Добро пожаловать Sivash.Net Portal      
Войти/Создать логин |
ГлавнаяФорумыВаш профильРазместить новостьКонтакты  


· Главная
· Интернет
· Цифровое интерактивное ТВ
· Способы оплаты
· Продажа оборудования
· Speedtest
· Загрузка каналов
· Вопросы и ответы
· Как нас найти
· Документы
· Обратная связь
· Форум
· Опросы
· Личный Кабинет



  
Добро пожаловать,
Гость
сейчас
Логин  
Пароль
(Рег.)

Зарег-лись:
  Последний:
lan205

  Сегодня: 0
  Вчера: 1
  Всего: 2872
   lan205  igor76  yulena_27  kymus  kal1com  Alex1989  Fevz  elendors  Роман  2304vadim Онлайн:
  Гостей: 162
  Членов: 1
  Всего: 163

Сейчас онлайн:
  alex

Статистика:  
  Статей: 120  
  Ссылок: 4  
  Файлов : 2
  Категорий: 1
  Загрузок: 855

Sivash - портал :: Просмотр темы - Вирус
 FAQFAQ   ПоискПоиск   ГруппыГруппы   ПрофильПрофиль   Войти и проверить личные сообщенияВойти и проверить личные сообщения   ВходВход 

Вирус

 
Начать новую тему   Ответить на тему    Список форумов Sivash - портал -> Требуется технический совет!
Предыдущая тема :: Следующая тема  
Автор Сообщение
CHIP407
Частый гость


Зарегистрирован: May 04, 2006
Сообщения: 84

СообщениеДобавлено: 10-10-2011 09:12:38    Заголовок сообщения: Вирус Ответить с цитатой

Пару дней назад столкнулся с такой вещью...
Поставил винду XP на комп знакомому, форматнул все винты предварительно полным форматом... первым делом настроил и подключил интернет... всё заработало... Пока минут 5 настраивал сам виндовс заметил то, что комп начинает тормозить... Загружаю диспетчер задач, вижу постоянно появляющиеся процессы (*.exe) с разными именами, которые нагружают процессор почти до 100%... Попытка снять задачу не помогает, т.к. с каждым разом их всё больше и больше... Пришлось заново форматировать и ставить винду... Но теперь я сначало поставил KIS11, а потом инет подключил... всё работает...
А вот вчера мне звонит друг и говорит что 30 дневная активация каспера прошла, я пока доехал, смотрю - такаяже хрень! Куча процессов, пожирающих процессор... Сегодня буду ему винду переставлять...
Обратите пожалуйста внимание на этого червя!
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Vzhik
Живущий на сайте


Зарегистрирован: Mar 18, 2005
Сообщения: 311

СообщениеДобавлено: 10-10-2011 13:02:06    Заголовок сообщения: Ответить с цитатой

Хотя бы имя червя указал... а то с такими симптомами не токо черви бывают.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
CHIP407
Частый гость


Зарегистрирован: May 04, 2006
Сообщения: 84

СообщениеДобавлено: 10-10-2011 18:35:53    Заголовок сообщения: Ответить с цитатой

Net-Worm.Win32.Kolab
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
encore
Редкий гость


Зарегистрирован: Jul 06, 2011
Сообщения: 45

СообщениеДобавлено: 11-10-2011 18:21:21    Заголовок сообщения: Ответить с цитатой

такая же проблемма .
Не думал что это в "подключении инета" ...
Хотелось бы знать решение этой проблеммы.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
serjik
Живущий на сайте


Зарегистрирован: Dec 11, 2006
Сообщения: 451
Откуда: Красноперекопск

СообщениеДобавлено: 11-10-2011 19:03:06    Заголовок сообщения: Ответить с цитатой

http://safezone.cc/forum/showthread.php?t=2994
_________________
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Отправить e-mail
CHIP407
Частый гость


Зарегистрирован: May 04, 2006
Сообщения: 84

СообщениеДобавлено: 23-01-2012 01:25:25    Заголовок сообщения: Ответить с цитатой

Снова вирус! У знакомых слетел триал касперского и один день он не работал... В общем уже не первый раз обнаруживаю разновидность Win32.Dorkbot червя (его файлы aadrive32.exe, zaberg.exe), который свободно гуляет по сети Sivasha! На компе стоит Windows XP SP3, с интернета ничего не качалось и не запускалось, флэшки не всовывались... Вылечить его удалось но не без последствий (лучше переустановить винду).
P.S. Пожелание к провайдеру! Обратите пожалуйста внимание на этого червя (закройте ему доступ к портам и т.п.)... Спасибо.
Вот люди в инете как решали эту проблему:


