Пользователь |
Сообщение: борьба с вирусом (Тема#32762) |
ME4EHbIU
Only GOD can judge me
Возраст: 39
: Киев
С нами с 05.01.06
Посты: 11686
|
друган на ноут поймал вирус, который просит отправить СМС. при этом в ось попасть нельзя. в сейвмоде вроде тож самое....
если загрузиться с PE, то где его искать ?
подскажите методу борьбы с заразой (кроме переустановки вынь) ?
|
|
|
Shu®Mu®
КонтрАдмирал
Возраст: 55
: Kiev,Ukraine
С нами с 06.04.04
Посты: 18000
|
Попробуй если вирус старый может поможет отключить окно запроса смс, вебер сделал генератор
http://news.drweb.com/show/?i=304&c=5
Но дело в том что винду блокирует не вирус вирус являеться заносчиком проги, которую не видят антивирусники у нас один тоже подловил самую последнюю версию этой заразы антивирусы (вебер каспер) нашли по трояну причем одного трояна я сам вычислил подате, троянов поубивали, а эту прогу ни один из антизверей не нашел. По дате я тоже не нашел новых файлов. И у вебера на сайте такого скриншота как у него нету. Блокирует реестр, диспетчер задач, во всех учетках под которыми заходишь и в сайф моде тоже. Пока не зайдешь учеткой реестр можно править от имени незараженной учетной записи стоит только зайти все блокируеться. Восстановил образ. Носитель троян имя не помню но в имени кажеться 64 присутствует чтото типа ***64.exe Но даже по описанию вебера троянов заносчиков тьма.
|
|
|
Shu®Mu®
КонтрАдмирал
Возраст: 55
: Kiev,Ukraine
С нами с 06.04.04
Посты: 18000
|
Если доберешься до реестра измени на 0 для диспетчера задач
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System / DisableTaskMgr ”=dword:0
Редактор реестра разрешить можно так: меняем единицу на ноль в ветке
[HKCU\SOFTWARE\Microsoft\ Windows\CurrentVerson\Policies\System]
“DisableRegistryTools”=dword:00000001
Но если прогу не убьешь она поменяет эти значения назад, но можно успеть в диспетчере ее грохнуть, если она там отобразиться.
|
|
|
ME4EHbIU
Only GOD can judge me
Возраст: 39
: Киев
С нами с 05.01.06
Посты: 11686
|
гран мерси, буду пробовать )
|
|
|
ME4EHbIU
Only GOD can judge me
Возраст: 39
: Киев
С нами с 05.01.06
Посты: 11686
|
Саш, пасиба агромное......помогло ))
|
|
|
Shu®Mu®
КонтрАдмирал
Возраст: 55
: Kiev,Ukraine
С нами с 06.04.04
Посты: 18000
|
Везунчики, мне не помогло Всегда пожалуйста
|
|
|
Tester_1
генералиссимус
Возраст: 47
: Kovel,Ukraine
С нами с 10.11.03
Посты: 13415
|
|
|
Franchesko
Пет Рарка
Возраст: 31
: Киев
С нами с 13.05.08
Посты: 15445
|
Скачать файл
rescuecd.iso
Размер:
130.59 МБ
Закачан:
11 дек 2009 11:34
Скачан последний раз:
11 дек 2009 21:57
Файл проверен Dr.Web:
Вирусов нет
md5:
d94b7f07084768a2f434c15797e9e72e
Файл удален с сервиса.
|
|
|
5puTBa
опасен!
Возраст: 42
: Odessa
С нами с 29.05.07
Посты: 2304
|
Сталкнулся с таким же неделю назад .
Вот лекарство :
http://news.drweb.com/show/?i=304&c=5
Но перед вводом кода , в биосе надо выставить дату получения кода ,т.к. вирус привязан к дате .
я этого не знал и когда ввел код не чего не изменилось(по этому на первой попытке прогорел :))
Когде же исправил дату блокирока снялась !
|
|
|
Ganzilla
мясник-звероящер
: Киев, 36 лет
С нами с 24.02.06
Посты: 6371
|
Полезная информация - http://michael-y.org/FAR/#registry
Это редактор реестра из-под "атавистического" FARa.
Работает с реестром даже работа с ним типа запрещена.
Есть еще Anvir Task Manager. Намного мощнее стандартного диспетчера задач. Также работает, если стандартный диспетчер задач типа запрещен.
