IMHO.WS

IMHO.WS (http://www.imho.ws/index.php)
-   Обсуждение программ (http://www.imho.ws/forumdisplay.php?f=3)
-   -   Как удалить вирус/троян? (http://www.imho.ws/showthread.php?t=45835)

гоша 09.08.2004 18:58

Для троянов могу порекомендовать The cleaner,если у тебя есть троян то он его найдет и грохнет.Сканирует долго,но чистит хорошо.....удачи
_http://www.moosoft.com/products/cleaner/

Anarchist 10.08.2004 00:01

Попробуй _http://unasoft.com.ua/rus/downloadfree.html
Там утилитка лежит FreeUNA копейки весит.

Как раз ищет Backdoor.Ubriel.b и Backdoor.HacDef.073. Backdoor.Ubriel.b
Они воруют информацию об электронных кошельках WebMoney, профили Интернет-пейджера Miranda и настройки почтовых клиентов.
Похоже на твой вариант ...

V@nya 10.08.2004 05:34

Anarchist, ничего не нашла утилитка твоя:(
Вот sp2 скоро скачаю, и всю систему начисто переставлю.

Rollers 10.08.2004 07:13

V@nya
имеется Тема, по вопросам удаления, той или иной вредоносной программы. От себя скажу, имеется такая маленькая и халявная програмка от McAfee, - Stinger и второе, а что Firewall :confused:

iNHEMAN 10.08.2004 07:53

Симптомы смахивают на Troj/Haxdoor-G
_http://www.sophos.com/virusinfo/analyses/trojhaxdoorg.html > посмотри в описании.

<...Troj/Haxdoor-G may log user keystrokes and window text, creating some of the
following log files:
KLOG.SYS
KLOGINI.DLL
IN.A3D
PS.A3D
ERROR.A3D.>

Borland 10.08.2004 11:22

Rollers
Абсолютно прав! Приклеено.

V@nya
Хорош плодить одинаковые темы! Буду пинать!

y3k 11.08.2004 06:06

=) Пока гром не грянит, мужик не перекрестится. Так же и тут, пока вирус на завалится, ламер заплатку не поставит. Надо следить за обновой заплаток от Билла, и фаерволл ставить с анти вирем, лучше анти виря 2, нортон и др.веб =)

Interceptor 12.08.2004 14:19

Anarchist
Цитата:

Как раз ищет Backdoor.Ubriel.b и Backdoor.HacDef.073. Backdoor.Ubriel.b
Незнаю откуда ты взял такую инфу, но смею тебя разочаровать: бэкдоры - это удалённое администрирование, а не стыривание пассов!
Backdoor.HacDef.073 - это вообще руткит для винды. НИЧЕГО общего сос стыриванием пассов он НЕ имеет!

Mitri4 12.08.2004 19:32

руткит -а это что такое :idontnow:

Interceptor 13.08.2004 00:11

Mitri4
Руткит предназначен помочь взломщику укрепиться на взломанной тачке.

Backdoor.HacDef.073 взломщику шелл, а так же скрывает из процессов, сервисов и реестра то, что взломщик прописал в настройках.

Как видно, НИЧЕГО общего со стыриванием пассов к Мире и ВэбМани НЕТ!

Borskiy 09.09.2004 01:41

Привет! У меня было то же самое.
Что я сделал:
1)Как только начался отсчёт на reboot-зашел в Start->Run-> shutdown -a
->enter;
2)Спокойно правый клик на Мой компьютер ->Manage ->Services ->
->Remote Procedure Call (RPC) - правый клик -свойства-3-я вкладка(рековери) - везде выставляю Take No Action - OK.;
3)На сайт мелкомягких - и качаю заплатки.
4)С сайта McAfee качаю последний Stinger.
5)После перезагрузки запускаю Стингер. - Всё!
6)Убедившись,что вирусов нет возвращаю обычные настройки RPC.

