Перейти к содержанию
snoop

подменен from в MS Outlook

Recommended Posts

snoop

всем ПТ,

не знаю как победить - у меня в почте подменен адрес фром

теперь он выглядит вот так @xn--bomponents-cwi.ru

пробовал все - чистил реест , удалял офис и все его остатки, сканил куритом, ставил нод32, симантек, макафе - ничего не лечит, брал бутовый диск др-вэба - не лечит

где что посмотреть, поправить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
где что посмотреть, поправить?

Поправить пока не имеет смысла - у вас червь, я так думаю, и вы уже не хозяин этого дела. Выполнить следующие правила, и журналы (3) сюда. Их нужно прикрепить к теме вложениями, а не запостить в теме.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Выполнить следующие правила, и журналы

p2u

Угу. А если эти утилиты не запустятся или зависнут при запуске (эти случаи я уже несколько раз документировал тут на форуме), то что ему посоветуете? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
2600

Если ничего не помогает, а времени в этом разбираться катастрофически не хватает, то самое простое - переставить винду :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
p2u

Угу. А если эти утилиты не запустятся или зависнут при запуске (эти случаи я уже несколько раз документировал тут на форуме), то что ему посоветуете? :)

Можно сначала пытаться запустить переименованный экземпляр AVZ. Если и это не получается, то тогда существует ещё куча других инструментов. Посмотрим... :)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
akoK
Угу. А если эти утилиты не запустятся или зависнут при запуске (эти случаи я уже несколько раз документировал тут на форуме), то что ему посоветуете?
ещё куча других инструментов

Например: Icesword, Gmer, полиморфная версия AVZ :) их действительно много.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Можно сначала пытаться запустить переименованный экземпляр AVZ. Если и это не получается, то тогда существует ещё куча других инструментов.

А если он оказывается прибит или бессилен? :)

По такому случаю примеров, которые я приводил на форуме, не так уж много, но они показательны:

1-й пример этот, для тех кто не видел ранее.

2-й пример см в этом посте.

3-й пример описан в этом сообщении.

4-й пример в сообщении.

5-й пример - читайте всю тему.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
полиморфная версия AVZ

Уже полгода о ней говорят, но где она? Покажите мне её. ;) Для этого существуют гиперссылки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гриша

http://z-oleg.com/avz.exe

Сейчас специально порылся в архивах ВИ там есть некоторые примеры успешного лечения малвари, которые вы отметили как безнадежные :)

Пример http://virusinfo.info/showthread.php?t=26609 там тот самый TWAIN16.dll и twunk_16.exe...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
А если он оказывается прибит или бессилен? :)

Если там действительно зловреды, то тогда надо смотреть к чему они привязаны, как они себя прописали и т.д. Если не к каким-нибудь жизненно важным файлам (такие как hal.dll, base.dll, и т.д.) то тогда через force delete в IceSword допустим. Зависит от обстоятельств.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
в архивах ВИ там есть некоторые примеры успешного лечения малвари, которые вы отметили как безнадежные

Гриша (он же Гриша_VInfo и др.) - сколько у вас ников на форуме?

Полгода назад они с ними не справлялись. После моих образчиков - все исправили.

Ваши посты в ссылке были гораздо позже. Мои примеры раньше. Зловреды же были искоренены без AVZ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гриша

Один, я сегодня попросил Сергея сменить :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Гриша

Ссылка на AVZ мне не нужна. Версия программы не обновлялась уже давно. Покажите ссылку на новую версию - полиморфную.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гриша

Раз там старая, значит новее нет, Олег видимо не часто ее пересобирает, хотя раньше это делал робот и довольно регулярно...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
тогда через force delete в IceSword допустим. Зависит от обстоятельств.

Согласен. Но нет абсолютных программ, которые не могут быть не допущены к лечению.

Раз там старая, значит новее нет
раньше это делал робот и довольно регулярно

Ааа, это оказывается робот!

Получается, что после моего и Umnik'а постов они оба так и не выпустили противоядия против этого:

http://www.anti-malware.ru/forum/index.php...ost&id=2665 - очень жаль.

Я ждал, надеялся.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гриша

Вы сейчас о чем? Я дал вам ссылку на полиморфную AVZ, но сигнатуры у нее старые от 09.07.2008, раньше ее пересобирал робот и прикручивал новые базы, теперь видимо процеесс встал...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
дал вам ссылку на полиморфную AVZ, но сигнатуры у нее старые от 09.07.2008

А, значит, пересобрали. Тогда посмотрю. Спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гриша

По поводу этого http://www.anti-malware.ru/forum/index.php...ost&id=2665

Такое возможно в случае запуска AVZ из архива и просто неизвестно от чего на здоровой ОС, но чтобы зловреды не давали подхватить локализацию я не видел...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Посмотрел:

avz_4_30.JPG

Тоже, что и было раньше. Как ещё узнать - новая или нет?

но чтобы зловреды не давали подхватить локализацию я не видел...

Но я видел и не раз. Сам очень сожалею, потому и так интересуюсь этим вопросом.

post-3999-1227562772_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гриша

Что вы подразумеваете под словом "новая"? это полиморфная AVZ версии 4.30, это единый exe файл в которой вшиты все базы ( в отличии от обычной AVZ где есть папка с базами), после каждого запуска код утилиты морфится и поверх покрывается UPX'ом...

Эта версия состоит из единственного EXE файла, в который вшиты абсолютно все базы AVZ и все, что ему необходимо для работы. Все базы хранятся в миниатюрном аналоге файловой системы, которая физически находится в ресурсе EXE. При сборке эта база шифруется случайным ключом, а полученный в результате EXE поверх сжимается UPX. Копирайтов у данной версии в ресурсах нет, имя файла может быть любым, запускать его можно откуда угодно, хоть с рабочего стола. В результате все звери, которые ловят запуск AVZ по именам файла, не дают ему загружать базу (по именам и сигнатурам), или ищут сигнатуры типа "Зайцев", "AVZ" и "Лаборатория Касперского" в EXE файле или в его копирайтах для адаптивной блокировки запуска оказываются бессильны. Конечно остается возможность отловить AVZ по элементам GUI, по характерным константам в памяти или по характерным профилям поведения, но это уже намного сложнее и зловреды пока так далеко не идут.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Гриша Тогда почему в скриншоте указан апрель?

И откуда Большая цитата?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гриша

Цитата с закрытого раздела ВИ, а базы да старые в ней, спрошу у Олега почему не обновляет :(

Апрель это месяц выхода версии 4.30, а базы там от июля...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Конечно остается возможность отловить AVZ по элементам GUI, по характерным константам в памяти или по характерным профилям поведения, но это уже намного сложнее и зловреды пока так далеко не идут.

Это мне нравится. Хорошо, Вы меня убедили в ПМ АВЗ 4.30. В ближайшее время использую.

спрошу у Олега почему не обновляет

Да, уж пожалуйста, если это Вас не затруднит. Хотя бы к Новому году. Всего наилучшего!

snoop

Качайте AVZ, читайте его Справку и прикрепляйте к сообщению отчёты в zip-архиве.

Запустите на сканирование AVZ хотя бы с минимальными параметрами.

Поставив галочки на диски и на "Выполнять лечение".

avz4.JPG

post-3999-1227631632_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гриша

Андрей-001

Обновление сборки пока не планируется, сейчас идет работа над новой версией программы...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
идет работа над новой версией программы

Это тоже хорошая новость. Передайте пожелание удачи!

И сообщите нам о выходе новой версии в новостном разделе портала.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

×