Help! подхватил вирус.. - Безопасность

08.04.2004, 21:20

вобщем пришло на мыло какое-то письмо, в аттаче был zip-архив, в котором текстовый документ... я его скопировал на диск, проверил антивирусом(досктор веб)... вируса не было обнаружено... ну я взял с друри да и распаковал архив...
ничего не произошло... файл даже не открылся...
на следующий день включаю комп и вижу, что многие папки набиты какими-то файлами, причём при перезапуске компа они снова появляются... что делать???

FantomIL · 08.04.2004, 22:44

Не мешало бы написать какая у тебя операционка и когда ты в последний раз обновлял антивирусные базы.
Стандартная методика отлова вирусов:
1. Сторонними утилитами сканим запущеные процессы и убиваем все подозрительные.
2. Проверяем все места откуда возможна автозагрузка (конфигурационные файлы, папки, реестр, сервисы и т. д.) и убиваем все подозрительное.
3. В Виндах проверяем автоматический планировщик.
4. Сканируем носители информации несколькими антивирусами с самыми свежими базами.

Если после перезагрузки вирус продолжает быть на диске, то либо ты не тщательно все сделал, либо заражены системные файлы. По моему опыту, в таком случае, проще всего форматнуть диск и переставить систему зачисто, как это не печально.

08.04.2004, 22:58

думаю мне ничто не поможет

((((((((
у меня как мне сказали куча червей и троянов...(lsass.exe, svchost.exe............)
какой вирус создаёт файлы я не знаю... да это уже и не важно...

интересно как я их тока собрал... у меня файрвол - outpost, антивирусник - доктор веб... операционка - winXP

думаю теперь тока форматировать надо..

Mishgun [SU] · 08.04.2004, 23:05

К слову: lsass.exe, svchost.exe и т.п. - это стандартные процессы ХП-шки.
Ты не горячись. К Вебу все последние обновления стоят, версия веба последняя? Проверь весь винт и все файлы на вирусы.
Что за файлы появляются?
Собрать троянов и т.п. кучу ты не мог, Вебы бы отреагировал. А вот запустить одного какого-нить из письма - мог запросто. Надо ловить зверя...

08.04.2004, 23:36

Mishgun [SU]
странно, а мне сказали что это черви...
да и читал где-то, что эти файлы часто инфицируются...
а вообще нормально, если в открытых портах svchost.exe 20 раз повторяется??

я до выходных подожду а потом уже форматировать буду...

нет... у меня др. веб не последней версии(у меня 4.3)... файл который я открывал не был инфицирован..
могу кому-нить переслать письмо что я получил...

SapeR · 09.04.2004, 01:05

не надо сразу форматировать !
ходи на сайт симантека и бери ихние бесплатные virus removal tools
90% что всё найдут и пофиксят

Карпыч · 09.04.2004, 07:26

Ital

В атаче найдёшь превосходный инструмент для попытки отловить эту пакость. Кстати, текстовый файл в архиве, это ещё не вирус. Хотя было бы интересно глянуть. Кинь на karpych@msn.com

09.04.2004, 07:42

A voobshe , sovet na budushee, snesi na hren Weba i postav' Kaspera. V principe Web ne plohoy antivirus, odnako kogda skanish im odin edinstveniy fayl (windows explorer ----> pravaya knopka ---->Test with Dr.Web) to on kak to strano rabotaet: zapuskaetsya, proveryaet vse tekyshie fayli i ........ ostanavlivaetsya. To est tot fayl kotoriy dolgen bit proveren , na samom dele ne proveryaetsya. Kasper ge proveryaet fayl i daet otchet (proverka tekushih procesov otkluchena mnoy). Vozmogno chto na etoy stadii ti i spoymal zverya. Versiya Weba - poslednyaya, obnovleniya po e-mailu. S kasperom - obnovleniya avtomatom kagdiy den po inetu.
Vot tak to.

sockets · 09.04.2004, 07:42

Карпыч, неплохая штука, но как отличить процесс вредоносный от нужнопрограмного так сказать

Карпыч · 09.04.2004, 07:54

sockets
Чисто логически. Если вполне благопристойный процесс начинает шуровать по регистрам или щемится в автозагрузку, можно с уверенностью сказать, что это вирус.