"Предварительное пояснение
1. Напоминаю, что в соответствии с заданными настройками, explorer.exe (Проводник) может являться как одним, так и двумя процессами. Если процесса два, один обслуживает отображение папок, а другой -- панель задач. Панель задач создаётся и обслуживается Проводником. Если панель задач видна -- значит Проводник ещё запущен. Чтобы снять его окончательно, надо снять ОБА explorer.exe (или сколько найдётся). Далее под снятием проводника понимается как раз удаление из списка задач обоих проводников и исчезновение панели задач;
2. По причинам мазохизма и любопытства, я работаю от администратора и не использую антивирус.

Симптоматика (жирным -- наиболее характерные признаки; указано только то, что можно заметить стандартными средствами системы)

1. Каждая подключённая флешка получает в момент подключения скрытый файл autorun.inf размером 16-17 KiB. Содержит крякозябры. Не удаляется, пока работает Проводник;
2. Все папки на флешке делаются скрытыми (снять атрибут "скрытый" проводником не удаётся), зато создаются ярлыки с таким же названием, как у папок. В свойствах ярлыка видно, что при клике запускается следующее --
%windir%\system32\cmd.exe /c "start %cd%RECYCLER\e5188982.exe &&%windir%\explorer.exe %cd%DIRNAME , где DIRNAME совпадает с именем папки;
3. В папке (скрытой) RECYCLER на флешках лежит вышеуказанный файл размером около 120 KiB;
4. Если в момент заражения другая флешка была подключена -- пункты 1-3 с ней не происходят, флешка остаётся чистой;
5. В списке процессов начинают изредка фигурировать странные процессы вида 6.tmp, 9.tmp (висят недолго), aadrive32.exe, syitm.exe, zaberg.exe (висят всегда);
6. Внезапно пропадает доступ к сайту лаборатории Касперского. Через некоторое время после загрузки компьютера перестаёт работать DNS. Совсем. Но если известен айпишник -- можно подключиться;
7. В %USERNAME%\Application Data\ начинают валяться все эти 6.tmp, которые легко удаляются, но также легко создаются заново;
8. При снятии explorer.exe заражение подключённых флешек перестаёт производиться, но DNS не восстанавливается;
9. Иногда компьютер выпадает в синий экран;
10. В реестре появляются ссылки на указанные экзешники.


Анализ

Номер пункта указывает, на основе какого из пунктов симптомов делаются заключения.
1. => Это авторан-вирус, использующий дыру в трактовке авторана (из-за крякозябр).
2. => Тут-то и происходит заражение. Пользователь, у которого отключён показ скрытых файлов видит вместо своих папок ярлыки (на это можно не обратить внимание), а при двойном клике по папке запускается экзешник из корзины+проводник с заданной папкой. Для пользователя это работает прозрачно, так что "папки стали ярлыками" -- единственный надёжный признак.
5. => Это-то и есть наши файлы вируса!
8. => Вирус подсаживается к проводнику и запускается вместе с ним.
10. => Ну, тут понятно, вирус запускается при старте системы при помощи ключей, в которых он указан.


Опыты
Тут уже используется инструментарий кустарного вивисектора -- Process Explorer, Total Commander и из стандартных -- REGEDIT.EXE, CMD.EXE и прочая...