Postman 09.09.2004 06:02

Добрый день всем.
Использовал поиск - нашел эту тему, решил написать.
Имею подозрение, что подхватил вирус (с 3 сентября в папке Windows появилась папка Inetdata, а там services.exe, который грузиться от имени пользователя. Удалил в безопасном режиме, поудалял из реестра ключи которые добавляли его в автозагрузку)...
В общем вируса вроде больше нет, но я сохранил этот файл (переименовав его), кроме того есть файл с расширением VBS (что это такое?), не могу в нем разобраться, но вроде он рубит процесс OUTPOST
(это я решил из этого:
Set colProcessList = objWMIService.ExecQuery _
("SELECT * FROM Win32_Process WHERE Name = 'OUTPOST.EXE'")
For Each objProcess in colProcessList
objProcess.Terminate())

В общем, файлы остались, если есть желающие посмотреть на них (и могущие разобраться), могу скинуть - если вы потом обьясните мне что это такое :)

Еще вопрос: можно ли как-нибудь разобрать экзешник до читаемого состояния? Или до кода на котором его писали?

Заранее спасибо! :beer:

y3k 09.09.2004 06:25

Добрый, добрый =)
Скорей всего этот вирус ты подхватил с какого нибудь сайта, расширение VBS - Visual Basic - язык программирования, пусть он простой, но все же язык, и небось на сайте был какой нить ActiveX и к тебе его засосало=) OUTPOST.exe - это естественно файрволл Agnitum Outpost Firewall. И кстати необязательно загружаться в безопасном режиме=) достаточно убрать его и процессов, потом из папки потом и из автозагрузки путем тулзы встроенной в винду ХР - Выполнить ---- msconfig
Насчет программы показывающий исходный код, врят ли, тогда бы исходники винды уже бы были у всяких там хакеров =) и потом представь сколько существуеют языком программирования и в программе должны быть встроенны все методы компиляции всех языков, и если например ты не знаеш на каком языке написана та, или иная программа, и наша супел тулза должна определить на каком языке она написана и вообщем...я такой не видел=) и врят ли она есть, ну только мож в каком нить узком кругу людей

Postman 09.09.2004 07:17

y3k,
Папку не давала удалить винда, она писала что она системная. тоже самое с процессом, выдавалась надпись, что он "критический системный".
Хотя может я не обратил внимание и пытался закрыть истинный Services... :)
В MSconfig оно тоже само себя писало. Надо мне было с самого начала чистить реестр. А я не допетрил... Только откуда эти сволочи узнали что у меня именно Аутпост? :idontnow:
Спасибо за ответ!!! :beer:

Cleom 13.09.2004 10:55

Outpost стоит у многих людей.
А насчет того что процесс "критический системный" - когда-то я видел такую информацию, что если процесс переименовать так, чтобы он начинался с system, то винда не даст его убить.

Сам не проверял, но кто-то из знакомых сказал что так и есть.

wiremind007 21.09.2004 06:21

postman ты уверен что inetdata был вирус?! у меня есть inetinfo ето тоже вирус? хотя нортон его не подбирает...

pion 21.09.2004 11:32

Файл C:\WINDOWS\inetdata\services.exe создаёт TrojanDownloader.Win32.Krepper.g (Troj/Krepper-G)
http://www.sophos.com/virusinfo/anal...jkrepperg.html

Solvent 28.09.2004 18:47

А вот какую бяку подцепил. Но фишка в том, что AVP, при сканировании его не видит, а видит лишь тогда, когда комп. находится в режиме ожидания, вот тогда, вылетает окно, что, вирус обнаружен, и пора запустить сканер. Запускаю сканер, AVP говорит, что вируса нет. В чём дело?
Запускал Trojan Remover, тоже ничего нашёл? Получается, что как бы троянец есть, и как бы его нет?
Не хочется переустанавливать ось.

