PDA

Показать полную графическую версию : Вирус - [Архив]


Страниц : 1 2 3 4 5 6 7 8 [9] 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25

garober
14-03-2005, 16:58
Вызывает недоумение тот факт, почему применяется такая сложная система очистки от загрузочного вируса? Почему только о него? Почему нельзя воспользоваться нормальным антивирусом со свежими базами (запустив его с "чистого" носителя при "чистой" загрузке, в том числе и подключая его вторым винчестером к незараженному компьютеру).
1. Совсем не понял цитируемый абзац в т.ч. и пассаж про 2-й винчестер.

2. Это вопрос ко мне или к разработчикам антивирусов?

Greyman
14-03-2005, 17:59
garoberЭто вопрос ко мне или к разработчикам антивирусов?А разве ты учавствовал в обсуждении? Вообще-то это был вопрос к пользователю treiber. Или ты хочешь сказать, что ты с ним однолицо? Дык это не есть хорошо. Если же ты пишешь данный пост с компьютера чужего пользователя, то мог бы и войти с собственной учетной записью или хотябы указать, кто ты есть на самом деле.

Совсем не понял цитируемый абзац в т.ч. и пассаж про 2-й винчестер.Хм... Неужели все на столько запущено?...:)
1) Ты в курсе, что есть антивирусы (в том числе те, что обновляют свежие базы), которые могут работать в режиме DOS? Так вот, можно загрузиться с "чистого" загрузочного насителя (например с дискеты). У тебя будет режим ДОС. Далее, ты либо сразу запускаешь с компакт диска антивирусник, либо предварительно копируешь его во временный диск в виртуальной памяти (можно и на винчестер, но в памьть - надежнее). Минус этого способа, что так можно проверить только разделы диска, отформатированные в форматах FAT и FAT32 (есть конечно и определенные исключения, но для простоты мы их щас рассматривать не будем). Однако загрузочные сектора он все равно проверит.
2)Допустим у тебя есть кде-то компьютер (на работе, у друга, в институте и т.п.), в "чистоте" которого ты абсолютно уверен. Тогды ты берешь, отключаешь свой винчестер из своего компьютера, идешь к "чистому" компьютеру и подключаешь свой винчестер к нему. При этом загружаться надо как и раньше - с "родного" винчестера, чтобы случайно не заразить и вторую машину. Вот в этом случае твой винчестер и будет "вторым". После загрузки ОС на "чистом" ПУ ты можешь запустить с него проверку антивурусом своего диска и всех его разделов (при условии, что если на твоем разделе есть NTFS разделы, то у пользователя стоит Win2000 или WinXP). В этом сучае ты кроме проверки и лечения всех файлов также вылечишь и возможный загрузочный вирус (только убедись, чтобы в настройках антивируса не была отменена проверка загрузочных секторов).

А вопрос касался в том числе и того, почему тебя интересует избавление именно от загрузочного вируса? В настоящее время это уже считается очень большой редкостью, относительно всех остальных.

treiber
15-03-2005, 10:58
Если же ты пишешь данный пост с компьютера чужего пользователя, то мог бы и войти с собственной учетной записью или хотябы указать, кто ты есть на самом деле.
Прошу прощения, но у нас с сыном один PC для доступа в Интернет.

Не обратил внимания, что не произвел вход со своей учетной записью,
тем более на экране не видно какой пользователь активен в настоящее время,
даже и предварительном просмотре сообщения.

treiber
15-03-2005, 11:19
А вопрос касался в том числе и того, почему тебя интересует избавление именно от загрузочного вируса? В настоящее время это уже считается очень большой редкостью, относительно всех остальных.
Дело в том, что при попытке переустановки сустемы выдается сообщение о возможности наличия вируса в загрузочной записи.
Точного текста не помню, надо поискать.

При проверке же программой "Antivir" указывается также имя вируса "Parity".
Поэтому и возник вопрос о boot-вирусах и простых способах борьбы с ними.

Krezzy
22-04-2005, 19:44
У нас есть LAN. Несколько улиц. Я не админ - всех не знаю. У некоторых челов завёлся червячок.
Происходит присоединение удалённого компа к моему через порт 139 (netbios / шары короч.) после этого на моём компе "svchost.exe ... не может быть read по адресу... " и всё виснет.
Ещё на ВСЕХ заражённых машинах открыт слушающий TCP порт 5000.

Что это за зверь?

ЗЫ я не админ локалки - я её участник. Повторюсь - с этими челами нет никакой связи (тел/мэйл/адрес - секрет).

Спасибо всем ответившим :)

BJ Co
25-04-2005, 03:54
Настроеный firewall с антивирусом стоят?