1. Запуск вируса происходит при двойном клике в проводнике по заражённой флешке, а также при выборе пунктов Explore, Open, AutoPlay в контекстном меню. Заражение не происходит при выборе флешки в дереве каталогов. Определено по задержке с песочным часами;
2. Запуск проводника приводит к цепочечному запуску syitm.exe, zaberg.exe, созданию разных *.tmp, которые удаляют себя после запуска. При этом *.tmp скрывают себя из списка задач (их видно только Process Explorer'ом), но продолжают висеть;
3. В корзине диска C: в подпапках при просмотре проводником ничего не видно, но при просмотре Total Commander видны наши родимые файлики -- desktop.ini, syitm.exe (zaberg.exe), INFO2 и ещё какая-то хрень. При удалении Total Commander-ом они пропадают, но сразу появляются в одной из подпапок (всегда в одной, какой-то из -- этой или соседней) под именами вида Dc%d.%e, где %d -- номер (номера при удалении увеличиваются), а %e -- старое расширение. Т.е. при удалении syitm.exe появляется Dc1.exe, при удалении последнего -- Dc2.exe и т.д. Причём при удалении aadrive32.exe из c:\windows\ он тоже переползает в корзину (в ту же самую папку). Файл INFO2 содержит указания на расположения остальных exe-шников; desktop.ini к вирусу не относится, почему же его постигла эта участь переименования?;
4. Антивирус Avira этот вирус не лечит;
5. Удаление всего чего можно к положительным результатам не приводит, т.к. оригиналы хранятся в корзине и переименовываются (просто так их удалить нельзя);
6. Снятие aadrive32.exe приводит ко временному отключению заражений флешек;
7. В примечаниях к процессу вируса указано, что процесс этот -- UltraIso Setup, а производитель -- разумеется, EZB Systems;
8. В файле hosts подозрительных записей нет.



Процедура лечения флешек

По сравнению с лечением компьютера, это очень просто. Снимаем (через Task Manager) Проводник, далее удаляем лишние файлы с флешки (autorun.inf, экзешник из корзины; ярлыки можно не удалять, они безвредны, если удалён экзешник). Удалить можно Total Commander'ом или из командной строки. На самом деле, желательно перед удалением снять при помощи Process Explorer'а ВСЕ файлы, относящиеся к вирусу, а не только Проводник.


Процедура лечения компа
Тут всё гораздо сложнее. Я решил эту проблему следующим образом.
Шаг 1. Снятие Проводника и удаление лишних процессов;
Шаг 2. В редакторе реестра устанавливаем запрет (Deny) на создание и изменений значений (Set Value, Create Subkey) в следующих разделах:
HKLM\Microsoft\Windows\CurrentVersion\Run\
HKCU\Microsoft\Windows\CurrentVersion\Run\
HKLM\Microsoft\Windows\CurrentVersion\policies\Explorer\ ;
Шаг 3. Удаляем все упоминания о файлах aadrive32.exe, syitm.exe, zaberg.exe из реестра (ищем поиском), а также всё подозрительное из вышеуказанных трёх разделов;
Шаг 4. Устанавливаем в редакторе ACL запрет на создание файлов (Create Files) в папках %USERNAME%\Application Data\, \RECYCLER\S-*\. При этом на первую папку следует наложить разрешение, действующее на "This Folder only", чтобы нормальные программы могли продолжать хранить свои данные;
Шаг 5. Удаляем все экзешники и *.tmp непосредственно из %USERNAME%\Application Data\ (из подпапок не надо), удаляем aadrive32.exe из c:\windows, удаляем всё из корзины;
Шаг 6. Перезагружаемся.
Примечание 1. У меня ушло больше одной перезагрузки, пока я выяснил, что делать и выработал эту стратегию. С нуля она не проверялась и может оказаться нерабочей, но принцип действия именно такой.
Примечание 2. Только что выяснилось, что в реестре есть ещё одна запись --
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, значение Taskman должно быть "taskmgr" или вообще отсутствовать. Другими словами, значение этого параметра надо удалить или заменить. У меня там был всё тот же zaberg.exe. ZAKENA!


Побочные эффекты (потенциальные)
Т.к. мы запретили доступ на запись в ряд папок и разделов реестра, у вас может перестать работать следующее --
1. Не будут ставиться новые программы;
2. Файлы не будут удаляться в корзину;
3. Новые программы с автозапуском при старте системы могут ставиться, но не запускаться автоматически; либо попытки поставить автозапуск к уже установленным программам не увенчаются успехом;
4. Может перестать запускаться Task Manager при нажатии Ctrl+Shift+Esc (если вы удалили, а не заменили то значение).
5. Возможны проблемы с IME. Да-да, правда с подобным я сталкивался, когда боролся с другим вирусом.
Что с этим делать -- понятно: надо опять разрешить доступ на запись в те разделы и папки. Если вирус действительно удалён из всех мест, где он был, заново он не появится (но могут появиться другие).