sockets · 09.04.2004, 08:36

Сново логически, а если я на работе и куча рабочего софта установлено?
К примеру у меня на работе от оракла до сапа забит весь комп , и вычеслить что то на подобии вируса или трояна, это иголка в стоге сена

Процессов очень много, а грохнуть чисто логически затем что то не то, грозит массой вони со стороны отдела тех поддержки

Карпыч · 09.04.2004, 08:41

sockets
Однако возни будет намного больше, если переставлять полностью винды после формата диска. А такой вариант тут тоже проскакивал. Собственно найти червя довольно сложнео ручками. Никто и не говорит, что это просто. Но попытатся всёже стоит. И желательно разными методами.

sockets · 09.04.2004, 08:45

Да , совсем недавно столкнулся с червячком Homepage , причем нивкаком емесконфиге его замечено не было , да и в контрлалтделит тоже ниче не показывал особенного, а вот дом страница с серчем зато, одарялись редкостной заразой...Пришлось три варезных проги испытывать на лицензионном softe (ну я потом все честно убрал)

Помоему лучше всего каким нибудь нортоном для начала с диска обсканить весь комп, затем едевеер и вперед на мины))

Карпыч · 09.04.2004, 08:50

А можно ещё Пандой онлайн попробовать проверить.

09.04.2004, 21:27

Карпыч
на мыло отправил... хотя мне уже кажется это и не текстовый файл...
прога что в аттаче не помогает, она из автозагрузки не может вирус убрать(rundllw называется файл)...

SapeR
ещё раз... куда сходить?? чё за симантек?

Valentino
глючнее касперского я не видел антивирусов!!! он всю систему вешает и проверяет "двигается ли мышка"

щас попробую этой пандой проверить...

Карпыч · 10.04.2004, 03:28

Ital
Посылку получил. Детально не разберался, но на вскидку могу предположить, что это червь, который использует уязвимость winamp. Ну или чтото типа того. Файл явно не тот за который себя выдаёт. message.scr Явно не текст. Запускать не пробовал пока. думаю завтра будут результаты анализа.

Добавлено через 1 час и 16 минут:
при запуске ан вирь интересуется, хочу ли я добавить в загрузки какойто там компонент нортона антивируса... Так как такова антивируса у меня нет, соответственно не хочу. Процесс запущенный при открытии мыла выглядит также как имя файла. Где он ещё пытался наследить, мне просто лениво искать . ночь на дворе. Завтра на свежую голову продолжим.

Добавлено через 9 минут:
ad aware и Ad-watch ничего плохого не посоветывал. Может потому что я раньше процесс ручками кильнул? вобщем покопаюсь лучше на свежую голову утром.

Добавлено через 5 минут:
Исследования пришлось прекратить, так как Панда онлайн кильнула эту пакость неспросив разрешения. а резервной копии у меня не сохранилось.
Думаю вопрос закрыт.

STOlet · 10.04.2004, 10:17

Ital!
Если ты уже нашел имя файла в автозагрузке, кто мешает найти все файлы с таким именем и удалить их вручную откуда бы то не было?

10.04.2004, 20:53

STOlet
весь прикол в том что он не удаяется.

Карпыч
у меня от этой панды комп зависает... придётся её скачать..

08.04.2004, 22:44	# 2
FantomIL NetMOD Регистрация: 19.05.2003 Адрес: МосПодЛод - НачВод-АккОт Сообщения: 2 376	Не мешало бы написать какая у тебя операционка и когда ты в последний раз обновлял антивирусные базы. Стандартная методика отлова вирусов: 1. Сторонними утилитами сканим запущеные процессы и убиваем все подозрительные. 2. Проверяем все места откуда возможна автозагрузка (конфигурационные файлы, папки, реестр, сервисы и т. д.) и убиваем все подозрительное. 3. В Виндах проверяем автоматический планировщик. 4. Сканируем носители информации несколькими антивирусами с самыми свежими базами. Если после перезагрузки вирус продолжает быть на диске, то либо ты не тщательно все сделал, либо заражены системные файлы. По моему опыту, в таком случае, проще всего форматнуть диск и переставить систему зачисто, как это не печально. __________________ Красная точка лазерного прицела на вашем лбу это тоже чья-то точка зрения... --------- Репутация – это то, без чего могут жить люди с характером Последний раз редактировалось FantomIL; 08.04.2004 в 22:47.

