По поводу VMVare = Ну на вкус и цвет товарищей нет!
Недавно пришло мне письмецо странное, от хорошего знакомого знакомому доверяю, но
скриптам не очень, открвываю в VMVare - и летит у меня при следующей загрузке IE, откатил, повторно открыл письмо, разумеется с трассировкой и мониторингом реестра!
Ага попался вирус! Ну и другу REG файл скинул но свой реальный комп откачал!

А если в интернете только в АСЬКе и чатах сидеть, письма только в текстовом формате открывать, не скачивать софт, музыку и т.п. не ставить плагины, не пользоваться услугами анонимных прокси серверов, отключить JAVA и ActiveX - антивирус не нужен и интернет вроде как тоже!

Кроме есть куча кривого ПО которое работает хуже вируса на чем же как не на виртуальном компе его юзать???

Ну а насчет того, что никто не позаботится о твоем компе - это ты зря. Слышал я что появились новые полиморфные копии вируса Грушницкого (если не ошибаюсь процессоры после такого ремонту не поддаются*HOHO*)….

FORTIS.EGO!ST писал(а):ХА-ЁПТ! ну и зачем такое траханье мозгов? Нормально настроенного фаерволла хватит вполне. Сколько сижу в интернете, но через сеть у меня еще никто не форматировал винт! ……. С таким подходом параноя у тебя скоро разовьется до такой степени, что ты без презерватива в интернет выходить не станешь….

FORTIS.EGO!ST
вот тебе нормальненький такой вирус Касперыч пока его не видит
я его специально для тебя сохранил, а наткнулся случайно, как и каждый день.
И нахрен тебе твой фейрвол если поиметь могут на кукисах и скриптах???
Запускать не рекомендую, а код посматри, кстати на этом сайте полно всякого халявного софта по сетям! http://tutmatov.kursknet.ru/files/other/virusforyourtest.rar
ПАРОЛЬ: 125
скрипт безобидный, но запускать не стоит![/b]

40iN_KoS
я не совсем понял твой вопрос. если ты имеешь ввиду игры, фильмы, музыку и прочее, часто обновляемое и дополняемое, то всё это лежит у меня на другом разделе и, как правило, не требует переустановки после восстановления (только если игры… но я не геймер, мало их у меня). т.е. на диске, например "C:", куда у меня установлена виндовс ничего лишнего нет, кроме program files, windows и documents and settings так что восстановление проходит быстро, плюс я когда ставил винду, с которой делал образ отключил Восстановление системы, которое тоже немало места жрёт. вот и выходит что восстанавливаюсь в течении 5-7 минут.

FORTIS.EGO!ST
я имел ввиду не только инет, как источник заражения, а еще накопители на г и ж мд…

Написать вирус, который не видит ни один антивирь, достаточно просто при знании астмы.. к сожалению в нете полно инфы на эту тему.

До недавнего времени неследил за вирьками(пока знакомая не нахваталась по весне). Вот тот раз таки был целый букет молдавии. хде и от кого нахватался? да откуда я знаю, СД привода уже как 5 лет нет и лазию везде с винтом (тока у друга брал систему поставить привод на денёк)… потом как-то надоело убивать систему и заново всё собирать у друзей. Поумнел поставил антивирусник…

З.Ы. тут типа ктото говорил типа каждые пол года винт новый покупать после форматов и невсе вирьки убиваютса форматом…
На щет убийства винта ЧУШ!!! А вот на щет что невсе убиваютса есть такое дело… В помощь вам Ф-Диск досовский… Убиваем полностью винт с файловой системой… перегружаемся и получаем девственную машину…

З.Ы.Ы. помнитса был такой вирь в своё время win.32.chih(помоему… давно было могу и ошибитса) так этот сабака прописовалса в бюис на некоторых матерях, а в определенный срок(время) чисто стирал бюис… вот была тема!!! (жаль работал тока под 98 форточками)))))

Tem@ писал(а):… win.32.chih

Чернобыль называлси…

У меня вчера каспер вот эту каку нашёл:

вирус Virus.Win32.Parite.b

Чё это за бред?

Virus.Win32.Parite.b
Другие версии: .a

Другие названия
Virus.Win32.Parite.b («Лаборатория Касперского») также известен как: Win32.Parite.b («Лаборатория Касперского»), W32/Pate.b (McAfee), W32.Pinfi (Symantec), Win32.Parite.2 (Doctor Web), W32/Parite-B (Sophos), Win32/Parite.B (RAV), PE_PARITE.A (Trend Micro), W32/Parite (H+BEDV), W32/Parite.B (FRISK), Win32:BackDoor-Servu (ALWIL), Win32/Parite (Grisoft), Backdoor.FtpUServ.A (SOFTWIN), W32/Parite.B (Panda), Win32/Parite.B (Eset)
Описание опубликовано 17 янв 2005
Поведение Virus, компьютерный вирус
Технические детали

Резидентный паразитический вирус. По своим функциям полностью идентичен варианту Win32.Parite.a Отличается от него лишь созданием своего ключа в системном реестре:

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerPINF]

Virus.Win32.Parite.a
Другие версии: .b

Другие названия
Virus.Win32.Parite.a («Лаборатория Касперского») также известен как: Win32.Parite.a («Лаборатория Касперского»), W32/Pate.a (McAfee), W32.Spybot.Worm (Symantec), Win32.Parite.1 (Doctor Web), W32/Parite-A (Sophos), Win32/HLLW.SpyBot (RAV), PE_PARITE.A (Trend Micro), W32/Parite (H+BEDV), W32/Spybot.IA (FRISK), Win32:SpyBot-GEN (ALWIL), Win32/Parite (Grisoft), Win32.Parite.A (SOFTWIN), Trojan.Spybot.gen-3 (ClamAV), W32/Spybot.BE.worm (Panda), Win32/Parite.A (Eset)
Описание опубликовано 02 ноя 2001
Поведение Virus, компьютерный вирус
Технические детали

Вирус состоит из "носителя", написанного на ассемблере, и собственно вирусной компоненты, написанной на Borland C++.

При запуске заражённого файла первым получает управление вирусный "носитель", он записывает во временную папку вирусный компонент и вызывает процедуру заражения.

Вирус ищет Win32 PE EXE файлы с расширениями .exe и .scr на логических дисках компьютера, а также в ресурсах локальной сети, и заражает их.

Вирус никак не проявляет своего присутствия в системе.

Структура зараженных файлов выглядит следующим образом:

Host file
Virus
dropper - записывает компоненту "main" во временный каталог.
main - ищет и заражает файлы.

фигня:
"Вирус никак не проявляет своего присутствия в системе. " (С)

Нихрена не понялъ… А на кой чёртъ тогда этотъ вирусъ? Если онъ ничево не делаетъ… =-O

ну… причин для создания вирусов масса, целей тож… не буду выкладывать всю инфу по поводу разновидностей "вредительства" вирусов, но скажу, что:
1. он занимает место на винте (при большом распространении возможно заметно)
2. как то (незначительно) сказывается на быстродействии

Если считаете, что первое и второе - бред, Вы правы, сейчас это уже не актуально… не то что раньше..

не знаю, что именно авторы статьи имели ввиду под термином "паразитический", но по некоторым источникам - это вирус, который не только модифицирует файл фактом своего заражения, но еще и изменяет некоторые данные… так в текстовых вирусах некоторые представители меняли найденные числа на другие (крах бухгалтерии)…
вот так..
возможно, автор просто преследовал цель создания вируса как такового, для самоутверждения так сказать… таких много, но он был более гуманным или просто не хотел сильно заморачиваться

Врядле… Вирус просто носитель… ОНъ легко модифицируемъ… Афтаромъ конечно… Но не въ этомъ дело….
Вопросъ въ томъ на кой хренъ онъ его выпустилъ тогда… Ни прибыли, ни какой-либо пользы онъ не приноситъ… )) зОчемъ спрашиваеЦо… )))

а многие вирусы прибыль приносили? особенно эпидемичные крайне деструктивные? конечно есть примеры зарабатывания на этом деле.. но вроде их мало..

выпустил, чтоб помотреть: на чем его виря поймают, протестировать так сказать, чтобы основной труд не прошел даром и не попался на стадии эвристики..наверно.
Мож найти его и спросить?)))))))))

а что? клево… патчи выпускать можно: тело есть.. осталось в рабочую часть дописать че-нить.. и монстр готов

А можно спросить. А самому можно вирус сделать, чтобы он выполныл определенные функции надо очень. =-O

Anderson писал(а):А можно спросить. А самому можно вирус сделать, чтобы он выполныл определенные функции надо очень.

Можно, но не нужно и так вирей хватает

Да, а жаль. БЫлоб прикольно сделать свой вир и совершенствовать его. Электронная болезнь.

Anderson писал(а):Да, а жаль. БЫлоб прикольно сделать свой вир и совершенствовать его. Электронная болезнь.

Сам (точнее твой комп) зарозишься этим вирусом. Потом злые дядьки отследят тебя, придут навестить и Happy End.

Уголовный кодекс Российской Федерации ( Часть 29 )

ГЛАВА 28. ПРЕСТУПЛЕНИЯ В СФЕРЕ КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ

Статья 272. Неправомерный доступ к компьютерной информации

1. Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, -

наказывается штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет.

2. То же деяние, совершенное группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, -

наказывается штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо исправительными работами на срок от одного года до двух лет, либо арестом на срок от трех до шести месяцев, либо лишением свободы на срок до пяти лет.

Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ

1. Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами -

наказываются лишением свободы на срок до трех лет со штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев.

2. Те же деяния, повлекшие по неосторожности тяжкие последствия, -

наказываются лишением свободы на срок от трех до семи лет.

Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети

1. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред, -

наказывается лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет,либо обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо ограничением свободы на срок до двух лет.

2. То же деяние, повлекшее по неосторожности тяжкие последствия, - наказывается лишением свободы на срок до четырех лет.

Anderson

ну что? переубедил?

если нет, то посмотри в нете, там инфы по созданию вирусов до фига… только знай: отдел "к" следит за тобой.

У меня есть прога хакер.
В собраны в архиве 1500 вирусов.
Систра взяла и распаковала их,и винде наступил каюк пришлось новый винт покупать!!!

Подари старый… )))

SKIFFIX
На фиг оно надо? иметь у ся дома потенциальный источник заражения..
себе ведь вирусы не нужны, а если к кому - нить нести, так антивирус запалит.. Смысл?!

Alex ilmarranen
Зафиг он тебе?

[offtop]
ВСЕМ: у кого нить есть материнка убитая.. любая.. возьму по дешевке наверно..
[/offtop]

40iN_KoS ПригодиЦо

У мя тут такая проблема… Hidrag появилсо… Убилъ svchost въ винде… Заразилъ много системныхъ экзешниковъ… Нада тащить къ камунить… )))

Alex ilmarranen
Что за демон? полное имя назови плиз..

