eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС
выпущен 4 ноября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: (+4 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Основной форум —› Помогите опознать вирь
Посл.ответ Сообщение


Ранг: 450.3 (мудрец)
Статус: Участник

Создано: 30 сентября 2008 10:24 New!
Цитата · Личное сообщение · #1

Может кто знает по симптомам, что за зверь оставил эти последствия ?
Принесли копм, винда не грузится, синий экран смерти. В указанном dll файле обнаруживаю, что он прописан кодом DF. К слову скажу, что такие файлы есть ещё. Имена и папки пострадавших файлов выбираются случайным образом. Иногда прописано кодом DB. Куда залазили ещё не выяснил, но знаю, что подцеплено в процессе сёрфинга. Броузер хром. Теперь самое интересное, на машине стоял каспер 2007 с обновлёнными базами и outpost свежий. После восстановления части файлов винда запустилась. Фаервол отключен (служба). В службы зайти нельзя. Каспер - повреждены базы. Ещё думаю, что аська ушла... Пинч ?


Ранг: 655.4 (! !)
Статус: Участник
CyberMonk

Создано: 30 сентября 2008 10:43 New!
Цитата · Личное сообщение · #2

=) ну фиг знает. Типичный вариант , почти все так делают. Дровина рубит каспера и оутпоста. В реестре отключаются служебные папки. Написан может не правильно вот и не грузится. А дров может как раз и взывает бсод при убиении каспера.

Бери РКУ и смотри , чаще эта фигня сразу в автозагрузке , не смотря на ее злые вещи. Доступ востановить к папкам можно через реестр. Оутпост предется переставить. Каспер скорее всего тоже.

С РКУ попробуй Антивирь зайцева. Нестандартное решение , но помогает в таких случаях , есть скрипты востанавливающие доступы к служебным папкам.

Когда все сделаешь уже новым каспером опять скань.

Хотя многие наверное скажут , переставляй винду

Чтобы опознать вирь , нужен либо его файл , либо сообщения которые он вызывает в системе либо сам из себя.


Ранг: 95.2 (постоянный)
Статус: Участник

Создано: 30 сентября 2008 11:06 New!
Цитата · Личное сообщение · #3

mak прав, всего скорее дровина кривая. Возможно еще и даунлоадер, который после отруба каспера и аутпоста залил и запустил пинча.
Можно предположить, что к хрому появились приватные сплоеты....

Ранг: 8.3 (гость)
Статус: Участник

Создано: 30 сентября 2008 12:50 New!
Цитата · Личное сообщение · #4

minidump в студию.


Ранг: 655.4 (! !)
Статус: Участник
CyberMonk

Создано: 30 сентября 2008 13:01 New!
Цитата · Личное сообщение · #5

Да я сам млин на такую фигню 3 раза напоролся. У меня браузер другой , а проходит как то в обход Каспера и любого фаервола. Каспер видит что происходит но сделать ничего не может.

Что касается Даунлодера то это точно он и есть =). Характерная черта этого даунлодера что он копирует и скачивает свои файлы в папку программ файлс. Такое очучение что это копии одной и той же модификации даунлодера.

Если все время бсод грузись в безопасном режиме и убирай с автозагрузки лишнее и опять перегрузись. Я так понял минидамп не получается вхять ибо бсодит постоянно.


Ранг: 247.7 (наставник)
Статус: Участник
Халявщик

Создано: 30 сентября 2008 13:47 New!
Цитата · Личное сообщение · #6

Мне тока интересно как это вирь обход каспера и аутпоста (я надеюсь они хотя бы включенные???) грузит свой драйвер? У мня именно каспер и аутпост стоят и сразу орут если чтото пытается драйвер загрузить.


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 30 сентября 2008 13:51 New!
Цитата · Личное сообщение · #7

возможно юзается какая-нибудь уязвимость в винде или новая техника подгрузки дроф.

проверь, есть ли такой файлик:

C:\Program Files\Microsoft Common\wuauclt.exe

з.ы. только в безопасном или с лайвсиди грузанись.