08.04.2004, 22:58	# 3
Ital Guest Сообщения: n/a	думаю мне ничто не поможет(((((((( у меня как мне сказали куча червей и троянов...(lsass.exe, svchost.exe............) какой вирус создаёт файлы я не знаю... да это уже и не важно... интересно как я их тока собрал... у меня файрвол - outpost, антивирусник - доктор веб... операционка - winXP думаю теперь тока форматировать надо..

08.04.2004, 23:05	# 4
Mishgun [SU] ::VIP:: Регистрация: 01.06.2002 Адрес: Russia, Ekaterinburg Сообщения: 609	К слову: lsass.exe, svchost.exe и т.п. - это стандартные процессы ХП-шки. Ты не горячись. К Вебу все последние обновления стоят, версия веба последняя? Проверь весь винт и все файлы на вирусы. Что за файлы появляются? Собрать троянов и т.п. кучу ты не мог, Вебы бы отреагировал. А вот запустить одного какого-нить из письма - мог запросто. Надо ловить зверя... __________________ Опыт - это не то, что происходит с человеком, а то, что делает человек с тем, что с ним происходит. Все "спасибо" в репутацию и приват, плиз!

09.04.2004, 07:26	# 7
Карпыч ::VIP:: Регистрация: 24.10.2002 Адрес: Силламяэ Сообщения: 269	Ital В атаче найдёшь превосходный инструмент для попытки отловить эту пакость. Кстати, текстовый файл в архиве, это ещё не вирус. Хотя было бы интересно глянуть. Кинь на karpych@msn.com __________________ Карпыча всякий знает...

09.04.2004, 08:36	# 11
sockets ::VIP:: Регистрация: 12.11.2002 Пол: Male Сообщения: 1 674	Сново логически, а если я на работе и куча рабочего софта установлено? К примеру у меня на работе от оракла до сапа забит весь комп , и вычеслить что то на подобии вируса или трояна, это иголка в стоге сенаПроцессов очень много, а грохнуть чисто логически затем что то не то, грозит массой вони со стороны отдела тех поддержки

08.04.2004, 21:20	# 1
Ital Guest Сообщения: n/a	Help! подхватил вирус.. вобщем пришло на мыло какое-то письмо, в аттаче был zip-архив, в котором текстовый документ... я его скопировал на диск, проверил антивирусом(досктор веб)... вируса не было обнаружено... ну я взял с друри да и распаковал архив... ничего не произошло... файл даже не открылся... на следующий день включаю комп и вижу, что многие папки набиты какими-то файлами, причём при перезапуске компа они снова появляются... что делать???

08.04.2004, 23:36	# 5
Ital Guest Сообщения: n/a	Mishgun [SU] странно, а мне сказали что это черви... да и читал где-то, что эти файлы часто инфицируются... а вообще нормально, если в открытых портах svchost.exe 20 раз повторяется?? я до выходных подожду а потом уже форматировать буду... нет... у меня др. веб не последней версии(у меня 4.3)... файл который я открывал не был инфицирован.. могу кому-нить переслать письмо что я получил...

09.04.2004, 01:05	# 6
SapeR ::VIP:: Регистрация: 17.12.2002 Адрес: Q-ata, Israel Сообщения: 310	не надо сразу форматировать ! ходи на сайт симантека и бери ихние бесплатные virus removal tools 90% что всё найдут и пофиксят

09.04.2004, 07:42	# 8
Valentino Guest Сообщения: n/a	A voobshe , sovet na budushee, snesi na hren Weba i postav' Kaspera. V principe Web ne plohoy antivirus, odnako kogda skanish im odin edinstveniy fayl (windows explorer ----> pravaya knopka ---->Test with Dr.Web) to on kak to strano rabotaet: zapuskaetsya, proveryaet vse tekyshie fayli i ........ ostanavlivaetsya. To est tot fayl kotoriy dolgen bit proveren , na samom dele ne proveryaetsya. Kasper ge proveryaet fayl i daet otchet (proverka tekushih procesov otkluchena mnoy). Vozmogno chto na etoy stadii ti i spoymal zverya. Versiya Weba - poslednyaya, obnovleniya po e-mailu. S kasperom - obnovleniya avtomatom kagdiy den po inetu. Vot tak to.

