Перейти к содержанию
Yurk

Приход новой эры?

Recommended Posts

Yurk

Чтобы это значило?

Принесли мне тут машинку....

Сначала пытался отсканировать вживую - непомогает, 15 РАЗНЫХ вирусов убито, что-то ещё живёт.

Снятый винт прогнал McAfee, DrWeb, Kaspersky, Trend (все с сегодняшними базами)... Каждый нашёл что-то своё, что-то новое. На Virustotal на каждый из файлов реагирует 4-5 из 18 антивирусов, причём на каждый файл - свой набор. Были убиты трояны, спам-боты, доунлоадеры, один руткит. Потом поставил винт, юзер залогинился и - svchost.exe на 25 порт :shock:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Yurk

NickGolovko

Спасибо, поздно. :(

Небыло времени собраться с мыслями к сожалению :? (стояли над душой) :wink: AVZ и CureIt прогонял, но логи не сохранил. :oops:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

Уже помощь не нужна? :mrgreen: Ладно, дело пользователя, не наше. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Yurk

Ну, штук 5 зловредов завтра пришлю, если конечно они ещё не детектятся... А вот логи и всё остальное уже увы :cry:

Настораживает другое. Количество новых модификаций (и просто перепакованных) за поледний месяц похоже на настоящую атаку на Вирлабы. Раньше в большинстве случаев пары-тройки антивирусов хватало чтобы вычистить машину.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
XL

Я, как и NickGolovko, уже более полугода назад выбрал путь ручного детектирования и удаления всех зверей на зараженных компьютерах, как оптимальный с точки зрения трудовременных затрат. Бывает так, что поставишь KIS на зараженную машину, а в итоге выходишь на BSOD, когда всевозможные троянизированные перехватывающие все и вся звери, не могут с АВ поделить контроль за хуками, к примеру. А тут прогнал исследование системы, отметил для себя неподписанные DLL'ки с экзешками, включил AVZ Guard и вперед - по отложенному удалению! Перезагрузка и все трояны ушли в мир иной. Самые настырные из числа возможных неудалившихся можно потом прихлопнуть при помощи того же Avenger. Ну и для верности пробежаться при помощи GMER в особо тяжелых случаях. Помимо всего прочего можно засканить систему и удалить все легкоудаляемое при помощи Security Task Manager перед проверкой при помощи AVZ.

И нет необходимости сканить всю папку Windows, Documents and settings...etc при помощи массы антивирусов, которые друг за другом подчищают. Максимум 30 минут уходит, чтобы всех троянизированно-червячных зверей прикончить. Зато кайф то какой самому все поудалять, не завися от сигнатур :D

Разумеется, против файловых паразитов отмеченная выше техника не проходит, тут без монитора и сканера не обойтись...

А вообще слова ЕК все более начинают обретать реальные очертания. Если так и дальше пойдет, то АВ компании просто не будут справляться с потоком вирья. Они уже не справляются в некоторых случаях. Некоторые трояны стали обновляться почаще некоторых антивирусов. Я уже задолбался у клиентов lipgame удалять, который по 2 раза на дню обновляется порой :) Приходим, видим молчащий kIS {настроен на обновление каждые 4 часа}, видим висящий в памяти itunesff.exe, выгружаем его, удаляем, идем в папку windows, удаляем internt.exe, а затем удаляем vbsys.dll, который в комплекте с lipgame выдается... :) перенастраиваем VPN соединение, испорченное Lipgame'ом, запускаем апдейт KIS'а, он обновляется и начинает детектить сохраненые на флешке копии Lipgame :) Вот чуть пораньше бы... С NOD32 аналогичная история, кстати. Это только один из примеров.

Посмотрим, что нового принесет с собой Vista. Совершенно очевидно, что троянам уже не будет такого раздолья. Но многомиллионную армию компьютеров, оснащенных XP, придется еще лет пять защищать как минимум.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • кустомер
      Всем здравствуйте. СРАЗУ оговорка:
      Кнопка "Создать новую тему" только на главной странице форума.
      В выпадающем её меню НЕактивны абсолютно все разделы кроме этого.
      Тему разместить хотелось-бы в другом разделе.
      Ответ на тот вопрос ― наверное поэтому.
      Собственно по делу -
      У кого из считающих себя "мастером_своего_дела" могло-бы появиться желание
      подумать и высказать своё предположение метода проникновения файла сценария
      с печеньями (cookies) после того, как весь IP-диапазон адреса хранения файла
      был заблокирован в настройках Outpost, отлично справляющегося по сей день
      с блокировкой ЛЮБЫХ других (кроме этого) IP-диапазонов? Адрес(имя) файла:
      https://mc.yandex.ru/metrika/watch.js Outpost навскидку можно сравнить с другими продуктами защиты - там.

      Вопросы типа "а-зачем-вам-это-надо" будут
      расценены как флуд, отвлекающий от темы. (уважаэмым модераторам)
      Тема относится к способу проникновения этой заразы, а не к конкретному продукту защиты.
    • demkd
      на него уже давно не реагируют они сейчас самый опасный report_crash что дампы отправляет  
    • akoK
    • santy
      из архива uVS на зеркале уберите файл _autorun.zip (если он есть там), антивирусники как правило по этому файлу начинают "сходить с ума". для создания образа автозапуска юзерам он не нужен.
    • demkd
      Там 5 недоантивирусов, я на такое внимание не обращаю, тем более что случается уже не в первый раз.
      И какое зеркало?
×