Trojan Downloader.win32istbar.er

Mitri4 29.09.2004 01:49

попробуй здесь очень классный сканер,поставь самую нижнюю ссылку,если он сам не поставит,только не давай автомтическое стирание :yees:

Adroit 29.09.2004 06:34

На работе долго и упорно стоял Mac антивирь, достал он меня, особенно своей нелюбовью к Aston, то обновляться отказывается то еще что, а дисплей агента вообще не отображается, короче я его сношу и ставлю имевшегося под рукой Doctor Web, прогоняю на вирусняк и оппа!!! Один троян и три вируса. Вирусняк обнаружен в файле мыльника. Теперь вопрос как мне эту хрень почистить. Да и еще ad-aware почемуто упорно данного трояна не видит, при попытке убить данную нечисть вебом он ушел в глубокий даун. Советуйте с чего начать... :idontnow:

Rollers 29.09.2004 08:57

Adroit
Почисти ручками свой мыльник, ищи папку с именем твоего аккуанта, какой прогой пользуешься.

Цитата:

Да и еще ad-aware почемуто упорно данного трояна не видит
он не ловит трояны

Adroit 29.09.2004 11:08

Да троян сидит в System32 коммандер его находит, но вот удалить файл не получается, упирается всеми четырьмя. Остальной вирусняк в паке мыла, залез внутрь, а там только один текстовый файл размером 1,5 гига вот и как из этого файла вырвать затесавшийся туда вирус? Убить файл целиком нельзя так как это вся переписка, если я правильно понимаю назначение данного файла.

Хадский_папа 29.09.2004 11:46

Из Sistem 32 удалять надо руками в Save Mode, а как то вирь называется который в папке мыла?? И как папка называется? И какая прога мылит?

Rollers 29.09.2004 22:58

Adroit
советую воспользоваться freeware програмкой McAfee AVERT Stinger

Mitri4 30.09.2004 04:54

Adroitнайди моё сообщение:rolleyes:

Adroit 30.09.2004 11:57

Цитата:

Adroitнайди моё сообщение
Ну нашел и что? предлагаешь 1.5 мега сканировать онлайн?
Короче почтовикThe Bat!
Вирусняки следующие:
Win95.Matrix.9216
VBS.Happy Time
Win 32.Magistr.24876.
Вот такой набор :beer:

apoc 01.10.2004 11:30

А вот знает ли кто как боротся с тем что бат иногда получает письмо зараженное, а потом его авп находит и не может вылечить??? что делать? письмо хранится в тбк... фигня какая-то... :(

Adroit 01.10.2004 11:50

Короче папку бата лечил по следующему принципу.
Все письма экспортировал в формат *.eml прогнал вебом, зараженные файлы убил, оставшееся импротировал обратно. Троян пока жив, McAfee AVERT Stinger не помог.
apoc
Попробуй сделать тоже, что и я, а еще при обратном импорте файлов, вернее перед их импортирование задай в настройках, хранить вложения отдельно, тогда думаю в следующий раз будет проще.
Всем кто пытался помочь с вирусом большое спасибо и побольше :beer:
Осталось только убить троян :help:

Smoker 01.10.2004 16:00

Мой опыт по определению/удалению вирусов под системами Windows.

1. Мой набор программ для выявления заразы:
Anvir_Ru _http://anvir.com/index_ru.htm
FAR
clrav.com _http://www.kaspersky.ru/faq?qid=146226903 (там есть ссыла)
Антивирусы: NOD, AVP, Нортон.
OutpostPro2_225
Дополнительный комп для поиска в инете и подключения в случае надобности винта с обследуемой тачки.