McDAK
25-04-2005, 06:43
Krezzy
Слишком мало информации. 139 порт для проникновения на машину используют очень многие вирусы. На viruslist.ru не нашел ничего похожего на представленное описание. Проще действительно провериться антивирусом со свежими базами, он и покажет что это за зверь.

mrcnn
05-05-2005, 13:07
Из-за слабого пароля на систему (qaz) получил троян Backdoor.Rbot.gen (ntsf.exe): предполагаю, что вирус сканировал диапазон адресов и проверял, возможен ли под админом вход с таким-то паролем(они были изначально заложены в программу, атака по словарю), затем по фтп троян получал дополнительные "примочки".
Хорошо, что успел отловить сразу же как поймал, потому что трафика в тот момент идти не должно было никакого, а трафик шел.
Так что, народ, ставьте хорошие (сложные) пароли на систему :)

Andrew S
10-05-2005, 13:28
У меня есть пиратские финды с вирусом. Название не помню, но там есть файл speedy.bat. Так вот, эти винды (98) были поставлены УЖЕ с вирусом, т.е. вирус был заботливо упакован в .cab-файл. Так что бесплатный сыр от наших пиратов "чреват боком".

mrcnn
24-06-2005, 18:16
Речь только о Windows 2000 SP3, компьютер домашний.

Сменил провайдера, и начались проблемы. Периодически после подключения к инету:
1. svchost.exe начинает загружать проц на 99%
2. svchost.exe вылетает с ошибкой.
До сих пор не знаю как с этим бороться, и почему возникает эта проблема. Может быть, это попытки атак на срыв стека?

Далее запустил очень подозрительный файл из письма, заранее зная, что это вирус. Вирус Prorat.j по классификации Касперского. Сам справиться не смог, из-за того, что не понял, как он запускается, пришлось систему, в которой я проработал 1,5 года(!) сносить к чертовой бабушке. Ни к сему на момем компе иметь шпионов. Вирус создавал в корневом каталоге винды файл с заголовками окон и не давал запускаться AVP сканеру.

Установил новую систему (с форматированием), настроил с хорошим паролем, все дела. Через 2 дня (!) умудрился подцепить вирус. Оказалось, что вирус был передан на мой компьютер с помощью tftp.exe. По классификации Касперского - Delf.aae. На вируслисте инфу об этом вирусе и как с ним бороться не нашел.

Чтобы убедиться, что система будет чистой, 2 дня назад поставил еще одну, настроил, все дела, Поскольку постоянная двухмесячная борьба с троянами и червями мне надоела, установил AVP монитор на постоянную работу, несмотря на то, что он подтормаживает систему. Дальше переименовал cmd.exe и tftp.exe так, чтобы их как будто бы не было. :)

Но все равно работа Svchost.exe и глюки меня очень смущают.

GaryD
29-06-2005, 07:02
Мне регулярно раз-два в ДЕнь(1) приходят сообщения с ящика user@mysite.ru с вирусами внутри.
Где user@mysite.ru это мной же открытый ящик на моем же сайте. Так с нексольких мэйл боксов с него идут мэйлы о недоставке и т.п.. AVG слава богу отсекает, но что это может быть? Раньше такого не было.
Я переехал с одного хостинга на другой и началось!
Кто и каким образом от моих имен (п\ящиков) рассылет мерзость эту? Как боороться.
Попутно: со старым провайдером разошлись без уведомления с моей стороны (они досталти в свое время меня), однако user@mysite.ru открыт остался у них по прежнему (через HTML форму), как и на новой площадке! То есть одно сообщение я читать могу на новом хосте и устарого прова. Как такое могет быть и не месть ли это провайдера старого -рассылка дряни этой? И разве компании не сносят ящики ушедших юзеров? И нет конфликтов в этом случае софта серверного? Как и туда и туда идет расслыка? Кто ее форвардит ( смоего нового что ли хостинга)? Извините конечно за мальчишеские предположения. Но я вижу в это какую-то систему и просто болезнь а как это пролечить не понятно.
Спасибо!

Greyman
29-06-2005, 18:50
GaryD
Заголовок рассылаемых писем смотрел? Вероятно это подставка обратного адреса, а это делают многие вирусы, использующие адресную книгу. Вероятно где-то заражет компьютер (или несколько), на котором "засветился" и твой адрес. Нужно разбираться с заголовком.
со старым провайдером разошлись без уведомления с моей стороны (они досталти в свое время меня), однако user@mysite.ru открыт остался у них по прежнему (через HTML форму), как и на новой площадке! То есть одно сообщение я читать могу на новом хосте и устарого прова. Как такое могет быть Что ты поменял в рез-те смены провайдера? Только размещение сервера (имя осталось, изменился IP)? Смена имени, при размещении сервера на старом месте (IP осталось, сменилось имя)? Изменилось и то и другое?

