Перейти к содержанию
SasZt

Проблема с добавлением новых образцов зловредов

Recommended Posts

SasZt

Добрый день!

Работаю в одном из университетов Украины. Используем лицензионный Symantec Corporate Edition (лицензии на поддержку нет).

В учебных классах выловил 3 образца зловредов не определяемых антивирусом. Проблема в том, что на протяжении МЕСЯЦА не могу их добавить в базу (используя форму https://submit.symantec.com/websubmit/retail.cgi отправляю почти каждый день), система в автоматическом режиме ничего не находит. Вирустотал выдает распознавание этих образцов другими антивирусами.

Зловреды быстро размножаются на машинах, удаление в ручном режиме спасает ненадолго.

Это впервые за 12 лет в моей практике (за это время мною было добавлено в базу около двух сотен образцов). Как можно выйти из такой ситуации?

update:

час назад один образец таки добавили - W32.Ircbrute.D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Вирустотал выдает распознавание этих образцов другими антивирусами.
таки добавили - W32.Ircbrute.D

Примерно такой детект? >>>

Зловреды быстро размножаются на машинах, удаление в ручном режиме спасает ненадолго.

Прочтите описание от Symantec от 22 апреля >>>

- подробности о W32.Ircbrute.D >>>

- рекомендации по удалению >>>

Первым делом отключение "Восстановление системы" на заражённых машинах и далее по тексту.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SasZt

Детект немного другой

Спасибо за ссылки и пояснения насчет поддержки.

С одним разобрались, но есть еще этот и особенно вот этот.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

SasZt Да, ребятишки натаскали вам полный набор. :) В таком случае защита должна быть актуальной.

Первым делом отключитесь от сети и сделайте полную проверку системы или хотя бы системного диска.

Потом:

1. Загрузитесь в Safe Mode через F8.

2. Запустите для контроля Менеждер процессов через CTRL+ALT+DELETE.

3. Проверьте наличие в памяти процесса P2P-Worm.Win32.Palevo.jsf, и, если увидите, то завершите его.

4. Произведите поиск по реестру P2P-Worm.Win32.Palevo и удалите все ветки и ключи: например, HKEY_LOCAL_MACHINE\Software\P2P-Worm.Win32.Palevo

5. Зайдите в Program Files и удалите директорию "P2P-Worm.Win32.Palevo", если она там ещё будет.

По другому зловреду, также в безопасном режиме очистите все папки Temp и Temporary Internet Files, включая скрытые директории в Documents and Settings, утилитой очистки или вручную.

Просмотрите директории локальных дисков. Удалите в них все exe-файлы и autorun.inf.

Для окончательной зачистки используйте программу HijackThis, если знаете как ей пользоваться. Если нет, то вот одно из руководств по её использованию.

HijackThis___краткое_руководство.zip

HijackThis___краткое_руководство.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SasZt

Спасибо, HijackThis еще не пользовался.

"Руками" я и раньше их вычищал, но это спасает не долго, через пару дней их обратно приносят (как, до сих пор не могу понять, автораны отключены полностью, прямого инета нет).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
как, до сих пор не могу понять, автораны отключены полностью, прямого инета нет

Вы в этом неодиноки. Каждый день вижу весь этот "компот" на десятках компьютеров.

Студенты таскают их к вам от себя. Это новые версии "социальных" зловредов - из соц. сетей, фриварников и варезников.

Кроме того, сейчас много новых модификаций "попрыгунчиков". Есть даже такой, который обходит все уровни защиты - "самолёт-невидимка", у него даже иконка такая же, код позволяет сразу садиться на хвост Проводнику, "место посадки", в основном, в папке C:\WINDOWS\system32 или C:\Documents and Settings\Имя пользователя. Его и мало кто видит при сканировании. Вреда от него почти нет, одни неудобства и психологический дискомфорт, но если их объединить с другими, то полный букет обеспечен - какие-то обрубятся защитой, а другие пролетят и сядут.

Другие банально валятся толпой и оседают в основные системные папки и директории Documents and Settings\Имя пользователя.

С удалением неудалимого, вам может очень помочь ERD Commander (описание). Загружаетесь с поддержкой установленной ОС или без поддержки.

