Вернуться   GraBBerZ.CoM - ICQ | Proxy | Бруты | Дедики | Эксплоиты > Underground > Virology

Ответ
 
Опции темы Опции просмотра

Помогите! Как избавиться от вируса?
Старый 11.03.2009, 00:47   #1
Перезагрузка
 
Аватар для onthar
 
onthar вне форума
Регистрация: 02.06.2008
Сообщений: 6,075
Респекты: 8,974

Помогите! Как избавиться от вируса?

Этот топик, нечто наподобие карты тематических топиков, посвященных лечению вирусов, исправления последствий оных.

Прежде всего, чтобы не заразиться не следует запускать файлы из непроверенных источников, нежелательно использовать устаревшее, уязвимое ПО, такое как браузеры, flash-плагины, pdf-reader'ы и прочее.
Для проверки файлов на вредоносность можно использовать онлайн сервисы
Если же и там ничего не нашлось, а запустить необходимо, то хорошобы использовать средства виртуализации (VmWare, VirtualBox) или так называемые песоницы - sandbox (Deep Freeze, Sandbox, Returnil Virtual System, ShadowUser, BufferZone..etc.)
Ну или можно кинуть файл нам на анализ в этой теме.


Но что делать, если вы уже заражены вирусом.

Для начала попробуйте полечиться утилитами:
Если это не помогло, то лечить придется руками.

Чтобы мы смогли оперативно вам помочь, вам следует знать несколько вещей:

Первый пост закреплен и будет дополняться.

Создавая отчеты требуемыми утилитами закрывайте все приложения, кроме самих утилит.
__________________
onthar@fuckav.in
  Ответить с цитированием
Респектов за этот пост: 12

Старый 11.03.2009, 06:44   #2
Перезагрузка
 
Аватар для onthar
 
onthar вне форума
Регистрация: 02.06.2008
Сообщений: 6,075
Респекты: 8,974
INSIDER,
Цитата:
Сообщение от Reset Посмотреть сообщение
советую тоже самое, только от авиры или от каспера.

А терь ближе к делу.
библиотека wmmest.dll будет появляться после ребута, потому что уже произошел инжект в систему (svchost).
По этому, возьми диск с дистрибьютивом своей системы, вставь в привод, и выполни(win+r)
Код:
sfc /scannow
PS
Позже подготовим ман по лечению распространенных мальварей..
__________________
onthar@fuckav.in
  Ответить с цитированием
Респектов за этот пост: 2

Старый 11.03.2009, 11:26   #3
megabyte
 
Аватар для dark-night
 
dark-night вне форума
Регистрация: 16.02.2009
Сообщений: 249
Респекты: 63
Цитата:
Сообщение от INSIDER Посмотреть сообщение
Ребят с флэхи на чистую винду попал вирусняк.. заразил файл C:\windows\system32\wmmest.dll и БОЛЬШЕ НИЧЕГО! модификация вируса по касперскому: Trojan-Downloader.win32.agent.BKLF

1) НОД и КАСПЕР удаляют его, но он после ребута появляться вновь!
2) заражён только этот файл
3) надо понимать что если он появляеться снова, значит его ключ прописан в реестре, только я не знаю где(из авторана убрал всё подозрительное и лишнее).

Подскажите как удалить эту заразу ? и какие файлы обычно заражаються вместе с wmmest.dll
Посоветуйте(напишите) пожалуйста какой нить скрипт, который сможет удалить это хрень ? Обьясните как происходит заражение подобными вещами, какие у этого вируса есть файлы ?
ну думаю что это троян загрузчик совме щеный наверное с агентов... какие файлы он заражает/загружает?и главное куда?
  Ответить с цитированием

Старый 11.03.2009, 15:49   #4
bit
 
Аватар для FromXF
 
FromXF вне форума
Регистрация: 28.07.2008
Сообщений: 37
Респекты: 7
INSIDER, такое тоже было, каспер удаляет его, а потом через 5 сек пишет опять, что найден вирь! Но жить можно....

//Такие посты - есть флейм. За сим будут караться.
  Ответить с цитированием

Старый 11.03.2009, 16:17   #5
ModeratoR
 
Аватар для cat1vo
 
cat1vo вне форума
Регистрация: 11.12.2006
Сообщений: 294
Респекты: 249
Проблема такая.....