Ошмётки
1. Пока не удалось сделать папки на флешке опять видимыми; Удалось.
2. Не разобрался в механизмом блокирования DNS;
3. Не разобрался с механизмом переименования файлов в корзине;
4. Даже после этих процедур, нашёлся ещё 1 экзешник в Application Data, который был успешно удалён;
5. Только после второй перезагрузки (не считая пяти бесполезных, когда я подбирал стратегию), удалось удалить содержимое корзины -- но с 1-го раза я не смог правильно установить разрешения на неё -- возможно из-за этого..."
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
alex
Администратор
Администратор


Зарегистрирован: Mar 19, 2005
Сообщения: 2046
Откуда: г.Красноперекопск

СообщениеДобавлено: 23-01-2012 10:16:17    Заголовок сообщения: Ответить с цитатой

CHIP407 писал(а):
P.S. Пожелание к провайдеру! Обратите пожалуйста внимание на этого червя (закройте ему доступ к портам и т.п.)... Спасибо.

Вримание обратили. А вот на счет "закройте ему доступ к портам и т.п." - научите как, и мы обязательно закроем вирусу доступ к портам и т.п. всем, кто к нам обратится с такой просьбой. Потому как без пожелания абонента закрывать доступ к чему-либо нам законы не позволяют.
_________________
С уважением,
Овчаренко А.В.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Посетить сайт автора
CHIP407
Частый гость


Зарегистрирован: May 04, 2006
Сообщения: 84

СообщениеДобавлено: 26-01-2012 22:59:39    Заголовок сообщения: Ответить с цитатой

И снова вирус ((
Сегодня знакомым устанавливал Windows XP SP3... Первым делом подключил интернет (VPN), установил Microsoft Security Essentials и начал обновлять вирусные базы... произошёл сбой и антивирус выгрузился... перезагрузил ПК и в процессах снова вижу файлы zaberg.exe, aadrive32.exe, и разные *.tmp...
В общем придётся заново ставить винду... заранее скачаю пакет обновлений антивирусника... установлю его и только тогда уже подключу Sivash...
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
speka07
Постоянный гость


Зарегистрирован: Dec 20, 2010
Сообщения: 177

СообщениеДобавлено: 27-01-2012 00:47:50    Заголовок сообщения: Ответить с цитатой

CHIP407 писал(а):
И снова вирус ((
Сегодня знакомым устанавливал Windows XP SP3... Первым делом подключил интернет (VPN), установил Microsoft Security Essentials и начал обновлять вирусные базы... произошёл сбой и антивирус выгрузился... перезагрузил ПК и в процессах снова вижу файлы zaberg.exe, aadrive32.exe, и разные *.tmp...
В общем придётся заново ставить винду... заранее скачаю пакет обновлений антивирусника... установлю его и только тогда уже подключу Sivash...

А Вы уверены что этот вирус не сидел у вас на ПК до переустановки Windows?
Лично у меня за все время такого не было ни разу :)
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Посетить сайт автора
CHIP407
Частый гость


Зарегистрирован: May 04, 2006
Сообщения: 84

СообщениеДобавлено: 27-01-2012 07:58:26    Заголовок сообщения: Ответить с цитатой

speka07 писал(а):
CHIP407 писал(а):
И снова вирус ((
Сегодня знакомым устанавливал Windows XP SP3... Первым делом подключил интернет (VPN), установил Microsoft Security Essentials и начал обновлять вирусные базы... произошёл сбой и антивирус выгрузился... перезагрузил ПК и в процессах снова вижу файлы zaberg.exe, aadrive32.exe, и разные *.tmp...
В общем придётся заново ставить винду... заранее скачаю пакет обновлений антивирусника... установлю его и только тогда уже подключу Sivash...

А Вы уверены что этот вирус не сидел у вас на ПК до переустановки Windows?
Лично у меня за все время такого не было ни разу :)


В том то и дело, что перед установкой разбил жёсткий диск и отформатировал разделы, антивирусник скопировал со своей флэшки, на которой точно нет никаких вирусов (не раз проверял).
У меня дома тоже такого не наблюдалось... червь как-то странно выборочно атакует компы что ли...
В следующий раз перед подключением интернета не буду выключать ещё брандмауэр виндовский...
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
speka07
Постоянный гость


Зарегистрирован: Dec 20, 2010
Сообщения: 177

СообщениеДобавлено: 27-01-2012 12:53:18    Заголовок сообщения: Ответить с цитатой

CHIP407 писал(а):
speka07 писал(а):
CHIP407 писал(а):
И снова вирус ((
Сегодня знакомым устанавливал Windows XP SP3... Первым делом подключил интернет (VPN), установил Microsoft Security Essentials и начал обновлять вирусные базы... произошёл сбой и антивирус выгрузился... перезагрузил ПК и в процессах снова вижу файлы zaberg.exe, aadrive32.exe, и разные *.tmp...
В общем придётся заново ставить винду... заранее скачаю пакет обновлений антивирусника... установлю его и только тогда уже подключу Sivash...

