Здравствуйте, гость ( Вход | Регистрация )
|
![]() |
Прежде чем задать вопрос, убедитесь, что его еще не задавали и ответ на него уже не дали. Проверьте Раздел Новости Воспользуйтесь расширенным Поиском, к нему прилагается помощь на русском языке по методам поиска. Также не забываем про общие ПРАВИЛА форумов. Уважайте друг друга и не создавайте тем-близнецов.
![]() |
![]() |
| ![]() |
![]()
Сообщение
#1
|
|
Ст.сержант ![]() Группа: Пользователи Сообщений: 344 Регистрация: 18.12.2006 Из: твоей черепной коробочки Пол: ![]() Сегмент: 9 ![]() |
обнаружил у себя эту дрянь, появилась видимо за последние 30 дней, каспер и avz не могут вылечить полностью, и похоже эту хрень я занес на ноут с вистой(не желательно сносить)
что может мне помочь , не считая форматирования? ![]() |
|
![]() |
![]() |
![]() |
|
![]() |
![]()
Сообщение
#2
|
|
Сержант ![]() Группа: Пользователи Сообщений: 204 Регистрация: 12.1.2006 Пол: ![]() Сегмент: 29 ![]() |
Насколько пишут в интернете, штука поганая. При заражении портит файлы безвозвратно. А обнаружить и убить этого гада можно Касперским или НОД-ом, в безопасном режиме.
От себя: думаю, поможет связка Drweb CureIt! и Ad-Aware. Разумеется, тоже в безопаске. Upd. Кое-что про вирус. Безобидный резидентный Win32-вирус. Заражает приложения Win32 (PE EXE-файлы). При заражении шифрует часть заражаемого файла. При запуске зараженного файла инсталлирует себя в систему: создаёт свою копию с именем "svchost.exe" (размером около 36K) в каталоге Windows и регистрирует этот файл в ключе автозапуска системного реестра: HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices PowerManager = %WindowsDir%\SVCHOST.EXE (От себя добавлю - оригинальный svchost.exe лежит в Windows\system32, остальные можно мочить сразу) Затем вирус остаётся в памяти Windows, рекурсивно ищет и заражает PE EXE-файлы на всех доступных дисках, начиная с диска C:. Вирус никак не проявляет своего присутствия в системе. Вирус содержит зашифрованные строки: Hidden Dragon virus. Born in a tropical swamp. PowerManagerMutant Сообщение отредактировал MichaeL - 9.11.2007, 22:24 |
|
![]() |
![]() |
![]()
Сообщение
#3
|
|
Ст.сержант ![]() Группа: Клиенты Сообщений: 304 Регистрация: 9.8.2007 Из: Pushkino Пол: ![]() Сегмент: 7 ![]() |
Я обычно с такой заразой борюся из под DOS с помощью Hiren's BootCD (посленяя версия 9.3). Там есть антивири F-Prot Antivirus и McAfee Antivirus - удалял с помощью них то,что не мог удалить ни каспер ни AVZ (точно не помню какой именно вирь (троян,червь-я стока уже их повычистил у людей,всех и не упомнишь! недавно у одного вычестил 275вирей-трояноф-червей,а у другова было около 70 - и все разные)) И вообще всем системщикам советую всегда иметь этот диск при себе ![]() Сообщение отредактировал Lexus77 - 9.11.2007, 22:36 |
|
![]() |
![]() |
![]() ![]()
Сообщение
#4
|
|
Ст.лейтенант ![]() Группа: Пользователи Сообщений: 1552 Регистрация: 22.10.2005 Из: NSK-MSK |^_^ Пол: ![]() Сегмент: 12 ![]() |
|
|
![]() |
![]() |
![]()
Сообщение
#5
|
||||||||||||||||||||||||
Ст.сержант ![]() Группа: Клиенты Сообщений: 304 Регистрация: 9.8.2007 Из: Pushkino Пол: ![]() Сегмент: 7 ![]() |
Спасибо за ссылку! ЗЫ: Да кстати! из под ДОС эти антивирусы все равно не смогут полностью вычистить жесткий диск от вирусни(они удаляют только ту заразу,которая из под винды не вычищается)! Из под виндовс советую пользоваться Avira AntiVir PersonalEdition Premium - по моим "тестам" лучший на данный момент - не так грузит систему как Каспер,а по эффективности даже лучше(имхо) - как раз им я недавно чистил системы после НОД32 (2.7.39) ![]() Сообщение отредактировал Lexus77 - 9.11.2007, 23:08 |
|||||||||||||||||||||||
|
![]() |
![]() |
![]()
Сообщение
#6
|
|
Сержант ![]() Группа: Пользователи Сообщений: 204 Регистрация: 12.1.2006 Пол: ![]() Сегмент: 29 ![]() |
Могу, конечно, ошибаться, но у Авиры эвристик плохой. Что касается НОД-а - уже вышла третья версия, монстр тот еще. Однозначный выбор на сегодняшний день, если бы не тот факт, что под него нет фиксы...