В один момент все окна как бы обновляются и на один миг оформление становится как у win98, а потом обратно назад, после чего пропадает интернет (но в трее индикатор висит и закрыть соединение тоже не возможно) и пропадает звук, работают только пару аудиоплееров и системные звуки, не игры, не видео не отрывается... При попытке сделать, что либо с громкостью, кричит, что нету у тебя аудиоутстройства....Помогает перезагрузка, но на 15-20 минут!!!

Переустановка ОС и а-виры как (Аваст, Каспер, Веб) ничего толкового не показали!!!

Прошу помочь, так как "дрочить" машину перегрузкой не охото!!!
__________________
PHP код:

mount -o loop palm.img /dev/face 

  Ответить с цитированием

Старый 11.03.2009, 16:32   #6
ModeratoR
 
Аватар для Frenzy
 
Frenzy вне форума
Регистрация: 12.07.2008
Адрес: FOA
Сообщений: 559
Респекты: 789
INSIDER,

Цитата:
Технические детали

Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение. Программа является приложением Windows (PE EXE-файл). Имеет размер 9216 байт. Упакована при помощи UPX. Распакованный размер — около 38 КБ. Написана на C++.

Деструктивная активность

Троянец скачивает файлы по следующим ссылкам:

http://*****fdujt.info/?44ffa2
http://*****fdujt.info/i.php
http://*****fdujt.info/myh.php
На момент создания описания ни одна из ссылок не работала.

Скачанные файлы сохраняются во временном каталоге текущего пользователя Windows под случайными именами.

После чего троянец обращается по адресу:

http://195.24.77.***/utest/?*****74&...3=33985db&ra=0
В том случае, если сервер не отвечает, троянец повторяет попытку через 6 минут. Также троянец создает в системе уникальный идентификатор "S_SERV_v0.66_Beta_erf" для определения своего присутствия в системе.
Рекомендации по удалению
Цитата:
1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2. Очистить каталог %Temporary Internet Files%.
3. Очистить содержимое папки %Temp%
Произвести полную проверку компьютера антивирусом
(с)viruslist.com

=====================================

Cat1vO, ты базы антивиря обновлял? Не может быть что ни чего не нашло, это не совсем нормальная работа системы.
  Ответить с цитированием
Юзеру Frenzy выразили Респект за этот пост:

Старый 11.03.2009, 16:57   #7
ModeratoR
 
Аватар для cat1vo
 
cat1vo вне форума
Регистрация: 11.12.2006
Сообщений: 294
Респекты: 249
Конечно обновлял... Они не в прямом смысле "не нашли ничего"... Просто из того что излечилось/удалилось... проблема не пропала!!!

Добавлено через 7 минут
INSIDER, попробуй AnVir Task Manager
__________________
PHP код:

mount -o loop palm.img /dev/face 

  Ответить с цитированием
Юзеру cat1vo выразили Респект за этот пост:

Старый 11.03.2009, 17:25   #8
ModeratoR
 
Аватар для Frenzy
 
Frenzy вне форума
Регистрация: 12.07.2008
Адрес: FOA
Сообщений: 559
Респекты: 789
Цитата:
Сообщение от Cat1vO Посмотреть сообщение
Помогает перезагрузка, но на 15-20 минут!!!
навело на мысль о неисправном железе, есть тесты на память\хард\и остальное железо, проверь..

ЗЫ раз антивирь ничего не находит -- то по идее дело не в вирусах вообще.
Зделай репеир системы, т.е. при установки выбрать Repair, тогда обновятся все поврежденные драйвера\библиотеки (но узер конфиги все останутся).. если такое имеет место.
  Ответить с цитированием