Без поддержки можно удалить все скрытые папки и файлы, созданные зловредами, а также удалить RECYCLER, System Volume Information и т.н. "ложные корзины", а с поддержкой можно вычистить автозагрузку, сделать нужные изменения в файлах загрузки, конфигурации, удалить некоторые ключи реестра, созданные зловредами и мн. др.

Также ознакомьтесь вот с этим и этим моими постами.

Почиститесь капитально и обновите лицензию на Symantec или приоретите новую.

Сергей Краснов вам писал выше. Обращайтесь к нему, он как раз из Symantec.

У вас опция личных сообщений пока закрыта, откроется после 5-го или 10-го поста. Пока не открылась по всем вопросам пишите здесь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SasZt

Все же странное отношение у Семантика к образцам из формы retail.cgi, прошла еще одна неделя, два выше указанных файла так и не детектятся :), хотя зловреды там явно есть...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Moraband
      Маил ру, увы, сейчас постепенно захватывает все соц. сети, при этом принося ворох проблем. Последнее время в Вконтакте активизировались мошенники-взломщики, с которыми соц. сеть почему то борется очень слабенько, почти ничего не делая. Если бы блокировали по айпи адресу взломщиков, было бы куда лучше, но увы, этого скорее всего никогда не будет. Потому пользователям надо научиться защищать самостоятельно свой аккаунт и благо способы есть. Мне друг посоветовал статью по защите страницы в ВК от взломов , благодаря которой я могу узнать про различные виды взломов и как им противостоять в этих непростых условиях, всем советую ознакомиться, надеюсь, что сумел кому-то помочь. 
    • Moraband
      А сейчас все чаще практикуют совсем другие взломы, взломы Вконтакте. Вот у меня такое совсем недавно было, взламывали мою страницу. Сейчас еще пошел новый тренд  по мошенническим схемам. Начали просить денег, а друг поверил, что это я и скинул денег. Вообще основная проблема этих взломов, что люди думают, дескать их никогда не взломают, а на деле  это очень даже возможно, особенно если страница достаточно популярна и ее легко найти в поиске. Потому будьте осторожнее и лучше изучите статью, как защитить свой аккаунт Вконтакте   , тут очень хорошо написано, как эффективно бороться с мошенническими схемами, взломщиками и мошенниками, которые уже заполонили просторы ВК. Надеюсь, что взломанных станет хоть чуточку меньше =)
    • Moraband
      Ой, столько мошенников развелось сейчас в интернете, пруд пруди. Недавно столкнулся с новым веянием взломов в Вконтакте и вымогательства денег у друзей пользователя. Сам на такое и попал, а мой друг доверчивый и поверил в бредни, которые рассказывал взломщик, перевел ему 5к руб. От такого никто не застрахован, а причиной большого количества взломов выступает отсутствие знаний у простых пользователей. Потому, вот тут смотрите как защитить свой аккаунт от взлома , это очень полезно и реально даст возможность спать спокойно спать и быть точно уверенным, что в этот момент кто-то не вытягивает последние кровные из ваших друзей. 
    • Moraband
      Вообще мошенников в ВК развелось пруд пруди. Знаю и другие виды мошенничества. Сейчас стали активно практиковать взломы ВК и просьбы денег у друзей человека. У меня такое было и один из моих друзей даже повелся. Люди ведь разные бывают, есть и доверчивые. Потому чтобы сберечь деньги своих друзей и свою репутацию лучше ознакомьтесь со статьей, которая поможет защитить аккаунт , мне друг ее скинул, тут очень хорошо и детально расписано как противостоять мошенникам, какие виды мошенничества и взлома могут быть, лучше знать и защитить свой аккаунт, чем потом краснеть перед друзьями.
    • Moraband
      Cейчас индустрию вконтакте захлеснула проблема, связанная с тем, что нахлынули толпы взломщиков и мошенников. Кризис в странах СНГ порождает взломщиков, которые ищут как обогатиться. Меня вот недавно несколько раз взламывали с целью написания моим друзьям просьб с моей страницы, дескать "помоги с деньгами" и скидывали свою карту. Потому надо быть осторожнее, всем советую изучить статью, как защитить свой аккаунт  , потому что существует очень много видов взлома, а многие не знают о них и попадают на удочку, а в этой статье они все расписаны и так же даны методы для защиты себя. Надеюсь, что сумел кому-то помочь. 
×