Конференция VBStreets

[Proxy]

Ну так на второй копии XP сканирование обнаруживает что-либо?
Система уже повреждена значительно, если безопасный режим не запускается. Имхо быстрее всего слить все данные и поставить систему с нуля.

запуск regedit заблокирован

Есть редакторы для файлов реестра, которые не через API обращаются к реестру, а напрямую к файлам реестра. Можно со второй копии редактировать файлы реестра у повреждённой системы. Есть сборки MiniPE,в которые входит такой редактор, емнип.

[iGrok]

Я с домашнего компа. Ситуация намного хуже чем думал. Даже в safe-моде невозможно запустить восстановление системы, таск-менеджеры умирают при запуске, запуск regedit заблокирован, доступа в сеть нет. Хорошо что еще установлена вторая копия XP на машине, с нее сейчас и работаю. Что делать непонятно.

P.S. Каспер убит трояном.

Да ничего уже не делать. Либо искать деблок, либо сливать данные и переставлять ОС...

[jangle]

Ну так на второй копии XP сканирование обнаруживает что-либо?
Система уже повреждена значительно, если безопасный режим не запускается. Имхо быстрее всего слить все данные и поставить систему с нуля.

На второй копии поставил Drweb, он ничего не видит, поймал какую-то старую мелочевку. Вирус ОЧЕНЬ злой. Убиваются любые сторонние таскменеджеры, при повторном запуске таскменеджера перезагружает комп, построянно грозит уничтожением данных. Теперь окончательно убедился, что KIS бесполезная дрянь

[1Steps]

Где вы их берёте?

+1
Как я уже писал, нет у меня антивиря. Пользуюсь CCleaner-ом и иногда HouseCall-ом.

[VVitafresh]

Это мозговой слизень... Не первый раз встречаю слово "извените" или "извени".

Мне так часто встречается это "извЕните", что скоро сам забуду как правильно писать

Где вы их берёте?

+1
Как я уже писал, нет у меня антивиря.

А у меня Microsoft Security Essentials, в основном для проверки чужих флешек. Хотя раньше тоже без антивирусника работал и никакой заразы не было.

[Alec]

Из опыта:
Поковыряй папки Windows, System32 (и иже с ними) на предмет исполняемых файлов со временем создания, равным ориентировочному времени заражения. Переименуй (на всякий, удалить успеется), посмотри в реестре ссылки на них. Если не пользуешься (или уже не помогает) автовосстановлением системы - убей папки "System Volume Information" (предварительно поправив владельца и права пользования). Удали файлы кэша браузера, папки TEMP всех пользователей.

[VVitafresh]

Alec, ты тему внимательно читал?

Нет там подозрительных процессов, вредоносный код инжектится в какой-то системный процесс. Возможно с использованием руткитов....
...
Даже в safe-моде невозможно запустить восстановление системы, таск-менеджеры умирают при запуске, запуск regedit заблокирован, доступа в сеть нет.

[Ramzes]

Где вы их берёте?

+1
Как я уже писал, нет у меня антивиря. ...

Тфу-Тфу-Тфу, ничего такого дома небыло, а на работе стоит dr. Web, и он точно не помагает, т.к. однажды весь офис подхватил )) Сначала на одном компе появилось, к концу дня почти на всех компах в локалке.

[VVitafresh]

а на работе стоит dr. Web, и он точно не помагает, т.к. однажды весь офис подхватил )) Сначала на одном компе появилось, к концу дня почти на всех компах в локалке.

Получили письмо "перешли 10 друзьям и будет тебе счастье"?

[jangle]

Бился с заразой до 3 утра, и все таки убил гада. Спасло то, что на компе была установлена вторая копия WinXP с нее загружал из сети антивирусные утилиты и общался со службой поддержки касперского. Отвечают они оперативно, хотя и бестолково, по-большому счету ничем не помогли. Если кратко, то проявления зловреда такие:

1. Судя по ответам кашперцев это троян нового типа, появился в сети на прошлой неделе. Может распространятся через уязвимости браузеров, операционки и даже винампа. Так что слушать музычку под админовскими правами весьма чревато...