GaryD
30-06-2005, 04:37
вот что в теле письма:
---------------------------------------------
X-EMS: wait 10s
Return-path: <postmaster@strel-ka.ru>
Envelope-to: lena@strel-ka.ru
Delivery-date: Wed, 29 Jun 2005 05:11:31 +0400
Received: from [82.117.161.10] (helo=strel-ka.ru)
by sr3.myhostnet.net with esmtp (Exim 4.44)
id 1DnR6b-0000U7-An
for lena@strel-ka.ru; Wed, 29 Jun 2005 05:11:31 +0400
From: "MAILER-DAEMON" <postmaster@strel-ka.ru>
To: lena@strel-ka.ru
Subject: Delivery reports about your e-mail
Date: Wed, 29 Jun 2005 08:10:51 +0700
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MIMEOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
X-Antivirus: AVG for E-mail 7.0.323 [267.8.1]
Mime-Version: 1.0
Content-Type: multipart/mixed; boundary="----=_NextPart_000_0014_815D224D.C0DB6981"

------=_NextPart_000_0014_815D224D.C0DB6981
Content-Type: text/plain; charset=us-ascii
Content-Transfer-Encoding: 7bit

The original message was received at Wed, 29 Jun 2005 08:10:51 +0700
from strel-ka.ru [167.88.236.5]

----- The following addresses had permanent fatal errors -----
lena@strel-ka.ru

------=_NextPart_000_0014_815D224D.C0DB6981
Content-Type: text/plain; x-avg=cert; charset=us-ascii
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline
Content-Description: "AVG certification"

Viruses found in the attached files.
The file file.zip: Virus identified I-Worm/Mydoom.O. The attachment was mov=
ed to the virus vault.

Checked by AVG Anti-Virus.
Version: 7.0.323 / Virus Database: 267.8.1/28 - Release Date: 24.06.2005

------=_NextPart_000_0014_815D224D.C0DB6981--
----------------------------------------------------------------
При смене провайдера имя ессно сайта осталось (я владелец). IP? - сменился думаю, они же не коллеги -Х-провайдеры.

Спасибо!

hasherfrog
06-10-2005, 13:57
Вирус, звонящий по модему на разные междугородние номера (для установки связи с сервером на этом номере) - кто в последний раз про такое слышал? Насколько я понимаю, вирус то ли устанавливает прямое соединение комп - комп, то ли "выходит в интернет" таком образом, используя номер, по которому звонит, как "провайдера". Тут нужно проконсультировать человека, а я в последний раз слышал про такое давным-давно, когда какой-то наш вирусописатель написал бяку, звонившую 02 :]

Вопрос срочный.

Greyman
06-10-2005, 15:13
hasherfrog
Пстоянно такие сыпятся. Если смотреть, например, DrWeb, то у него такой класс вирусов в описаниях к базам (*.txt), помечен как "Dialer". Есть те, к-ые действительно звонят для получения доступа на управление зараженным компом к одному из ранее зараженных ("зомби", на свой комп только кретин может такой дозвон делать). Значительно больше тех, к-ые с аналогичной целью (получение контроля) звонят на интернет-шлюзы. Но подавляющее большинство (ИМХО около 90% или больше) - это "накрутчики". Они звонят на различные платные ресурсы, в результате чего с пользователя снимается плата за звонки (как правило - международные). Такие вирусы очень выгодны владельцам этих ресурсов, т. к. по соглашениям с телефонными компаниями они получают определенный процент с таких звонков. Среди специалистов ИБ распространено мнение, что практически все такие вирусы - "заказуха" либо плоды работы "вирусных конструкторов".

hasherfrog
06-10-2005, 17:40
Greyman, спасибо, понял.

Greyman
12-10-2005, 18:13
Да и еще, хотя наверное уже и не актуально, но поправится все же стоит.

В последнее время в связи с ростом "моды" да фишинг, когичество вирус-диалеров в этом направлении тоже увеличилось. Т. е. щас становится заметным количество вирусов, которые звонят не для накрутки, а для потключения к интернет провайдеру или "зомби", но не для установки контроля над вирусованой машиной, а для более скрытной отправки получателю собраных с компьютера данных. Хотя фишинг-вирусов-диалеров гораздо меньше, чем фишинг-вирусов отсылающих данные по ЭП или на какой-либо вэб-ресурс непосредственно с вирусованой машины, но заметно больше, чем вирусов-диалеров для установления контроля над ПК. Фишеры иногда используют дозвон с целью увеличения гарантии доставки собранной информации, т. к. информация, отсылаемая по существующим каналам, м/б заблокирована на шлюзовых серверах (ЭП, МЭ, IDP и др.) плюс возможность многофакторной идентификации доступа к сетевым ресурсам (ввод пароля "вручную", ключи доступа, биометрические считыватели и т. п.), при которой информация может не успеть уйти в максимально сжатые сроки или вообще оказатся неотправленной...

hasherfrog
13-10-2005, 01:46
Я боюсь, уже не выяснить, "что это было". Программа от Зайцева (скачанная, кстати, отсюда из софт-раздела) нашла два каких-то трояна. Касперский нашёл потом ещё хвост от одного из троянов. и всё. В определениях троянов (по выданным ремувером) именам либо ничего нет про звонки, либо разновидностей подобных троянов очень много. Да я уже даже не пытаюсь детально разобраться, что это было... Надежда на то только, что оставленный касперский хотя бы полгодика ещё сдержит оборону...

Ronald
18-10-2005, 15:50
А дистрибутивы у тебя вирус не хавал? Может он у тебя в дистрибе сидит, и когда ты очередной раз ставишь систему и проги он у тебя активируется. Советую снять винт, пойти к товарищу и там проверить весь винт на вирусы.

IgorK
19-10-2005, 11:11
Храните дистрибутивы на CD, или на FTP, который писать не можете.




© OSzone.net 2001-2012