Ранг: 450.3 (мудрец)
Статус: Участник

Создано: 30 сентября 2008 14:25 · Поправил: ToBad New!
Цитата · Личное сообщение · #8

Спасибо всем за советы !
Комп я получил уже с бсодом. Как всё было знаю только со слов...
Основная проблема не в потере приватных данных или отключении каспера и аутпоста, проблема в порче системных файлов. Их просто прописывают выборочно блоками символов с кодом DF или DB.
Такая ситуация повторяется уже второй раз. Систему восстанавливаю путём перезаписывания всех exe, dll и т.д. на оригинальные версии (из копии). Таким образом обхожу бсод и получаю систему со всеми настройками пользователя. Запущенных посторонних процессов, служб или драйверов - не наблюдаю.
Папки Microsoft Common в программсах - нету...
Никаких следов вируса насколько я могу разобраться нет.
Прошёлся по истории и поскачивал разные гавнотемы и гавноскринсейверы которые запускались на компе в тот день. Гавно конечно, но систему не выбило, всё работает...
Вот я и думаю, а может это не вирь, а глюк оборудования ? Память например или винт. Хотя тест памяти гонял, да и с компом до подключения к инету говорят проблем небыло...
Антивирь, аутпост и ярлык на службы могут дохнуть в результате порчи их файлов. Мазилла хоть не использовалась - тоже сдохла... Вот смотрю, что диск С у них в нтфс, а файлы с аттрибутом "сжатый"...
Думал может кто с протиркой файлов символом DF уже сталкивался. Всё таки тупо удалять, отключать фаерволы и антивири много что может, а вот прописывать системные файлы определённым символом, да ещё те которые я например под администратором не могу модифицировать из за того, что система их сипользует... Выходит или очень хитрый вирь (но зачем ему тогда гадить), либо сама система их убивает ?


Ранг: 1288.1 (!!!!)
Статус: Модератор

Создано: 30 сентября 2008 14:47 New!
Цитата · Личное сообщение · #9

ToBad пишет:
каспер 2007 с обновлёнными базами и outpost свежий

а убрать этих убогих монстров не судьба?


Ранг: 450.3 (мудрец)
Статус: Участник

Создано: 30 сентября 2008 15:11 New!
Цитата · Личное сообщение · #10

Ara люди там недавно к инету подключились, везде лезут, всё запускают, плюс всякие автораны кругом на флешках, плеерах и фотиках... Без антивиря им нельзя, а фаервол защищает от любознательной малодёжи из местной локальной сети... Понятно, что ресурсов много жрёт и замедляет работу и что от серьёзных вещей не спасёт, но всё же хоть какая то защита...


Ранг: 95.2 (постоянный)
Статус: Участник

Создано: 30 сентября 2008 15:21 New!
Цитата · Личное сообщение · #11

depler пишет:
Мне тока интересно как это вирь обход каспера и аутпоста (я надеюсь они хотя бы включенные???) грузит свой драйвер?

Тут долго можно гадать...вот например видел я как-то зверька интересного...вобщем с виду всё нормально вроде, но какие-то системные глюки были...каспер вообще не грузился, его просто рубанули на раз, решил на всякий случай РуткитБастером проверить....и вобщем в систем32 нашлась дровина и длл'ха. Впечатление такое, что дровина скрывает свое присутствие и присутствие длл в системе, причем этих файлов вообще на диске не видно, и в процессах тоже чисто. длл'ха тоже походу подгружается куда-то и чего-то хукает...комп был не мой, разбираться времени не было, вобщем пришлось всё это добро похоронить...
Всё это к размышлению о том, что комп в жизни не видел интернета и локальной сети...как это зверье там оказалось можно только предполагать...хотя конечно возможен вариант с автораном на флешке.


Ранг: 95.2 (постоянный)
Статус: Участник

Создано: 30 сентября 2008 15:24 New!
Цитата · Личное сообщение · #12

Ara пишет:
а убрать этих убогих монстров не судьба?

Я бы тоже может Каспера выкинул нах со всех рабочих компов, но нам на работу его массово закупили ни у кого не спрашивая и теперь по схеме: "Телевизор Витязь - сами купили, сами ебитесь"....