2. Троян довольно сильно ломает систему, это его основное отличие от других зловредов. А также
- убивает антивирус, утилиту Anvir
- устанавливает в реестре множество своих полиси, запрещая запуск практически всего, кроме браузера
- блокирует вызов таск-менеджера, убивает USB драйвер чтобы отключить флешки и накопители
- блокирует сетевые диски
- отключает службу восстановление системы, стирает все точки восстановления, чтобы нельзя было откатить систему
- устанавливает хуки на CreateToolhelp32Snapshot, Process32First, Process32Next, OpenProcess в результате невозможно получить список процессов средствами WinAPI. Приложение умирает или троян уводит систему в ребут
- в ветку AppInit_DLLs прописывает путь к своему телу: C\Windows\System32\r.dll
- использует технологию руткитов для скрытия своего присутствия в системе, через проводник файлы трояна не видны
- по системным папкам разбрасывает множество ~.tmp файлов и запускает их, они видимо как-то противодействуют антивирусным утилитам
- блокирует работу инсталляторов, установить новый антивирус на зараженной машине не получится
- закрывает доступ в сеть
- etc

3. Если коротко охарактеризовать, троян отбирает у пользователя все права и запрещает любые действия, которые могут "повредить" ему.

Если кому-то надо, могу описать, как я его убил.

[Ramzes]

а на работе стоит dr. Web, и он точно не помагает, т.к. однажды весь офис подхватил )) Сначала на одном компе появилось, к концу дня почти на всех компах в локалке.

Получили письмо "перешли 10 друзьям и будет тебе счастье"?

Нет, на первой машине (которая первая получила вирь) просто шастали по сети где не попадя, голых тёток смотрели, а остальные ничего не получали, нигде не ходили в том то и странность

[VVitafresh]

Если кому-то надо, могу описать, как я его убил.

Описывай, конечно! Думаю, многим может пригодиться если не сейчас, то в будущем.

[Ramzes]

Если кому-то надо, могу описать, как я его убил.

Я дум аю многим пригодится, и скажи, систам нормально после убиения работает?

[jangle]

систам нормально после убиения работает?

Да не совсем нормально. Скорее как торпедированный авианосец, когда пробоина уже заделана, но машинное отделение разрушено и залито водой Основная проблема - изуродован реестр и уничтожены все его предыдущие копии. Сейчас вручную возвращаю себе права в разных ветках. Уже работает regedit, консоль, таск-менеджер. По прежнему не работают USB накопители, в списке устройств появилось множество неопозннаных. Видимо прийдется переставлять систему.

[jangle]

Описывай, конечно! Думаю, многим может пригодиться если не сейчас, то в будущем.

Cо чистой копии XP скачал AVZ, распаковал. Переименовал папку AVZ4 в XXX, а AVZ.EXE в XXX.EXE (чтобы троян не удалил)
Потом загрузился в зараженной XP, запустил XXX.EXE Затем установил свой драйвер AVZ для расширенного мониторинга процессов, запустил диспечер процессов AVZ. Посмотрел и офигел, сколько дряни вертится у меня в памяти, это файлы с расширение *.tmp
Пробовал убивать их. Бесполезно, через секунду запускаются снова. Дальше запустил менеджер загруженных DLL, и там сразу увидел такую хрень: C:\WINDOWS\SYSTEM32\r.dll Попробовал выгрузить ее, фиг вам. AVZ предлагает перезагрузится и попробовать удалить ее после перезагрузки. Ухожу в ребут, после перезагрузки r.dll исчезает из списка, теперь спокойно убиваю *.tmp файлы в диспетчере процессов AVZ. Запускаю самописную утилиту, которая рекурсивно обходит папку Windows и трет все *.tmp (больше двух десятков их было) Теперь вручную начинаю запускать разные скрипты в AVZ которые возвращают мне права в некоторые ветки реестра. После перезагрузки получилось запустить regedit, начал искать там ссылки на файлы трояна и убивать их. После еще одного ребута, вернулась консоль и удалось снова запустить службу восстановления системы, к сожалению все точки восстановления оказались стерты трояном.
Заработала сеть. Скачал Drweb прогнал им весь диск, тот ничего ценного не нашел. Снел, опять поставил кашпера, прогнал им, он тоже ничего не нашел.
На данный момент XP работает, за исключением USB устройств, в девайс листе каша из неопознанных устройств. Вечером буду пробовать переустанавливать драйвера под железо.

