Yurk

Приход новой эры?

В этой теме 6 сообщений

Чтобы это значило?

Принесли мне тут машинку....

Сначала пытался отсканировать вживую - непомогает, 15 РАЗНЫХ вирусов убито, что-то ещё живёт.

Снятый винт прогнал McAfee, DrWeb, Kaspersky, Trend (все с сегодняшними базами)... Каждый нашёл что-то своё, что-то новое. На Virustotal на каждый из файлов реагирует 4-5 из 18 антивирусов, причём на каждый файл - свой набор. Были убиты трояны, спам-боты, доунлоадеры, один руткит. Потом поставил винт, юзер залогинился и - svchost.exe на 25 порт :shock:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

NickGolovko

Спасибо, поздно. :(

Небыло времени собраться с мыслями к сожалению :? (стояли над душой) :wink: AVZ и CureIt прогонял, но логи не сохранил. :oops:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Уже помощь не нужна? :mrgreen: Ладно, дело пользователя, не наше. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ну, штук 5 зловредов завтра пришлю, если конечно они ещё не детектятся... А вот логи и всё остальное уже увы :cry:

Настораживает другое. Количество новых модификаций (и просто перепакованных) за поледний месяц похоже на настоящую атаку на Вирлабы. Раньше в большинстве случаев пары-тройки антивирусов хватало чтобы вычистить машину.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Я, как и NickGolovko, уже более полугода назад выбрал путь ручного детектирования и удаления всех зверей на зараженных компьютерах, как оптимальный с точки зрения трудовременных затрат. Бывает так, что поставишь KIS на зараженную машину, а в итоге выходишь на BSOD, когда всевозможные троянизированные перехватывающие все и вся звери, не могут с АВ поделить контроль за хуками, к примеру. А тут прогнал исследование системы, отметил для себя неподписанные DLL'ки с экзешками, включил AVZ Guard и вперед - по отложенному удалению! Перезагрузка и все трояны ушли в мир иной. Самые настырные из числа возможных неудалившихся можно потом прихлопнуть при помощи того же Avenger. Ну и для верности пробежаться при помощи GMER в особо тяжелых случаях. Помимо всего прочего можно засканить систему и удалить все легкоудаляемое при помощи Security Task Manager перед проверкой при помощи AVZ.

И нет необходимости сканить всю папку Windows, Documents and settings...etc при помощи массы антивирусов, которые друг за другом подчищают. Максимум 30 минут уходит, чтобы всех троянизированно-червячных зверей прикончить. Зато кайф то какой самому все поудалять, не завися от сигнатур :D

Разумеется, против файловых паразитов отмеченная выше техника не проходит, тут без монитора и сканера не обойтись...

А вообще слова ЕК все более начинают обретать реальные очертания. Если так и дальше пойдет, то АВ компании просто не будут справляться с потоком вирья. Они уже не справляются в некоторых случаях. Некоторые трояны стали обновляться почаще некоторых антивирусов. Я уже задолбался у клиентов lipgame удалять, который по 2 раза на дню обновляется порой :) Приходим, видим молчащий kIS {настроен на обновление каждые 4 часа}, видим висящий в памяти itunesff.exe, выгружаем его, удаляем, идем в папку windows, удаляем internt.exe, а затем удаляем vbsys.dll, который в комплекте с lipgame выдается... :) перенастраиваем VPN соединение, испорченное Lipgame'ом, запускаем апдейт KIS'а, он обновляется и начинает детектить сохраненые на флешке копии Lipgame :) Вот чуть пораньше бы... С NOD32 аналогичная история, кстати. Это только один из примеров.

Посмотрим, что нового принесет с собой Vista. Совершенно очевидно, что троянам уже не будет такого раздолья. Но многомиллионную армию компьютеров, оснащенных XP, придется еще лет пять защищать как минимум.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • kostepanych
      Доброго время суток, Посоветуйте плз бесплатный антивирус для старенького ноута k50c, который работает офлайн постоянно.  Нужно, чтобы была возможность качать базы на другом компе, а на этом просто их накатывать. (Для офлайн пк считаю антивирус также нужен, т.к. всяких клонов пети и васи можно подцепить и с флешки)
    • santy
      RP55, смысл добавления для dll статуса "в автозапуске"? данный dll запускается только в том случае, если запущен исходный exe в образ автозапуска этот файл попадает, в списке загружаемых dll он есть, C:\USERS\POWER\APPDATA\ROAMING\GOOGLEUPDATE.DLL файл проверен при создании образа автозапуска и помечен как "НЕИЗВЕСТНЫЙ". В итоге Uvs присваивает ему статус: АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ DLL по этому статусу можно добавить критерий, чтобы подобные файлики попадали в отсек "ВИРУСЫ и подозрительные" для последующего анализа. (СТАТУС ~ АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ DLL )(1) [auto (0)]  
    • Marina35
      Одним вирусом меньше https://dr-world.ru/fbr-zaderjala-komputershika-symevshego-naiti-kluch-k-wannacry/
    • PR55.RP55
        По крайне мере некоторые устаревшие версии файла способны запускать любые соответствующие файлы\библиотеки Так например легальный\подлинный файл: GOOGLEUPDATE.EXE  прописывается в автозапуск. В каталог с файлом GOOGLEUPDATE.EXE помещается файл:  GOOPDATE.DLL Файл:  GOOPDATE.DLL  не имеет подписи - или подписан левым сертификатом и может иметь статус скрытый\системный и т.д. Таким образом файл GOOPDATE.DLL в автозапуске... А вот в логах его в автозапуске не будет. ---------- Нужно доработать uVS и считать все файлы: GOOGLEUPDATE.EXE  +++ как находящиеся в автозапуске. Тем более, что случай исключительный.    
    • AM_Bot
      Генеральный директор ГК «ИНТЕЛЛЕКТУАЛЬНАЯ БЕЗОПАСНОСТЬ» Руслан Рахметов рассказал читателям Anti-Malware.ru о рынке SGRC и IRP, истории бренда Security Vision и порассуждал о том, какой должна быть первоклассная SGRC-система. Читать далее