Справка - Поиск - Участники - Войти - Регистрация
Полная версия: Кажется, в моей машине вирус...
Частный клуб Алекса Экслера > Вокруг компьютера
Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, 26, 27, 28, 29, 30, 31, 32, 33, 34
Chief
20 июня 2010, 14:02

Alex Exler написал: Невероятно спорное утверждение. Ну, точнее, совершенно неверное.

Для конкретной ситуации с некоторыми требующими денег банерами? Все же верное...
Butters
20 июня 2010, 17:57

Alex Exler написал: Невероятно спорное утверждение. Ну, точнее, совершенно неверное.

Отчасти верное, т.к. главное это windows update.
ilya_ya
20 июня 2010, 21:12

Alex Exler написал:
Невероятно спорное утверждение. Ну, точнее, совершенно неверное.

Увы, всякого рода локеры мне приходилось руками вычищать с компьютеров, на которых при заражении стояли самые разные антивирусы, включая лицензионные NOD32, DrWeb, McAfee и KIS со свежими обновлениями. У меня такое впечатление, что авторы этих локеров просто пытаются задавить количеством: по базе Dr.Web в апреле прошлого года этих локеров было порядка двух десятков, полгода назад около пяти сотен, а сейчас уже счётчик к двум тысячам подбирается. При этом если не помешать заражению, то хотя бы облегчить лечение может просто работа в инете из учётки без админских прав с нормальным паролем на админской учётке, но делают так единицы, как правило, уже наступившие на такие грабли.
bilbo
21 июня 2010, 00:20
Принесли комп. с такой жалобой:
"При попытке выключить компьютер, вылезает сообщение: "Для выключения компьютера у Вас недостаточно прав." "
Грохнул несколько подозрительных процессов, комп выпендриваться перестал.
Кто нибудь сталкивался или это что то совсем новенькое?
Vitalka
21 июня 2010, 02:55

ilya_ya написал: Увы, всякого рода локеры мне приходилось руками вычищать с компьютеров, на которых при заражении стояли самые разные антивирусы, включая лицензионные NOD32, DrWeb, McAfee и KIS со свежими обновлениями.

Если б ты не только писал, но и читал, то ты бы уже давно понял то, что здесь многие пытаются донести (и до тебя в том числе): локеры работают через уязвимости системы, и антивирусы их поймать просто не в состоянии. Ядро системы антивирусам неподвластно.

Либо включай Windows Update (если винда честная), либо скачивай и устанавливай апдейты вручную.

Еще раз для тупых: локеры работают через уязвимости системы, и ни один антивирус (включая майкрософтовский) поймать момент заражения дырявой системы неспособен.
ilya_ya
21 июня 2010, 20:34

Vitalka написал:
Если б ты не только писал, но и читал, то ты бы уже давно понял то, что здесь многие пытаются донести (и до тебя в том числе): локеры работают через уязвимости системы, и антивирусы их поймать просто не в состоянии. Ядро системы антивирусам неподвластно.

Ты меня с кем-то перепутал. Перечитай, что я писал с самого начале этого треда три года назад. А что касается ядра системы, попробуй к примеру, с правами системы отредактировать файл hosts в системе с Dr.Web шестой версии с включённым режимом защиты файла hosts.

Vitalka
Еще раз для тупых: локеры работают через уязвимости системы, и ни один антивирус (включая майкрософтовский) поймать момент заражения дырявой системы неспособен.