P.S. Очень хорошо, что создатель AVZ додумался написать свой драйвер мониторинга процессов, а не пользоваться WinAPI функциями. Иначе бы вирус было не удалить.

[Alec]

Alec, ты тему внимательно читал?

Нет там подозрительных процессов, вредоносный код инжектится в какой-то системный процесс. Возможно с использованием руткитов....
...
Даже в safe-моде невозможно запустить восстановление системы, таск-менеджеры умирают при запуске, запуск regedit заблокирован, доступа в сеть нет.

Ну, я думаю, понятно, что речь о "внешней" системе - другая OS, LiveCD... Да и за процессы я речи не вел, только за файлы, для начала.

P.S. Очень хорошо, что создатель AVZ додумался написать свой драйвер мониторинга процессов, а не пользоваться WinAPI функциями. Иначе бы вирус было не удалить.

Очень хорошо, что создатель твари не додумался написать перехват функций драйвера мониторинга процессов AVZ... Пока...

[jangle]

Очень хорошо, что создатель твари не додумался написать перехват функций драйвера мониторинга процессов AVZ... Пока...

Вообще-то надо отдать должное создателям этой дряни, постарались они на славу. Даже для среднего пользователя, удаление этого паразита может стать трудноразрешимой задачей. Меня одно волнует, как они смогли прибить KIS cо всеми его драйверами безопасности?

[iGrok]

Cо чистой копии XP скачал AVZ, распаковал. Переименовал папку AVZ4 в XXX, а AVZ.EXE в XXX.EXE (чтобы троян не удалил)
Потом загрузился в зараженной XP, запустил XXX.EXE

"Моя" модификация (с которой я боролся) не дала запустить даже переименованный AVZ - система сразу ушла в ребут.

[jangle]

"Моя" модификация (с которой я боролся) не дала запустить даже переименованный AVZ - система сразу ушла в ребут.

А не пробовал выгрузить троя, запустив шатдаун и открытый блокнот с текстом? При этом часть приложений выгружается, а блокнот висит и спрашивает сохранить текст? Жмешь отмену, и ребут системы отменятся, но трой уже выгружен, и в этот момент запускаешь AVZ. Я именно так его запускал.

[iGrok]

"Моя" модификация (с которой я боролся) не дала запустить даже переименованный AVZ - система сразу ушла в ребут.

А не пробовал выгрузить троя, запустив шатдаун и открытый блокнот с текстом? При этом часть приложений выгружается, а блокнот висит и спрашивает сохранить текст? Жмешь отмену, и ребут системы отменятся, но трой уже выгружен, и в этот момент запускаешь AVZ. Я именно так его запускал.

Ооо.. Не. До такого извращения не додумался. )
Возьму на заметку. =)

[Денис]

Деградация антивирусов. ... Дроппер закачивает что-то из сети...

Имплементируйте linux-way в windows.
1. Включите режим обучения в настройках антихакера и прилежно отвечайте нажатием кнопки на каждый вопрос о блокировке/разблокировке приложения/порта/адреса.
2. Права пользователя себе. На UAC надежды нет: ибо элевация. И трояны наверняка если не умеют уже, то скоро научатся делать себе элевацию прав. Единственное, что может спасти: это прилежное набивание пароля администратора ручками при каждом обращении к реестру (общим веткам, веткам классов и веткам других пользователей) или системным папкам винды.
3. NTFS. И инкапсулировать доступ ко всем системным папкам, папкам с дистрибами и папкам других пользователей.

Только так у вирусов не будет ни единого шанса. Только по этому на linux нет вирусов. В случае заражения учетной записи любым самым страшным трояном, мы просто заходим из под другой учетной записи и безжалостно уничтожаем и r.dll и r.exe и r.tmp и ваще.

[alibek]

"Моя" модификация (с которой я боролся) не дала запустить даже переименованный AVZ - система сразу ушла в ребут.

