snoop

подменен from в MS Outlook

В этой теме 27 сообщений

всем ПТ,

не знаю как победить - у меня в почте подменен адрес фром

теперь он выглядит вот так @xn--bomponents-cwi.ru

пробовал все - чистил реест , удалял офис и все его остатки, сканил куритом, ставил нод32, симантек, макафе - ничего не лечит, брал бутовый диск др-вэба - не лечит

где что посмотреть, поправить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
где что посмотреть, поправить?

Поправить пока не имеет смысла - у вас червь, я так думаю, и вы уже не хозяин этого дела. Выполнить следующие правила, и журналы (3) сюда. Их нужно прикрепить к теме вложениями, а не запостить в теме.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Выполнить следующие правила, и журналы

p2u

Угу. А если эти утилиты не запустятся или зависнут при запуске (эти случаи я уже несколько раз документировал тут на форуме), то что ему посоветуете? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Если ничего не помогает, а времени в этом разбираться катастрофически не хватает, то самое простое - переставить винду :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u

Угу. А если эти утилиты не запустятся или зависнут при запуске (эти случаи я уже несколько раз документировал тут на форуме), то что ему посоветуете? :)

Можно сначала пытаться запустить переименованный экземпляр AVZ. Если и это не получается, то тогда существует ещё куча других инструментов. Посмотрим... :)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Угу. А если эти утилиты не запустятся или зависнут при запуске (эти случаи я уже несколько раз документировал тут на форуме), то что ему посоветуете?
ещё куча других инструментов

Например: Icesword, Gmer, полиморфная версия AVZ :) их действительно много.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Можно сначала пытаться запустить переименованный экземпляр AVZ. Если и это не получается, то тогда существует ещё куча других инструментов.

А если он оказывается прибит или бессилен? :)

По такому случаю примеров, которые я приводил на форуме, не так уж много, но они показательны:

1-й пример этот, для тех кто не видел ранее.

2-й пример см в этом посте.

3-й пример описан в этом сообщении.

4-й пример в сообщении.

5-й пример - читайте всю тему.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
полиморфная версия AVZ

Уже полгода о ней говорят, но где она? Покажите мне её. ;) Для этого существуют гиперссылки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

http://z-oleg.com/avz.exe

Сейчас специально порылся в архивах ВИ там есть некоторые примеры успешного лечения малвари, которые вы отметили как безнадежные :)

Пример http://virusinfo.info/showthread.php?t=26609 там тот самый TWAIN16.dll и twunk_16.exe...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А если он оказывается прибит или бессилен? :)

Если там действительно зловреды, то тогда надо смотреть к чему они привязаны, как они себя прописали и т.д. Если не к каким-нибудь жизненно важным файлам (такие как hal.dll, base.dll, и т.д.) то тогда через force delete в IceSword допустим. Зависит от обстоятельств.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
в архивах ВИ там есть некоторые примеры успешного лечения малвари, которые вы отметили как безнадежные

Гриша (он же Гриша_VInfo и др.) - сколько у вас ников на форуме?

Полгода назад они с ними не справлялись. После моих образчиков - все исправили.

Ваши посты в ссылке были гораздо позже. Мои примеры раньше. Зловреды же были искоренены без AVZ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Один, я сегодня попросил Сергея сменить :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Гриша

Ссылка на AVZ мне не нужна. Версия программы не обновлялась уже давно. Покажите ссылку на новую версию - полиморфную.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Раз там старая, значит новее нет, Олег видимо не часто ее пересобирает, хотя раньше это делал робот и довольно регулярно...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
тогда через force delete в IceSword допустим. Зависит от обстоятельств.

Согласен. Но нет абсолютных программ, которые не могут быть не допущены к лечению.

Раз там старая, значит новее нет
раньше это делал робот и довольно регулярно

Ааа, это оказывается робот!

Получается, что после моего и Umnik'а постов они оба так и не выпустили противоядия против этого:

http://www.anti-malware.ru/forum/index.php...ost&id=2665 - очень жаль.

Я ждал, надеялся.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вы сейчас о чем? Я дал вам ссылку на полиморфную AVZ, но сигнатуры у нее старые от 09.07.2008, раньше ее пересобирал робот и прикручивал новые базы, теперь видимо процеесс встал...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
дал вам ссылку на полиморфную AVZ, но сигнатуры у нее старые от 09.07.2008

А, значит, пересобрали. Тогда посмотрю. Спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

По поводу этого http://www.anti-malware.ru/forum/index.php...ost&id=2665

Такое возможно в случае запуска AVZ из архива и просто неизвестно от чего на здоровой ОС, но чтобы зловреды не давали подхватить локализацию я не видел...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Посмотрел:

avz_4_30.JPG

Тоже, что и было раньше. Как ещё узнать - новая или нет?