|
|
![]() |
![]() |
![]()
Сообщение
#7
|
||||||||||||||||||||||||
Ст.сержант ![]() Группа: Клиенты Сообщений: 304 Регистрация: 9.8.2007 Из: Pushkino Пол: ![]() Сегмент: 7 ![]() |
Как раз наоборот! У Авиры один из лучших эвристик-анализаторов(правда на максимальном уровне эвристики часто ложно срабатывает ). Вот например один из тестов http://www.av-comparatives.org/seiten/ergebnisse_2007_05.php (я конешн мало доверяю таким тестам - но всетаки!). Да,НОД32 3ей версии стал намного "продвинутей" - сейчас как раз тестю ESET Smart Security 3.0.560.0 (правда в боевых условиях я его пока что не проверял-как будет инфа - отпишусь) Сообщение отредактировал Lexus77 - 9.11.2007, 23:35 |
|||||||||||||||||||||||
|
![]() |
![]() |
![]()
Сообщение
#8
|
|
Ст.сержант ![]() Группа: Пользователи Сообщений: 344 Регистрация: 18.12.2006 Из: твоей черепной коробочки Пол: ![]() Сегмент: 9 ![]() |
|
|
![]() |
![]() |
![]()
Сообщение
#9
|
|
Сержант ![]() Группа: Пользователи Сообщений: 204 Регистрация: 12.1.2006 Пол: ![]() Сегмент: 29 ![]() |
Инфа взята из инета, проверить по понятным причинам не могу. А что, в local machine его нет?
|
|
![]() |
![]() |
![]()
Сообщение
#10
|
||||||||||||||||||||||||
Ст.сержант ![]() Группа: Пользователи Сообщений: 344 Регистрация: 18.12.2006 Из: твоей черепной коробочки Пол: ![]() Сегмент: 9 ![]() |
там вообще нет папки RunServices, есть Run, но там нет, хотя мб был, я просто сначало в безопасном режиме все лечил, щас в нормальном поврежденные файлы ищу\лечу\удаляю интересно , если в памяти не висит процесс, то распостранение вируса прекращено? |
|||||||||||||||||||||||
|
![]() |
![]() |
![]()
Сообщение
#11
|
|
Ст.лейтенант ![]() Группа: Validating Сообщений: 1511 Регистрация: 1.1.2006 Из: Руси Пол: ![]() Сегмент: 14 ![]() |
RAT, скачай AVZ ( антивирус зайцева ) http://www.z-oleg.com/secur/avz/download.php , сделай дамп и скинь в пм
Кстати насчет описания вируса глянь на лабораторию касперского, там расписаны пути отхода и тп p.s дамп , в авз это исследование системы Сообщение отредактировал Dark - 10.11.2007, 1:03 |
|
![]() |
![]() |
![]()
Сообщение
#12
|
||||||||||||||||||||||||
Ст.сержант ![]() Группа: Клиенты Сообщений: 304 Регистрация: 9.8.2007 Из: Pushkino Пол: ![]() Сегмент: 7 ![]() |
Ребят,не забывайте,что RAT говорит про ВИСТУ а не ХП ![]() |
|||||||||||||||||||||||
|
![]() |
![]() |
![]()
Сообщение
#13
|
|
![]() Группа: Admin Сообщений: 2434 Регистрация: 8.10.2005 Из: Пушкино Пол: ![]() Сегмент: 7 ![]() |
removeit pro лежит и на нашем сайте в архиве
однако известен случай, когда cureit от drweb вычищал после avz, который ничего не нашел и после removeit pro, который нашел, но не смог удалить http://forum.beirel.ru/index.php?showtopic=3735 |
|
![]() |
![]() |
![]()
Сообщение
#14
|
||||||||||||||||||||||||
Ст.сержант ![]() Группа: Пользователи Сообщений: 344 Регистрация: 18.12.2006 Из: твоей черепной коробочки Пол: ![]() Сегмент: 9 ![]() |
На 1м компе ХРшном все заражено на 2м , где Виста пока хз |
|||||||||||||||||||||||
|
![]() |
![]() |
![]()
Сообщение
#15
|
|
Ст.сержант ![]() Группа: Пользователи Сообщений: 344 Регистрация: 18.12.2006 Из: твоей черепной коробочки Пол: ![]() Сегмент: 9 ![]() |
Dr. Web вроде спас ХР , но он не хочет работать на висте, что с ней делать?