Ответ для острых:
Локеры, лезущие через системные дыры - это большаааая редкость, а абсолютное большинство их садится в систему через уязвимости адобовского флэшплеера или маскируются под обновление того же самого флэшплеера и юзер сам жмёт кнопочку "Установить". Если антивирус на уровне своего системного драйвера (см. выше) блокирует запись в соответствующие ветки системного реестра, то работающий через любые уязвимости (если только это не уязвимости драйвера файловой системы) троян не сможет прописать свой запуск в реестр и после ребута просто не взлетит, даже если антивирус его не знает. Правда, мало кто способен прочитать документацию к антивирусу и правильно настроить его. С другой же стороны, если в системе стоят все заплатки, админские учётки закрыты сложными паролями, а пользователь работает в учётке с ограниченными правами, то максимум, что может сделать в такой ситуации запустившийся через дыру плеера или запущеный юзером локер - это залочить учётку этого самого пользователя, а все остальные учётки и сама система не пострадают, так что после ребута можно будет легко и непринуждённо залогиниться админом и самостоятельно или с помощью теходдержки любимого антивируса найти и грохнуть гадину. С юзерами, которые следовали этим рекомендациям, вылавливание и прибитие заразы в ручном режиме по телефону у меня, как правило, занимало не больше получаса.
Так что и антивирус тут особо не нужен.
А если юзер использует использует Firefox с плагинами NoScript и Flashblock, то вероятность попадания локера в систему стремится к нулю. Кстати, кто-нибудь знает аналогичные плагины для Оперы и Хрома?
bilbo
22 июня 2010, 15:26

bilbo написал: Принесли комп. с такой жалобой:
"При попытке выключить компьютер, вылезает сообщение: "Для выключения компьютера у Вас недостаточно прав." "
Грохнул несколько подозрительных процессов, комп выпендриваться перестал.

Может кому пригодится:
После перезапуска KIS всё вернулось на круги своя. Так же обнаружились дополнительные симптомы -не запускались программы и интернет работал только для Касперского.
В результате "мозгового штурма" biggrin.gif выяснилось - пользователь заблокировал KIS-ом explorer.exe Добавил его в "недовереные программы". eek.gif
Восстановив справедливость (разблокировав explorer.exe) отдал машину обратно. Все счастливы.
biggrin.gif
Mixa1024
23 июня 2010, 17:26

bilbo написал:
выяснилось - пользователь заблокировал KIS-ом explorer.exe biggrin.gif

Бедный пользователь. Сильно били? biggrin.gif

А на самом деле - http://forum.kaspersky.com/index.php?showtopic=174623
Mixa1024
23 июня 2010, 17:33

VitalkaЕще раз для тупых: локеры работают через уязвимости системы, и ни один антивирус (включая майкрософтовский) поймать момент заражения дырявой системы неспособен.

У меня пара человек поймали локер на полностью обновленной системе, еще и за аппаратным NAT'ом.

Как ты обьяснишь это? :/

И даже с установленным и обновленным Symantec Antivirus'ом.
И факт это вполне обьяснимый, если знать механизм заражения и реакцию антивируса на происходящее.

Так что, кмк, кучу людей в тупые ты записал ловко, но несколько преждевременно.
DkmS
25 июня 2010, 03:02

Mixa1024 написал:
кучу людей в тупые ты записал ловко.

Без сомнения, товарисч скоро извинится.
bilbo
27 июня 2010, 08:06

Mixa1024 написал: Бедный пользователь. Сильно били?

Пользователей бить незя! Они своими глупостями деньги приносят biggrin.gif

Mixa1024 написал: А на самом деле - http://forum.kaspersky.com/index.php?showtopic=174623

На второй машине в аналогичном случае - не помогло. Закончилось переустановкой.
К слову сказать - на третьей машине с такой же системой проблем вообще не было.
Mixa1024
27 июня 2010, 15:45

bilbo написал: На второй машине в аналогичном случае - не помогло. Закончилось переустановкой.
К слову сказать - на третьей машине с такой же системой проблем вообще не было.

Так, на этих двух машинах были установлены сборки вроде зверьсд, или система с нормального дистрибутива?
bilbo
28 июня 2010, 16:31

Mixa1024 написал: Так, на этих двух машинах были установлены сборки вроде зверьсд, или система с нормального дистрибутива?