А Вы уверены что этот вирус не сидел у вас на ПК до переустановки Windows?
Лично у меня за все время такого не было ни разу :)


В том то и дело, что перед установкой разбил жёсткий диск и отформатировал разделы, антивирусник скопировал со своей флэшки, на которой точно нет никаких вирусов (не раз проверял).
У меня дома тоже такого не наблюдалось... червь как-то странно выборочно атакует компы что ли...
В следующий раз перед подключением интернета не буду выключать ещё брандмауэр виндовский...

Значит у меня роутер не пропускает такие черви :)
Поставьте себе оутпуст фаервол и забудьте о сетевых червей и прочей ерунды :)
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Посетить сайт автора
Ilyas
Новичок
Новичок


Зарегистрирован: Sep 07, 2010
Сообщения: 8

СообщениеДобавлено: 30-01-2012 11:26:51    Заголовок сообщения: Ответить с цитатой

speka07 писал(а):
CHIP407 писал(а):
speka07 писал(а):
CHIP407 писал(а):
И снова вирус ((
Сегодня знакомым устанавливал Windows XP SP3... Первым делом подключил интернет (VPN), установил Microsoft Security Essentials и начал обновлять вирусные базы... произошёл сбой и антивирус выгрузился... перезагрузил ПК и в процессах снова вижу файлы zaberg.exe, aadrive32.exe, и разные *.tmp...
В общем придётся заново ставить винду... заранее скачаю пакет обновлений антивирусника... установлю его и только тогда уже подключу Sivash...

А Вы уверены что этот вирус не сидел у вас на ПК до переустановки Windows?
Лично у меня за все время такого не было ни разу :)


В том то и дело, что перед установкой разбил жёсткий диск и отформатировал разделы, антивирусник скопировал со своей флэшки, на которой точно нет никаких вирусов (не раз проверял).
У меня дома тоже такого не наблюдалось... червь как-то странно выборочно атакует компы что ли...
В следующий раз перед подключением интернета не буду выключать ещё брандмауэр виндовский...

Значит у меня роутер не пропускает такие черви :)
Поставьте себе оутпуст фаервол и забудьте о сетевых червей и прочей ерунды :)


Поставьте Linux и вообще забудьте о зловредах :D
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Eremite
Живущий на сайте


Зарегистрирован: Nov 10, 2008
Сообщения: 418

СообщениеДобавлено: 31-01-2012 23:18:20    Заголовок сообщения: Ответить с цитатой

Ilyas писал(а):
Поставьте Linux и вообще забудьте о зловредах :D

Высер понта ради? :evil:
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Показать сообщения:   
Начать новую тему   Ответить на тему    Список форумов Sivash - портал -> Требуется технический совет! Часовой пояс: GMT + 3
Страница 1 из 1

 
Перейти:  
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах



Последние сообщения

Скорость
Автор basil
21/11/2017 в 19:03:23


НЕТ Интернета
Автор Alexpim
21/11/2017 в 08:08:05


Счетчики/ сортировщики Kisan Newton
Автор serega88SiD
19/11/2017 в 13:17:09


Котел Hermann Habitat 2 24SE
Автор serega88SiD
19/11/2017 в 12:27:59


IPTV
Автор basil
17/11/2017 в 17:00:35


Продам игровой ноут
Автор Sw3Dka
13/11/2017 в 13:41:06


Отдам монитор
Автор Lonewolf
10/11/2017 в 09:54:40


«Швеция» – «Италия» — Прогноз на футбольный матч
Автор kymus
07/11/2017 в 16:14:21


Спорт
Автор kymus
07/11/2017 в 16:11:41


Интернет - заработок на написании текстов
Автор Alik80
06/11/2017 в 20:11:54



[ Перейти на форум ]








Пользуетесь ли Вы услугой IPTV?

Нет.
Попробовал из любопытства и забыл.
Иногда смотрю на компьютере.
Смотрю регулярно на телевизоре.



Результаты
Другие опросы

Ответов 687


© Общество с ограниченной ответственностью "НЕТКОМ"
2005-2017г.г.
Открытие страницы: 0.26 секунды
The Russian project