Приход новой эры? - Современные угрозы и защита от них - Форумы Anti-Malware.ru Перейти к содержанию
Yurk

Приход новой эры?

Recommended Posts

Yurk

Чтобы это значило?

Принесли мне тут машинку....

Сначала пытался отсканировать вживую - непомогает, 15 РАЗНЫХ вирусов убито, что-то ещё живёт.

Снятый винт прогнал McAfee, DrWeb, Kaspersky, Trend (все с сегодняшними базами)... Каждый нашёл что-то своё, что-то новое. На Virustotal на каждый из файлов реагирует 4-5 из 18 антивирусов, причём на каждый файл - свой набор. Были убиты трояны, спам-боты, доунлоадеры, один руткит. Потом поставил винт, юзер залогинился и - svchost.exe на 25 порт :shock:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Yurk

NickGolovko

Спасибо, поздно. :(

Небыло времени собраться с мыслями к сожалению :? (стояли над душой) :wink: AVZ и CureIt прогонял, но логи не сохранил. :oops:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

Уже помощь не нужна? :mrgreen: Ладно, дело пользователя, не наше. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Yurk

Ну, штук 5 зловредов завтра пришлю, если конечно они ещё не детектятся... А вот логи и всё остальное уже увы :cry:

Настораживает другое. Количество новых модификаций (и просто перепакованных) за поледний месяц похоже на настоящую атаку на Вирлабы. Раньше в большинстве случаев пары-тройки антивирусов хватало чтобы вычистить машину.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
XL

Я, как и NickGolovko, уже более полугода назад выбрал путь ручного детектирования и удаления всех зверей на зараженных компьютерах, как оптимальный с точки зрения трудовременных затрат. Бывает так, что поставишь KIS на зараженную машину, а в итоге выходишь на BSOD, когда всевозможные троянизированные перехватывающие все и вся звери, не могут с АВ поделить контроль за хуками, к примеру. А тут прогнал исследование системы, отметил для себя неподписанные DLL'ки с экзешками, включил AVZ Guard и вперед - по отложенному удалению! Перезагрузка и все трояны ушли в мир иной. Самые настырные из числа возможных неудалившихся можно потом прихлопнуть при помощи того же Avenger. Ну и для верности пробежаться при помощи GMER в особо тяжелых случаях. Помимо всего прочего можно засканить систему и удалить все легкоудаляемое при помощи Security Task Manager перед проверкой при помощи AVZ.

И нет необходимости сканить всю папку Windows, Documents and settings...etc при помощи массы антивирусов, которые друг за другом подчищают. Максимум 30 минут уходит, чтобы всех троянизированно-червячных зверей прикончить. Зато кайф то какой самому все поудалять, не завися от сигнатур :D

Разумеется, против файловых паразитов отмеченная выше техника не проходит, тут без монитора и сканера не обойтись...

А вообще слова ЕК все более начинают обретать реальные очертания. Если так и дальше пойдет, то АВ компании просто не будут справляться с потоком вирья. Они уже не справляются в некоторых случаях. Некоторые трояны стали обновляться почаще некоторых антивирусов. Я уже задолбался у клиентов lipgame удалять, который по 2 раза на дню обновляется порой :) Приходим, видим молчащий kIS {настроен на обновление каждые 4 часа}, видим висящий в памяти itunesff.exe, выгружаем его, удаляем, идем в папку windows, удаляем internt.exe, а затем удаляем vbsys.dll, который в комплекте с lipgame выдается... :) перенастраиваем VPN соединение, испорченное Lipgame'ом, запускаем апдейт KIS'а, он обновляется и начинает детектить сохраненые на флешке копии Lipgame :) Вот чуть пораньше бы... С NOD32 аналогичная история, кстати. Это только один из примеров.

Посмотрим, что нового принесет с собой Vista. Совершенно очевидно, что троянам уже не будет такого раздолья. Но многомиллионную армию компьютеров, оснащенных XP, придется еще лет пять защищать как минимум.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
    • santy
      RP55, есть у тебя ТГ?
    • SQx
      Приветствую,
      Мне попалась интересная тема, в которой пользователь модифицировал %path% переменные, что привело в Bsod 0xc000021a
      https://www.sysnative.com/forums/threads/windows-11-pro-10-0-26200-8457-kb5089549-bsod-0xc000021a-dism-0x800f0915-after-update.46083/

      Хотел уточноть, если возможно для uVS добавить возможность мониторить %path% в WinRE среде и если оно превышает лимит, или содержит вторичный вызов %path% в значение, то показать как предупреждение.
      Получается так, что у пользователя  фактическое значение %PATH% содержало всего 23 333 символа, но из-за того что оно содержало вызов к %path% в значение, я предпологаю это вызвала превышение лимита (32,767 символов). т.е. виртульально содержала 46 667 символов из-за того что дублировался вызов. Поправьте если я не прав.
      https://learn.microsoft.com/en-us/windows/win32/fileio/maximum-file-path-limitation?tabs=registry

      Прикрепил hive реестра пользователя для примера.
        env_hiv.zip
    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 19.2.17.
    • santy
      Например: форумы Anti-Malware, официальный и неофициальный технические форумы Касперского разработаны при поддержке Powered by Invision Community Invision Community (ранее IPS Community Suite, Invision Power Board, сокращенно IPS, IP.Suite или IP.Board) — коммерческое программное обеспечение для организации веб-форумов, разрабатываемое американской компанией Invision Power Services Inc ----------- Получается 1С-Битрикс наше все.
×