Ранг: 1288.1 (!!!!)
Статус: Модератор

Создано: 30 сентября 2008 15:29 New!
Цитата · Личное сообщение · #13

ToBad пишет:
Без антивиря им нельзя, а фаервол защищает от любознательной малодёжи из местной локальной сети.

Есть же более лояльные к системе и дровам решения. Каспер еще ладно, но пицотпроцентноглюкавый аутпост - это уже слишком...Защиту от любознательной молодежи обеспечит любой фаер, с 3-4 метра дистрибутивом и минимум функций. И не такой глючный..


Ранг: 660.7 (! !)
Статус: Участник
ALIEN Hack Team

Создано: 30 сентября 2008 17:17 New!
Цитата · Личное сообщение · #14

Ara пишет:
Защиту от любознательной молодежи обеспечит любой фаер, с 3-4 метра дистрибутивом и минимум функций. И не такой глючный..
Можно пример не такого глючного фаера, и ещё пример глючности Аутпоста?


Ранг: 467.7 (мудрец)
Статус: Участник
Иной :)

Создано: 30 сентября 2008 22:05 · Поправил: [HEX] New!
Цитата · Личное сообщение · #15

Лёгкий, гибкий фаер wipfw (порт с FreeBSD - ipfw) а чё сам юзаю. Наружу пох че ломиться, а все входящие коннекты режу кроме заранее запущеных мною сервисов. Систему вообще не грузит и скорость не падает, как с Оутпостом. Единственое НО, руки должны юзающего этот фаер из правильного места, так как чисто консольный фаер.


Ранг: 793.4 (! !)
Статус: Участник
Шаман

Создано: 1 октября 2008 06:51 New!
Цитата · Личное сообщение · #16

ARCHANGEL пишет:
и ещё пример глючности Аутпоста?

ыы, я бы хотел увидить пример НЕ глючности аутпоста. Пока он у меня стоял работать было невозможно. Например из вмвари невозможно было через нат подключить диск основной системы, при этом хоть какое правило прописывай. Помогало только тушение фаера на время работы с вмварей. Блокирование некоторых "рекламных" картинок на сайтах даже при отключеном фаере. В итоге аутпост у меня 90% времени стоял в состоянии отключено, а после того как я поставил на комп др вэб и машина перестала видеть сетку я и вовсе удалил это гуано. После его удаления сетка сразу увиделась.


Ранг: 467.7 (мудрец)
Статус: Участник
Иной :)

Создано: 1 октября 2008 13:11 New!
Цитата · Личное сообщение · #17

PE_Kill
Галка в Аутпосте напротив "Общий доступ к файлам и принтерам" стояла? Если нет, то естественно о локалке можно забыть.


Ранг: 793.4 (! !)
Статус: Участник
Шаман

Создано: 5 октября 2008 22:18 New!
Цитата · Личное сообщение · #18

[HEX] всё стояло я же написал

PE_Kill пишет:
при этом хоть какое правило прописывай

т.е. я имел ввиду что всяко извращался. В том то и дело что я в локалку нормально выходил, из локалки цеплял тачку. А вот и вмвари подцепить тачку с постом никак нельзя было.

Ранг: 253.9 (наставник)
Статус: Участник

Создано: 5 октября 2008 22:43 New!
Цитата · Личное сообщение · #19

[HEX] пишет:
Наружу пох че ломиться, а все входящие коннекты режу кроме заранее запущеных мною сервисов

этого же можно добиться если в модеме сделать поднятие сессии... ну или если инет по витой паре заходит, то поставить какой-нибудь роутер


Ранг: 467.7 (мудрец)
Статус: Участник
Иной :)

Создано: 5 октября 2008 23:20 New!
Цитата · Личное сообщение · #20

PE_Kill
Эмм... жестоко. А на форуме суппорта ихние ченить об этом пишут?

[off]
Tim
Согласен. Только нах мне железку покупать когда мелким софтом элементарно реализуется.
[/off]


Ранг: 793.4 (! !)
Статус: Участник
Шаман

Создано: 6 октября 2008 12:45 New!
Цитата · Личное сообщение · #21

Я хз. Мне изначально нужно было одну прогу блокировать. А теперь вообще DFL железка стоит, так что не писал и не интересовался.
 eXeL@B —› Основной форум —› Помогите опознать вирь

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS