У меня было несколько интересных столкновений с вирусами. Расскажу самое первое и самое яркое. Это было время, когда на смену Windows 3.*. Пришла новая ОС Windows 95. Как-то придя на работу и включив компьютер обнаружил что система не видит загрузочный винчестер. Попытка восстановить систему через Reanimator никакого толку не дала. Пришлось вызывать головастого знакомого который спал, ел и наверное на толчок ходил в обнимку с компьютером. Начались совместные пляски с бубном вокруг компьютера. Полдня провозились и все безрезультатно. В итоге он забрал компьютер обещал к следующем дню разобраться. Встречаю утром я его на работе, он говорит, что я словил вирус и не простой, а под названием «Чернобыль». От этого вируса у нас полгорода пострадало. Повредил он там что-то аппаратное. Для того чтобы установить систему приходилось извращаться с винчестером. Первый запуск установки делать на другом компьютере. После того как инсталляционная программа скопирует установочные файлы и уходит в перезагруз нужно именно в этот момент вырубить комп. Потом вытащить винчестер и поставить его на тот комп. на котором он будет работать и продолжить установку. Вот таким макаром нам приходилось устанавливать систему не раз. Этот вирус «Чернобыль» активировался раз в год. В годовщину чернобыльской аварии. Наш город еще года 3 лихорадило именно в день чернобыльской аварии. Я еще легко отделался а некоторым приходилось выкидывать либо материнку, либо оперативку, либо винчестер. Я частенько вспоминаю это случай и сравниваю с нынешними вирусами. По с равнении с «Чернобылем» это честно говоря, детский сад какой-то.
P.S. Попозже выложу еще несколько историй, если вас заинтересует эта тема.
P.P.S. Извиняюсь за не литературный слог, не литератор я, да еще писал под 1,5 л. пива.
| QUOTE (heep25 @ 27.09.2008 - время: 10:12) |
| Был тоже случай центральный процессор начал грузится на 100% причем постоянно Каспер и другие антивирусы все видели но поделать ничего не могли. Поставил программу Download Master не знаю что она уж там выловила но эта фигня прекратилась. |
Это + )
Однажды блокнотом трояна гонял(всё скрипт пытался набросать). Потом проснулся, похмелился и троян исчез сам собой)
Значится на работе сеть у нас немного не мало ~80 машин, значиццо стоит нот32 корпоративный....
1) началось все с того что у работников начала отваливаться почта, то бишь к нашему почтовому серваку почтовая прога не могла получить доступ, еще интересно что она к нему цеплялась и постоянно требовала ввод пароля почтового и соответсвенно так до бесконечности его требовала..... (при этом у всех пароль сохранялся, т.е. никогда они его не вводли)
2) в процессе "рытья" откуда ноги растут было обнаружено что этот вирь блокирует кнопку "Диспетчер задач" и не дает уже установленному вирю скачать обновления, если комп ребутнуть он вообще блокирует запуск антивиря, в любом случае (ребутить али нет) не дает поставить антивирусное ПО
3) этот хад поражает систему только ту в которой пользователь заходит под админом машины, либо с соответвующими правами (таковые пользователи у нас есть по необходимости их работы)
NOD32 его определяет как Win32.Sality.AE колбасит до той поры пока его вирь сам не заколбасит.... и затыкается
поставил Symantec прошелся по своей машине - вроде вылечил....
Но попытки просканить удаленный комп - успехом не увенчались, эта зараза еще и в мозгах сидит....
