Сообщений в теме: 1563

[XaHyMaH]

[mod]
Описания вирусов, методов защиты и борьбы с ними. Отдельные темы по вирусам просьба не создавать.
[/mod]

Смежные темы на форуме

• Выбор и тестирование антивирусов

Полезные ссылки

• Вирусная энциклопедия, описание вирусов
• Virustotal - сервис, анализирующий подозрительные файлы на вирусы, с применением нескольких антивирусных систем
• Бесплатная антивирусная утилита AVZ
• Бесплатная "лечилка" от DrWeb'а
• Утилита FlashGuard для блокирования файлов autorun на флешках и других носителях. Позволяет блокировать автозапуск вирусов с флешек. Ссылка для скачивания
• Книга Николая Головко "Безопасный Интернет. Универсальная защита для Windows ME – Vista"

FAQ по удалению вирусов

• Решение проблемы, связанной с появлением сообщения об ошибке системного приложения svchost.exe (Generic Host Process for Win32 Services)
• Если у вас выскакивают порно-баннеры.
• Универсальный совет по лечению вирусного заражения и ещё один совет.
• Борьба с эпидемией червей своими руками - описание видов и механизмов распространения компьютерных червей, и способов предотвратить заражение.
• Классические рекомендации по борьбе с нашествием вирусов
• Удаление Mirar Toolbar
• WinLock. Компьютер заблокирован и для разблокировки требуют отправить SMS]

FAQ по удалению последствий вирусной деятельности (прежде чем бороться с последствиями удалите сам вирус)

• Windows 2000/XP/2003 не грузится в безопасном режиме
• Не запускаются исполняемые файлы (последствия soundmix)
• Не отображаются скрытые файлы
• Не отображаются скрытые файлы_2. Смена атрибутов файлов и папок.
• При двойном щелчке на диске выходит окно с выбором программы (отключение autorun/автозапуск)
• Не запускается редактор реестра
• Не запускается диспетчер задач
• Нет свойств у папок
• Файл conime.exe не найден
• Ошибка Generic Host Process for Win32 Services

Если вы нашли в этой теме, сообщение, которое, по вашему мнению, должно быть занесено в FAQ - отправьте, пожалуйста, с помощью ЛС ссылку на него модераторам раздела "Софт"

Сообщение отредактировал borec_za_istinu: 14.05.2012, 10:53:57

[egoist]

Вирусная энциклопедия (описание вирусов)

Смежные темы на форуме: Выбор антивируса

Сообщение отредактировал egoist: 03.08.2008, 20:23:53

[TalgaT_Almaty]

попробуй пролечить и после почисти директорию
System Volume Information

[Win32.Ronin.A]

Просто вирь заблокировал удаление из одной папки внимательно читать логи антивиря определить где он засел и удалить вручную

[Hohol_kz]

Народ внимание! Новый вирус убивает всю музыку, видео, картинки, html и txt-файлы, заменя их на "здесь могла бы быть ваша реклама". Приходит на майл.ру в виде открытки, на вчерашний день нод его не определял, доктор веб с сегодняшними обновлениями ловит. Не зацепите, очень обидно если грохнете, например, все фотки за пять лет, преценденты уже были

[CrackerVakulin]

Да был такой вирус мой кент вчера по мылу поймал пришло как будто отдруга из маил - ру агента ! а картинка вот такая была

[DarkhaN]

Люди!!! Будьте бдительны и осторожны! Вирус приходит к Вам от знакомого для Вас почтового адресата. Убивает абсолютно все документы, музыку, видео, картинки и самое-самое ценное, что есть на компе. Не тронутыми остались лишь файлы с расширением .pdf! Вчера я потерял 2 года своей работы + года 4 своих фотографий. Не считая музыки, которую собирал по крупицам и коллекционировал!!!
Я ещё никогда не ощущал такой неприятности. Это настоящая трагедия! Уже обращался к лучшим ИТшникам и хакерам нашего города - пока результата нет! Информацию восстановить возможно с помощью File Recovery, но только процентов 20-30 - и-то много всякой чуши "увсплывает". Самое важное пока открыть не удалось - говорят, что это невозможно, но я все ещё жду... Если кто-то может реально помочь - пишите в личку! Готов профинансировать такую помощь! Вся работа встала - много проблем на работе из-за потерянной информации... Данный вирус распространяется мгновенно и буквально за 1-2 минуты "ушатал" 60 Гигов информации на ноутбуке...
Надеюсь, что та тварь, которая придумала этот вирус умрет сегодня в луже собственного дерьма!!! У меня сильное влияние мысли на расстояния и весь мой негатив и флюиды отправленны на пожелание смерти этому "дистриктивщику", пляяяяяяяя (вообще правильно: деструктив)


