Вирус в компьютере!, Сюда постим проблемы из-за Вирусов на ПК |
Фан
Watching You
[SoftoRooMTeaM]
Группа: Наши Люди Сообщений: 1.643 Регистрация: 29.06.2005 Пользователь №: 15
Респектов: 252
| Вирус в компьютере Компания Microsoft просит всех пользователей операционной системы Windows до 3 февраля в обязательном порядке провести проверку компьютера обновленным антивирусом, в противном случае им грозит новый и весьма деструктивный червь Nyxem. Вирус может удалить все файлы Word и Excel, а также заблокировать клавиатуру и мышь. Уже известно о 300 тысячах зараженных машин.В пятницу вирус, названный Nyxem-E, активизируется на всех зараженных компьютерах, стерев с жесткого диска все файлы Word, PowerPoint и Excel, а также сами эти программы, входящие в комплект Microsoft Office. Под угрозой оказался также программный продукт Abode – Acrobat Reader. Предполагается, что вирус осел на многих машинах, пользователи которых открывали пришедшее им по электронной почте сообщение с предложением посетить бесплатный порно-сайт. Компании, выпускающие антивирусы, заявили, что огромное количество копий червя уже выявлено на PC по всему миру. Первые сигналы о появлении опасности поступили 16 января, и с тех пор жертв Nyxem становится все больше. Вирус известен также под названиями Blackmal, MyWife, Kama Sutra, Grew и CME-24. Заразив PC, вирус посылает информацию на специальный веб-сайт, где установлен счетчик всех инфицированных компьютеров. На прошлой неделе цифра на счетчике зашкалила за миллион, однако сотрудникам фирмы Lurhq, занимающейся компьютерной безопасностью, удалось выяснить, что примерно треть показателей – накрутки. Тем не менее доподлинно известно, что на данный момент Nyxem-E заразил уже около 300 тысяч машин. Как и многие вирусы подобного типа, Nyxem пользуется тем, что неопытные пользователи открывают вложенные в письма файлы, которые, в свою очередь, содержат разрушительный код, мгновенно встраиваемый в различные файлы системы. В строке «Subject» зараженного червем e-mail могут содержаться различные надписи, однако они преимущественно предлагают получателю просмотреть бесплатную порнографию. Примеры надписей: «Fw: Funny», «*Hot Movie*», «Re: Sex Video» и другие. Как сообщает BBC, сразу же после заражения вирус сканирует адресную книгу и автоматически рассылает себя по найденным e-mail. Кроме того, он распространяется по всем компьютерам в локальной сети жертвы. Отличие Nyxem в том, что он, помимо того, что после заражения машины не уничтожается, а продолжает свое «победное шествие» по Сети, еще и заражает 11 типов файлов, наиболее часто используемых на PC, причем делает это каждое третье число месяца. Среди файлов, которым угрожает червь, такие распространенные типы, как, к примеру, doc, pdf, ppt, rar, zip и xls. Червь настроен таким образом, что способен самостоятельно препятствовать работе антивирусов. Он блокирует обновление программных продуктов, а также в некоторых случаях может вызывать сбои в функционировании клавиатуры и мыши. Всем пользователям Windows рекомендовано срочно обновить антивирусы и просканировать систему на предмет заражения Nyxem. Многие компании, выпускающие антивирусы, разработали специальные приложения, которые позволят более эффективно выявить и удалить «бомбу замедленного действия». Джейсон Стир, технический консультант фирмы Ironport, специализирующейся на разработке защищающих от спама программ, подчеркивает, что Nyxem использует начавшую уже устаревать схему, когда вирус активизируется в определенное число месяца. «Если обратить внимание на похожие вирусы, ходившие по сети 10-15 лет назад, они были довольно деструктивны – форматировали жесткий диск, удаляли файлы и тому подобное», - говорит Джейсон Стир. Пит Симпсон, сотрудник антивирусной лаборатории Clearswift, указывает на отсутствие какого-либо изящества в таком подходе. «Да, сам код вируса довольно сложен, для написания он требует большого объема практических знаний, но никакой мотив, кроме вандализма, не двигает создателями подобных червей», - говорит Пит. Оба специалиста полагают, что наибольший удар 3 февраля придется на домашних пользователей Windows. IT-отделы большинства компаний регулярно обновляют антивирусные базы данных и отсекают нежелательную почту еще до того, как она попадет на компьютеры сотрудников. Домашние пользователи, напротив, зачастую игнорируют обновления Windows и антивирусов, а также не проводят проверку системы на наличие вирусов, а о постоянном резервном копировании файлов на сменные носители речи не идет вообще. Деловая газета «Взгляд» | |
| |
15.01.2009 - 2:21 |
middleman
профи!