|
|
![]() |
![]() |
![]()
Сообщение
#16
|
|
Ст.сержант ![]() Группа: Пользователи Сообщений: 344 Регистрация: 18.12.2006 Из: твоей черепной коробочки Пол: ![]() Сегмент: 9 ![]() |
ХР не спасся, все опять появляется
пришло время большой макрухи на компах ![]() |
|
![]() |
![]() |
![]()
Сообщение
#17
|
|
Ст.сержант ![]() Группа: Клиенты Сообщений: 304 Регистрация: 9.8.2007 Из: Pushkino Пол: ![]() Сегмент: 7 ![]() |
|
|
![]() |
![]() |
![]()
Сообщение
#18
|
||||||||||||||||||||||||
Ст.сержант ![]() Группа: Пользователи Сообщений: 344 Регистрация: 18.12.2006 Из: твоей черепной коробочки Пол: ![]() Сегмент: 9 ![]() |
есть загрузочный диск с ним, но он там не работает-типо лицензия кончилась впринципе на комп с ХР пох , у меня были планы сноса винды в этом месяце, просто жаль кое-какую инфу, которую не успел заархивировать жаль комп с вистой, так как там ничего толком не поставишь , чтоб проверить и там я создавал дополнительные архивы информации которую видимо тоже надо будет сносить, но думаю тот редкий музон который я собрал можно будет без вреда перенести флешкой , юзая антивирус З.Ы : виста та еще дрянь, практически не жрет старые проги, а когда антивирус ставил, то увидел экран смерти ![]() Сообщение отредактировал RAT - 11.11.2007, 17:03 |
|||||||||||||||||||||||
|
![]() |
![]() |
![]()
Сообщение
#19
|
||||||||||||||||||||||||
Ст.сержант ![]() Группа: Клиенты Сообщений: 304 Регистрация: 9.8.2007 Из: Pushkino Пол: ![]() Сегмент: 7 ![]() |
Млин! Это штож за такая за инфа,на которую покусился этот вирус! Воопщето,насколько я знаю,вирусы еще не научились заражать MP3,JPG,AVI и т.д НЕ системные (исполняемые EXE) файлы! Не делай из мухи СЛОНА! Или ты думаешь,чтобы переставить винду начисто надо обязательно форматировать диск С? ![]() Сообщение отредактировал Lexus77 - 11.11.2007, 17:16 |
|||||||||||||||||||||||
|
![]() |
![]() |
![]()
Сообщение
#20
|
||||||||||||||||||||||||
Ст.сержант ![]() Группа: Пользователи Сообщений: 344 Регистрация: 18.12.2006 Из: твоей черепной коробочки Пол: ![]() Сегмент: 9 ![]() |
да не только музыку, это я случайно упомянул, ее я могу всю спасти , просто есть куча других типов файлов которые нужных сохранить (нужные проги и тд.) , вирус изменил програмный код ехе шникам, так что хз, я в этом не разбираюсь а форматировать я хочу из-за того , что разделы засорены мусором в космических масштабах ![]() |
|||||||||||||||||||||||
|
![]() |
![]() |
![]()
Сообщение
#21
|
|
Ст.сержант ![]() Группа: Пользователи Сообщений: 344 Регистрация: 18.12.2006 Из: твоей черепной коробочки Пол: ![]() Сегмент: 9 ![]() |
кстати дрвэб на флешке AUTORUN.BAT, AUTORUN.INF, autorun.vbs, autorun.reg считает зараженными, и как тогда быть, на болванках тоже может не прокатить?
Сообщение отредактировал RAT - 11.11.2007, 18:19 |
|
![]() |
![]() |
![]()
Сообщение
#22
|
|
Сержант ![]() Группа: Пользователи Сообщений: 204 Регистрация: 12.1.2006 Пол: ![]() Сегмент: 29 ![]() |
AUTORUN.INF на флешке, по крайней мере у меня, создавался вирусами, обнаруживался Вебом, и, увы, удалялся раньше, чем я смог определить его содержимое... Ты проверь их содержимое, мож, ссылка в авторане идет на вирь...