2. Загружаем обследуемый компьютер. Устанавливаем Anvir. Запускаем. Смотрим процессы и автозапуски на наличие подозрительных/незнакомых программ. Заметили заразу? Надо определить что это. Идем например на _http://www.viruslist.com/viruslist.html.
3. Если определили что это за вирус то в зависимости от того как он прописывается в системе удаляем его из системы:
А) Если просто прописан в автозапуске, то сносим все процессы связанные с вирусом, удаляем запись из автозапуска, затем удаляем сам вирус. Перегружаемся и прогоняем всю тачку «любимым» антивирусом.
Б) Если эта зараза подменяет собой шел запуска, то вот тут нам поможет clrav.com… Он по умолчанию восстанавливает стандартное значение в реестре.
При этом в комплекте есть setassoc.reg. Он если что поможет ;)
Сносим все процессы связанные с вирусом. Удаляем сам вирус FARом. Перегружаемся и прогоняем всю тачку «любимым» антивирусом.

При этом в обоих случаях перед перегрузкой желательно еще раз проверить АнВиром Автозапуск и список процессов!

При этом ИМХО – NOD хорошо ловит червяков, макровские вирусы. Очень быстрый антивирус!
КАВ – хорошо ловит трояны, джава скрипты и прочую лабуду. Но медленный
Нортон ловит и то и другое но надо обновлять базы, что иногда ИМХО проблемно ;) По скорости что то среднее между НОДом и КАВом. Я им не пользуюсь. Хватает связки NOD+KAV.

4. Не нашли вирус в известных? Берем эту заразу и пробуем онлайн проверку это файла на сайтах производителей антивирусов. Если определился то возвращаемся к пункту 3.

5. Если и Онлайн-проверка не помогла то вот тут нам пригодится ОутПост (может другой аналог). Надо определить что этот вирус делает. (в основном последнее время попадаются вирусы с Интернет активностью, и редко с деструктивной активностью).

6. Далее действия такие. Так как мы сами не не программисты вирусологи :) то придется этот фаил/вирус/заразу отправлять в сервисную службу производителей антивирусов (например на newvirus@kaspersky.com). При этом для упрощения их работы я делал следующее:

А) Если вирус с Интернет активностью то в письме указывал что он делает и куда ломится.
Б) Копировал все ссылки из реестра на данный фаил в письмо.
В) Прикрепляем сам фаил к письму.

И ждем ответа :)
Таким образом я нашел уже 2 новых вируса ;)

Примечание:

При выполнение пункта 6 надо учесть следующие не все программы загруженные в памяти ЯВЛЯЮТСЯ вирусами! ИМХО несколько раз проверти что это за файл и что он делает (входит ли он в дистрибутив Виндовс), прежде чем его запакуете и отправите по указанному адресу :)

На профессионала не претендую, но может кому пригодится :)

Цитата:

Сообщение от apoc
А вот знает ли кто как боротся с тем что бат иногда получает письмо зараженное, а потом его авп находит и не может вылечить??? что делать? письмо хранится в тбк... фигня какая-то... :(

Не забудь сжать папки в The Bat'e :)
Тела писем остаются в базе пока не сожмешь :)

Solvent 04.10.2004 08:43

Цитата:

Smoker:
6. Далее действия такие. Так как мы сами не не программисты вирусологи то придется этот фаил/вирус/заразу отправлять в сервисную службу производителей антивирусов (например на newvirus@kaspersky.com). При этом для упрощения их работы я делал следующее:
Советы не плохие, но вот насчёт 6 пункта:
Если вы нашли вирус, то:
Вам необходимо выслать нам Ваши регистрационные данные (дата и
место
покупки, название фирмы, на которую оформлялась лицензия) и Ваш
ключевой файл. Группа поддержки AVP, С уважением,
Алексей Слущев

А кто ж покупал AVP? Лично я, нет.

Smoker 05.10.2004 17:12

Цитата:

Сообщение от Solvent
Советы не плохие, но вот насчёт 6 пункта:
Если вы нашли вирус, то:
Вам необходимо выслать нам Ваши регистрационные данные (дата и
место
покупки, название фирмы, на которую оформлялась лицензия) и Ваш
ключевой файл. Группа поддержки AVP, С уважением,
Алексей Слущев

А кто ж покупал AVP? Лично я, нет.