В дополнение - вот полное описание этого зловреда Virus.VBS.Agent.c (хотя это описание не поможет восстановить попорченные данные):
Опасная троянская программа, уничтожает данные пользователя на диске. От данного зловреда пострадали многие пользователи, зафиксирован буквально шквал обращений (в том числе в конференциях http://virusinfo.info и http://forum.kaspersky.com
Видимые проявления - в автозапуске появляется посторонний файл one.exe (файл размещается в папке Windows), который является SFX архивом. В случае запуска он распаковывается в корень диска C:, при это создаются следующие файлы: dr.vbs, DR1.dr, DR2.dr и DR3.dr. Файл dr.vbs после этого запускается (для извлечения файлов и запуска в архиве имеется скрипт: Path=c:\ Setup=dr.vbs).
Скрипт dr.vbs зашифрован для защиты от изучения, шифровка примитивная. Расшифровка показывает, что скрипт ищет файлы на диске и в зависимости от расширения копирует заготовки
DR1.dr - DR3.dr поверх некоторых файлов. Поражаются файлы следующих типов:
mp3,avi,ogg,mpg,vob,wmv,wma,aac,aif,aiff,amr,wav,w ave - поверх них копируется файл DR1.dr
jpg,bmp,gif,png -> DR2.dr
txt,xlsЭ,doc,htm,xl -> DR3.dr

Файл DR1.dr является музыкальным файлом с ID3 тегом "Тут могла быть ваша РЕКЛАМА!!! По вопросам размещения во второй волне : xxx@yyyy", соответственно DR2.dr - это картинка формата JPEG (в ней призыв разместить рекламу написан на картинке, причем с лозунгом "Диструктивная реклама") и DR3.dr - текстовый файл, по содержимому идентичный ID3 тегу DR1.dr.

Как очевидно из описания, файлы перечисленных расширений будут уничтожены, резервных копий затираемых файлов зловред не делает.

Скрипт по некоторым стилистическим элементам похож на аналогичного деструктивного зловреда Email-Worm.VBS.Agent.j

Внедрение в систему и распространение
Зловред распространяется в виде файла с расширением SCR, размер файла - 424 кб, это SFX архив с файлами 01.vbs, 02.vbs, 03.vbs, 04.vbs и one.exe внутри. В случае запуска файлы извлекаются в папку Windows и идет запуск 01.vbs
1. WINDOWS\01.vbs - проверяет наличие в корне диска dr.vbs. Если его нет, то запускается 02.vbs и самоуничтожается
2. WINDOWS\02.vbs - просматривает папки в каталоге Mra\, принадлежащем MailRu Agent. Сканированием этой папки строит список адресов - найденные адреса заносятся в файл "c:\DR.dr", после чего запускается 03.vbs и самоуничтожается
3. WINDOWS\03.vbs -регистрирует в реестре файл one.exe, блокирует запуск редактора реестра и диспетчера задач через политики, после чего рассылает на один из встроенных в тело скрипта адресов письмо, текстовка "complete..." + аттчач - файл c:\DR.ey, после чего запускает 04.vbs и самоуничтожается. Файл DR.ey содержит данные ключа реестра Software\Mail.Ru\Agent.
4. WINDOWS\04.vbs Рассылает письма c заголовком "Вам пришла открытка от: xxxx" и телом "Здравствуйте, на Ваше имя отправлена открытка. Отправитель открытки: xxxx@ Открытка ждёт Вас по адресу: <полный адрес файла SCR, инсталлирующего зловреда>. Для просмотра перейдите по ссылке или скопируйте ее в адресную строку интернет-браузера. Открытка будет дожидаться Вас в течение 90 дней."

Для поражения ПК нужно перейти по указанной в подобном письме ссылке, загрузить и запустить файл (подтвердив запрос системы на запуск). Таким образом следует вспомнить основную заповедь безопасности в Интернет - не следует переходить по подозрительным ссылкам и запускать непонятные программы, загруженные по этим ссылкам ... Зловред заменяет все текстовые файлы, звуки и картинки, в том числе и системные и принадлежащие различным программам - поэтому если он отработал, то стоит или восстановить систему из резервной копии, или произвести ее переустановку

[Хочу_выходной]

я сразу обновил антивирь... только что, тока фих знает, поможет ли...

[X_doctor]

У знакомого на компе тоже была подобная хрень, все патерло, из маил агента паймал...
Поэтому всегда стоит помнить - не следует переходить по подозрительным ссылкам и запускать непонятные программы, загруженные по этим ссылкам!!!