Код: Выделить всё: Объект Результат обработки Дата и время 5 C:WINDOWSsystem32cpwsave.exe заражен вирусом Virus.Win32.Hidrag.a 29.07.2006 11:17:45 C:WINDOWSsystem32cpwsave.exe заражен вирусом Virus.Win32.Hidrag.a 29.07.2006 11:17:45 C:WINDOWSsystem32cpwsave.exe объект не вылечен, объект заблокирован 29.07.2006 11:17:46 C:WINDOWSsystem32DigaloRegister.exe заражен вирусом Virus.Win32.Hidrag.a 29.07.2006 11:17:48 C:WINDOWSsystem32DigaloRegister.exe заражен вирусом Virus.Win32.Hidrag.a 29.07.2006 11:17:54 C:WINDOWSsystem32logonuiX.exe заражен вирусом Virus.Win32.Hidrag.a 29.07.2006 11:17:58 C:WINDOWSsystem32DigaloRegister.exe объект не вылечен, объект заблокирован 29.07.2006 11:18:00 C:WINDOWSsystem32logonuiX.exe заражен вирусом Virus.Win32.Hidrag.a 29.07.2006 11:18:03 C:WINDOWSsystem32logonuiX.exe объект не вылечен, объект заблокирован 29.07.2006 11:18:05 C:WINDOWSsystem32NeroCheck.exe заражен вирусом Virus.Win32.Hidrag.a 29.07.2006 11:18:06 C:WINDOWSsystem32NeroCheck.exe заражен вирусом Virus.Win32.Hidrag.a 29.07.2006 11:18:06 C:WINDOWSsystem32netsetup.exe заражен вирусом Virus.Win32.Hidrag.a 29.07.2006 11:18:07 C:WINDOWSsystem32nvugart.exe заражен вирусом Virus.Win32.Hidrag.a 29.07.2006 11:18:08

Ну и такъ далее…. ))

Все системные экзешники побилъ… Удивляюсь какъ винда ещё жива.. )))

Virus.Win32.Hidrag.a
Другие версии: .b, .c, .d

Другие названия
Virus.Win32.Hidrag.a («Лаборатория Касперского») также известен как: Win32.Hidrag («Лаборатория Касперского»), Virus.Win32.Hidrag («Лаборатория Касперского»), W32/Jeefo (McAfee), W32.Jeefo (Symantec), Win32.HLLP.Jeefo.36352 (Doctor Web), W32/Jeefo-A (Sophos), Win32/HLLP.Jeefo (RAV), PE_JEEFO.A (Trend Micro), W32/Jeefo (H+BEDV), W32/Jeefo.A (FRISK), Win32:Jeefo (ALWIL), Win32/Hidrag.A (Grisoft), Win32.Jeefo.A (SOFTWIN), W32.Jeefo (ClamAV), W32/Jeefo (Panda), Win32/Jeefo.A (Eset)
Описание опубликовано 04 июн 2003
Поведение Virus, компьютерный вирус
Технические детали
Безобидный резидентный Win32-вирус. Заражает приложения Win32 (PE EXE-файлы). При заражении шифрует часть заражаемого файла.

При запуске зараженного файла инсталлирует себя в систему: создаёт свою копию с именем "svchost.exe" (размером около 36K) в каталоге Windows и регистрирует этот файл в ключе автозапуска системного реестра:

HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
PowerManager = %WindowsDir%SVCHOST.EXE
Затем вирус остаётся в памяти Windows, рекурсивно ищет и заражает PE EXE-файлы на всех доступных дисках, начиная с диска C:.

Вирус никак не проявляет своего присутствия в системе.

Вирус содержит зашифрованные строки:

Hidden Dragon virus. Born in a tropical swamp.
PowerManagerMutant

фигня, просто оперативку кушает немного..

мне тут по асе месага пришла, мол не принимайте сообщения от ХХХХХХХХ, а то заразитесь вот этим: Human.Lens.a…

вот интерено, что ж енто за Human.Lens.a такой?

Valdis Black писал(а):вот интерено, что ж енто за Human.Lens.a такой?

Смотри по ссылке или на сайте через поиск http://www.viruslist.com/ru/search?VN=H ... eferer=kis
А вообще заразится можно если скачаешь и запустишь!

BeteTest на вируслисте тех.инфа… а мне б отзывы "переболевших" этим гадом

)

Valdis Black писал(а):BeteTest на вируслисте тех.инфа… а мне б отзывы "переболевших" этим гадом )

А можешь сказать зачем?
Ну ты можешь сам посмотреть, поставь на виртуальную машину винду и туда этот вирус и наслаждайся, а можешь прям на свой комп, зато узнаешь можно переболеть им или нет.
ps см. форумы антивирусных программ.

а кто знает где можно троянчик взять?
чтобы засадить знакомому
с нета брал пару
гдето хреновый
гдето не работает и тд
короче нормальный и желательно на русском ищется*SCRATCH*

SATSON
читай мой пост от 25 июля - 13:19:34
ынтересна, тебя какой интересует - клавиатурный шпион.. или еще что-нить?
хочешь трояна - обложись учебниками по программированию.. и сам сделай..)))))))) хоть на пользу пойдет

40iN_KoS писал(а):ынтересна, тебя какой интересует - клавиатурный шпион.. или еще что-нить?
хочешь трояна - обложись учебниками по программированию.. и сам сделай..)))))))) хоть на пользу пойдет

еси я правильно понимаю клавиатурный шпион
выслеживает всё что печатают?
тада енто то что мне нужно
а самому сделать
я абсолютный 0 в программировании

40iN_KoS писал(а):читай мой пост от 25 июля - 13:19:34

уголовный кодекс читал на досуге
такчто в курсе
я не сильно собираюсь навредить
всё буит так что никтоничё не заметит

Сеня получил на мыло типа картину, но почему-то с расширением ехе, от незнакомого мне адреса, но типа мы давние друзья. Установленный антивирь не ругнулся, когда я сохранял на винт, хотя мож и не долженбыл пока не запустил бы, вообщем не стал рисковать, залез на
http://www.drweb.ru/scan/
выгрузил туда этот файлик и получил следующий ответ:
Dr.Web (R) daemon for Linux v4.33 (4.33.0.09211)
Copyright © Игорь Данилов, 1992-2005
Время последнего обновления: 2006-09-06,10:59:09
Размер файла: 11113 байт
56.exe packed by UPACK
В файле >56.exe обнаружен вирус Trojan.DownLoader.12541
Закрыть окно
после чего обновил свои базы))

40iN_KoS писал(а):Virus.Win32.Hidrag.a
Другие версии: .b, .c, .d

Другие названия
Virus.Win32.Hidrag.a («Лаборатория Касперского») также известен как: Win32.Hidrag («Лаборатория Касперского»), Virus.Win32.Hidrag («Лаборатория Касперского»), W32/Jeefo (McAfee), W32.Jeefo (Symantec), Win32.HLLP.Jeefo.36352 (Doctor Web), W32/Jeefo-A (Sophos), Win32/HLLP.Jeefo (RAV), PE_JEEFO.A (Trend Micro), W32/Jeefo (H+BEDV), W32/Jeefo.A (FRISK), Win32:Jeefo (ALWIL), Win32/Hidrag.A (Grisoft), Win32.Jeefo.A (SOFTWIN), W32.Jeefo (ClamAV), W32/Jeefo (Panda), Win32/Jeefo.A (Eset)
Описание опубликовано 04 июн 2003
Поведение Virus, компьютерный вирус
Технические детали
Безобидный резидентный Win32-вирус. Заражает приложения Win32 (PE EXE-файлы). При заражении шифрует часть заражаемого файла.

При запуске зараженного файла инсталлирует себя в систему: создаёт свою копию с именем "svchost.exe" (размером около 36K) в каталоге Windows и регистрирует этот файл в ключе автозапуска системного реестра:

HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
PowerManager = %WindowsDir%SVCHOST.EXE
Затем вирус остаётся в памяти Windows, рекурсивно ищет и заражает PE EXE-файлы на всех доступных дисках, начиная с диска C:.

Вирус никак не проявляет своего присутствия в системе.

Вирус содержит зашифрованные строки:

Hidden Dragon virus. Born in a tropical swamp.
PowerManagerMutant

фигня, просто оперативку кушает немного..

Кого смущает могу дать лечилку от него… все вопросы по асе…

Virus.Win32.Hidrag.a («Лаборатория Касперского») также известен как: Win32.Hidrag («Лаборатория Касперского»), Virus.Win32.Hidrag («Лаборатория Касперского»), W32/Jeefo (McAfee), W32.Jeefo (Symantec), Win32.HLLP.Jeefo.36352 (Doctor Web), W32/Jeefo-A (Sophos), Win32/HLLP.Jeefo (RAV), PE_JEEFO.A (Trend Micro), W32/Jeefo (H+BEDV), W32/Jeefo.A (FRISK), Win32:Jeefo (ALWIL), Win32/Hidrag.A (Grisoft), Win32.Jeefo.A (SOFTWIN), W32.Jeefo (ClamAV), W32/Jeefo (Panda), Win32/Jeefo.A (Eset)

это что ж у тя за лечилка??? каспер или веб? или мож панда?

40iN_KoS писал(а):Virus.Win32.Hidrag.a («Лаборатория Касперского») также известен как: Win32.Hidrag («Лаборатория Касперского»), Virus.Win32.Hidrag («Лаборатория Касперского»), W32/Jeefo (McAfee), W32.Jeefo (Symantec), Win32.HLLP.Jeefo.36352 (Doctor Web), W32/Jeefo-A (Sophos), Win32/HLLP.Jeefo (RAV), PE_JEEFO.A (Trend Micro), W32/Jeefo (H+BEDV), W32/Jeefo.A (FRISK), Win32:Jeefo (ALWIL), Win32/Hidrag.A (Grisoft), Win32.Jeefo.A (SOFTWIN), W32.Jeefo (ClamAV), W32/Jeefo (Panda), Win32/Jeefo.A (Eset)

это что ж у тя за лечилка??? каспер или веб? или мож панда?

Ни каспер ни веб ни панда адекватно этот вирус не лечат…

Lancer
это тебе кто сказал???
инфой поделись и источником жел-но.

Я вчера проверил, нашёл у себя 2 трояна и 70 какихто почтовых вирусов…что-то там scsner или типа того.

У меня были вирусы: Win32:Mkar, Win32:Jeefo, Win32:Kuang2, Win32:Wukill-B[Wrm].
Кто значет чё это? Проверял Avast!

40iN_KoS писал(а):Virus.Win32.Hidrag.a («Лаборатория Касперского») также известен как: Win32.Hidrag («Лаборатория Касперского»), Virus.Win32.Hidrag («Лаборатория Касперского»), W32/Jeefo (McAfee), W32.Jeefo (Symantec), Win32.HLLP.Jeefo.36352 (Doctor Web), W32/Jeefo-A (Sophos), Win32/HLLP.Jeefo (RAV), PE_JEEFO.A (Trend Micro), W32/Jeefo (H+BEDV), W32/Jeefo.A (FRISK), Win32:Jeefo (ALWIL), Win32/Hidrag.A (Grisoft), Win32.Jeefo.A (SOFTWIN), W32.Jeefo (ClamAV), W32/Jeefo (Panda), Win32/Jeefo.A (Eset)

Лечилка от оного… http://tutmatov.kursknet.ru/?action=download ... Rescue.rar
Отключи восстановление системы и запусти прогу в безопасном режиме

Народ, а чё это за трояник - троянская программа Trojan-Downloader.Win32.Zlob.asu ???

