Перейти к содержанию
snoop

подменен from в MS Outlook

Recommended Posts

snoop

всем ПТ,

не знаю как победить - у меня в почте подменен адрес фром

теперь он выглядит вот так @xn--bomponents-cwi.ru

пробовал все - чистил реест , удалял офис и все его остатки, сканил куритом, ставил нод32, симантек, макафе - ничего не лечит, брал бутовый диск др-вэба - не лечит

где что посмотреть, поправить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
где что посмотреть, поправить?

Поправить пока не имеет смысла - у вас червь, я так думаю, и вы уже не хозяин этого дела. Выполнить следующие правила, и журналы (3) сюда. Их нужно прикрепить к теме вложениями, а не запостить в теме.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Выполнить следующие правила, и журналы

p2u

Угу. А если эти утилиты не запустятся или зависнут при запуске (эти случаи я уже несколько раз документировал тут на форуме), то что ему посоветуете? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
2600

Если ничего не помогает, а времени в этом разбираться катастрофически не хватает, то самое простое - переставить винду :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
p2u

Угу. А если эти утилиты не запустятся или зависнут при запуске (эти случаи я уже несколько раз документировал тут на форуме), то что ему посоветуете? :)

Можно сначала пытаться запустить переименованный экземпляр AVZ. Если и это не получается, то тогда существует ещё куча других инструментов. Посмотрим... :)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
akoK
Угу. А если эти утилиты не запустятся или зависнут при запуске (эти случаи я уже несколько раз документировал тут на форуме), то что ему посоветуете?
ещё куча других инструментов

Например: Icesword, Gmer, полиморфная версия AVZ :) их действительно много.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Можно сначала пытаться запустить переименованный экземпляр AVZ. Если и это не получается, то тогда существует ещё куча других инструментов.

А если он оказывается прибит или бессилен? :)

По такому случаю примеров, которые я приводил на форуме, не так уж много, но они показательны:

1-й пример этот, для тех кто не видел ранее.

2-й пример см в этом посте.

3-й пример описан в этом сообщении.

4-й пример в сообщении.

5-й пример - читайте всю тему.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
полиморфная версия AVZ

Уже полгода о ней говорят, но где она? Покажите мне её. ;) Для этого существуют гиперссылки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гриша

http://z-oleg.com/avz.exe

Сейчас специально порылся в архивах ВИ там есть некоторые примеры успешного лечения малвари, которые вы отметили как безнадежные :)

Пример http://virusinfo.info/showthread.php?t=26609 там тот самый TWAIN16.dll и twunk_16.exe...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
А если он оказывается прибит или бессилен? :)

Если там действительно зловреды, то тогда надо смотреть к чему они привязаны, как они себя прописали и т.д. Если не к каким-нибудь жизненно важным файлам (такие как hal.dll, base.dll, и т.д.) то тогда через force delete в IceSword допустим. Зависит от обстоятельств.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
в архивах ВИ там есть некоторые примеры успешного лечения малвари, которые вы отметили как безнадежные

Гриша (он же Гриша_VInfo и др.) - сколько у вас ников на форуме?

Полгода назад они с ними не справлялись. После моих образчиков - все исправили.

Ваши посты в ссылке были гораздо позже. Мои примеры раньше. Зловреды же были искоренены без AVZ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гриша

Один, я сегодня попросил Сергея сменить :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Гриша

Ссылка на AVZ мне не нужна. Версия программы не обновлялась уже давно. Покажите ссылку на новую версию - полиморфную.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гриша

Раз там старая, значит новее нет, Олег видимо не часто ее пересобирает, хотя раньше это делал робот и довольно регулярно...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
тогда через force delete в IceSword допустим. Зависит от обстоятельств.

Согласен. Но нет абсолютных программ, которые не могут быть не допущены к лечению.

Раз там старая, значит новее нет
раньше это делал робот и довольно регулярно

Ааа, это оказывается робот!

Получается, что после моего и Umnik'а постов они оба так и не выпустили противоядия против этого:

http://www.anti-malware.ru/forum/index.php...ost&id=2665 - очень жаль.

Я ждал, надеялся.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гриша

Вы сейчас о чем? Я дал вам ссылку на полиморфную AVZ, но сигнатуры у нее старые от 09.07.2008, раньше ее пересобирал робот и прикручивал новые базы, теперь видимо процеесс встал...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
дал вам ссылку на полиморфную AVZ, но сигнатуры у нее старые от 09.07.2008

А, значит, пересобрали. Тогда посмотрю. Спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гриша

По поводу этого http://www.anti-malware.ru/forum/index.php...ost&id=2665

Такое возможно в случае запуска AVZ из архива и просто неизвестно от чего на здоровой ОС, но чтобы зловреды не давали подхватить локализацию я не видел...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Посмотрел:

avz_4_30.JPG

Тоже, что и было раньше. Как ещё узнать - новая или нет?

но чтобы зловреды не давали подхватить локализацию я не видел...