На всех трёх, включая первую - сборка зверьсд.
Mixa1024
3 июля 2010, 00:39

bilbo написал: На всех трёх, включая первую - сборка зверьсд.

Аминь 3d.gif
Georgi
8 июля 2010, 12:13
Доктор, скажите, а что это было:
WinXP 3SP, Outpost Firewall в режиме обучения (вроде так называется), подключение к инету через роутер. Из запущенных программ Opera 10.60. Захожу на чью-то персональную страничку на фотосайтеру - файрволл выдаёт что-то вроде "процесс е.ехе хочет запустить svchost.exe с сетевыми параметрами". Блокирую. Следом "процесс е.ехе хочет внести изменения в критические ветви реестра "бла-бла-бла\shell" . Блокирую. Компьютер уходит в ребут. Думаю - приехали. После перезагрузки запускаю ПроцессЭксплорер - вроде ничего лишнего. Запускаю Оперу с предыдущей сессией - В РЕ от Оперы отпочковывается адобридер, а от него е.ехе. Закрываю страничку в Опере - теперь от Оперы в РЕ ява, и от неё е.ехе. Килл процесс. Запускаю ClamWin - вроде чисто. Раньше с таким не сталкивался.

UPD: Вспомнил, после перезагрузки файрвол выдал что-то вроде восстановления после критической ошибки.
maskerader
8 июля 2010, 15:51

Georgi написал: Доктор, скажите, а что это было

Использование очередной дырки в Адоб Ридере. smile.gif

Возможно, стоит поставить какой-нибудь другой пдф-ридер в качестве ридера по-умолчанию. У меня Foxit Reader стоит.
Georgi
8 июля 2010, 16:47

maskerader написал:
Использование очередной дырки в Адоб Ридере. smile.gif

Очень даже может быть. Я перед этим три документа скачивал/открывал в Опере. Так первый открылся как положено, а два других - кракозябрами. Кракозябры сохранил как *.pdf - открылись как положено (в Foxit Reader-е).

Возможно, стоит поставить какой-нибудь другой пдф-ридер в качестве ридера по-умолчанию. У меня Foxit Reader стоит.

Знать бы как его плагином к Опере прикрутить - или же останется только адобовский отключить в ней, если повторы будут. Хотя удобно было даташиты смотреть.
uksusx
29 июля 2010, 15:29

Это да. Но у нормальных коммерческих антивирусов есть вменяемая техподдержка, к которой можно обратиться за помощью в случае проблем.

Угу, поддерживаю! У меня случился казус - отрубил каспера, что б скопировать дооооофигища мелких файлов, и пока копируется - новости решил посмотреть. Туда-сюда, и схватил заразу - дисп. процессов, msconfig и прочее - заблокировано. Каспер выгружен. Блин. Решил не насиловать гугл и свой мозг, и позвонил в ТП каспера. За 40 минут всё сделали, с помощью того же каспера сделали логи (слава встроенному AVZ в каспера) и полечили комп. И всё вместе со спецом из ЛК за 40 минут!!!
Олексій
11 августа 2010, 12:16
Добрый день, на сервере (операционка Виндовс сервер 2003) поселилась такая вот ерунда "hjykx.cmz", НОД с периодичностью в полчаса рубит ее но толку мало, может кто подскажет как окончательно от этой гадости избавиться.
Okeanolog
11 августа 2010, 14:55

Олексій написал: как окончательно от этой гадости избавиться.

Хотя бы в безопасном режиме, а лучше с LiveCD проверяй свежим Dr.Web® CureIt!.
Кстати, как НОД эту заразу классифицирует?
Олексій
13 августа 2010, 12:31
Вот, что пишет в журнале событий Нода:
13.08.2010 11:16:34 Защита в режиме реального времени файл C:\WINDOWS\System32\hjykx.cmz Win32/Conficker.AA червь очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло во вновь созданном файле.
И так каждый день с промежутком в полчаса.
А системщика у нас нет, Dr.Web® CureIt прогонял пару раз, вобщем еще раз сегодня сделаю.