з.ы. кстате блокирует только учетку - т.е. если зайти под второй учеткой админа например - у меня получилось установить антивирь
Пральна - Руткит (троян) любящий Флэшки заражать сидит в системе. LiveCD и он умер - принтер встал :)
Это сообщение отредактировал do-do - 18-10-2008 - 13:22
| QUOTE (doodge @ 18.10.2008 - время: 09:56) |
| Дааа чернобыль... было дело, но расскажу я вам свою историю... Значится на работе сеть у нас немного не мало ~80 машин, значиццо стоит нот32 корпоративный.... 1) началось все с того что у работников начала отваливаться почта, то бишь к нашему почтовому серваку почтовая прога не могла получить доступ, еще интересно что она к нему цеплялась и постоянно требовала ввод пароля почтового и соответсвенно так до бесконечности его требовала..... (при этом у всех пароль сохранялся, т.е. никогда они его не вводли) 2) в процессе "рытья" откуда ноги растут было обнаружено что этот вирь блокирует кнопку "Диспетчер задач" и не дает уже установленному вирю скачать обновления, если комп ребутнуть он вообще блокирует запуск антивиря, в любом случае (ребутить али нет) не дает поставить антивирусное ПО 3) этот хад поражает систему только ту в которой пользователь заходит под админом машины, либо с соответвующими правами (таковые пользователи у нас есть по необходимости их работы) NOD32 его определяет как Win32.Sality.AE колбасит до той поры пока его вирь сам не заколбасит.... и затыкается поставил Symantec прошелся по своей машине - вроде вылечил.... Но попытки просканить удаленный комп - успехом не увенчались, эта зараза еще и в мозгах сидит.... з.ы. кстате блокирует только учетку - т.е. если зайти под второй учеткой админа например - у меня получилось установить антивирь |
В таких случаях просто свирепо рулит Антивирус Зайцева (AVZ). Как антивирь он никакой, хотя какие-то антивирусные базы имеет. Но он предоставляет мощный инструмент анализа системы и блокирования разных странных процессов. Первый признак заразы - если avz.exe не запускается. Переименовываю его в pkzip.exe и начинаю смотреть - кто в памяти живёт. Вири любят делать имя процесса совпадающего с системным. AVZ таких редисок сразу определяет. Ну а дальше дело техники. Даже если убить напрямую не получается (попадаются такие "крепкие орешки") - уже ясно где оно живёт. Цепляешь пассивным хардом и убиваешь его сонного.
Последнего подцепил "Пенетратора", с месяц назад. Хвала Аллаху, всемилостивейшему и всемилосердному, что у меня хватило ума комп тут же жосско вырубить и перегрузиться в Bart'овскую портативную XP'ю. Потом, после удаления исполняемых файлов виря, вошел в безопасный режим уже на поврежденной системе и навел порядок в реестре. Да, документы, видеофайлы и графику он порезать не успел. Но дяденька Кондратий уже стоял рядышком...
Итак, вирус sality.aa.
Имеем: Операцинная система LonerXP, то есть сборка.
Симптомы (указываю только явные, полный список можно найти в описании вируса в вируслисте у Касперят):
- Логические диски не открываются двойным нажатием клавиши мыши.
- Отключает или не дает запустить все антивирусные программы и брендмауэры. Впример Касперский в процессе установки пару десятков раз спрашивает "Вы точно хотите выйти из программы установки?", потом тупо вырубается :) Пардон, все кроме Nod'a. ESET SmartSecurity 3.0.667 оставался запущенным, но толку от него абсолютно никакого.
- Запрещает доступ к реестру и диспетчеру задач.
- Заражает все исполняемые файлы, в т.ч. и антивирусов :) Некоторые зараженные файлы прекращают работать... например HiJacKThis, AVZ и ещё куча программ и компонентов системы типа диспетчера устройств. После лечения KIS 7.0.125 работоспособность не восстанавливается.
- Делает невозможной загрузку в безопасном режиме.
- При подключении к инету создает бешеный траффик, из-за отключенных сетевых экранчиков контролю не поддающийся.
- Запрещает доступ к управлению пользователями и паролями. После создания всеми правдами и неправдами нового пользователя вешает систему.
Найденные способы лечения вируса :)
1. Ламерский
Форматнуть все нафиг, для верности пофиксить загрузочную запись. Равнозначен лечению импотенции ампутацией.
2. Продвинутый ламерский.
Воткнуть зараженный винт в компьютер с нормальным антивирусом и почистить. Способ универсальный, действенный и простой как устройство чугунного лома :)
3. LiveCD
Собсно способ описан в названии. Грузимся с Лайва и лечим. Тут основная сложность - найти таки тот Лайв, который сможет это всё вылечить. Ну и ещё скорость работы системы с LiveCD как правило низкая даже на хороших машинах...
В качестве полезного в этом плане Лайва я видел разве что линуксовую сборку от ДрВеба. Правда она есть бета...
4. Извращенно-мозголомный.
Заливаем на болванку Антивирус Зайцева и Хайджека. Запускаемся в системе, хайджечим всё подозрительное, проверяемся Зайцевым, восстанавливаем загрузку в безопасном режиме, перезагружаемся в указанном режиме.
