Перейти к содержанию
ANTISIMIT

наиболее крутые вирусы случаи из жизн

Recommended Posts

Михаил Кондрашин
Где скачать се утиль?

См. в этом треде выше.

, и еще почему не кто не говорит про россиские утилиты и антивирусы?

Если у вас есть какой-то опыт с российскими утилитами и антивирусами, то поделитесь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANTISIMIT

я ловил антивирус который грузился sys модулем записовался в реестр, и кидал на хард exe файл, послеч его удалить его практический не возможно кроме дос+безопасный режим+ удаление ключей в реестре, все это в купе иначе все будет напрасно,

по маккафе удаляет вирусы ох как плохо, но в отличие от других антивирусов он об этом говорит, допустим мне понравилось когда панда кричала вирус успешно удален при следущей загрузке старая картина вирус живет,очень интересны вирусы которые записовают в host странные записи после чего инет не работает как и сеть,хи самый паразитные вирусы это когда загрузка черная картина на рабочем столе, и все безопасный режим тоже самое, если не знать консоль приходиться мочить винду.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
самый паразитные вирусы это когда загрузка черная картина на рабочем столе, и все безопасный режим тоже самое, если не знать консоль приходиться мочить винду.

Интересный случай, а не припомните, какой это вирус был?

Какие действия нужно в этом случае предпринимать из под консоли?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANTISIMIT

вроде бы наш родненький, правда его видел даже AVZ, а консоль для востоновления системных билиотек, как я понял этот вирус заносит в

Documents and Settings в раздел юзер свои данные после чего винда грузит их как гуи тоесть вирус меняет все что связано с рабочем столом и настроиками, тоесть изменения окончательные,попытки изминить рабочий стол нулевые, после перезагрузки рабочий стол как до изменений.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
XL

Да, встречалась мне эта зараза на клиентских компьютерах пару раз в прошлом году... Описание ее тут:

http://z-oleg.com/secur/virlist_hoax.htm

Причем в моем случае из свойств экрана в винде вообще пропали вкладки "Оформление", "Desktop" и "Темы", а перед перезагрузкой компа вместо приветствия появлялcя подложный(рисованный) BSOD.

А самым трудноудаляемыми вирями для меня стали: Trojan-Downloader.Agent.ns

http://z-oleg.com/secur/virlist_td.htm#A13...E7-E5AC43CCED67

если б не яндекс, то я б его так и не смог удалить(просто бы не додумался, как), ибо:

Откройте системную папку Windows (чаще всего соответствует C:WindowsSystem32).

Найдите файл wininet.dll и переименуйте его в wininet.dl.

Подождите несколько секунд — в папке должна появиться новая, не зараженная версия wininet.dll.

Перезагрузите компьютер и вылечите или просто удалите зараженный файл wininet.dl.

И, пожалуй, на втором месте могу отметить maslan.c.

http://www.viruslist.com/ru/viruses/encycl...a?virusid=67127

Предсмертные хрипы KAV 5.0, будучи установленного на заведомо зараженные машины я не забуду никогда. Только в Safe Mode система и давала себя вылечить, в нормальном режиме BSOD генерился либо сразу, либо при удалении файлов червя.

Когда этот молодец приходил в систему, то первым делом выносил все известные ему антивири и файрволы, а затем начинал свою деятельность. Самый мерзкий червь, который мне приходилось увидеть.

I-Worm KLEZ я, к счастью, не застал:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

XL

Хороший экспириенс :)

I-Worm KLEZ - был серьезный червь, помню как вычишал его по всей сети ... причем запускать никакой атачмент не надо было, достаночно было только в аутлуке открыть (как правило автоматом это делалось в окне предпросмотра), после этого комп шел на перезагрузку, а антивирус выносился.

После этого я перестал пользоваться предпросмотром в почтовом клиенте (убираю это окно в настройках) :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
FLY

на моей памяти - в общаге МИФИ вылечить нимду так и не смогли...были эпидемии, отрубали от сети зараженные компы - все равно не помогало убить заразу до конца. приучил себя к мысли, что после установки вин - сразу следом ставиться АВ, только затем втыкается сетевой кабель=)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
NewStevenSpelberg

great :):)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANTISIMIT

на днях видел вирус, котрый при загрузке винды постояно перезагружал, прочистил в безапасном, нашел скатину, удалил, из папки систим 32, итог 4 часа работы, вирус сидел в автозагрузке, и каждый раз менял строке в реесмтре,тоесть выход есть но долгий, сканить ррестр,

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
вирус сидел в автозагрузке, и каждый раз менял строке в реесмтре,тоесть выход есть но долгий, сканить ррестр,

насколько я понимаю в 6-ке касперского есть такой функционал, который мониторит реестр и сам удаляет такие типы заразы. Он основывается на собранную их спецами базу объектов автозапуска, т.е. мест в реестре, откуда что-то потенциально может стартануть и мониторит эти области.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANTISIMIT

я для этого испльзую эту прогу.RegProtection

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

Не все так просто.. рег гуард мониторит и спрашивает разрешить или нет

есть еще 2 технологии - проактивная защита с откатом - мониторит действия приложения.. при еге опознавании как опасного и нажатием пользователя Терминайт предлогается откатить изменения зделанные в файловой системе и реестре.

Есть еще так называемое "Active Disinfection" - в случае нахождения заразы в памяти предпринимаются следующие действия - блокируется запись в ключи рееста и файлы оговоренные в обновляемом списке, запрещается запуск файлов, убиваются вирусные процессы или модули, проходит по списку файлов и клучей рееста которые указаны в обновляемом списки и удаляет из них ссылки на зараженные файлы.

После этого компрьютер немедленно перезагружается.. после перезагрузки дополнительно проводится проверка корректности удаления (не осталось ли следов)

В данном случае у вируса нету никаких шансов т.к никто кроме кава в режиме лечения неможет приписать себя обратно в авто-запуск или запустить какие либо другие процессы.. т.к все это заблокированно.

описание тут - ftp://kav2006:Fynb02dbhec60@data.kaspersky.ru/Docs/

И все это бесплатно и универсально в отличие от Trend-Micro DСS

Так что Trend-Micro - жлобы Ж) их DCS делает то что ав должен делать самостоятельно.. я глянул Ж) там 3000 вирусов Ж) все "лечатся" элементарно.. единственное что может они убивают тренда еще на зачатии ж) а у разрабов нехватило мозгов приделать защиту Ж) кароче буржуи... у нас русские умы засмеют ж)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×