Потому что расширение файлов баз AVZ — *.avz.
И переименование avz.exe не поможет, потому что в имени файлов, с которыми он работает, есть текст "avz" (расширение).

[iGrok]

"Моя" модификация (с которой я боролся) не дала запустить даже переименованный AVZ - система сразу ушла в ребут.

Потому что расширение файлов баз AVZ — *.avz.
И переименование avz.exe не поможет, потому что в имени файлов, с которыми он работает, есть текст "avz" (расширение).

Ну об этом я как бы догадался. Но что с этим делать уже разбираться не стал - просто переставил винду.
Комп был не мой, важные документы спокойно вытащились с убунты, а время - дороже.

[Proxy]

Только по этому на linux нет вирусов.

Нет. Там в целом достаточно хорошо продуманы ограничения прав доступа к ресурсам. В MS Windows и из под гостевой учётной из API доступно слишком много всего лишнего. И ещё с групповыми политиками перемудрили на мой взгляд. Такая ужасная путаница, никакой логики и толковой иерархии... И отдельный пункт в избранное в MMC никак... Только типа вот вам папка, в ней где-то есть то, что вы ищете возможно. И результатов с неё ноль. Поэтому Windows 7 например мне гораздо больше нравится, чем все предыдущие ОС от мелкософта: более-менее удачно права доступа к ресурсам в порядок привели, хотя и тут устроили нагромождение из дефендера и брандмауэра. Всё в стиле майкрософт. И наконец-то сделали нормально отключение автозапуска со сменных носителей. Хотя емнип оно ещё и в Vista работало стабильно. Секлаб и новьё не с лучшей стороны показывает: постоянно то выполнение произвольного кода, то повышение привилегий.
Ubuntu лично мне гораздо больше к душе пришлась, чем всё от microsoft. Удобней всё гораздо: всё доступно из консоли как у всех unix-подобных и во всех настройках чёткая логика. И с уязвимостями гораздо оперативней борются. И софт гораздо динамичнее, гораздо больше документации и всё кастомно. Даже нет желания к Windows в качестве основной ОС возвращаться.Да вот только нет тут ни аналога Adobe Flash толкового, ни некогда привычного 3Ds MAX (с Blander`ом таки не разобрался), ни Guitar Pro и Guitar RIG (хотя удалось свежий Guitar Tux поставить, но пришлось повозиться с аудиодвижками, т.к. новая версия пока не совместима официально). По софту тут что-то на порядок хуже, что-то гораздо лучше. В целом софт толковее, т.к. развивается побыстрее. Ну и возни с чтением зарубежных форумов всяких и мануалов просто в 100 раз больше.

[jangle]

А я переезжаю под юзера с ограниченными правами. Создал под эту дело учетку и перетаскиваю все свои завалы с рабочего стола туда. Теперь никогда не буду работать под администратором. Себе дороже выходит.

[Денис]

А я переезжаю под юзера с ограниченными правами. Создал под эту дело учетку и перетаскиваю все свои завалы с рабочего стола туда. Теперь никогда не буду работать под администратором. Себе дороже выходит.

Level Up!

[Antonariy]

А я переезжаю под юзера с ограниченными правами. Создал под эту дело учетку и перетаскиваю все свои завалы с рабочего стола туда. Теперь никогда не буду работать под администратором. Себе дороже выходит.

Для меня неудобства работы под юзером перевешивают риск заражения. Переехал на хром и всё.

[VVitafresh]

Для меня неудобства работы под юзером перевешивают риск заражения. Переехал на хром и всё.

Да не так уж это и неудобно работать под юзером (по крайней мере PowerUser), можно привыкнуть. Если нужно часто запускать какие-то приложения из-под админа, можно загрузить Total Commander с админскими правами и запускать уже из него -- вопросов на ввод пароля не будет.

[VVitafresh]

Ubuntu лично мне гораздо больше к душе пришлась, чем всё от microsoft.

А вот перейти дома на Linux из-за опасения заражения я пока не готов. Для меня удобство работы с виндой (или может быть удобство софта под винду) превышает всякие позитивы линукса.

[Денис]

Переехал на хром и всё.

Что "и всё"? Подобные трояны не только через браузеры могут залезть. И всё.