Vitalka
13 августа 2010, 14:43

Олексій написал: Вот, что пишет в журнале событий Нода:
13.08.2010 11:16:34 Защита в режиме реального времени файл C:\WINDOWS\System32\hjykx.cmz Win32/Conficker.AA червь очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло во вновь созданном файле.
И так каждый день с промежутком в полчаса.

Раз в полчаса - еще неплохо. smile.gif

И так будет, пока система дырявая.

Полный метод лечения и защиты от последующего заражения: http://forum.kaspersky.com/index.php?showtopic=101154
ilya_ya
14 августа 2010, 23:30

Vitalka написал:
Раз в полчаса - еще неплохо. smile.gif

И так будет, пока система дырявая.

Полный метод лечения и защиты от последующего заражения

Судя по диагностике, вся простынка с форума для защиты конкретно этой машины не нужна, потому что в этом случае заражения не происходит - просто на данном компе одна из админских учёток имеет либо простой пароль, либо пустой, так что зверю с атакующей машины удаётся этот пароль подобрать и записать свой файл на винчестер, где он обнаруживается и пришибается антивирусом, а через некоторое время атака повторяется. Для устранения данной конкретной ситуации достаточно выполнить только пункт 6. А вот для атакующей машины необходима вся простынка, а также необходимо отключить автозапуск со сменных носителей, установив одну из заплаток, перечисленных тут, а если юзеру по должности не положено тыкать всякие флэшки в комп, то вообще отобрать у него соответвующие права, как описано тут, попутно лишить этого юзера админских прав на компе и разобраться, почему стоявший на этой машине антивирус пропустил этого гада, ибо данного зверя все приличные антивирусы знают с января прошлого года, то есть на машине, с которой идёт атака, антивируса либо нет вообще, либо антивирус криво настроен, либо криворукий юзер отключил его резидентный модуль.
Vitalka
15 августа 2010, 01:45

ilya_ya написал: Судя по диагностике, вся простынка с форума для защиты конкретно этой машины не нужна, потому что в этом случае заражения

Conficker - это kido. Антивирус товарища его знает, поэтому и ловит. А заражение происходит не через админскую учетку, а через дыру в системе, которая находится значительно ниже, чем winlogon и тем более антивирусы.

Т.е. через дыру подсаживается загрузчик вируса (и тут пофик пароль админа и антивирус), загрузчик загружает тело вируса (с правами системы, т.е. опять же ниже админа). Все это происходит на уровне ядра системы - на админские пароли конфикеру начхать, его загрузчик есть часть ядра системы.

И только когда из %TEMP% пытается запуститься собственно вирус (загруженный в предыдущем абзаце) его замечает антивирус. И, соответственно, убивает. Претензий к антивирусу (в данном случае) нет никаких - он срабатывает, как только обнаруживает вирус. smile.gif

Для лечения Конфикера (кидо) сначала нужно заткнуть дыру, т.к. он работает от имени системы. Пароли админа - не его уровень. Это не MSBlast, не путай.
ilya_ya
15 августа 2010, 09:56

Vitalka написал:
Conficker - это kido. Антивирус товарища его знает, поэтому и ловит. А заражение происходит не через админскую учетку, а через дыру в системе, которая находится значительно ниже, чем winlogon и тем более антивирусы.

На сайте Касперского описание этого червя дано некорректно. Правильное описание есть у того же ESET и у Dr.Web.
Conficker, он же Downadup, он же Kido, он же Shadow.based, распространяется через сеть двумя независимыми способами:

1. Атака на незакрытую дыру винды. В этом случае на машину приходит сетевой пакет с эксплойтом, следствием которого является запуск IE, скачивающего с атакующей машины файл самого зверя и запускающий его. При этом никакие админские пароли не используются, а процесс сразу запускается от имени системы.