[Universer]

У меня намедни Нод выловил вот такую ерунду:
probably a variant of Win32/Agent trojan
в файле C:\Documents and Settings\имя\Application Data\Mra\Update\menu.dll
Понятно, что папка м-агента, но интересно, правда это был вирус или просто предосторожность Нода.

[KorB]

У мну тоже вылазила... нод ее в карантин запихнул и пока молчит

[AbzaLL]

точно знаю что у меня на компе какой-то вирус, но ни один антивирус ничего не определяет блин
(вирус при включении меняет значок жесткого диска на такую фигню: )

Сообщение отредактировал AbzaLL: 05.08.2007, 04:11:26

[ccm]

У меня тоже трагедия не знаю вирус это или ещё какая-то фигня, но факт то что буквально всё умерло на компе, а Каспер даже не чего и не находил. Вместо фоток Грёбанная картинка пасти и внизу написанно "Тут могла быть ваша РЕКЛАМА!!!
По вопросам размещения во второй волне: distruktivnajreklama@rambler.ru" Вместо звуковых фаилов ор каких-то уродов тоже самое с фидио фаилами только по середине такая-же гадкая надпись, не остались целыми и все Вордовские и текстовые фаилы. Бесит пришлось все форматировать и переустонавливать винду. Теперь хочу им на этот адресс всё что я о них думаю, а вообще убить их мало. Кстати у меня тоже подозрение что я это всё в Майл агенте цыпонул.

Сообщение отредактировал ccm: 06.08.2007, 01:09:54

[Universer]

2ccm
Шестью постами выше описание как раз этого вируса.

[Win32.Ronin.A]

Теперь о самом больном Этот вирус при проникновении на ваш ПК устанавливает Маил агент самостоятельно при подкл к интернету скачивает дистрибутив и устанавливает, я в шоке, после работы в интернете после перезагрузки ПК вижу что там стоит маил агент хотя я его не ставил причем в установленных программах его не было, вирь проник на мой комп до этого я после объявлений удалил агента, потом переустановил винду( по другой причине) признаться я был шокирован когда на новой винде появился установленный агент, повторяю всем обновляйте базы, картинки восстанавливаются и то не все, музыкальные файлы не восстанавливаются и видео тоже , вирус хранится в папке windows, плюс в папке локального юзера во временных контентах интернет файлов, при чистке ПК удаляйте все содержимое папки Temploary internet files и папки М-агент которая находится в папке локального юзера, плюс чистить папку system of volume information

[Win32.Ronin.A]

точно знаю что у меня на компе какой-то вирус, но ни один антивирус ничего не определяет блин
(вирус при включении меняет значок жесткого диска на такую фигню: )

Пуск-выполнить-TaskMgr если есть в процессах RavMon.exe то это твой вирус обнови базы после очистки удали файл autorun.inf на жестком диске

[ccm]

вирус хранится в папке windows, плюс в папке локального юзера во временных контентах интернет файлов, при чистке ПК удаляйте все содержимое папки Temploary internet files и папки М-агент которая находится в папке локального юзера, плюс чистить папку system of volume information

А мог вирус остаться если я поменял системный хард (поставил другой с новой виндой) и подцепил два лакальных на которых убило всё?

[ccm]

2ccmШестью постами выше описание как раз этого вируса.

Сапсибо я понял, но тогда не было времени прочитать всю стр. просто написал чтоб знали, а тут оказывается я не один такой.
Кому не трудно ответти на пост выше.
Зарание спасибо!!!!

[ccm]

А мог вирус остаться если я поменял системный хард (поставил другой с новой виндой) и подцепил два лакальных на которых убило всё?

Народ плизз ответте кто знает!!! Очень нужно!

[TalgaT_Almaty]

А мог вирус остаться если я поменял системный хард (поставил другой с новой виндой) и подцепил два лакальных на которых убило всё?

проверь диски свежим антивирем, иначе если обратишься к папке с вирусом результат повториться.. (опять завирусуешь)

[ccm]

А мог вирус остаться если я поменял системный хард (поставил другой с новой виндой) и подцепил два лакальных на которых убило всё?

проверь диски свежим антивирем, иначе если обратишься к папке с вирусом результат повториться.. (опять завирусуешь)

Да я проверил говорит комп чист, но прошлый раз тоже не чего каспер не нашёл и теперь не знаю верить ему или нет.

[abbzal]

А мог вирус остаться если я поменял системный хард (поставил другой с новой виндой) и подцепил два лакальных на которых убило всё?

проверь диски свежим антивирем, иначе если обратишься к папке с вирусом результат повториться.. (опять завирусуешь)

Да я проверил говорит комп чист, но прошлый раз тоже не чего каспер не нашёл и теперь не знаю верить ему или нет.

не верь касперу, переходи на symantec