Перейти к содержанию
snoop

подменен from в MS Outlook

Recommended Posts

snoop

всем ПТ,

не знаю как победить - у меня в почте подменен адрес фром

теперь он выглядит вот так @xn--bomponents-cwi.ru

пробовал все - чистил реест , удалял офис и все его остатки, сканил куритом, ставил нод32, симантек, макафе - ничего не лечит, брал бутовый диск др-вэба - не лечит

где что посмотреть, поправить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
где что посмотреть, поправить?

Поправить пока не имеет смысла - у вас червь, я так думаю, и вы уже не хозяин этого дела. Выполнить следующие правила, и журналы (3) сюда. Их нужно прикрепить к теме вложениями, а не запостить в теме.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Выполнить следующие правила, и журналы

p2u

Угу. А если эти утилиты не запустятся или зависнут при запуске (эти случаи я уже несколько раз документировал тут на форуме), то что ему посоветуете? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
2600

Если ничего не помогает, а времени в этом разбираться катастрофически не хватает, то самое простое - переставить винду :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
p2u

Угу. А если эти утилиты не запустятся или зависнут при запуске (эти случаи я уже несколько раз документировал тут на форуме), то что ему посоветуете? :)

Можно сначала пытаться запустить переименованный экземпляр AVZ. Если и это не получается, то тогда существует ещё куча других инструментов. Посмотрим... :)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
akoK
Угу. А если эти утилиты не запустятся или зависнут при запуске (эти случаи я уже несколько раз документировал тут на форуме), то что ему посоветуете?
ещё куча других инструментов

Например: Icesword, Gmer, полиморфная версия AVZ :) их действительно много.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Можно сначала пытаться запустить переименованный экземпляр AVZ. Если и это не получается, то тогда существует ещё куча других инструментов.

А если он оказывается прибит или бессилен? :)

По такому случаю примеров, которые я приводил на форуме, не так уж много, но они показательны:

1-й пример этот, для тех кто не видел ранее.

2-й пример см в этом посте.

3-й пример описан в этом сообщении.

4-й пример в сообщении.

5-й пример - читайте всю тему.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
полиморфная версия AVZ

Уже полгода о ней говорят, но где она? Покажите мне её. ;) Для этого существуют гиперссылки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гриша

http://z-oleg.com/avz.exe

Сейчас специально порылся в архивах ВИ там есть некоторые примеры успешного лечения малвари, которые вы отметили как безнадежные :)

Пример http://virusinfo.info/showthread.php?t=26609 там тот самый TWAIN16.dll и twunk_16.exe...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
А если он оказывается прибит или бессилен? :)

Если там действительно зловреды, то тогда надо смотреть к чему они привязаны, как они себя прописали и т.д. Если не к каким-нибудь жизненно важным файлам (такие как hal.dll, base.dll, и т.д.) то тогда через force delete в IceSword допустим. Зависит от обстоятельств.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
в архивах ВИ там есть некоторые примеры успешного лечения малвари, которые вы отметили как безнадежные

Гриша (он же Гриша_VInfo и др.) - сколько у вас ников на форуме?

Полгода назад они с ними не справлялись. После моих образчиков - все исправили.

Ваши посты в ссылке были гораздо позже. Мои примеры раньше. Зловреды же были искоренены без AVZ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гриша

Один, я сегодня попросил Сергея сменить :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Гриша

Ссылка на AVZ мне не нужна. Версия программы не обновлялась уже давно. Покажите ссылку на новую версию - полиморфную.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гриша

Раз там старая, значит новее нет, Олег видимо не часто ее пересобирает, хотя раньше это делал робот и довольно регулярно...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
тогда через force delete в IceSword допустим. Зависит от обстоятельств.

Согласен. Но нет абсолютных программ, которые не могут быть не допущены к лечению.

Раз там старая, значит новее нет
раньше это делал робот и довольно регулярно

Ааа, это оказывается робот!

Получается, что после моего и Umnik'а постов они оба так и не выпустили противоядия против этого:

http://www.anti-malware.ru/forum/index.php...ost&id=2665 - очень жаль.

Я ждал, надеялся.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гриша

Вы сейчас о чем? Я дал вам ссылку на полиморфную AVZ, но сигнатуры у нее старые от 09.07.2008, раньше ее пересобирал робот и прикручивал новые базы, теперь видимо процеесс встал...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
дал вам ссылку на полиморфную AVZ, но сигнатуры у нее старые от 09.07.2008

А, значит, пересобрали. Тогда посмотрю. Спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гриша

По поводу этого http://www.anti-malware.ru/forum/index.php...ost&id=2665

Такое возможно в случае запуска AVZ из архива и просто неизвестно от чего на здоровой ОС, но чтобы зловреды не давали подхватить локализацию я не видел...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Посмотрел:

avz_4_30.JPG

Тоже, что и было раньше. Как ещё узнать - новая или нет?

но чтобы зловреды не давали подхватить локализацию я не видел...

Но я видел и не раз. Сам очень сожалею, потому и так интересуюсь этим вопросом.

post-3999-1227562772_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гриша

Что вы подразумеваете под словом "новая"? это полиморфная AVZ версии 4.30, это единый exe файл в которой вшиты все базы ( в отличии от обычной AVZ где есть папка с базами), после каждого запуска код утилиты морфится и поверх покрывается UPX'ом...

Эта версия состоит из единственного EXE файла, в который вшиты абсолютно все базы AVZ и все, что ему необходимо для работы. Все базы хранятся в миниатюрном аналоге файловой системы, которая физически находится в ресурсе EXE. При сборке эта база шифруется случайным ключом, а полученный в результате EXE поверх сжимается UPX. Копирайтов у данной версии в ресурсах нет, имя файла может быть любым, запускать его можно откуда угодно, хоть с рабочего стола. В результате все звери, которые ловят запуск AVZ по именам файла, не дают ему загружать базу (по именам и сигнатурам), или ищут сигнатуры типа "Зайцев", "AVZ" и "Лаборатория Касперского" в EXE файле или в его копирайтах для адаптивной блокировки запуска оказываются бессильны. Конечно остается возможность отловить AVZ по элементам GUI, по характерным константам в памяти или по характерным профилям поведения, но это уже намного сложнее и зловреды пока так далеко не идут.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Гриша Тогда почему в скриншоте указан апрель?

И откуда Большая цитата?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гриша

Цитата с закрытого раздела ВИ, а базы да старые в ней, спрошу у Олега почему не обновляет :(

Апрель это месяц выхода версии 4.30, а базы там от июля...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Конечно остается возможность отловить AVZ по элементам GUI, по характерным константам в памяти или по характерным профилям поведения, но это уже намного сложнее и зловреды пока так далеко не идут.

Это мне нравится. Хорошо, Вы меня убедили в ПМ АВЗ 4.30. В ближайшее время использую.

спрошу у Олега почему не обновляет

Да, уж пожалуйста, если это Вас не затруднит. Хотя бы к Новому году. Всего наилучшего!

snoop

Качайте AVZ, читайте его Справку и прикрепляйте к сообщению отчёты в zip-архиве.

Запустите на сканирование AVZ хотя бы с минимальными параметрами.

Поставив галочки на диски и на "Выполнять лечение".

avz4.JPG

post-3999-1227631632_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гриша

Андрей-001

Обновление сборки пока не планируется, сейчас идет работа над новой версией программы...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
идет работа над новой версией программы

Это тоже хорошая новость. Передайте пожелание удачи!

И сообщите нам о выходе новой версии в новостном разделе портала.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×