[SoftoRooMTeaM]
Группа: Наши Люди Сообщений: 3.366 Регистрация: 15.03.2005 Из: Украина, Харьков Пользователь №: 8.829
Респектов: 744
| Привет, народ. Вот уж не думал, что когда-то окажусь в этой теме, но как говориться от сумы и от тюрьмы не зарекайся )) Сейчас я расскажу историю своих сегодняшних наблюдений, а вы скажете кто что об этом думает. Сразу попрошу пропустить советы про переустановку системы, отправку фаила на анализ касперскому и другие простые пути решения )). Как решить проблему быстро я и так знаю, но этот конкретный вирус меня на столько заинтересовал, что мне стало интересно а было ли что-то подобное у кого-то еще и вдруг кто-то из наших спецов расокпал в чем тут дело. так вот история... Вводные данные: Одноядерный (цел 1,8) ноут с гигом оперативки: + Windows XP SP3 + последние заплатки + Авира антивир с последними обновами. Фаервол - аппаратный на ADSL модеме + комодо на домашнем серваке, который раздает инет ноуту... не спрашивайте зачем. надо.) Ноут до сегодня работал идеально не проявляя типичных симптоов заражения, что странно, но объяснимо. История началась с того что мне пришло в голову переставить алкоголя. запустил штатное удаление, все снес, попросил перезагрузку. после загрузки системы контроль автозапуска возмутился новым пунктом в списке. c:\program files\SATASERY\ellzuP_45_S2BOOK.exe где на сколько я потом понял из скудной инфы в инете "ellzu" - случайные символы, а S2BOOK соответственно название моей машины. так вот точно помня что ничего такого я туда не ставил лезу в эту папку и первым делом экзешник на анализ. Результат: 12/39 (30.77%) не много, но ощутимо. ладно. исследуем дальше и натыкаемся среди кучи *.tmp фаилов ощутимых размеров на несколько маленьких и интересных файликов. как то: ellzuP_45_S2BOOK.exe.internet.log со следующим содержанием: Code **** >>,2FB) WSAsend([89.108.72.181],<<GET /style_images/logo/head_08.jpg HTTP/1.1 User-Agent: Opera/9.62 (Windows NT 5.1; U; ru) Presto/2.1.1 Host: softoroom.org Accept: text/html, application/xml;q=0.9, application/xhtml+xml, image/png, image/jpeg, image/gif, image/x-xbitmap, */*;q=0.1 Accept-Language: ru-RU,ru;q=0.9,en;q=0.8 Accept-Charset: iso-8859-1, utf-8, utf-16, *;q=0.1 Accept-Encoding: deflate, gzip, x-gzip, identity, *;q=0 Referer: http://softoroom.org/?act=search Cookie: member_id=8****; pass_hash=многацыферь; forum_read=кодировкакакая-то; rep_last_visit=цифери; CookieIp=92.113.***.***; session_id=многацыферь Cookie2: $Version=1 Connection: Keep-Alive, TE TE: deflate, gzip, chunked, identity, trailers
думаю ни у кого не вызывает сомнения что сие есть лог моего HTTP соединения. там-же ellzuP_45_S2BOOK.exe_LOG.log Code Reports:Module:punto.exe:PID:2888:TID:3260:Time:104587::SendMail:Enter. Reports:Module:punto.exe:PID:2888:TID:3260:Time:104596::SendMail:Cant find server. Check Connection. Reports:Module:punto.exe:PID:2888:TID:3260:Time:104596::SendMail:Leave. [ret_value] = 0. Reports:Module:svchost.exe:PID:1668:TID:908:Time:39D59A::connect_to_irc:gethostbyname error. Reports:Module:svchost.exe:PID:1668:TID:908:Time:39D59A::OCNCRM:connect_to_irc fail. Reports:Module:punto.exe:PID:2888:TID:3260:Time:39D888::SendMail:Cant find server. Check Connection. Reports:Module:punto.exe:PID:2888:TID:3260:Time:39D888::SendMail:Leave. [ret_value] = 0. это на сколько я понял лог работы самого бота заразившего уже промеждупрочим и сам антивирус (там были записи процессов антивируса, но сюда не попали). После попытки снести из автозагрузки "первую ласточку" пошли валом