Старый 11.03.2009, 17:54   #9
ModeratoR
 
Аватар для cat1vo
 
cat1vo вне форума
Регистрация: 11.12.2006
Сообщений: 294
Респекты: 249
Ну я так думаю, что если бы у меня было бы не исправное железо, то проблема была бы сразу...а не через какое-то время...И причем тогда соединение интернета и изменение оформления рабочего стола на пару секунд к неисправностям со звуковой платой?
__________________
PHP код:

mount -o loop palm.img /dev/face 

  Ответить с цитированием

Старый 11.03.2009, 20:10   #10
bit
 
Аватар для parovoz
 
parovoz вне форума
Регистрация: 23.07.2008
Сообщений: 29
Респекты: 28
Cat1vO, буквально пару дней назад столкнулся с точно такой же ситуацией...
Тоже появлялось оформление win98 , тоже соединение рвалось,а значок в трее висел и ничего сним сделать нельзя было,помогала перезагрузка,да и то только на 3-4 часа....
Выход я нашел : Имею три харда в системе,поэтому отключил два ,оставив один под систему...Удалил на нем разделы и форматнул,ставил систему и касперского,обновил сразу базы,поискал вирусы-само-собой было пусто...
Подключил остальные жесткие диски,поискал,и нашел интересную вещь - Заражен: вирус Net-Worm.Win32.Kido.in...Мне кажется в нем проблема...
Ну вроде после этой переустановки полет нормальный,попробуй-должно помочь....
  Ответить с цитированием

Старый 12.03.2009, 02:11   #11
ModeratoR
 
Аватар для cat1vo
 
cat1vo вне форума
Регистрация: 11.12.2006
Сообщений: 294
Респекты: 249
paravoz, огромное спасибо, на вируслист очень помогли с устранением Кидо!!!!
__________________
PHP код:

mount -o loop palm.img /dev/face 

  Ответить с цитированием

Старый 12.03.2009, 02:22   #12
kilobyte
 
Аватар для taboo
 
taboo вне форума
Регистрация: 27.02.2009
Адрес: Israel
Сообщений: 105
Респекты: 25
Обычно для меня приемлемей поставить заного винду, к тому же всегда жду пока винда сломается чтоб поставить новую сборку от зверя).
С нодом не разу пока вирусы не пролазали)
Так что переустанавливаю от поломки к поломки
  Ответить с цитированием

Старый 12.03.2009, 20:27   #13
megabyte
 
Аватар для vanchezzz
 
vanchezzz вне форума
Регистрация: 10.05.2008
Сообщений: 247
Респекты: 160
Файлец называется JUZZ.exe я его заметил, только когда на флешке появился autorun.inf, реестр прочистил, в авторане ничего подозрительного.Извините за малую информацию, пишу с лэптопа, чтобы не допустить утечки.Мне бы узнать, что это за вирус и как с ним бороться.
  Ответить с цитированием

Старый 12.03.2009, 21:17   #14
Перезагрузка
 
Аватар для onthar
 
onthar вне форума
Регистрация: 02.06.2008
Сообщений: 6,075
Респекты: 8,974
vanchezzz, скидувай в закрепленную тему в этом разделе - потестим.
__________________
onthar@fuckav.in
  Ответить с цитированием

Старый 14.03.2009, 02:46   #15
byte
 
Аватар для taximers
 
taximers вне форума
Регистрация: 07.02.2008
Сообщений: 56
Респекты: 9
Цитата:
Сообщение от Cat1vO Посмотреть сообщение
Проблема такая.....

В один момент все окна как бы обновляются и на один миг оформление становится как у win98, а потом обратно назад, после чего пропадает интернет (но в трее индикатор висит и закрыть соединение тоже не возможно) и пропадает звук, работают только пару аудиоплееров и системные звуки, не игры, не видео не отрывается... При попытке сделать, что либо с громкостью, кричит, что нету у тебя аудиоутстройства....Помогает перезагрузка, но на 15-20 минут!!!

Переустановка ОС и а-виры как (Аваст, Каспер, Веб) ничего толкового не показали!!!

Прошу помочь, так как "дрочить" машину перегрузкой не охото!!!
было такое ,месяц мучался это у тя helkern , помогла маленькая утилитка для закрытия "опасных портов" вот она http://2ip.ru/stat/portsrule.php , ты вижу проблему решил , может кому пригодится
  Ответить с цитированием
Ответ

Метки
blocker, deblocker, заражение системы, как избавиться от вируса, удаление вируса

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Быстрый переход



Время: 18:51



Powered by vBulletin® Version 3.7.6
Copyright ©2000 - 2017, Jelsoft Enterprises Ltd. Перевод: zCarot