Далее запускаем залитый на эту же СД Portable-версию Каспера, если найдете рабочую :) Обновляем базы с этой же сидюшки и лечим.
Если Зайцев с Джеком не запускаются, переименовываем avz.exe и HijackThis.exe в какую-нить бНОПНЮ.exe и пробуем снова :)
Недостатки - сложность, заморочность и вообще этот способ напоминает работу сапера. Пропустил процесс или ткнул куда-нить не туда - начинай всю пляску заново.
5. Нормальный
Качаем утилиту Sality Cleaner от неизвестного автора или Sality_off от Касперского, ими выгоняем вирус. Ставим нормальный антивирь, делаем полную проверку и радуемся жизни :)
Хотя нет... жизни радоваться слегка преждевременно. Сначала надо отменить все изменения в системе.
Изменения в реестре лечатся либо Антивирусом Зайцева, либо reg-файлами от того же Касперского.
А вот кучу битых ехе-файлов операционной системы и установленных программ, увы, рационально лечить только переустановкой или мелкомягковским процессом восстановления.
Можно канешн замудриться с заменой файлов на рабочие и переустановкой нерабочих программ... но постоянно жить в осаде, ежеминутно ожидая очередного вылета очередного обнаруженного дохлого файла чессно говоря не охота.
Надеюсь кому-нить пригодится :)
Это сообщение отредактировал Gorjie - 11-11-2008 - 11:00
В итоге винды у меня больше нету))Ток Линуксу юзаю
Самых гадостей я натерпелся еще от DOS/Win95 вирусов. Первые стелсы - Dir, One Half. Курочили инфу напрочь - шифровали, Инета не было по определению, авири таскались энтузиастами из столицы... Ох! сколько всего было потеряно!
Но были и победы. Уж не знаю где подцепил я урода, лезущего в com-файлы. Был сделан коряво - заражал COM повторно при каждом запуске. Клизма для него не нашлась, пришлось сесть за дебаггер. Нашел точку перехвата, тело. Написал прогу для выкусывания. Блин! На некоторых файлах приходилось по 100 раз шаманить, пока не сдох. Лозинский отреагировал через 6 недель...
| QUOTE (arakula @ 20.12.2008 - время: 11:03) |
| я ловец редких вирусов) так уж получилось если windows юзаю. Год назад чернобаля на лицензионом диске с игрой поймала. А на днях Цигу успела заразить больше 1000 файлов симптомы зразу незаметила. В итоге винды у меня больше нету))Ток Линуксу юзаю |
Если я не ошибаюсь, то чернобыль (он же ВинЧих) работает только на файловых системах типа ФАТ. Сейчас почти все винды - ХР, которые очень хорошо работают с NTFS, на которых Чих не живет.
Вот тут кое-что:
http://www.antivirus.ru/WinCIH.html
Удивительное детектирование:
http://www.virustotal.com/ru/analisis/28db...6c3285c9defa7f6
Только 6 антивирусов из 38 определили его как троян. Никакого вредоносного действия я за ним не заметил, но тем не менее. Жаль, в eset нельзя на ознакомление послать)
| QUOTE (Vertigo @ 02.01.2009 - время: 02:08) |
| Сейчас трояна подцепил. Ну и отловил сразу. |
На Касперского.значит,переходи...Или на DrWeb.
Conficker.ab
Блин, завтра придется рукоблудить - юзера не накатывали обновлений сколь времени.... Ну и искать достойный инструментарий :) для мочилова...
Зоопарк у меня еще тот 2000,Vista 32/64, Xp 32/64... ну и линухи (но они святое :) )
А на утро комп просто отказался загружаться, ну так вот отвез его в магазин где покупал, гарантия была 2 года, а прошел год, ну а там говорят у вас "Чернобыльский вирус", а поскольку биос не защищенный был - он весь биос и переписал, короче пришлось на прошивку деньги давать (не гарантийный случай типа). У брата такая же фигня была- машина отказалась запускаться, с одной только разницей прошивку вирусу у него не удалось переписать до конца- она была защищена от перепрошивки, поэтому он просто переустановил виндос предварительно затерев HD.