Блин с вирусами этими вообще засада ,комп постоянно пожирают .Я неуспеваю от них избавлятся.

А у меня иногда бывают трояны ! или злобный червь !

Блин некоторые вирусы такие западлянки делают)))

2АНТОН Да ну… Не можетъ быть…

:-D

АНТОН писал(а):Блин некоторые вирусы такие западлянки делают

За все время прибывания вирусов на моем компе,я сказать честно ничего необычного не увидел !

Мда… Грамотно настроенный антивирь + так же грамотно настроенный фаервол = щастье

И никакой гад не проберецца (с)

+ за быть об IE

Agent Smith писал(а): И никакой гад не проберецца

Ну если этот гад будет сделанный человеком с "мозгами ",то пробереца !

Недавно комп чистил Доктором вэбом…так он нашёл почти 500 вирусов…6 из них были Win32.Mrak5…а остальные Win32.Mrak2=-O

2Agent Smith +100000 адназначна, 5 лет без вирусов живу с такой политикой и горя не знаю, года 2 назад почти вся организация легла из-за трояна, название забыл, в какой-то порт эта гадина била, еще после этого обновление для винды выходило, ходили по кабинетам 2 недели лечили, а у меня все нормально*HOHO*

Dragon писал(а):Ну если этот гад будет сделанный человеком с "мозгами ",то пробереца !

а все остальные вирусы сделаны людьми без мозга штоли?*HOHO*
тут главное не оказаться в числе первых получивших новый вирус, до того как придет обновление доктора на него, а вероятность что ты окажешься в первых рядах очень мала, к томуж для таких вещей и ставят фаерволы.

Вот недавно принес с универа флеху с информацией и теперь никак немогу избавиться от вируса systemnt (покрайней мере так фаил называется) удалить его некак немогу , прописался в автозагрузке и живет зараза. Из-за того что он в автозагрузке, при загрузке компа на рабочем столе на весь экран появляются какието каракули.

KARP писал(а):Вот недавно принес с универа флеху с информацией и теперь никак немогу избавиться от вируса systemnt (покрайней мере так фаил называется) удалить его некак немогу , прописался в автозагрузке и живет зараза. Из-за того что он в автозагрузке, при загрузке компа на рабочем столе на весь экран появляются какието каракули.

Это как чего это ты его не можешь из авторана удалить? есть хрень такая пуск/выполнить/regedit /хкейлокал машин,софтваре/майкрасофт/виндовс/курьентверсион/ и смотри папки ран,ран онсе и ран севайс, оттуда сносишь все левое, и радуйся…..
Путь написал по памяти,т.к. в реестр не пускает меня, говорит нет прав админа,хотя у мя нету никого кроме мя за компом, что то дикое мне ограничело доступ туда(((

А ведь онъ сисадмин O:-)

….

2KARP Поподробней какъ ты его от туда вытащить пытался…
Антивирь есть? и чё говоритъ если есть? =-O

Скорее всего однимъ "выуживаниемъ" изъ автозагрузки дело не обойдётся…

Да антивируса нет , он умер еще в начале 2007 года, а вирус я уже убил, и сделал это так: сначало в диспечере задачь завершил задачу котороая грузила комп на 100%, потом нашел его в автозагрузке (C:Documents and SettingsИмя пользователяГлавное менюПрограммыАвтозагрузка) поттом убил его в винде C:WINDOWSpss и все вроде нет его.
Да кстати вирус этот просто жуть как грузит процессор и жрет оперативки.

Блиин первый раз такоеO:-). Зацепил на кряке к проге HexWorkShop червя Win32:TrojanGen. Avast сцабака засемафорил, но червяк успел расползтись. Сканирование с последними базами эффекта не дало. Сканирует, находит, удаляет, после перезагрузки опять семафорит - "Компьютер заражен". При подключении к инету фаервол показывал сетевую активность приложений из папки System32 adirka.exe, inet.exe и др. Удалил их вручную, пролечил из другого раздела Кашперовским 6, вроде подозрительной сетевой активности нет, но комп стал грузинится долго блииин. Кто такую каку хватал?

Что ни говори,а у AVASTа такая погрешность есть..- сперва пропустит,а потом белугой завоет.. Кстати,так всегда и бывает,что после удаления червячка комп начинает тормозить.Только переустановка ОС и помогает.

Шакал писал(а):Только переустановка ОС и помогает.

Не помогает:(. Если токо полную переустановку делать, затирать винду. Жалко, а приложений туева хуча. Неделю буишь все восстанавливать.

Шакал писал(а):Что ни говори,а у AVASTа такая погрешность есть..- сперва пропустит,а потом белугой завоет.. Кстати,так всегда и бывает,что после удаления червячка комп начинает тормозить.Только переустановка ОС и помогает.

Может обновлять базы AVASTа чаще нужно.

Уже несколько месяцев пользуюсь NOD32. До него стоял каспер 6 - что-то он меня не порадовал, т.к. из инета много разных паразитов пропускал (обнаружил после проверки Ad-Aware SE Personal). Пока NOD стоит - Ad-Aware молчит! Но я думаю и для него зачет устроить - снести и поставить antivir_workstation_win7u_en_h.
Кого интересует NOD32 отпишитесь, выложу последнюю версию с русиком, кряком и актуальными базами.

Уважаемы знатаки. Обращаюсь к вам за помошью, т.к. мой мозг уже не знает что предприянть!!! Подскажите что-нить хатябы:(
Вообщем проблема такава.
Хватанул я веселый вирус такой…Распространяецо он мгновенно, как только подсоединяешь винт, флешку,mp3-шник - любой носитель короче…Антивирусы его не тормозят и не лечат а только удаляют! Вчера сканировал еще рас (т.к. был опять у этого друга) и снова он!!! Поражение идет на файлы запуска лок.дисков (autorun.bat=>autorun.vbc=>autorun.(расширение не помню)=3 файла запуска) ВСЁ=после заражения файлы можно удалять и диски через "Мой компьютер" уже не откроюца! Благо выручает постоянно одна прога…Воть
Что это за вирус? Как с ним бороца?
Мош хать вы знаете! Мы уже месяц точно голову ламаем…

F1asH
1 Точное название, подскажет антивирус, сейчас очень распространен.
2 Отключить автозапуск программ (ХП твинкером) или при помещение съемного носителя зажать Shift.

ps удаление файлов autorun.* обязательно, но после удаление вируса из памяти.

А его вылечить как нить можно ?!*SCRATCH*

F1asH
Удаление вредоносного ядра:
Да, антивурусом касперского (я им лечил, он убивает его из памяти и исполняемые файлы), желательно проверить все диски (DVD, CD, Flash, MFD, HDD…).

Чистка системы:
Далее удалить файл по маске autorun.*, особено с HDD.
Потом перезагрузится. Проверить нет ли файлов с именем autorun, если есть повторить лечение и предыдущии операциии.

ps часть файлов имеют атрибит скрытый или системный, поэтому лучше всего удалять через Тотол команндер, выбрав в настройках "Отображатьь срытые и системмный файлы", открыв корень диска и удалив файлы autorun, потом опцию ТС вернуть в исходное положение.

ps2 главное удалить autorun.inf, из-за которого и не будут открыватся диски (в нем указан путь на не сущ. программу)

ps3 способы удаления можно узнать на сайте http://www.viruslist.com/m

BeteTest
Так вот в чом проблема та !!! Я прада Авастом прошолся…ОН не лечит а удаляет эти файлы, а диски то локальные не открываются без этих файлов !?

PS Такой гадкий вирус…Уххх…я уже стольких незнаючи заразил…

Недавно дали мне 11 более-менее свежих троянов. Я их решил потестить на самых известных антивирях. Вот, что получилось:

Лучше всех в этом тесте оказались Каспер, Доктор Веб и Авира – они опознали всю заразу.

Названия вирусов, судя по отчету Каспера:

ss4.exe - Trojan.Win32.Small.rn
sop.exe - Backdoor.Win32.Agent.bxx
2209.exe - Trojan-Proxy.Win32.Xorpix.bt
inst213.exe - Rootkit.Win32.Agent.jy
install333.exe - Trojan.Win32.Pakes.el
abbaa.exe - Trojan.Win32.Pakes.dm
packed_installer_cn.exe - Trojan-Proxy.Win32.Wopla.ag
eagle0303a.exe - Backdoor.Win32.SdBot.cah
mad.exe - Trojan-Spy.Win32.Perfloger.h
25319.exe - Trojan.Win32.Qhost.it
eaglenew.exe - Trojan-Downloader.Win32.Small.cib

НОД обнаружил 82%.
Им были пропущены:
eagle0303a.exe
install333.exe

МакАфи нашел 55%, пропустив:
2209.exe
eagle0303a.exe
inst213.exe
install333.exe
mad.exe

Панда обнаружила 55%, пропустив:
2209.exe
25319.exe
eagle0303a.exe
inst213.exe
install333.exe
mad.exe

Аваст обнаружил 36%, пропустив:
25319.exe
abbaa.exe
eagle0303a.exe
inst213.exe
install333.exe
mad.exe
sop.exe

Симантек показал самые плохие результаты. Он смог обнаружить только 2 вредоносных файла из 11, т.е. Всего 18%, пропустив при этом:
2209.exe
25319.exe
abbaa.exe
eagle0303a.exe
inst213.exe
install333.exe
mad.exe
sop.exe
ss4.exe

Щука
Вопрос, как были узнаны эти 11 программ, каспером?
Если да то это доказывает что эти другие антивири не связаны с ним, а вот найденые другими и не найденые каспером не сравнивались? )))))))
И они выпонялись как Трояны (т.е. обнаруженые программы заражали компьютер или только детектировались)?
Сравнение по Linux версиям не было?

С Каспером эти программы не связаны) Мне просто дали наугад вирей - я их и потестил. Ничего не подкладывал.

Наверно, скоро возьму архив с тысячью вирей - вот тогда тест будет уже более точным)

Щука
Просо, очень странно, что названия по Касперскому!

BeteTest писал(а):Щука
Просо, очень странно, что названия по Касперскому!

Названия по Касперскому потому что:
Он обнаружил все вирусы.
У него самая грамотная, на мой взгляд, классификация заразы. (Согласитесь, определение "Trojan-Downloader.Win32.Small.cib" четче, чем "TR/Agent.7680.95").
Это основной антивирус, которым я пользуюсь.