Но я видел и не раз. Сам очень сожалею, потому и так интересуюсь этим вопросом.

post-3999-1227562772_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гриша

Что вы подразумеваете под словом "новая"? это полиморфная AVZ версии 4.30, это единый exe файл в которой вшиты все базы ( в отличии от обычной AVZ где есть папка с базами), после каждого запуска код утилиты морфится и поверх покрывается UPX'ом...

Эта версия состоит из единственного EXE файла, в который вшиты абсолютно все базы AVZ и все, что ему необходимо для работы. Все базы хранятся в миниатюрном аналоге файловой системы, которая физически находится в ресурсе EXE. При сборке эта база шифруется случайным ключом, а полученный в результате EXE поверх сжимается UPX. Копирайтов у данной версии в ресурсах нет, имя файла может быть любым, запускать его можно откуда угодно, хоть с рабочего стола. В результате все звери, которые ловят запуск AVZ по именам файла, не дают ему загружать базу (по именам и сигнатурам), или ищут сигнатуры типа "Зайцев", "AVZ" и "Лаборатория Касперского" в EXE файле или в его копирайтах для адаптивной блокировки запуска оказываются бессильны. Конечно остается возможность отловить AVZ по элементам GUI, по характерным константам в памяти или по характерным профилям поведения, но это уже намного сложнее и зловреды пока так далеко не идут.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Гриша Тогда почему в скриншоте указан апрель?

И откуда Большая цитата?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гриша

Цитата с закрытого раздела ВИ, а базы да старые в ней, спрошу у Олега почему не обновляет :(

Апрель это месяц выхода версии 4.30, а базы там от июля...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Конечно остается возможность отловить AVZ по элементам GUI, по характерным константам в памяти или по характерным профилям поведения, но это уже намного сложнее и зловреды пока так далеко не идут.

Это мне нравится. Хорошо, Вы меня убедили в ПМ АВЗ 4.30. В ближайшее время использую.

спрошу у Олега почему не обновляет

Да, уж пожалуйста, если это Вас не затруднит. Хотя бы к Новому году. Всего наилучшего!

snoop

Качайте AVZ, читайте его Справку и прикрепляйте к сообщению отчёты в zip-архиве.

Запустите на сканирование AVZ хотя бы с минимальными параметрами.

Поставив галочки на диски и на "Выполнять лечение".

avz4.JPG

post-3999-1227631632_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гриша

Андрей-001

Обновление сборки пока не планируется, сейчас идет работа над новой версией программы...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
идет работа над новой версией программы

Это тоже хорошая новость. Передайте пожелание удачи!

И сообщите нам о выходе новой версии в новостном разделе портала.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
      1) По поводу команды: Сбросить атрибуты для все файлов/каталогов в... Это не работает, если не заданы: Группы или пользователи. т.е. нужно проверить не пуст ли список... Если пуст:  прописать пользователя. И только после этого можно сбросить атрибуты... 2) При проверке ЭЦП по F6 ... Если неполадки с сетевым оборудованием, или службами отвечающими за доступ к сети... uvS видит: Сеть есть... и начинает проверять файлы. А по сути сети нет. т.е. здесь нужен таймер.: Если в течении определённого времени нет результата - то проверять ЭЦП локально ( с соответствующей записью в Лог )   Не ждать, как сейчас 100 500 часов. 3)  Проверка занимает излишне много времени в ситуации: Ошибка  [Не удается построить цепочку сертификатов для доверенного корневого центра. ]
      Ошибка  [Цепочка сертификатов обработана, но обработка прервана на корневом сертификате, у которого отсутствует отношение доверия с поставщиком доверия. ] uVS натыкается на такой файл и думает... думает...
    • PR55.RP55
      1) Если оператор применил фильтр  [V]  Известные. То при применении команды: F6   проверять только оставшиеся в списке файлы. Это на порядок ускорит проверку.  Нужно проверить всё ? Сними чек-бокс.  
    • PR55.RP55
      В Инфо. указывать не только время создания\изменения файла но и время создания... Пример:  Система Установлена 2018  > Каталог создан в 2020, а файл в каталоге  2021  
    • santy
      как только заработает функция "выполнить запрос по критерию" - все отфильтрованные объекты будут на виду у оператора, и скорее всего, помещены в отдельную категорию. Кстати, всех участников данного форума (помимо проходящих мимо спамеров) поздравляю с Новым 2021 годом!
    • PR55.RP55
      1) Добавить в settings.ini  настройку: "Выделять все неизвестные ЭЦП" Таким образом все ЭЦП которых нет в базе:  wdsl будут на виду. Это  позволит пополнять базу wdsl и сразу акцентировать внимание оператора. 2) Добавить в settings.ini  настройку: Все файлы с неизвестной ЭЦП  помечать, как подозрительные. Или создать отдельную категорию: "Неизвестные ЭЦП" 3) В Инфо. файла помещать информацию типа: Действительна, подписано CAVANAGH NETS LIMITED Найдено файлов: 1 wdsl   [ - ] --------------- Действительна, подписано Mozilla Corporation Найдено файлов: 80 wdsl   [ + ]  
×