2. Атака через стандартные админские средства удалённого управления с подбором пароля. В этом случае червячок с заражённого пытается подключиться к стандартным админским шарам тапа C$, ADMIN$, подобрав пароль к найденным на этой машине учёткам. Если удаётся подобрать пароль к админской учётке, то файл червя записывается через соответствующую шару напрямую в system32 под случайным именем и теми же админскими средствами в виндовый планировщик прописывается запуск этого файла через rundll32.exe. Никаких дыр Windows при этом не атакуется, а атакуется дыра в мозгах админа, задавшего слишком простой пароль или разрешившего в настройках безопасности доступ к средствам удалённого администрирования для админской учётки с пустым паролем.

То есть даже если на машине стоят абосолютно все заплатки, но пароль админской учётки простой типа 12345 и при этом в настройках системы разрешено удалённое управление с таким простым паролем, то заражение при отсутствии антивируса всё равно произойдёт, если в локалке нарисуется заражённый комп.

Если на компьютере стоит антивирусный резидент, знающий эту пакость, то при атаке первым способом он обнаруживает заражённый файл в \Documents and Settings\...\Temporary Internet Files или \Documents and Settings\LocalService\Local Settings\Temporary Internet Files.
При атаке вторым способом резидент обнаруживает и пришибает файл сразу в system32.
Ни в первом, ни во втором случае заражения системы не происходит, так как антивирус сносит файл до того, как код из этого файла на момент срабатывания антивируса ещё не запущен, так что достаточно только перекрыть дыру, через которую идёт атака, то есть при первом варианте срабатывания поставить заплатки, а при втором - поменять пароли.

Если антивирус срабатывает на этого зверя только в system32, то это означает, что соответствующие уязвимости системы из сети недоступны (либо стоят заплатки, либо фаерволл режет пакеты с эксплойтами до их попадания в соответствующий сервис) и достаточно только поменять пароли. Думаю, если бы файл обнаруживался ещё и в \Documents and Settings\...\Temporary Internet Files, то Олексій про это написал бы.
И в любом случае нужно искать в сети заражённую машину (возможно, не одну), с которой идёт атака, которую уже чистить по полной программе, выполняя весь набор инструкций. Только вместо узкоспециализированного KidoKiller'а я бы рекомендовал использовать что-нибудь более полное типа CureIt, потому что у Kido есть множество предшественников и последователей, распространяющихся через эти же дыры, так что на заражённой машине может быть целый зоопарк, раз антивирус там пропустил этого старичка.
Олексій
16 августа 2010, 12:09
Спасибо большое за ответы и советы, буду пробовать вылечить.
Цветков Игорь Олегович
29 августа 2010, 13:37
Народ, заранее прошу прощения, что может быть спрашиваю не по теме, но вроде все облазил "Около компьютера", ничего похожего не нашел. Помогите чайнику в одном вопросе. Не уверен, что дело в вирусе, но с некоторых пор заметил, что при загрузке некоторых сайтов, ну например рутрекер.орг, кинопоиск.ру, интернет-магазинов трафик стал переть большой-до 5 Мб и дальше не останавливается и так при каждой новой загрузке страницы, хотя вроде как должен использоваться кэш... Раньше такого не было, как только страница загружалась, трафик прекращался. Правда, браузер IE (как истинный чайник до сих пор пользуюсь IE6, привык) выкидывал окно, что мол заблокировал загрузку ненадежных файлов, а сейчас вот не выкидывает и трафик прет. Другие сайты, как и этот форум, грузятся нормально. Стоит Касперский 7.0, ничего не находит. В инет выхожу через 3G-модем, поэтому вопрос трафика довольно актуален. Может, кто подскажет, в чем может быть дело?
ilya_ya
29 августа 2010, 14:22

Цветков Игорь Олегович написал: Раньше такого не было, как только страница загружалась, трафик прекращался. Правда, браузер IE