Выкладываю альтернативные названия, по мнению двух других антивирусов, полностью прошедших этот мой небольшой тест:

Доктор Веб:
ss4.exe - Trojan.Ssearch
sop.exe - BackDoor.Bulknet.77
2209.exe - BackDoor.Bech
inst213.exe - Trojan.MulDrop.9287
install333.exe - Trojan.Spambot.2478
abbaa.exe - BackDoor.Bulknet.77
packed_installer_cn.exe - Trojan.Sklog
eagle0303a.exe - BackDoor.IRC.Sdbot.1337
mad.exe - Trojan.MulDrop.9287
25319.exe - Trojan.Qhost.45065
eaglenew.exe - Trojan.DownLoader.29490

Авира:
ss4.exe - TR/Small.RN
sop.exe - BDS/Agent.bxx.2
2209.exe - TR/Hijacker.Gen
inst213.exe - Rkit/Agent.JY
install333.exe - BDS/Medbot.Gen
abbaa.exe - WorNtech.M
packed_installer_cn.exe - TR/Crypt.XPACK.Gen
eagle0303a.exe - TR/Crypt.PCMM.Gen
mad.exe - TR/Srizbi.T.4
25319.exe - TR/Dropper.Gen
eaglenew.exe - TR/Agent.7680.95

Щука
Советую проверить относительно Доктор Веб и Авира (разумеется на другом вредоносном ПО), результат будет неожиданным )))
А каков ценовой аспект Доктор Веб и Авира?
И в пример по больше антивирусов используйте, тот же BitDefender
Ну и самый сложный вопрос, версия ПО в тесте и дата баз

Версия ПО - самая последняя. Дата обновления баз - на момент тестирования. Это, конечно же, нельзя назвать профессиональным тестированиемя. Это так - небольшие эксперименты по мучению антивирусников.

Сейчас соберу коллекцию побольше и проведу более масштабный эксперимент с большим количеством антивирусов.

А кто подскажет, что за звери и чем они занимаются?… Ну кроме последнего… Лог -

Malware: Application.Demo.Leaktest.O
Status: Moved To Quarantine

Malware: Application.Generic.1160
Status: Moved To Quarantine

Malware: Win32.Worm.RJump.D
Status: Moved To Quarantine

Commtouch совместно с AV-Test.org представили новый сервис Malware Outbreak Center http://www.com/mmtouch.com/Site/Researc ... tivity.asp
В рамках этого сервиса по тем зловредам, которые обнаруживаются проактивной технологией Commtouch (Zero-Hour Virus Outbreak Protection), можно увидеть насколько позже чем проактивный Commtouch обнаруживают этих зловредов основные антивирусные вендоры.
Данные о том, когда разные антивирусники начинают обнаруживать зловреда поступают от AV-Test.org.
Если написано Zero-hour detection - значит, антивирь берет зловреда сразу. Если No detection - значит, в течение анализируемого периода (несколько суток) антивирус так и не начал детектировать зловреда.
Ниже данные за последний месяц. Сначала табличка по основным антивирям у нас в России распространенным, а дальше общая табличка , где уже много антивирусов.
Интересно поглядеть на Нод32 с его криками про свою уникальную проактивность.
Название вирей взяты по Касперскому. Для тех вирей, которых Каспер брал одной сигнатурой, указаны контрольные суммы файлов, чтоб различать их.

Щука писал(а):Название вирей взяты по Касперскому.

А Касперский что сам их изобретает?… Такой уж великий авторитет на международной арене с антивирусом - дырой?…

2Трикстер По сравнению съ остальными не такие ужъ и плохие результаты… Хотя вы у насъ специалистъ.. Поведайте где лаборатория ошиблась… Можтъ они учтутъ… :-D

Sophos заинтриговалъ… Неплохой результатъ…

Alex ilmarranen писал(а):Хотя вы у насъ специалистъ..

Ды уж что уж тут скромничать… Поведаю… После Касперского прошелся Буллгвардом… 1,5 года назад… 27 неизвестных Касперу троянов, адваре и мальваре… Вирусы тоже были.. Плачу, дорогой, плачу… За хороший антивирь… Флешка вот токо постоянно нервирует после суваний на чужие компы…

Пройдётесь мне? :-D

У мя ничё нету… Можтъ всё это руке? )))

З.Ы. Лучше не соглашайтесь… Я свои винты проверялъ на avast'e, dr.w и NoD'e… Последовательно… При самыхъ жОскихъ условияхъ… Тока время потеряете время тока…

Alex ilmarranen писал(а):Пройдётесь мне?

А мне то за чем, уважаемый?… Смешите право… bullguard.com/m … Download знаете - что такое? Грузите 30mb… ставите… с включенным инетом… и два месяца бесплатно юзаете… Благодарить не надо…

Хыхъ… Замётано… Въ пн. скачаю… Посмотримъ чью кунг-фу лучше…

Alex ilmarranen писал(а):Хыхъ… Замётано… Въ пн. скачаю… Посмотримъ чью кунг-фу лучше…

Мне присоветывали днепровскиеи кардеры… Мож правда курские круче?…

Есть такая гадость - Trojan-Spy.Win32.Goldun.ms . Меняет гад файлы подсистемы печати ХР… Принтеры просто исчезают и восстановить их не удается даже если комп пролечен… Переустановка винды тоже ничего не дает… Единственно что спасает - скопировать с рабочего копа в систем32 sfc*.* и spoolsv

Я валялся пацталомъ отъ этого бульдога… :-D

0)кривой
1)русский не знаетъ, мало того, вообще на русскихъ не ориентированъ
2)составъ продукта не ясенъ
3)отсутствие каких либо настроекъ пугаетъ
4)тщательность проверки настораживаетъ… =-O

ну не возможно 320Gb серьёзно отлопатить за часъ съ небольшимъ…
5)отсутствие функций первой необходимости откровенно вымораживаетъ…
6)номер версии со всеми вышеизложенными косяками вгоняетъ въ тоску и рассуждения о смысле программерской жизни…

Теперь собсна о предмете… просканилъ… :-D

эта одарённость нашла буквально следующее….

Malware: DDoS.Cerberus.Ftp.A
C:Documents and SettingsAlexМои документыDocumentationTechnical DocComputersOtherOpenNet.rar=>opennetbasenetsoft993227882_212.txt.html=>(base64)

Malware: DDoS.Cerberus.Ftp.C
C:Documents and SettingsAlexМои документыDocumentationTechnical DocComputersOtherOpenNet.rar=>opennetbasenetsoft993227882_213.txt.html=>(base64)

Malware: Exploit.Linux.Nhttpd.A
C:Documents and SettingsAlexМои документыDocumentationTechnical DocComputersOtherOpenNet.rar=>opennetbaseexploits1032799088_1420.txt.html=>(base64)

Malware: Exploit.Perl
C:Documents and SettingsAlexМои документыDocumentationTechnical DocComputersOtherOpenNet.rar=>opennetbasems1004981885_264.txt.html

Malware: PERL.Front.A
C:Documents and SettingsAlexМои документыDocumentationTechnical DocComputersOtherOpenNet.rar=>opennetbasems242.txt.html=>(base64)=>DoS.pl

Malware: Trojan.Dropper.Horse.M3
C:Documents and SettingsAlexМои документыDocumentationTechnical DocComputersOtherOpenNet.rar=>opennetbaseexploits988123748_2064.txt.html=>(base64)

Malware: Trojan.Exploit.Linux.Interbase.B
C:Documents and SettingsAlexМои документыDocumentationTechnical DocComputersOtherOpenNet.rar=>opennetbaseexploits1033058288_1461.txt.html=>(base64)

Malware: Trojan.Exploit.Perl.BW
C:Documents and SettingsAlexМои документыDocumentationTechnical DocComputersOtherOpenNet.rar=>opennetbaseexploits994916905_196.txt.html=>(base64)

Malware: Trojan.Exploit.Perl.DT
C:Documents and SettingsAlexМои документыDocumentationTechnical DocComputersOtherOpenNet.rar=>opennetbaseexploits1023813482_149.txt.html=>(base64)=>working/_progres-ex.pl

Malware: Trojan.Exploit.Perl.DU
C:Documents and SettingsAlexМои документыDocumentationTechnical DocComputersOtherOpenNet.rar=>opennetbaseexploits1023813482_149.txt.html=>(base64)=>working/_mprosrv-ex.pl

Malware: Trojan.Exploit.Perl.Local.A
C:Documents and SettingsAlexМои документыDocumentationTechnical DocComputersOtherOpenNet.rar=>opennetbaseexploits1024418282_266.txt.html=>(base64)

Malware: Trojan.Exploit.Unix.Uucp.A
C:Documents and SettingsAlexМои документыDocumentationTechnical DocComputersOtherOpenNet.rar=>opennetbaselinux1007228282_131.txt.html=>(base64)=>(gzip)=>redhat7.0-uucp-to-root/exp-erm.sh

Malware: Trojan.Exploit.Unix.Uucp.B
C:Documents and SettingsAlexМои документыDocumentationTechnical DocComputersOtherOpenNet.rar=>opennetbaselinux1007228282_131.txt.html=>(base64)=>(gzip)=>redhat7.0-uucp-to-root/uucp-root.sh

Malware: Trojan.Hacktool.Rootkit.A
C:Documents and SettingsAlexМои документыDocumentationTechnical DocComputersС++!Архив примеров на C и С++.rar=>!????? ???????? ?? C ? ?++basefilesStickyApp32.zip=>StickyApp32/DLL/Release/StickyApp32.dll
C:Documents and SettingsAlexМои документыDocumentationTechnical DocComputersС++!Архив примеров на C и С++.rar=>!????? ???????? ?? C ? ?++basefilesStickyApp32.zip=>StickyApp32/GUI/StickyApp32.dll

Malware: Trojan.Hacktool.Spammer.A
C:Documents and SettingsAlexМои документыDocumentationTechnical DocComputersС++!Архив примеров на C и С++.rar=>!????? ???????? ?? C ? ?++basefilesspamtool.exe

Malware: Trojan.Hallenger.A
C:Documents and SettingsAlexМои документыDocumentationTechnical DocComputersOtherOpenNet.rar=>opennetbasesummary1024677483_319.txt.html=>(base64)=>hl/win/hlfill.exe

Malware: Trojan.Perl.Exploit.IIS
C:Documents and SettingsAlexМои документыDocumentationTechnical DocComputersOtherOpenNet.rar=>opennetbaseexploits989927864_31.txt.html=>(base64)=>iis5hack.pl

Malware: Trojan.Win32.IISHack.A
C:Documents and SettingsAlexМои документыDocumentationTechnical DocComputersOtherOpenNet.rar=>opennetbaseexploits989927864_31.txt.html=>(base64)=>iis5hack.exe

Malware: Trojan.Zmon.A
C:Documents and SettingsAlexМои документыDocumentationTechnical DocComputersС++!Архив примеров на C и С++.rar=>!????? ???????? ?? C ? ?++basefilesrmonitor.exe

Malware: UNIX.Psite.A
C:Documents and SettingsAlexМои документыDocumentationTechnical DocComputersOtherOpenNet.rar=>opennetbaseexploits143.txt.html=>(base64)

Malware: Worm.Linux.Admworm
C:Documents and SettingsAlexМои документыDocumentationTechnical DocComputersOtherOpenNet.rar=>opennetbaseexploits58.txt.html=>(base64)=>boft.tar=>bof/bof-test.c
C:Documents and SettingsAlexМои документыDocumentationTechnical DocComputersOtherOpenNet.rar=>opennetbaseexploits58.txt.html=>(base64)=>boft.tar=>REMOVED_NULLS

Malware: mIRC.Acoragil.B
C:Documents and SettingsAlexМои документыDocumentationTechnical DocComputersOtherOpenNet.rar=>opennetbasems12.txt.html=>(base64)

----[ Spyware Files Still Infected ]------------

Malware: Adware.Flashget.C
C:Program FilesFlashGetfgiebar.dll
D:New3Soft1InternetDownload ManagerFlashGetFlashGet 1.65.rar=>FlashGet 1.65fgf165.exe=>wise0063

Malware: Spyware.Mail.A
C:Documents and SettingsAlexМои документыDocumentationTechnical DocComputersС++!Архив примеров на C и С++.rar=>!????? ???????? ?? C ? ?++basefileszmailer.exe

Думаю не стоитъ говорить, что это всё нужные мне вещи))) храню я ихъ намеряно… И у каспера они въ исключенияхъ….