|
|
![]() |
![]() |
![]()
Сообщение
#23
|
||||||||||||||||||||||||
Ст.сержант ![]() Группа: Пользователи Сообщений: 344 Регистрация: 18.12.2006 Из: твоей черепной коробочки Пол: ![]() Сегмент: 9 ![]() |
а если я убъю винду, то обвирусенные файлы на флешке могут на чистой винде начать все заражать или после удаления на следующей загрузке системы они не появятся? |
|||||||||||||||||||||||
|
![]() |
![]() |
![]()
Сообщение
#24
|
|
Ст.сержант ![]() Группа: Пользователи Сообщений: 344 Регистрация: 18.12.2006 Из: твоей черепной коробочки Пол: ![]() Сегмент: 9 ![]() |
а чтоб мне на чистой винде восстановить инет и сеть надо в сетевых подключениях указать свои значения и все?
|
|
![]() |
![]() |
![]()
Сообщение
#25
|
|
Ст.сержант ![]() Группа: Пользователи Сообщений: 344 Регистрация: 18.12.2006 Из: твоей черепной коробочки Пол: ![]() Сегмент: 9 ![]() |
с болванками прокатило вроде
а что если попробовать обмануть вирус ![]() ![]() |
|
![]() |
![]() |
![]()
Сообщение
#26
|
|
![]() Группа: Admin Сообщений: 2434 Регистрация: 8.10.2005 Из: Пушкино Пол: ![]() Сегмент: 7 ![]() |
а не проще винт с той машины снять и подключить к этой и все что надо скопировать?
именно cureit тоже не помог? |
|
![]() |
![]() |
![]()
Сообщение
#27
|
||||||||||||||||||||||||
Ст.сержант ![]() Группа: Пользователи Сообщений: 344 Регистрация: 18.12.2006 Из: твоей черепной коробочки Пол: ![]() Сегмент: 9 ![]() |
ну с [товер<>ноут] винт переставлять очень даже лень ![]() хочу сделать так: 1)оч. редкий музон, клипы, видеошколы перенести на ноут 2) форматнуть с товера(хр) оба раздела и поставить ХР заново 3) перенести с ноута болванками выше указанную инфу, бдительно сканируя антивирусом каждый блин 4) форматнуть на ноуте разделы и поставить заново висту(лицензионная бизнес версия) гемор с изменением расширения обусловлен опять же ленью поиска большого кол-ва ПО для винды д. вэб успешно нашел вирусы(в статистике написал 2 программы взлома) и зараженные файлы, вроде все вычистил, но после включения компа нашел ту же хрень, в висте БТшный др. вэб после нажатия кнопки пуск встает в ступор, инсталлеры нашел только без ключей, по-этому не смог установить так для восстановления инета и сети на чистой винде мне надо в разделе "Сетевые подключения" указать свои договорные данные или , что-то еще? Сообщение отредактировал RAT - 12.11.2007, 0:16 |
|||||||||||||||||||||||
|
![]() |
![]() |
![]()
Сообщение
#28
|
|||||||||||||||||||||||||||||||||||||||
Сержант ![]() Группа: Пользователи Сообщений: 204 Регистрация: 12.1.2006 Пол: ![]() Сегмент: 29 ![]() |
Для начала надо быть уверенным, что после реинсталла новой ОСи ты не запустишь заново зараженный файл, который подвесит своего резидента в процессы, и - пошло-поехало по новой...
Чтобы попробовать обмануть вирус, надо попробовать разобраться в его исходниках. В частности, на какие файлы он обращает внимание, какие игнорит... В конце концов, необходимо понять его механизм заражения. Если винда не лечится, значит, переустанавливается с максимальной осторожностью. |
||||||||||||||||||||||||||||||||||||||
|
![]() |
![]() |
![]()
Сообщение
#29
|
|
Мл.лейтенант ![]() Группа: Пользователи Сообщений: 1027 Регистрация: 30.1.2007 Из: Поле Чудес Пол: ![]() Сегмент: 3 ![]() |
ппц у вас замуты.
1 соединяешь два компа сетью 2 сливаешь все что надо на комп с большим винтом (т.к. оба заражены - можешь даже антивирус не врубать) 3 сносишь оставшееся форматом ставишь винду, антивирь и т.д. потом сливаешь инфу обратно, незабывая попутно лечить. |
|
![]() |
![]() |
![]()
Сообщение
#30
|
|
![]() Группа: Пользователи Сообщений: 2370 Регистрация: 17.7.2007 Пол: ![]() Сегмент: 33 ![]() |
Win32.Hidraq.a интересный вирус. Но абсолютно нормально лечится, было бы желание ;) Однажды подцепил эту заразу. Чем отделался - пару испорченных EXE-шников.