Для начала проверить, есть ли проблема в других браузерах. Если нет, то это, вполне вероятно, атака IE через какую либо незакрытую дыру (IE6 уже вообще пора переименовать в Microsoft Trojan Downloader).
Vitalka
29 августа 2010, 14:34

Цветков Игорь Олегович написал: Не уверен, что дело в вирусе, но с некоторых пор заметил, что при загрузке некоторых сайтов, ну например рутрекер.орг, кинопоиск.ру, интернет-магазинов трафик стал переть большой-до 5 Мб и дальше не останавливается и так при каждой новой загрузке страницы, хотя вроде как должен использоваться кэш...

Не беспокойся, все нормально. Упомянутые тобой сайты настолько обвешаны флешем (рекламой и красотами), что напоминают новогоднюю елку в луна-парке. А, к примеру, баннеры онлайн-игрушек на рутрекере без проблем могут весить по полмегабайта и больше. И не кэшируются. smile.gif

Попробуй включить какую-нибудь баннерорезку - думаю, все эти мегабайты кончатся.
Цветков Игорь Олегович
29 августа 2010, 19:25
Большое всем спасибо за советы! Попробую.
Vitalka
30 августа 2010, 02:16

Цветков Игорь Олегович написал: Большое всем спасибо за советы! Попробую.

Да, и, судя по тому, что ты до сих пор используешь IE6, система у тебя не самая свежая.

Обнови Adobe Flash Player, ибо, если

ilya_ya написал: IE6 уже вообще пора переименовать в Microsoft Trojan Downloader

то Adobe Flash Player на сегодняшний день самый популярный Trojan Player. smile.gif
maskerader
30 августа 2010, 11:21

Vitalka написал: А, к примеру, баннеры онлайн-игрушек на рутрекере без проблем могут весить по полмегабайта и больше. И не кэшируются.

Полмегабайта - еще куда ни шло.
Но в посте шла речь о как минимум на порядок большем размере:

Цветков Игорь Олегович написал: трафик стал переть большой-до 5 Мб и дальше не останавливается

У меня скорость меньше, и я бы заметил, если бы на том же рутрекере такой объем рекламы висел...
Chief
30 августа 2010, 14:09

maskerader написал: Полмегабайта - еще куда ни шло.
Но в посте шла речь о как минимум на порядок большем размере:

Ха.
Vitalka
30 августа 2010, 15:06

maskerader написал: Полмегабайта - еще куда ни шло.
Но в посте шла речь о как минимум на порядок большем размере

Так там этих свистелок и перделок и есть с десяток на страницу. smile.gif
maskerader
30 августа 2010, 21:24

Vitalka написал: Так там этих свистелок и перделок и есть с десяток на страницу.

Непонятно только, почему я, например, свистелок на многомегабайт не вижу. А у меня интернет существенно тоньше, чем у Цветкова, и не заметить такое я бы не мог.
Vitalka
30 августа 2010, 22:52

maskerader написал: Непонятно только, почему я, например, свистелок на многомегабайт не вижу. А у меня интернет существенно тоньше, чем у Цветкова, и не заметить такое я бы не мог.

Только что отключил баннерорезку и загрузил главную страницу рутрекера - большой баннер справа вверху, маленький под ним у правого края, по левому краю четыре вертикальных. Все флешовое. Сам HTML - 177 кб, гифок, джипегов, скриптов, стилей - на полторы сотни килобайт. А через фарволл при этом прошло 6,5 мегабайт. Так что шесть из них - это как раз блымающий флешак. smile.gif

Но полюбому рекомендую автору вопроса обновить флешплейер и подумать о нормальном броузере, ибо как раз на таких сайтах флеши и скрипты бывают... скажем так, очень разными.
maskerader
30 августа 2010, 23:51

Vitalka написал: А через фарволл при этом прошло 6,5 мегабайт.