Особенно порадовалъ процессъ устранения - :-D

Nen] я ваще чуть не упалъ… Не знаю что у него тамъ за диарея приключилась… Но изъ архива, скопированного отдельно и ещё разъ проверенного…. ну естественно онъ опять нашёлъ вышеизложенное…) удалить угрозы jy] не смогъ.. )))) Видно тупо не умеетъ….

После этой выходки снёсъ незамедлительно… И каспера въ автозагрузку вернулъ)…

З.Ы. файерволъ даже тестить не захотелъ… ) Ну чё ихъ позорить…. лишний то разъ…. Достаточно увидеть макетъ правилъ для него и всё становиться ясно… :-D

З.Ы.Ы. Не знаю чемъ тамъ Ваши кардеры занимаются… Но съ защитой у нихъ вроде не всё въ поряде…

З.Ы.Ы.Ыыыыы…. Ахъ да…)) FlashGet…

Думаю не секретъ, что это весьма своеобразное приложение… ))

Ну и в чем ты убедился?… Чего цирк развел?… Невидали мы чтоли смеющихся малчиков?… Есть конечно паранойя, но есть и Саппорт, который нормально работает… У тя запрашивали - "отправить образцы в лабораторию"… Ты чо ответил?… Из пацтала… Дураков мля кроме себя ищет…

Ну и зачемъ ругаться? Чесное слово я не понимаю поста выше… *SCRATCH*

Зачемъ мне нуженъ саппортъ? у меня стоитъ продуктъ… который долженъ проверить и сказть мне что у меня не такъ… Или каждый подозрительный файлъ я долженъ отослать въ ихъ лабораторию…? Глупость какая то…. Ну да ладно… Ничего обещаного Вами выше онъ мне не нашёлъ… Значитъ таки после каспера чисто…

А то что продуктъ кривой это я заявлю однозначно…

Далее… какихъ дураковъ я по Вашему искалъ и что таки нашёлъ? что не нравиться то въ конце концовъ?

Alex ilmarranen писал(а):что не нравиться то въ конце концовъ?

Не нравится необъективная предвзятость и поверхностное мнение о хорошем продукте… Ну и неосведомленность тоже… Кардеры это люди занимающиеся….. ну так скажем программированием ПИК контроллеров на смарт картах… Очень со сложными кодировками имеют дело ребята… Это те не аськи тырить… Без закрытых конференций не обойтись… Очень многие неглупые люди, по долгу службы, хотели бы внедрить к ним в компы бяку… Поэтому Касперского они даже и не хотят обсуждать…

Я знаю кто такие кардеры…

мне простите положено… Хотя что они тамъ говорятъ мне откровенно говоря начхать…

А Вы свою точку зрения будьте добры отстоять…
Въ чёмъ прелесть продукта?
Что Вы ответите на те пункты, что я привёлъ выше…?

Alex ilmarranen писал(а):А Вы свою точку зрения будьте добры отстоять…
Въ чёмъ прелесть продукта?
Что Вы ответите на те пункты, что я привёлъ выше…?

Особенная прелесть продукта в том, что на его авторы не согласуют список вредоносного ПО со спецслужбами… И в том, что он не заломаный… Ну а на такие кривые замечания как "кривой" и "составь прьодукта не ясень" и отвечать не хочется… До фаервола видимо не дошел, там же регистрироваться надо, а без этого более половины функций не работает… Все - молись на Касперского!!!

Не давно на моем компе появился вирус Brontok.A. Антивирусы не помогли. Тогда я решил попробовать его удалить сам. До этого я не читал никаких статей по этому поводу, поэтому нашел свой способ борьбы с ним. Возился часа 2, но в итоге смог победить заразу. Однако, реестр для меня еще закрыт. И это без форматирований и перестановки системы. Все работает так же как и до вируса.

Здесь я не буду рассказывать свой оригинальный способ борьбы с ним. Но с радостью помогу тем, кто сталкнулся с такой же проблемой. Связаться со мной можно по ICQ или через личку.

larboss
Brontok.A - древняя вещица. У меня его не обновлённый НОД32 как нефиг делать находит и лечит. Вот тут недавно заразился такой дрянью как Vasor.B - очень не хорошая вещь, кстати. Портит ехе-файлы, перестают работать проги, unistall-файлы. Я находил эту гадость обновлённым НОДом, а потом систему переставлять пришлось и НОД был порван в клочья. Если у кого-нибудь есть новые базы НОДа, выложите, пожалуйста их на файлообменник. Большое спасибо.
PS: А скажите, пожалуйста, как базы НОДовские обновлять, я не знаю? В том смысле не через интернет, а скачаные с файлообменника. Спасибо.

Последний вирус, который пытался ко мне попасть, это пинч. Мне веб антивирус каспера 2009 завизжал, мол, гадость лезет, т.е он даже не дал ему загрузится - заблокировал. Что радует. Предотвратить лучше, чем лечить. Кстати, по поводу булл гуарда. Субъективное мнение: тонкий продукт, на любителя, я бы даже сказал он узкоориентированный, т.е каспер это для простого бухгалтера/тренера/водителя МАЗа. А булл гуард это более тонкий инструмент под особые нужны, и простым юзерам он не подходит. Кстати, вот что по поводу булки нашёл в рунете: http://rapidshare.com/files/35383082/Bu ... S.rar.html

вирусов много появляется каждый день. и не всегда они известны базам антивируса.
Вот тут то на помощь и приходит эвристик и поведенческий блокиратор (как у Каспера).
Я однажды видел, как Каспер 6.0 с базами двухлетней давности поймал эвристиком самые ходовые последние "автораны". Порадовал, старичек!

Делаю проверку каспером 2009 каждые 10 дней. Полную проверку. Всё чисто. Возможно потому, что лажу на десяток зарекомендовавших себя сайтов, а может потому что порнухой и варезом не интересуюсь, а может потому что антивирус хороший.

Самый лучший антивирус - мозги.
А Касперыч это только инструмент, помогающий мозгу предохранять компьютер от пакости и лечить в случае необходимости! *SARCASTIC*

Курец
Во во, если не запускать дрянь, то антивирь ненужен.
Если локалка безобидная то и фаэрволл не нужен.

Вся проблема в том, что этап "дрянь" имеет заманчивое и интригующее название или маскируется под полезные программы или кряки для программ. Таким образом человек сам запускает на своем компьютере вирус, а потом удивляется результату.
Я, прежде чем запустить что-то подозрительное, сначала отправляю в архиве в ЛК на анализ, а потом действую в зависимости от полученного ответа. Так спокойнее.

РљСѓСЂРµС† писал(а):Вся проблема в том, что этап "дрянь" имеет заманчивое и интригующее название или маскируется под полезные программы или кряки для программ. Таким образом человек сам запускает на своем компьютере вирус, а потом удивляется результату.
Я, прежде чем запустить что-то подозрительное, сначала отправляю в архиве в ЛК на анализ, а потом действую в зависимости от полученного ответа. Так спокойнее.

+1, они отвечают в течение часа, максимум полтора. И частенько вирусы действительно имеются, ради прикола отсылаю одновременно каспера, доктор вебу, и нод32. От веба можно через 3-4 дня ответ получить, а можно и вообще не получить ответ, от нод32 в течении дня, а то и 2-х, а от каспера максимум 3 часа.

дайте пожалуйста характеристику вирусов Trojan.Win32.Agent.aqyc
Trojan-Downloader.Win32.Small.agqg
Trojan.Win32.Agent.aowz
симптомы - ярлыки пропадают. конкретно их иконки.
есть ли утилита для полного удаления вирусов этих?

Largo писал(а):есть ли утилита для полного удаления вирусов этих?

Антивирус в помощь.

TpaJIaJIa
дык с помощью него и были выловлены . но они периодически вновь появляются. думаю может файл какой заражен и не опознается антивирусником? а может чо в реестре вирус меняет, что ярлыки пропадают?

Largo
полная проверка с последними базами, откат системы, а переустановить виндовс на мой взгляд проще, а на будущее сразу после установки системы - поставить антивирус и обновить базы

2Largo

Largo писал(а):Trojan.Win32.Agent.aqyc

"Trojan.Win32.Agent.aqycName Trojan.Win32.Agent.aqyc
Type Malware
Type Description Malware ("malicious software") consists of software with clearly malicious, hostile, or harmful functionality or behavior and that is used to compromise and endanger individual PCs as well as entire networks.
Category Trojan
Category Description Trojan is a general term for malicious software that is installed under false or deceptive pretenses or is installed without the user's full knowledge and consent. Most Trojans exhibit some form of malicious, hostile, or harmful functionality or behavior.
Level High
Level Description High risks are typically installed without user interaction through security exploits, and can severely compromise system security. Such risks may open illicit network connections, use polymorphic tactics to self-mutate, disable security software, modify system files, and install additional malware. These risks may also collect and transmit personally identifiable information (PII) without your consent and severely degrade the performance and stability of your computer.
Advice Type Remove
Release Date
Last updated on Nov 27 2008
File Traces "(с)
http://www.viruswikipedia.com/viruswiki ... 37466.html

Largo писал(а):Trojan-Downloader.Win32.Small.agqg

"Trojan-Downloader.Win32.Small.agqgName Trojan-Downloader.Win32.Small.agqg
Type Malware
Type Description Malware ("malicious software") consists of software with clearly malicious, hostile, or harmful functionality or behavior and that is used to compromise and endanger individual PCs as well as entire networks.
Category Trojan Downloader
Category Description A Trojan Downloader is a program typically installed through an exploit or some other deceptive means and that facilitates the download and installation of other malware and unwanted software onto a victim's PC. A Trojan Downloader may download adware, spyware or other malware from multiple servers or sources on the internet.
Level High
Level Description High risks are typically installed without user interaction through security exploits, and can severely compromise system security. Such risks may open illicit network connections, use polymorphic tactics to self-mutate, disable security software, modify system files, and install additional malware. These risks may also collect and transmit personally identifiable information (PII) without your consent and severely degrade the performance and stability of your computer.
Advice Type Remove
Release Date
Last updated on Dec 4 2008
File Traces "

Largo писал(а):Trojan.Win32.Agent.aowz

http://www.viruslist.com/ru/viruses/enc ... sid=127599
Описание группы вирусовъ…

Ни одинъ из нихъ не долженъ влиять на ярлыки рабочего стола

вроде какъ…

у меня засел вирус его название я не знаю…симптомы:через некоторое время он отключает интернет и звуковые устройства,а перед этим он на мгновенние делает пуск как виндоус 98 пожалуйста помогите)(форматировать не хочу,винду перебивал на одном харде не помогло со второго перебегает((хэлп!