Принцип лечения простой: берем каспера (с рабочим ключем и последними базами), и делаем проход по всему харду. Самое главное - это стараться НЕ запускать EXE-файлы, потому как в момент запуска и скана антивирусом происходит какая-то шляпа и EXE-шник становится нерабочим, хотя антивирус пишут "вылечен". если этот же зараженный файл пройтись антивирусом без запуска - лечится и работает. После первого прохода - лечимся, ребутимся. После ребута - еще один проход. Скорее всего найдет еще заразу. Ибо этот вирь - как раковая опухоль, распространяется быстро. Еще ребут. Еще проход. Попробовать ковырнуть ручками RUN И RUNONCE ключи реестра. А насчет всего остального - моча в жилах стынет от некоторых фраз :))) ппц. вы гланды через анус удаляете ![]() На Висте отлично работает NOD32, Kaspersky, Dr. Web (включая Cure It). Под XP-то вообще проблем нет. Фишка в том, что CureIt (и прочие утилиты) надо (необходимо!) запускать в "режиме администратора", что бы он мог читать/писать файлы на системный диск, в противном случае политика безопасности его просто не пустит. |
|
![]() |
![]() |
![]()
Сообщение
#31
|
|
Ст.сержант ![]() Группа: Пользователи Сообщений: 344 Регистрация: 18.12.2006 Из: твоей черепной коробочки Пол: ![]() Сегмент: 9 ![]() |
|
|
![]() |
![]() |
![]()
Сообщение
#32
|
||||||||||||||||||||||||
Ст.сержант ![]() Группа: Пользователи Сообщений: 344 Регистрация: 18.12.2006 Из: твоей черепной коробочки Пол: ![]() Сегмент: 9 ![]() |
наверное у меня какая-то особенная виста, на которой выше перечисленные антивирусы не пашут насчет мочи в жилах вы жжете ![]() в реге копалсля, ничего странного вроде нету, смутило немного C:\WINDOWS\Updreg.exe |
|||||||||||||||||||||||
|
![]() |
![]() |
![]()
Сообщение
#33
|
|
Ст.лейтенант ![]() Группа: Validating Сообщений: 1511 Регистрация: 1.1.2006 Из: Руси Пол: ![]() Сегмент: 14 ![]() |
Тему уже читать смешно, как правильно удалить вирус антвивирусом ;) лоооол, RAT, я тебе писал выше, чтобы сделал дамп, я бы подсказал, какие файлы стоит удалить и на что обратить внимание.
C:\WINDOWS\Updreg.exe - Long name : Creative Register Reminder Сообщение отредактировал Dark - 12.11.2007, 16:53 |
|
![]() |
![]() |
![]()
Сообщение
#34
|
||||||||||||||||||||||||
![]() Группа: Пользователи Сообщений: 2370 Регистрация: 17.7.2007 Пол: ![]() Сегмент: 33 ![]() |
Смею предположить, что у вас неапдейченная виста (хотелось бы ошибаться), т.к. у меня уже почти год стоит - полет нормальный. С 6-м каспером были проблемы, но со всем остальным - нет. Более того, Agnitum наконец сподобились и выпустили файрволл с поддержкой висты :) |
|||||||||||||||||||||||
|
![]() |
![]() |
![]()
Сообщение
#35
|
||||||||||||||||||||||||
Ст.сержант ![]() Группа: Пользователи Сообщений: 344 Регистрация: 18.12.2006 Из: твоей черепной коробочки Пол: ![]() Сегмент: 9 ![]() |
очень даже возможо , что сыровата , но я уже решил , что форматну все |
|||||||||||||||||||||||
|
![]() |
![]() |
![]()
Сообщение
#36
|
||||||||||||||||||||||||
Ст.прапорщик ![]() Группа: Пользователи Сообщений: 867 Регистрация: 2.3.2007 Из: Военка city Пол: ![]() Сегмент: 3 ![]() |
у меня такая же проблема- пробовал (для проверки) установить винду на ноут, так у меня больше половины функций и программ- нету, даже сеть настроить не удалось!!! что делать??? ![]() ![]() ![]() ![]() |
|||||||||||||||||||||||
|
![]() |
![]() |
![]()
Сообщение
#37
|
|
Сержант ![]() Группа: Пользователи Сообщений: 204 Регистрация: 12.1.2006 Пол: ![]() Сегмент: 29 ![]() |
|
|
![]() |
![]() |
![]() ![]() |
![]() |
Текстовая версия | Сейчас: 4.7.2025, 20:50 |