Однако... smile.gif
Значит моя Опера, вопреки обсуждаемому посту, умеет эти флэшки кэшировать.
Цветков Игорь Олегович
31 августа 2010, 00:12
Ну ребята, еще раз спасибо! Не ожидал такой ценной технической поддержки! Вот что значит настоящий конкретный форум. В общем, понял, самое резонное: поставить Оперу и обновить Adobe Flash Player.
Vitalka
31 августа 2010, 01:52

maskerader написал: Значит моя Опера, вопреки обсуждаемому посту, умеет эти флэшки кэшировать.

В моей опере отключено кеширование напрочь. smile.gif
Vitalka
31 августа 2010, 02:00
МОДЕРАТОРИАЛ:
Значит так, я спохватился.

Обсуждение больших объемов закачки в устаревших броузерах при посещении сайтов, перегруженных рекламой и скриптами, явно не по теме треда.

Поэтому дискуссию на тему, заданную Цветков Игорь Олеговичем, рекомендую завершить рекомендацией обновить софт, как исчерпанную (в рамках этого треда).

Понеже после обновления софта проблема не исчезнет - заводить отдельный тред, а не продолжать вопросы здесь.

Этот пост - предупреждение модератора, если кто не понял. В этом треде вопрос закрыт.
Constantin
4 сентября 2010, 03:08
Ситуация:
Не так давно, в Автозагрузке случайно обнаружил "гостя" под именем sysrda32.exe. Ни Касперский, ни Веб его на тот момент не детектировали. Поместил его на карантин (у меня установлен KIS8). Через пару дней, Касперский его распознал, как Trojan.Win32.Agent.fano и грохнул.
Сегодня он опять появился в Автозагрузке, причем Каспер его выявил очень интересно - выдал окно, в котором было сообщение о том, что "WMI из группы "Доверенные" пытается получить доступ к вредоносному программному обеспечению..." с ссылкой на тот же самый sysrda32.exe в Автозагрузке.

Откуда он там взялся? Вопрос не праздный, так как левых программ не запускалось, в почте ничего не приходило (а даже если бы и пришло - я бы не запустил). Может, эксполит какой?

Почему Каспер его не распознал в момент записи в Автозагрузку? А только после того, как к трояну стали обращаться проги?
ilya_ya
4 сентября 2010, 07:45

Constantin написал:
Почему Каспер его не распознал в момент записи в Автозагрузку? А только после того, как к трояну стали обращаться проги?

Могла приехать новая модификация, которая на момент записи файла на диск ещё не детектировалась. Спустя какое-то время файл трояна попытались удалённо запустить через WMI, но на этот момент базы были уже обновлены и антивирус среагировал на обращение к заражённому файлу. WMI используется, в частности, при удалённом управлении компьютером и по умолчанию в XP Professional соответствующие функции включены, так что если администраторский пароль простой типа 12345 или qwerty, то любой желающий может управлять такой системой через сеть, подобрав пароль. Более того, на многих системах, установленных из левых дистрибутивов типа ZverCD, удалённое администрирование разрешено даже админу с пустым паролем (при установке с оригинального дистрибутива, не покорёженного "умельцами", доступ через сеть для админской учётки с пустым паролем отключён). Так что если пароль пустой или слишком простой, то заразу, вероятней всего, подкинули через сеть. Фаерволл в системе есть?
Mixa1024
4 сентября 2010, 11:29

ilya_ya написал: Более того, на многих системах, установленных из левых дистрибутивов типа ZverCD, удалённое администрирование разрешено даже админу с пустым паролем

cen.gif

Это метафора или утверждение, конкретно про ZverCD ?
Constantin
4 сентября 2010, 13:04

ilya_ya написал: Так что если пароль пустой или слишком простой, то заразу, вероятней всего, подкинули через сеть. Фаерволл в системе есть?

Сети нет.