но чтобы зловреды не давали подхватить локализацию я не видел...

Но я видел и не раз. Сам очень сожалею, потому и так интересуюсь этим вопросом.

post-3999-1227562772_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Что вы подразумеваете под словом "новая"? это полиморфная AVZ версии 4.30, это единый exe файл в которой вшиты все базы ( в отличии от обычной AVZ где есть папка с базами), после каждого запуска код утилиты морфится и поверх покрывается UPX'ом...

Эта версия состоит из единственного EXE файла, в который вшиты абсолютно все базы AVZ и все, что ему необходимо для работы. Все базы хранятся в миниатюрном аналоге файловой системы, которая физически находится в ресурсе EXE. При сборке эта база шифруется случайным ключом, а полученный в результате EXE поверх сжимается UPX. Копирайтов у данной версии в ресурсах нет, имя файла может быть любым, запускать его можно откуда угодно, хоть с рабочего стола. В результате все звери, которые ловят запуск AVZ по именам файла, не дают ему загружать базу (по именам и сигнатурам), или ищут сигнатуры типа "Зайцев", "AVZ" и "Лаборатория Касперского" в EXE файле или в его копирайтах для адаптивной блокировки запуска оказываются бессильны. Конечно остается возможность отловить AVZ по элементам GUI, по характерным константам в памяти или по характерным профилям поведения, но это уже намного сложнее и зловреды пока так далеко не идут.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Гриша Тогда почему в скриншоте указан апрель?

И откуда Большая цитата?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Цитата с закрытого раздела ВИ, а базы да старые в ней, спрошу у Олега почему не обновляет :(

Апрель это месяц выхода версии 4.30, а базы там от июля...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Конечно остается возможность отловить AVZ по элементам GUI, по характерным константам в памяти или по характерным профилям поведения, но это уже намного сложнее и зловреды пока так далеко не идут.

Это мне нравится. Хорошо, Вы меня убедили в ПМ АВЗ 4.30. В ближайшее время использую.

спрошу у Олега почему не обновляет

Да, уж пожалуйста, если это Вас не затруднит. Хотя бы к Новому году. Всего наилучшего!

snoop

Качайте AVZ, читайте его Справку и прикрепляйте к сообщению отчёты в zip-архиве.

Запустите на сканирование AVZ хотя бы с минимальными параметрами.

Поставив галочки на диски и на "Выполнять лечение".

avz4.JPG

post-3999-1227631632_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Андрей-001

Обновление сборки пока не планируется, сейчас идет работа над новой версией программы...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
идет работа над новой версией программы

Это тоже хорошая новость. Передайте пожелание удачи!

И сообщите нам о выходе новой версии в новостном разделе портала.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • fafa
      А что это совсем за аппарат массунг? Как мне кажется, то любые аппараты совсем являются ремонтируемыми. А все зависит только от того в какую фирму понесете. Так, что все реально сделать в наше время, были бы деньги только.
    • fafa
      Если есть совсем мало места, то почему же не ставить. Если посмотреть, то ни какой вариант с ванной ни как не спасает нас, так как места займет она точно больше, в наше время это решает. Для моей квартиры в 60 квадратов так тем более.
    • Wenderoy
      Скачать Kuranin Anti-Ransomware можно здесь: http://kuranin.ml/ Уникальный файлообменный сервис от Куранина Ильи для безопасного хранения файлов с возможностью шифрования методом AES-256 - https://kur.guru/ Все загружаемые данные хранятся на надежно защищенных нидерландских серверах и хранятся вечно!
    • P1rat
    • klubochek
      Подскажите подлежат ли ремонту смартфоны масунг? В пятницу забрала дочку со школы всю в слезах. В школе не стала уточнять что к чему, на простой вопрос что случилось – только слезы. Дома показывает мне свой телефон – экран разбит. Телефон не включается. Что произошло толком не рассказывает. Но это уже буду говорить с учителем. Самое обидное что это был ее долгожданный подарок. Подарили только на 8 марта. Если ремонт возможен , какая может быть его стоимость?