Пользуюсь этими двумя инструментами для ручного вырезания вирусов.
|
|
|
Shu®Mu®
КонтрАдмирал
Возраст: 55
: Kiev,Ukraine
С нами с 06.04.04
Посты: 18000
|
Для редактирования заблокированного реестра юзаю RRM правда для использования его вначале надо установить, а так же плагин в тотал командере
Прикрепления: reg.jpg (284.25 KB) 108 Просмотр(ы)
|
|
|
Ganzilla
мясник-звероящер
: Киев, 36 лет
С нами с 24.02.06
Посты: 6371
|
Во-первых, он платный, во-вторых, его надо ставить, в-третьих - я любитель анахронизмов.
|
|
|
Tester_1
генералиссимус
Возраст: 47
: Kovel,Ukraine
С нами с 10.11.03
Посты: 13415
|
Есть еще Anvir Task Manager. Намного мощнее стандартного диспетчера задач. Также работает, если стандартный диспетчер задач типа запрещен.
Тю. Любить так любить:
F11 - Process list
Выбираем процесс - жмем F3
не нравиццо - жмем F8 This plugin shows the active processes list. You can use F8 to
terminate selected processes, Enter to switch to process window an
F3 to view additional process information.
Be careful when killing a process. It stops the process
immediately, and any unsaved information will be lost, so it shoul
be used only when absolutely necessary.
Special keys used by this plugin:
F6 View processes on a remote machine over the network
Shift-F6 Return to the local machine
Shift-F1 Lower the priority class of the current process (local only)
Shift-F2 Raise the priority class of the current process (local only)
Shift-F3 View process info with default options overridden
Alt-Shift-F9 Call the Configuration dialog.
А двоечка - она еще и юникодная...
Прикрепления: Far1.gif (31.3 KB) 117 Просмотр(ы) Прикрепления: Far2.gif (23.74 KB) 109 Просмотр(ы)
|
|
|
Shu®Mu®
КонтрАдмирал
Возраст: 55
: Kiev,Ukraine
С нами с 06.04.04
Посты: 18000
|
|
|
Shu®Mu®
КонтрАдмирал
Возраст: 55
: Kiev,Ukraine
С нами с 06.04.04
Посты: 18000
|
Кстати хочу вас разочаровать, что есть такая версия этой заразы которая блокирует выполнение любой задачи в том числе и фара итд.итп. Грубо говоря запустить вы ничего не сможете ни в каком режиме винды В этом и заключаеться проблема отлова оной. Под другой системой , например РЕ она не стартует и естественно отловить в процессах ее нельзя ,а под родной вы можете только созерцать окно ввода смс даже в режиме защиты от сбоев..
|
|
|
t0rik
майор
Возраст: 45
: /etc/passwd
С нами с 07.03.03
Посты: 1291
|
а как же любимый режим safe mode с командной строкой?
|
|
|
Ganzilla
мясник-звероящер
: Киев, 36 лет
С нами с 24.02.06
Посты: 6371
|
Дело в том, что Anvir Task Manager показывает длл-ки, используемые процессом и даже файлы, которые в данный момент залочены этим процессом.
Таким образом я отлавливал зашифрованные тельца, которые мне заражали флешки.
А в случае с "смс-вирусом" поможет ERD Commander. Загрузочный СД, который "подключается" к установленной винде и поможет справиться со многими проблемами.
|
|
|
Shu®Mu®
КонтрАдмирал
Возраст: 55
: Kiev,Ukraine
С нами с 06.04.04
Посты: 18000
|
РЕ это и есть твой загрузочный СД, повторяю в случае с бацильником который поймали у нас, троянов именно через ре и вытравили, а найти прогу блокирующую винду ( смс окно) неудалось не по дате новых файлов ни тремя антивирусами со свежайшими базами . Как процесс даннная прога стартует только на самой зараженной системе, а не на системе запущенной извне и естественно среди процессов ее там не будет. А запустить на зараженной даже в защищенном режиме тебе не удалось бы ни Anvir Task Manager ни какую либо другую прогу. К сожалению провести больше экспериментов по отлову заразы я не успел юзер начал ныть о срочной работе потому и был восстановлен образ.
|
|
|
Tester_1
генералиссимус
Возраст: 47
: Kovel,Ukraine
С нами с 10.11.03
Посты: 13415
|
Тупо вешает отладчик приложений. По идее должно вместо запуска программы - сначала вызывается этот отладчик, который уже в свою очередь запускает приложение.
А само тело содержит сканирование заголовков окон и закрытие их.
Возвращаемся к самому правильному режиму повседневной работы - из под простого юзера, а не администратора.
|
|
|
Shu®Mu®
КонтрАдмирал
Возраст: 55
: Kiev,Ukraine
С нами с 06.04.04
Посты: 18000
|
Прикол в том , что у юзера не было админ прав, и зайдя с РЕ винды я увидел что учетка локальная админа и моя админа домена не заражены, реестр этих учеток был доступен, но при попытке зайти под незараженной учеткой через 10-15 секунд после запуска блокировались реестр и диспетчер задач и машина опять записралась смсм окном. И что самое странное зайдя в реестр от имени админа домена и проделав все операции по борьбе с похожими бацилами в реестре всеравно машина заблокировалась. Короче до истинны я не докопался и позаражал все учетки
|
|
|