Нубчик
Оо, было такое года пол назад. Обновление антивируса помогло

а что за антивир?)*SCRATCH*

ESET NOD32 Antivirus

дык я вроде последним нодом комп прошмонал)мне помоглозакрытие древа процеов userinit.exe оно и explorer.exe закрывает и его просто презапускаю и до следущей загрузки всё работоет))p.s.щя шмонаю нодом

Нубчик писал(а):userinit.exe

Выполнить => msconfig => автозагрузка
Попробуй через автозагрузку убить процесс, если антивирус не видит.

там этого процеса нет( нод один файл открыть не может "pagefile.sys" этот файл скрытый и ещё скрытые файлы и папки не показывает(

Нубчик, скачай программу autoruns, посмотри, что лишнего есть в автозагрузке.
Процесс userinit дожен загружаться из C:WINDOWSsystem32userinit.exe, если что либо другое в реестре записано, необходимо поправить. Все операции производи из безопасного режима. Про скрытые файлы было здесь: topic.php?forum=41&topic=60
pagefile.sys - файл подкачки, к делу никак не относится.

Void
примного благодарен)pagefile.sys-он у меня почти два гига весит))это нормально?)

Нубчик, угу. По умолчанию Windows назначает размер файлу подкачки в 1,5 раза больше, чем объем оперативной памяти в системе. Подробнее было здесь: topic.php?forum=37&topic=143&start=3#1228904208

Void
спасибо)а ты не мог бы рассказать про вирус который инэт и звуковые устройства отключает?)(вернее инет не отключает,а не отображает подключение)

Нубчик, я не сталкивался с таким.
Подход при ручном удалении неизвестных вирусов обычно прокатывает такой: загрузка в безопасном режиме, поиск подозрительных процессов в памяти и удаление их оттуда в случае обнаружения (для этого в большинстве случаев подходит программа Process Explorer), далее просмотр списка программ в автозагрузке и опять же удаление или отключение подозрительных (для этого подходит уже упомянутая программа Autoruns), по полученным данным из этих программ - поиск и удаление файлов вируса, ну и далее восстановление ключей реестра, сбитых настроек и т.д.

Void
хмм спасибо!помойму этот вир вызывает эти симптомы "Win32.Blaster.worm"нодом комп прошмонал вроде помогла,а ещё в нэте покопался под этот вир прога есть скачал она у мя ничего не нашла)спасибо за ссылку на статью про скрытые файлы и папки помойму на виндовс зверь аутораны не действуют))

Trojan.Bioskit.1 заражает BIOS компьютера

В первых числах сентября в руки экспертов вирусной лаборатории компании «Доктор Веб» попал примечательный экземпляр вредоносной программы, получившей название Trojan.Bioskit.1. В целом это стандартный по функционалу троянец, заражающий MBR (загрузочную область диска) и пытающийся скачать что-то из сети. После проведенного специалистами «Доктор Веб» исследования оказалось, что в него также заложены механизмы, позволяющие заразить BIOS материнской платы компьютера...

Источник: http://news.drweb.com/?i=1879&c=23&lng=ru&p=0
Пора запасаться программаторами.

Void писал(а):Trojan.Bioskit.1 заражает BIOS компьютера
В первых числах сентября в руки экспертов вирусной лаборатории компании «Доктор Веб» попал примечательный экземпляр вредоносной программы, получившей название Trojan.Bioskit.1. В целом это стандартный по функционалу троянец, заражающий MBR (загрузочную область диска) и пытающийся скачать что-то из сети. После проведенного специалистами «Доктор Веб» исследования оказалось, что в него также заложены механизмы, позволяющие заразить BIOS материнской платы компьютера...
Источник: http://news.drweb.com/?i=1879&c=23&lng=ru&p=0
Пора запасаться программаторами.

Я думаю простой сброс БИОСа перемычкой тут поможет, ну в крайнем случае перед загрузкой можно обновить БИОС с дискеты/флешки/образа системы в общем для IT-специалиста глобальной проблемы не будет. Главное что бы разработчики антивирусного ПО не спали, если вирус будет обнаружен до запуска то и проблемы не будет.

Процедура защиты от бирусов будет много сложнее, ведь она касается аппаратно-программной части компьютера. Это приблизительно как сделать операцию на собственной голове парализованными, из-за неправильной работы головы, руками. Замкнутый круг. Без внешних чистых источников уже никак не получается. *SCRATCH*

Нужно вшивать в чип нестираемый клон биоса для быстрого аппаратного восстановления через biosreset.

LambadA писал(а):Я думаю простой сброс БИОСа перемычкой тут поможет, ну в крайнем случае перед загрузкой можно обновить БИОС с дискеты/флешки/образа системы в общем для IT-специалиста глобальной проблемы не будет. Главное что бы разработчики антивирусного ПО не спали, если вирус будет обнаружен до запуска то и проблемы не будет.

Перемычкой биос не сбрасывается, сбрасываются его настройки, записанные в КМОП памяти. На функциональности вируса это совершенно никак не скажется.
Модули биоса, в том числе вирусные, загружаются раньше любой загрузочной дискеты/диска. Поэтому ничто не помешает вирусу перед загрузкой компа с дискеты записаться из биоса к примеру в загрузочный сектор.
Так что проблема есть, и к ней надо быть готовым.

Выскакивает вот такое предупреждение avast:
Обнаружен вирус
Имя файла C:\Users\Владимир\AppData\Local\Yandex\Updater\praetorian.exe
Имя вируса Win32:Malware-gen
Тип вируса Вирус/червь
Версия 111114-1,14.11.2011
Не удаляется avastом, не лечится
Что за хрень и как с ней бороться, желательно не меняя антивирусника?

Если точно вирус - то возможно в оперативной памяти висит и avast его не изгоняет, кривой алгоритм удаления вируса. Предлагаю два пути:
1. Пробовать удалить вирус в безопасном режиме (F8).
2. Пробовать удалить вирус другим антивирусником, не удаляя Аваст:
AVZ - 4.37 (бесплатен, без инсталляции, небольшой) http://www.z-oleg.com/secur/avz/download.php
Dr.Web CureIt! (бесплатен, без инсталляции, великоват) ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe
Оба антивиря в паре с NOD32 работают корректно, с Авастом - не знаю.

___VICTOR___ писал(а):Если точно вирус - то возможно в оперативной памяти висит и avast его не изгоняет, кривой алгоритм удаления вируса. Предлагаю два пути:
1. Пробовать удалить вирус в безопасном режиме (F8).
2. Пробовать удалить вирус другим антивирусником, не удаляя Аваст:
AVZ - 4.37 (бесплатен, без инсталляции, небольшой) http://www.z-oleg.com/secur/avz/download.php
Dr.Web CureIt! (бесплатен, без инсталляции, великоват) ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe
Оба антивиря в паре с NOD32 работают корректно, с Авастом - не знаю.

Ты пользуешься NOD32? После того, как я раз проверил за ним Каспером, вообще считаю, что такого антивирусника нет.
___VICTOR___ а какое твое мнение что это такое? Почему в YandexUpdater? и почему gen? Запуск к-либо зловредной проги?
Пока установил удалить его при перезагрузке - перезагружу и посмотрю, что дальше.

Батя, успокойся, это не вирус, это просто паранойя Аваста, не обращай внимания это защитник от яндекса :-D

John писал(а):Батя, успокойся, это не вирус, это просто паранойя Аваста, не обращай внимания это защитник от яндекса

Спасибо John. У меня было такое подозрение, но я не профи, поэтому и спросил здесь тех, кто разбирается.

отец Жозеф писал(а):___VICTOR___ а какое твое мнение что это такое? Почему в YandexUpdater? и почему gen? Запуск к-либо зловредной проги?
Пока установил удалить его при перезагрузке - перезагружу и посмотрю, что дальше.

http://www.nadvoe.org.ua/soft/post_15.html
Удали нафиг Яндекс-бар)).

___VICTOR___ писал(а):
отец Жозеф писал(а):___VICTOR___ а какое твое мнение что это такое? Почему в YandexUpdater? и почему gen? Запуск к-либо зловредной проги?
Пока установил удалить его при перезагрузке - перезагружу и посмотрю, что дальше.
http://www.nadvoe.org.ua/soft/post_15.html
Удали нафиг Яндекс-бар)).

Благодарю! Он задрал этот Яндекс бар - я от него отказываюсь, но он постоянно вылазит то там, то сям, пока не станет всеми правдами и неправдами.

отец Жозеф писал(а):Ты пользуешься NOD32? После того, как я раз проверил за ним Каспером, вообще считаю, что такого антивирусника нет.

Объяснение очень простое). Не могу перед халявой устоять). У нас в Беларуси есть старейший пиратский ресурс http://www.nod.uvaga.by , доступный только для белорусских IP, где по НОДу выложено ВСЁ, включая круглосуточные автоматические обновления. И ресурс этот очень толково поддерживается. Кстати, обновление с nod.uvaga.us стало доступно всем IP адресам, кого интересует:
Обновление ESET NOD32 версии 2.х: http://nod.uvaga.us/2/
Обновление ESET NOD32 версии 3.х: http://nod.uvaga.us/3/
Обновление ESET NOD32 версии 4.х: http://nod.uvaga.us/nod4/
Вопросы и ответы (F.A.Q.):
1. Вопрос: Как обновляться с http://nod.uvaga.us ?
Ответ: Настройка сервера обновления для NOD32 версий 3.х (4.х):
Нажать F5 или НастройкаВойти в дерево расширенных настроек..
Выбрать "Обновление".
В разделе "Сервер обновлений" нажать кнопку "Править".
В графе "Сервер обновлений" ввести http://nod.uvaga.us/3/ (http://nod.uvaga.us/nod4/)
Нажать кнопку "Добавить".
Проследить, что http://nod.uvaga.us/3/ (http://nod.uvaga.us/nod4/) появился в списке серверов.
Нажать ОК.
В разделе "Сервер обновлений" выбрать http://nod.uvaga.us/3/ (http://nod.uvaga.us/nod4/)
Нажать ОК.
Войти в Интернет.
Выбрать в меню слева "Обновление".
Нажать "Обновить базу данных вирусных сингатур".
2. Вопрос: Как часто обновляются базы на http://nod.uvaga.us ?
Ответ: Онлайн базы обновляются ежедневно в 10.00, 12.30 и 17.00.