проблемы. во-первых постоянно в автозагрузку добавляется непонятный процесс с несуществующим названием фаила, а при попытке его удалить оттуда предлагается "delete RyHDCpl from the registry" кроме этого вирус начал проявлять себя создавая к каждому экзешнику на вставленой флешке кучу фаилов вида *.exe_tmp.exe, которые на зараженной машине удалить нереально (авторан не трогает, что странно). При попытке удаления зараженных исполняемых фаилов получаем отказ в доступе и стопроцентную загрузку процессора процессом RunDll. так вот собственно несколько вопросов... Почему эта гадость не придерживается какой-то одной линии поведения? Правильно ли я понял из второго лога что отправить ничего никуда у зверя не вышло? Какую цель преследует система (хде деньги?) Откуда сие добро теоритически могло у меня взяться за серым айпи и двумя фаерволами и как ОНО вообще распрастраняется? Почему касперский, авира, вэб, нортон и нод (запущеные с Live CD и обновленные через инет) ничего подозрительного не видят? (кстати на вирустотале нод нечто определил. наверное у них другой нод). Чего еще можно ждать от этого зверя если позволить ему зверствовать дальше? Какие еще могут быть эффективные способы выявления заразы кроме описаных и борьбы с ней кроме радикальных? | |
| |
15.01.2009 - 5:08 |
SoulSurvivors
Новичок
Группа: Пользователи Сообщений: 9 Регистрация: 19.05.2007 Пользователь №: 398.948
Респектов: 0
Предупреждений:
| У меня проблема схожая с товарисчем у которого скрытый autorun.inf Авторана вроде totalcommander не увидел. Однако если попробовать через ОС поставить показывать скрытые файлы и папки настройки сбрасываются. Собсно, нод вирус уже один рас спалил, да видать полностью не зачистил | |
| |
15.01.2009 - 10:07 |
middleman
профи!
[SoftoRooMTeaM]
Группа: Наши Люди Сообщений: 3.366 Регистрация: 15.03.2005 Из: Украина, Харьков Пользователь №: 8.829
Респектов: 744
| SoulSurvivors, нет. авторана нет. стопудов. зараженная флешка проверялась из-под линукса с показом всех фаилов (мне кажется маловероятной на столько адская кросплатформенность вируса, что он умудрился скрываться под линуксом) только мусор вида *.TMP_EXE возле всех экзешников. Зачем вирусне нужен этот мусор непонятно, а особенно учитывая, что троян в принципе скрытый. не пойму смысла так явно показывать свое присутствие. | |
| |
15.01.2009 - 10:21 |
Andrey_n
Грамотный
Группа: Пользователи Сообщений: 256 Регистрация: 2.09.2005 Из: Кострома Пользователь №: 41.030
Респектов: 76
Предупреждений:
| middleman, недавно лечил ноут с немного похожей бякой. Что за фрукт не понял, антивиры обходит только в путь. Загрузка только в нормальном режиме, все остальное BSOD. Посмотреть на BSOD возможности нет, т.е. система творит что хочет ..., подключил вторым винтом к своему ноуту, почистил AVZ и Др.веб с последними базами лицензион. , нашел кучу дряни, вычистил, поставил обратно - танцы с бубном продолжаются, реестр правил, ключи грохал. Как справился слоэно сказать, в прямом смысле расскачивал систему , реестр, cureit,avz...OSAM. Выяснил одну закономерность, поведение такое же как твоего, т.е. четкой линии поведения нет, файлы создает, ключи в реестре, AVZ его засекает в паранойном режиме сканирования. С помощью AVZ восстановил системные настройки. Когда система позволила поставить на себя антивирь, поставил ДРВеба 4,44 и уже изнутри начал его долбать. После такого длинного описания скажу одну очень характерную для него черту: все нормальные exe файлы при сканировании AVZ показываются как зараженные , точнее не то что зараженные а что они являются активными руткит компонентами, вычистить их нельзя, для того чтобы остановить вирус надо удалить все ехе с компа...что вообщем то нереал, но можно с помощью OSAM найти библиотеки котрые грузяться в момент загрузки и создают "зомбиков". Сори, понимаю написано не понятно, но за все время работы с компами, были разные вири и руткиты в том числе, но такой изощренный первый раз .. | |