Два раза отправлял им письмо без указания всего этого...
В ответ приходило примерно следующее :)

Цитата:

Здраствуйте!

Это новая версия backdoor-программы Bancodor.
Будет добавлена в следующее ежедневное обновление как Backdoor.Bancodor.r

С уважением,
Павел Зеленский
Вирусный аналитик

ЗАО "Лаборатория Касперского"
Тел/Факс: +7 (095) 797-8700
E-mail: newvirus@kaspersky.com
Internet: http://www.kaspersky.com, http://www.viruslist.com

Dede 12.10.2004 22:44

Trojan.Dicool
 
Все началось с того, что я однажды в поисках какого кряка видимо неаккуратно кликнул мышью :) . После очередной загрузки компа спустя где то минуты 3 начались дикие тормоза – проц загружали explorer.exe и system в пропорции где то 65% и 35 % тормоза длятся до тех пор, пока не установишь соединение с интернетом. Позже я обратил внимание на наличие в корне диска С архива explorer.cab. В нем находились файлы explorer.exe и .ini файл. Dr. Web руганулся на них, сказав, что там Trojan.Dicool. Когда устанавливается коннект с сетью, тормоза прекращаются. Outpost говорит, что explorer.exe лезет по трем адресам:

время процесс протокол удаленный адрес удаленный порт

13:34:04 explorer.exe TCP test.pcvew3.com 6632
13:33:54 explorer.exe TCP service2.costlist.biz 5816
13:33:44 explorer.exe TCP service2.pcvew3.com 3131


Чистка системы Dr.web-ом, AVPersonal, Ad-aware ничего не дала. Вдобавок ко всему еще появился файл в корне диска С:/ _RF.RPT очень напоминающий некий отчет о проведенных мной действиях и инфа о запущенных процессах.
Большая просьба, кто может, помогите избавиться от этой дряни, переустанавливать систему неохота

Borland 13.10.2004 11:57

Цитата:

Dede:
Большая просьба, кто может, помогите избавиться от этой дряни, переустанавливать систему неохота
Тему перечитай повнимательнее...
В ней описано ручное удаление заразы

MeT 30.10.2004 18:03

VIRUS !!!
 
Одним словом выклиу4ил стенку на пару минут и подхватил вирус... А вирус та сам вроде ни4его и не делаэт, просто когда пытаэшиа вклиу4ит какоэ либо акно нампример: Ctrl + Alt + del CPU % ано появлиаэтсиа и сразу ис4езаэт тозе самоэ когда пытаэшиа вклиу4ит msconfig, или антивирус или стенку !!! как удалит эго нзн да и найти проблема... Эсли у кого был такой вирус
Помагите разобратсиа позалуйста !!!!

Borland 31.10.2004 01:08

MeT
Топик читай!..

ZAP 31.10.2004 02:46

кстати о дяде Билли $$$ ...
слышал что есть прога / возможность сохранять все апдейты ( в случае с XP ) дабы при переустановке системы не скачивать по новой все ~ 30 мб.
речь идет о возможности сохранить их отдельно \ выделить их из системы.
P.S. это и безопаснее чем " голой " системой лезть за заплатками

Borland 31.10.2004 02:51

ZAP
И причём тут удаление вирусов? :confused:

ZAP 31.10.2004 09:45

да при том - что пока ты прокачаешь эти самые 30 мб апдейтов в 2-3 захода - ты успеваешь подхватить в среднем 2-3 вируса + адваре. по статистике среднее время " жизни" компа без защиты - 20-40 мин. согласись - вещь полезная

MeT 31.10.2004 13:29

Borland причём тут TopiC?


Помагите с вирусом лутше справитсиа !!!!

Smoker 31.10.2004 13:59

Цитата:

Сообщение от MeT
Borland причём тут TopiC?


Помагите с вирусом лутше справитсиа !!!!

Вот это читал? Не помогает? Стукнись в приват ко мне... может чем помогу...


Часовой пояс GMT +4, время: 03:03.

Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.