Я НОД 32 года три пользовался и не меньше Avast пользуюсь, который мне намного больше нравиться. Если и пропустит что то, то изредка и немного, а версия бесплатная и официальная, на сайте регистрируешься и ключ на год получаешь и база данных постоянно обновляется и сами версии тоже можно новые скачивать. Хочешь большей защиты - плати, но мне и этого хватает. Ну а если где припрёт и не справится, то всегда можно демо версию Касперского скачать, почистить комп и снова к AVAST вернуться. Но я это только раз использовал примерно через год работы Avast проверил его Каспером и ничего не нашёл.

У меня к Avast претензий нет, продукт хороший, просто срабатывает эффект привычки к NOD, когда знаешь все настройки что, где, как. Но в довесок обязательно держу два дополнительных сканера: Dr.WEB и AVZ. Это на случай "дырявости" NOD.

уфф..
токашо от подцепил вот это - Trojan.Mayachok.1
ИЕ вообще потух, но опера через раз вроде работала, после полной переустановки, чисток кешов, куков и бесчисленных F5..

Доктор Веб http://news.drweb.com/?i=1809 (в т.ч. и курейт) помог тока идентифицыровать название процесса в ОЗУ, а больше ничо не помог..
авира - не реагирует на него ваще..
часа 3 прочирикался, думал ужо винт форматить..

зато от этот чувак помог:
http://www.cyberforum.ru/security/thread382576.html
пасип тебе, Sanya *PARTY*

короче упал спать с чуйством глубокого удовлетворения.. *LAZY*

cureit+avz+безопасный режим windows - прекрасно избавились от этого вируса.

на зараженной машине стоял avast, который в очередной раз показал себя с плохой стороны.

Безопасный режим сразу нужно было задействовать и Др.Вэб бы справился.

ды шож мине так везёт..

вчера вечером подцепил..

зы/это дома, а щаз с работы пешу..
седня буит форматцэ.. *SPITEFUL*

Потерпевшим от SMS – вымогателей посвящается!
Внесены добавления (в конце статьи) – всё добавленное выделено этим цветом.
Время, проведённое в Интернете вообще и на CForum в частности показало, что есть много разновидностей баннеров, так называемых SMS – вымогателей, которые то и дело доставляют массу неприятностей пользователям Интернет.
Большинство из них требуют отправить SMS сообщение на короткий номер и затем ввести в окошко в баннере полученный в ответном SMS сообщении код. Что здесь можно сказать. На более чем 160 страницах форума мы не встретили ни одного подтверждения того, что в ответ на посланное SMS сообщение пришёл код, который решил бы проблему. Поэтому, методом научного умозаключения мы пришли к выводу, что это – очередной, как бы это правильней выразиться, ЛОХОТРОН.
Нам не захотелось быть лохами, и мы решили с этим явлением справиться собственными силами. Были проведены исследования (научные, конечно же), мы специально сами себя (то бишь свои компьютеры) заражали всевозможными баннерами, с одной целью – изучить эту гадость и найти способы борьбы с ней применяя, по возможности, «подручные средства». Под подручными средствами здесь подразумевается имеющаяся у нас (или у Вас) зараженная система (Windows естественно) ну и пара – тройка доступных в сети бесплатных антивирусных программ и утилит.

Итак, что мы имеем?
Компьютер с установленной Windows XP (Vista и Семёрка не рассматривается) – это подопытный кролик.
то же подходит отец Жозеф
AVZ – Антивирусная утилита AVZ предназначена для обнаружения и удаления:
• SpyWare и AdWare модулей - это основное назначение утилиты
• Dialer (Trojan.Dialer)
• Троянских программ
• BackDoor модулей
• Сетевых и почтовых червей
• TrojanSpy, TrojanDownloader, TrojanDropper
Malwarebytes - Программа для быстрого сканирования системы с целью обнаружения и удаления различных видов вредоносного ПО. Malwarebytes Anti-Malware ориентирована в первую очередь на борьбу со шпионскими модулями и позволяет после их удаления полностью восстанавливать нормальную работу компьютера.

Unlocker – программка для удаления файлов, которые обычными средствами удалить не удаётся.

Dr.Web CureIt – бесплатный антивирусный сканер.

FAV(FixAfterVirus) - восстанавливает функциональность системы после удаления вируса.

Для особо тяжёлых случаев хорошо бы иметь какой нибудь LiveCD (ERD Commander, например) , желательно с возможностью доступа к зараженному реестру. Но это только для «продвинутых чайников». На крайняк можно обойтись и установочным диском Windows, но тут придётс вспомнить командную строку DOS, а многие даже не знают, что это такое, поэтому – этот вариант для любителей садо – мазо ;-)

.

Всё что выше – это лекарства, с помощью которых мы и будем лечить нашего подопытного кролика.
Ссылки на программы не даются не потому, что секрет, а потому, что Гуглите и Вам отГуглится.
Качать самые свежие версии!

Ну и самое главное, с чего заварилась вся эта кутерьма, баннер – вымогатель!!!
( Ссылки тоже не даём ;-)

)
Ладно, это была присказка, сейчас начнётся сказка. Если баннер уже у Вас на столе, то сказка для Вас уже началась.

Итак, начнёмс…
Здесь мы рассмотрим известные нам на данный момент типы баннеров.

Тип первый – баннеры, которые появляются только при запуске Интернет браузера ( IE, Mozilla, Opera) – ещё их называют ИНФОРМЕРЫ. Вот один из них:

Тип второй – баннеры, которые вылазят просто на рабочий стол, закрывают большую его часть но при этом у пользователя остаётся возможность открывать другие программы, открывать Главное меню, Диспетчер задач и др. (типичный представитель – YesPorno)

Тип третий – (самый гадкий), Закрывает практически весь рабочий стол, блокирует все ( иногда только антивирусные и системные) программы, не пускает в Защищённый режим и прочие гадости. (Типичный представитель – eKAV антивирус, он же Интернет Секьюрити)

Мы не обольщаемся на счёт того, что это ВСЕ ТИПЫ баннеров. Просто нам такие попадались.

Ну вот. Посмотрели мы свой любимый порно фильм, открыли вложение в электронной почте, пришедшей неизвестно откуда, перешли по интересной ссылке, скачали ну оооочень нужную программу и т.д.(нужное подчеркнуть) и в награду нам на стол влез красавец (или красавица, или и тот и другая и много) баннер и требует от нас денег за полученное удовольствие. Мы, конечно же сразу хватаем телефон и отправляем SMS на указанный номер. Потом с нетерпением ждём ответа…. Спустя некоторое время встаём и идём смотреть в зеркало на лоха.
Что, неприглядная картина? «А что же делать?», скажете Вы! Ну чего делать НЕ СЛЕДУЕТ, так это отправлять SMS. Не берёмся утверждать на 100% , но на 99.99999999% - это развод. И никакого кода Вы не получите. Сомневаетесь – проверте. Только напишите, пожалуйста, нам в форум, мы будем приводить этот пример, как артефакт.
А теперь о деле. Итак, баннер у нас уже есть. Не паникуем и определяем к какому из описанных типов он относится. Что для этого надо сделать?
Если у Вас открыт браузер, закрываем его. Если окно закрылось вместе с браузером – считайте, что вам крупно повезло – у Вас простой информер. То есть – это Тип первый.
Если баннер висит на столе и после закрытия браузера – продолжаем определяться.
Для начала судорожно жмакаем Ctrl+Alt+Del (или Ctrl+Shift+Esc) и смотрим. Обычно при такой комбинации клавиш выскакивает Диспетчер задач. Выскочил? Вам повезло – есть вероятность, что у Вас – Тип второй. Хотя не факт. Но надежда есть. Если Диспетчер задач не запустился, пробуем надавить на «Пуск». Работает? – это хорошая новость. Не работает? – новость похуже, но тоже не конец света! Запускаем что-нибудь ещё, ну там Блокнот, Word…
Запускаются – это обнадёживает. Это говорит о том, что у Вас, похоже, Тип второй.
Ну и наконец – все Ваши попытки запустить «…ну хоть что-нибудь…» оканчиваются неудачей – поздравляем! У Вас – Третий тип!

А теперь займёмся «лечением».

Тип первый. Ну, с этими всё просто.

Инструкция в картинках для пользователей подхвативших информер или порноинформер.

Удаление информера или порноинформера из браузера Мозила
Открываем ( запускаем браузер Мозила) в меню идём на вкладку «Инструменты- Дополнения»

Во вкладке Дополнения-Расширения и отключаем всё подозрительное ( например informer 1.0 и так далее) в этом примере нет подозрительных расширений

Потом проверяем Плагины; Темы и отключаем там всё подозрительное ( например Informer 1.0 и тому подобное)
Затем закрываем браузер Мозила и по новому его открываем, если информер пропал значит мы не зря старались! Ура!!!

Удаление порно информера в браузере Opera

Открываем браузер Опера (программа через которую вы заходите в интернет) Выбираем пункт меню “Инструменты -> Настройки”.

Откроется форма “Настройки”. В “Настройках” выбираем вкладку “Дополнительно”. Во вкладке “Дополнительно” сначала нажимаем “Содержимое” а потом на появившуюся кнопку на кнопку “Настройки Javascript…”.

В открывшемся окне стираем все, что написано в поле “Папка пользовательских файлов Javascript” (делаем поле пустым) и нажимаем кнопочку “OK”. Нажимаем “ОК” и для формы “Настройки”

Закрываем оперу. По пути, написанном в поле “Папка пользовательских файлов Javascript” можно зайти и удалить файлы заразы с расширением «js». Если у вас там будет написано “C:WINDOWS uscripts” то деляйте всю папку “uscripts”
Всё!!! Теперь информер удалён из браузера Opera.

Удаление порно-информера из браузера Internet Explorer

Для начала идем в меню Internet Explorer, “Управление надстройками”->”Включение и отключение надстроек..”.

Открывается список подключенных DLL-библиотек.

Отключаете все, что вы не знаете - не беспокойтесь, ничего от этого не поломается, всегда успеете включить ту или иную библиотеку обратно.

Итак, выключаете все неизвестные вам модули, нажимаете “ОК”, закрываете и вновь открываете браузер Internet Explorer. Если проблема не исчезла - вновь идете в вышеуказанное меню и отключаете еще что-то, пока проблема не решится. Если же порно-информер пропал - можете спать спокойно.

Для особо принципиальных

Если вас беспокоит факт того, что информер лишь отключен, а не удален с вашего компьютера - открываете вышеуказанное меню, переписываете имена DLL-библиотек на листок (или запоминаете) и идете в папку C:WindowsSystem32 и ищете там данные DLL. После чего удаляете их, перезагружаете компьютер - и, вуаля, все чисто.