| |
21.02.2009 - 12:25 |
Stasya09
Опытный юзверь
Группа: Пользователи Сообщений: 97 Регистрация: 4.01.2009 Из: Волжский Пользователь №: 1.234.192
Респектов: 70
Предупреждений:
| Всем доброго дня. Пишу по такому поводу. У меня была проблема с инетом. При скачивании, выбивало комп. с полной перезагрузкой. Стоял каспер 7, он ни чего не показывал. Снесла каспера, поставила Dr. Web Skaner. Показал 2 трояна. Удалила. Выбивать перестало. Но симптомы заражения имеются. Ещё раз отсканировала комп. Показал 5 подозрительных, пишет возможно DLOADER, Trojan. И 3 модификации Win 95. Что это значит? Лечить их или удалять? | |
| |
28.02.2009 - 23:38 |
1509ert
Новичок
Группа: Пользователи Сообщений: 1 Регистрация: 26.11.2008 Пользователь №: 1.182.186
Респектов: 0
Предупреждений: 1
| Помогите решить проблему, уже две недели воюю с вирусом, сначала он давал жизни чудил что хочет . НОД и Авира в упор его не видели. Сейчас стоит Аваст и вот что выдаёт "25.02.2009 13:40:52 DCOM Exploit attack from 91.124.174.169:135 25.02.2009 13:55:03 DCOM Exploit attack from 91.124.110.98:135 25.02.2009 16:30:00 DCOM Exploit attack from 91.124.57.131:135 28.02.2009 22:12:58 DCOM Exploit attack from 91.124.117.2:135 28.02.2009 22:18:45 DCOM Exploit attack from 91.124.52.217:135 28.02.2009 22:24:12 DCOM Exploit attack from 91.124.117.2:135 28.02.2009 22:24:19 DCOM Exploit attack from 91.124.0.44:135 28.02.2009 22:25:15 DCOM Exploit attack from 91.124.52.217:135 28.02.2009 22:26:38 DCOM Exploit attack from 91.22.76.86:135 28.02.2009 22:28:38 DCOM Exploit attack from 91.124.254.36:135" Как от этого избавится, может кто знает? Сразу скажу система Виндовс ХР сборка "Зверь", антивирус "Аваст", чиста винта проводилась два раза вместе с переустановкой ПО. | |
| |
1.03.2009 - 7:26 |
ARKTURZero
Опытный юзверь
Группа: Пользователи Сообщений: 94 Регистрация: 30.10.2007 Пользователь №: 578.175
Респектов: 13
Предупреждений:
| Атаки на 135 порте DCOM RPC. Попробуй Windows Worms Doors Cleaner он закрывает все червячные порты. Их нужно в первую очередь закрывать в принципе. https://softoroom.org/topic53259s10.htmlИ зачем эта тема на форуме существует? | |
| |
6.06.2009 - 17:15 |
Vtsapin
Опытный юзверь
Группа: Заблокированные Сообщений: 92 Регистрация: 23.02.2008 Из: Spb Пользователь №: 774.431
Респектов: 14
| Рекомендую сканировать комп прогой Adware Se Professional.Надёжна в работе,все вирусы,трояны и прочие червеподобные найдёт и уничтожит)) | |
| |
7.06.2009 - 12:56 |
middleman
профи!
[SoftoRooMTeaM]
Группа: Наши Люди Сообщений: 3.366 Регистрация: 15.03.2005 Из: Украина, Харьков Пользователь №: 8.829
Респектов: 744
| 0:21:21 0.0.0.0 Обнаружена атака, узел не заблокирован WRONG_PACKET Вариант первый: Четыре нуля это ты атакуешь сам себя. либо стоит какой-то глюкавый драйвер, который генерит неправильные пакеты сам себе, либо у тебя вирус, который опять-же генерит эти пакеты. Вариант второй (более вероятный): Из сетки или инета приходят тебе пакеты, в которых адрес отправителя подменен на четыре нуля. есть софт, который умеет такое делать. Вот здесь обсуждается похожий вопрос: | |
| |
|
|