Вот такая история и себе испортил и брату помог
Сейчас стоит Outpost Antivirus Pro (уже полгода), пока еще ни одну заразу не пропустил на комп, один раз было (в самом начале когда купил только это антивирус всего за 450руб.), но тогда я сам виноват установки были по умолчанию посталены т.е. на минимум. Сейчас загнал их на максимум, любое стороннее приложение внутри компьютера и его изменение фиксирует и мне сообщает я ему подтверждаю что в следующий раз не обращал на это если я не в интернете и все. Зато тьфу-тьфу-тьфу пока ничего не схватил, пару сайтов он забанил там в оболочку вирусы встроены были.
Это сообщение отредактировал necron - 31-01-2009 - 23:47
Наибольшую известность получили два backdoor`а: NetBus и BackOrifice (BO). BO - более функциональный (его написал "Культ мертвой коровы"), но NetBus более прост в обращении.
Вообщем после того как какая то разновидность установилась на компьютере напрочь вырубается Каспер (не знаю точно был ли он включен на момент заражения так как мне его уже привезли таким) Винда начинает тормозить просто по страшному. пытался его удалить ничего не вышло пришлось винду переустанавливать. Вот такая история вышла.
Это сообщение отредактировал heep25 - 10-02-2009 - 12:33
сам себе нашел пробле кучуПолучить код этого сета
Вот такое сообщение я получил на экране. Помогла только переустановка Винды
Установил брузер ГУГЛ ХРОМ (чтобы вирусы не лезли), теперь на форуме не слушаются теги - вместо того места, где курсор, они появляются в самом страницы, после текста. Кроме того, не открываются видеофайлы.
Можно ли решить проблему и как?
скрытый текст
| QUOTE (JeyLo @ 13.02.2010 - время: 21:36) |
| Не используйте хром, он следит. :) |
JeyLo ! Ничего не понял
Поставил Mozilla - тот же результат - теги не становятся куда надо в текст, а только после текста - в чем причина-то?
С Explorer проблем не было
Это сообщение отредактировал Welldy - 14-02-2010 - 09:06
| QUOTE (Roman-Son @ 14.02.2010 - время: 01:27) |
| Welldy а что мешает скопировать теги и вставить в нужное место. я так на опере постоянно делаю ) |
Roman-Son! Не мешает ничего
можно не использовать теги, а если постараться, то можно вообще не включать компьютер - для здоровья выйдет польза Я правильно понимаю, что во во всех браузерах, кроме Explorer, теги не работают?
Или есть где-то какая-то настройка?
И смайлики тоже становятся только в конце текста
Это сообщение отредактировал Welldy - 14-02-2010 - 09:07
| QUOTE (Welldy @ 14.02.2010 - время: 08:05) |
| Я правильно понимаю, что во во всех браузерах, кроме Explorer, теги не работают? Или есть где-то какая-то настройка? |
Хоспади... Эт такая мелочь
За мнимую безопасность, которую дают не "ie" браузеры :)Но всегда можно использовать расширшительные плагины.
| QUOTE (Пивован @ 25.12.2008 - время: 20:45) |
Самых гадостей я натерпелся еще от DOS/Win95 вирусов. Первые стелсы - Dir, One Half. Курочили инфу напрочь - шифровали, Инета не было по определению, авири таскались энтузиастами из столицы... Ох! сколько всего было потеряно! Но были и победы. Уж не знаю где подцепил я урода, лезущего в com-файлы. Был сделан коряво - заражал COM повторно при каждом запуске. Клизма для него не нашлась, пришлось сесть за дебаггер. Нашел точку перехвата, тело. Написал прогу для выкусывания. Блин! На некоторых файлах приходилось по 100 раз шаманить, пока не сдох. Лозинский отреагировал через 6 недель... |
Эхх...
*затягиваясь беломориной*
Судя по признакам, эта вещь называлась "XPEH-тчк-чегототам" С тех пор не люблю "МФТИ". И его выпускников. А от слова "Aids-test" становится тепло на душе. :)
PS: полезный reg-файл для восстановления работоспособности безопасного режима, убитого вирусами.
(пароль: sxnarod.com)
Это сообщение отредактировал allka4 - 10-01-2014 - 19:57
периодически ловлю, лечу каспером, серьёзных проблем вроде не было
Серьёзных проблем,слава богу,тоже не было.Постоянно ловлю гадов,лечу,правда,пару раз пришлось переписать систему,но,так как всё важное держу отдельно,то не беру в голову