09.04.2004, 07:54	# 10
Карпыч ::VIP:: Регистрация: 24.10.2002 Адрес: Силламяэ Сообщения: 269	sockets Чисто логически. Если вполне благопристойный процесс начинает шуровать по регистрам или щемится в автозагрузку, можно с уверенностью сказать, что это вирус. __________________ Карпыча всякий знает...

09.04.2004, 08:41	# 12
Карпыч ::VIP:: Регистрация: 24.10.2002 Адрес: Силламяэ Сообщения: 269	sockets Однако возни будет намного больше, если переставлять полностью винды после формата диска. А такой вариант тут тоже проскакивал. Собственно найти червя довольно сложнео ручками. Никто и не говорит, что это просто. Но попытатся всёже стоит. И желательно разными методами. __________________ Карпыча всякий знает...

09.04.2004, 08:45	# 13
sockets ::VIP:: Регистрация: 12.11.2002 Пол: Male Сообщения: 1 674	Да , совсем недавно столкнулся с червячком Homepage , причем нивкаком емесконфиге его замечено не было , да и в контрлалтделит тоже ниче не показывал особенного, а вот дом страница с серчем зато, одарялись редкостной заразой...Пришлось три варезных проги испытывать на лицензионном softe (ну я потом все честно убрал) Помоему лучше всего каким нибудь нортоном для начала с диска обсканить весь комп, затем едевеер и вперед на мины))

09.04.2004, 08:50	# 14
Карпыч ::VIP:: Регистрация: 24.10.2002 Адрес: Силламяэ Сообщения: 269	А можно ещё Пандой онлайн попробовать проверить. __________________ Карпыча всякий знает...

09.04.2004, 21:27	# 15
Ital Guest Сообщения: n/a	Карпыч на мыло отправил... хотя мне уже кажется это и не текстовый файл... прога что в аттаче не помогает, она из автозагрузки не может вирус убрать(rundllw называется файл)... SapeR ещё раз... куда сходить?? чё за симантек? Valentino глючнее касперского я не видел антивирусов!!! он всю систему вешает и проверяет "двигается ли мышка" щас попробую этой пандой проверить...

10.04.2004, 03:28	# 16
Карпыч ::VIP:: Регистрация: 24.10.2002 Адрес: Силламяэ Сообщения: 269	Ital Посылку получил. Детально не разберался, но на вскидку могу предположить, что это червь, который использует уязвимость winamp. Ну или чтото типа того. Файл явно не тот за который себя выдаёт. message.scr Явно не текст. Запускать не пробовал пока. думаю завтра будут результаты анализа. Добавлено через 1 час и 16 минут: при запуске ан вирь интересуется, хочу ли я добавить в загрузки какойто там компонент нортона антивируса... Так как такова антивируса у меня нет, соответственно не хочу. Процесс запущенный при открытии мыла выглядит также как имя файла. Где он ещё пытался наследить, мне просто лениво искать . ночь на дворе. Завтра на свежую голову продолжим. Добавлено через 9 минут: ad aware и Ad-watch ничего плохого не посоветывал. Может потому что я раньше процесс ручками кильнул? вобщем покопаюсь лучше на свежую голову утром. Добавлено через 5 минут: Исследования пришлось прекратить, так как Панда онлайн кильнула эту пакость неспросив разрешения. а резервной копии у меня не сохранилось. Думаю вопрос закрыт. __________________ Карпыча всякий знает...

10.04.2004, 10:17	# 17
STOlet ::VIP:: Регистрация: 25.12.2002 Адрес: Москва Сообщения: 952	Ital! Если ты уже нашел имя файла в автозагрузке, кто мешает найти все файлы с таким именем и удалить их вручную откуда бы то не было?

10.04.2004, 20:53	# 18
Ital Guest Сообщения: n/a	STOlet весь прикол в том что он не удаяется. Карпыч у меня от этой панды комп зависает... придётся её скачать..