Включен "Удаленный рабочий стол", но он мне нужен. Пароль там более, чем сложный. И у пользователя Администратор - тоже...
Файервол есть, собственно KIS8...

Было бы неприятно думать, что пароль от "Стола" увели, но, с другой стороны, я периодически проверяю входы, вроде, ничего несанкционированного не было...

Есть ли какой-то софт, который может отследить появление файла в каталоге? Я бы хоть время знал...
Constantin
4 сентября 2010, 13:19
Блин... Только что посмотрел - он опять там сидит...
Почему же Каспер его не видит?
Натравил вручную - тут же отреагировал...
mrFatCat
4 сентября 2010, 16:50
Может спайботом просканировать? Раз появляется - значит кто-то его пишет.
Раз кто-то пишет - значит есть запуск этого "кого-то" через реестр или автозагрузку, или через куки, или еще как-то. И всё это хорошо проверяет спайбот.
ilya_ya
4 сентября 2010, 17:08

Constantin написал:
Сети нет.

Интернет - это тоже сеть.

Constantin
Включен "Удаленный рабочий стол", но он мне нужен. Пароль там более, чем сложный. И у пользователя Администратор - тоже...
Файервол есть, собственно KIS8...

Заплатки на системе все стоят? От атаки через дыру в tcpip.sys никакой программный фаерволл не защитит. Бинарники КИСа обновлены до актуальных версий? Атака может идти и через уязвимости самого антивируса, есл

Если доступ к рабочему столу через инет производился с заражённого компа, то пароли уже могут быть скомпрометированы.

Constantin
Есть ли какой-то софт, который может отследить появление файла в каталоге?

Process Monitor http://technet.microsoft.com/ru-ru/sysinte...s/bb896645.aspx - попробуй им отследить, какой процесс кладёт этот файл.

Не исключено, что в системе сидит какой-нибудь свежий руткит или хитрый дроппер, которого старенькая восьмёрка не видит.

Вообще, имеет смысл стукнуться в техподдержку Касперского. Или поставить Dr.Web триальный и если с ним будет аналогичная ситуация, стукнуться в их поддержку.

Ещё попробуй поискать подозрительные объекты в системе с помощью AVZ: http://www.z-oleg.com/secur/avz/download.php.
ilya_ya
4 сентября 2010, 17:10

mrFatCat написал:
Раз кто-то пишет - значит есть запуск этого "кого-то" через реестр или автозагрузку, или через куки, или еще как-то.

А расскажи мне, как можно что-то запустить через куки?
Constantin
4 сентября 2010, 17:19

mrFatCat написал: Может спайботом просканировать? Раз появляется - значит кто-то его пишет.

Спайботом сканировал... Да и autoruns'ом всю автозагрузку просмотрел - нет ничего подозрительного. Похоже, сама винда его и пишет - в System Volume Information нашел и убил две копии этой заразы. Каспер, кстати, тут же встрепенулся и выдал окошко, что, мол, троян детектед. Вот только почему он не реагирует, когда троян записывается в автозагрузку - загадка...
ilya_ya
4 сентября 2010, 17:59

Constantin написал:
Похоже, сама винда его и пишет - в System Volume Information нашел и убил две копии этой заразы. Каспер, кстати, тут же встрепенулся и выдал окошко, что, мол, троян детектед. Вот только почему он не реагирует, когда троян записывается в автозагрузку - загадка...

Несколько раз сталкивался со случаями, когда именно восстановлением системы восстанавливался файл и антивирусы при этом не срабатывали. Файл переставал восстанавливаться после отключения восстановления и прибития контрольных точек.
Дальше >>
Эта версия форума - с пониженной функциональностью. Для просмотра полной версии со всеми функциями, форматированием, картинками и т. п. нажмите сюда.
Invision Power Board © 2001-2017 Invision Power Services, Inc.
модификация - Яро & Серёга
Хостинг от «Зенон»Сервера компании «ETegro»