Есть следующая защита: в папке Windowssystem32 необходимо войти в ВидУпорядочить значкиИзменен. После этого все файлы выстроятся по датам их появления (изменения). Вручную убираем в корзину недавние .dll поочереди, пока информер не исчезнет, после этого все .dll из корзины восстанавливаем, кроме виновного в появлении информера

Можно еще таким способом:
Пуск-программы-стандартные-служебные-восстановление системы. В последнем окне возвращаешься на день (или сколько там было до похода на этот сайт) назад.
Бывает что прописываются
rqdlib.dll
gjplib.dll
в System32, их надо просто удалить
или так : свойства обозревателя-дополнительно-сброс
а можно и так:
C:WINDOWSuscripts файл feeder.js,удаляем его и дело в шляпе)

Участились случаи, когда такие «пляски с бубном» всё же не дают желаемого результата.
А ещё бывает, что такой информер просто напросто блокирует браузер и не даёт войти в меню. В таком случае, делаем следующее:
Удаление информера из Mozilla Firefox
1. Завершаем процесс firefox.exe Для этого запускаем Диспетчер задач (Ctrl+Alt+Del), находим в процессах firefox.exe, Правый клик –> завершить процесс.
2. Пуск - Виполнить - Regedit - Ctrl+F. Вводим firefox и ищем такие строки
"C:Program FilesMozilla Firefoxfirefox.exe" -preferences
"C:Program FilesMozilla Firefoxfirefox.exe" -requestPending -osint -url "%1"
Ищем по ВСЕМУ реестру
3. Всё что здесь выделено жирным шрифтом - удаляем
4. При первом после этой процедуры запуске Mozilla попытается восстановить предыдущую сессию - жмём "Начать новую сессию"
5. Всё!
Просканируйте компьютер с помощью свежей версии программ DrWeb CureIt

Удаление баннера из Оперы:
1.Завершаем процесс opera.exe Для этого запускаем
Диспетчер задач (Ctrl+Alt+Del), находим в процессах opera.exe,
Правый клик –> завершить процесс.(или просто закрываем Opera, если даётся)
2. Пуск - Виполнить - Regedit - Ctrl+F. Вводим opera.exe,
снимаем галку с "искать только строку целиком" и ищем такие строки
"C:Program FilesOperaopera.exe" -preferences
"C:Program FilesOperaopera.exe" -requestPending -osint -url "%1" или что либо подобное
Ищем по ВСЕМУ реестру!!!\
3. Всё что здесь выделено жирным шрифтом - удаляем
4. При запуске Opera указать, что начинать надо с экспресс-панели.
5. Всё !!!
Там еже рисунки есть - если нужны - дай в личку мыло - отправлю весь файл.

да лан, не стоит, виннда всерно удавлена донельзя, как раз собирался переставить а тут такой повод..
зы/инфу всю необходимую удалось спасти с под ДОСа (у мя фат32)..

жаба писал(а):да лан, не стоит, виннда всерно удавлена донельзя, как раз собирался переставить а тут такой повод..
зы/инфу всю необходимую удалось спасти с под ДОСа (у мя фат32)..

Выше уже написал. Тоже раньше Fat 32 ставил, но достал он - не видит больших файлов и не работает с ними - пришлось на NTFS всё переводить... Считаю, что лучше всё в NTFS, но на С только винду держать и кое-какие проги, а диск разбить не ап стену и инфу держать на D;E; и т.д.

а у меня как раз так..
С - 30 гиг (чисто прод операционку и т.п.) в фат32, Д - 130 гиг в нтфс, и пристяжной террабайтник внешний тож в нтфс..

пасип за инструкцию по вирю..

жаба писал(а):а у меня как раз так..
С - 30 гиг (чисто прод операционку и т.п.) в фат32, Д - 130 гиг в нтфс, и пристяжной террабайтник внешний тож в нтфс..

Слов нет - *SCRATCH*

ффух, переставил..
такое впечатление, какбутто после баньки..
всё такое свежее, ничо не глючит..
красота одним словом..

------------------------------------------------
и это..
извиняюсь..
ошибочка вышла..
диск Д у мя тож в фат32..
а иначеб как яб с диска С подДОСа инфу спасалбы? :-[

жаба писал(а):ффух, переставил..
такое впечатление, какбутто после баньки..
всё такое свежее, ничо не глючит..
красота одним словом..

------------------------------------------------
и это..
извиняюсь..
ошибочка вышла..
диск Д у мя тож в фат32..
а иначеб как яб с диска С подДОСа инфу спасалбы?

жаба писал(а):ффух, переставил..

Теперь, если у тебя Windows 7, можешь включить ей обновления, только предварительно надо будет сразу проверить установилось ли обновление КВ971033 и если да, то удалить его, а если нет, то включить ему опцию "скрыть обновление" и далее можно беспрепятственно обновляться.

из под доса можно ntfs юзать. есть специальная утилитка NTFS4DOS. это во-первых.
во-вторых, почитайте про загрузочные диски/флешки, с которых всегда можно загрузиться в винду например и утащить все нужные файлы либо вылечить "родную" операционку от вирусов/блокеров и т.п.
жизнь гораздо легче станет.

Laplandia писал(а):почитайте про загрузочные диски/флешки, с которых всегда можно загрузиться в винду например и утащить все нужные файлы либо вылечить "родную" операционку от вирусов/блокеров и т.п.
жизнь гораздо легче станет.

А как создашь собственными силами загрузочный диск/флешку на парализованном вирусом компе?

Засади к себе вирусняк и поэкспериментируй с ним разок сам)).

___VICTOR___ писал(а):
Laplandia писал(а):почитайте про загрузочные диски/флешки, с которых всегда можно загрузиться в винду например и утащить все нужные файлы либо вылечить "родную" операционку от вирусов/блокеров и т.п.
жизнь гораздо легче станет.
А как создашь собственными силами загрузочный диск/флешку на парализованном вирусом компе? Засади к себе вирусняк и поэкспериментируй с ним разок сам)).

загрузочный dvd-диск например или флешку достаточно создать 1 раз (ну пока не испортится носитель). как бы не обязательно использовать зараженный компьютер для этого.

сейчас можно скачать для новичков вполне пригодный образ загрузочного диска от zver (там и в винду загрузиться можно прямо с диска, и утилит немалый набор для восстановления/чисток всяких, и тулзы для работы с жесткими дисками) и все на русском - достаточно в биосе выбрать загрузку с сд/двд.

кстате, на днях у товарища попался новомодный блокер ("положи деньги на счет"). отличается от типичных блокеров тем, что лезет не в автозагрузку операционной системы, а прописывается непосредственно в mbr-область жесткого диска. лечится 2 минуты, но не имея загрузочного диска/флешки под рукой останется только 3 варианта - цеплять винт к живому компьютеру, грузить с лицензионного диска windows режим восстановления и применять команду fixmbr, либо format c: /u.

еще раз рекомендую всем форумчанам потратить 15-20 рублей на болванку и скачать из инета образ загрузочного диска/флешки и посадить его на удобный вам и вашему компьютеру носитель.

Laplandia, ты технически всё верно изложил. Я другое имел в виду. Чаще всего мы оказываемся в критичной ситуации, когда к ней не готовы, и внешнего загрузчика под рукой нет. Хорошо, если есть второй комп - тогда ситуация решаема. Но так бывает не у всех и не всегда. Вот тогда засада!

Второй троян, который прописывается в BIOS
Дата: 11.06.2012

В сентябре 2011 года одна из китайских антивирусных компаний обнаружила Mebromi (MyBios) — первый троян, который прописывается в BIOS (Award BIOS). При следующей загрузке BIOS уже добавляет дополнительный код к главной загрузочной записи (MBR) жёсткого диска, чтобы инфицировать winlogon.exe и winnt.exe процессы на Windows XP и 2000/2003 перед загрузкой системы, затем вредоносный код скачивает руткит для предотвращения очистки MBR антивирусным сканером. Но даже если жёсткий диск будет очищен, вся процедура инфицирования повторится при следующей загрузке BIOS. Троян способен уцелеть даже при смене жёсткого диска.

Сейчас появилась новая программа Niwa!mem, которая действует примерно таким же способом, переписывая MBR и помещая в системе библиотеку DLL, которая содержит cbrom.exe и поражает Award BIOS.

По мнению специалистов, новый троян Niwa!mem может быть написан теми же авторами, что и Mebromi, поскольку многие строки кода выглядят практически идентично.

С выходом второго экземпляра можно ожидать, что запись вредоносного кода в BIOS станет более обычным делом для вредоносных программ.

https://www.xakep.ru/post/58830/

Молодцы.

Их бы ум да в мирных целях.

в правильных материнках биос лок есть.

Laplandia писал(а):в правильных материнках биос лок есть.

Так это в нынешнем поколении материнок. А сколько ещё в пользовании раритетного старья, тьма. В правильных флешках тоже есть защита от записи, но я таких флешек мало встречал. Да и аппаратную защиту BIOS тоже обходят, здесь подробнее: https://www.xakep.ru/post/46650/. Поэтому за бирусами и MBR-вирусами будущее!))
Цитата:
Компьютерная индустрия должна лучше защищать процесс запуска компьютера для создания более безопасных систем, говорит Национальный институт стандартов и технологий (NIST), США. "Несанкционированная модификация прошивки BIOS посредством вредоносного ПО представляет серьезную угрозу из-за особой и привилегированной позиции, которую BIOS занимает в архитектуре ПК", - сообщил NIST. "Вредоносная модификация BIOS может быть частью сложной целевой атаки на организацию. Это может быть либо PDoS (постоянный отказ в обслуживании, если BIOS поврежден), либо постоянное присутствие вредоносного кода в системе (если в BIOS внедрена вредоносная программа)". В итоге институт призвал поставщиков и создателей BIOS к применению ряда мер, которые будут способствовать поднятию уровня безопасности. В первую очередь NIST призвал включить в BIOS функции ID verification (установления подлинности), чтобы помочь защитить систему от злоумышленников. В настоящее время хакеры могут злоупотреблять путями доступа, встроенными в системы и позволяющими производителям обновлять системную прошивку, устранять баги, закрывать уязвимости и поддерживать новые аппаратные средства. "Руководство призывает к использованию криптографических цифровых подписей для проверки подлинности обновлений BIOS перед их установкой", - отметил NIST.
Источник: https://www.xakep.ru/post/55666/

имхо, это только предположения. был же в свое время win95cih, пережили как-то.

Laplandia писал(а):жизнь гораздо легче станет.

да я в этих делах деревянный по пояс :-[

Laplandia писал(а):имхо, это только предположения. был же в свое время win95cih, пережили как-то.

Чих писался в 1998, когда ещё глобального количества сетевых юзеров не было и сутками в сети народ не сидел. И все-равно он покосил полмиллиона машин. Контрмеры придумают и против бирусов. Важно первыми не попасть под бирусную раздачу.