Компьютерные вирусы, трояны

15 years ago




короче такая фигня. Стоит антивирь Symantec Endpoint Protection. Преодически ругается на Троянов и выбрасывает таблицу результатов срабатывания защиты. Находит троянов которые селятся в папке temp с именем DWH*** вместо звёздочек любые символы. Помещает их в карантин. И через некоторое время, обычно после выхода компа из сна старая песня. Сканирования компа на предмет проги генерирующей трояны не даёт результатов. Что делать как отловить эту гадость и какими средствами?
posted image

avatar
Boryan
12 February 2009

Компьютерные вирусы, трояны
10,6K
views
103
members
378
posts

avatar
DoctorH
26 January 2010


1/2OFF если кому интересно, тот знакомый пробовал отправить эту SMS, на счету было 1500... так его оператор сообщил, что недостаточно средств для такого запроса
avatar
Taurus
26 January 2010


DoctorH
Это нормально! Они могут и все 4000 снять! А эту проблему с помощью профи компьютерщика стоит решить вплоть до 3500 тык!
avatar
MAKK
26 January 2010


Вчера появилась эта гадость с самого утра. Пробовал востановление системы - хрен. По совету спеца скачал одноразовый продуктвот тут. Загрузил с "реаниматора" и запустил эту прогу на ночь. С утра она предложила перегрузить комп в обычном режиме и самостоятельно самоликвидировалась с диска. Перегрузил. ВАХ! ПОМОГЛО! Да еще за одно всю вирусню повыковыривала и поправила глючивщий до этого IE8.
avatar
slr
26 January 2010


я помню такую хрень победил лишь по сетке с другого компа. Запустил удаленно AVZ с включенным гвардом и сам скрипт сделал на удаление всех подозрительных. Помогло - перегрузился и дочистил cure it

Вообще, штука противная - блокирует safe mode, блокирует все известные антивирусы и имитирует популярные процессы. Интернет-адреса антивирусников также блокируются
avatar
Taurus
26 January 2010


Блин, где вы находите все эти баннеры???
avatar
MAKK
26 January 2010


avatar
Taurus:

Блин, где вы находите все эти баннеры???

Тебе подкинуть парочку..? БЭзВозмездНо...
avatar
slr
26 January 2010


MAKK
кинь мне я посмотрю
avatar
Taurus
26 January 2010


Да не спасибо, восстановление системы лень запускать!
А че за сайты то?
avatar
без имени
26 January 2010


Не, серьезно, как вы это подхватываете?
Последние версии винды многократно спрашивают - "вы таки реально хотите запустить это хреновину из интернета и дать ей доступ к системным ресурсам?"
avatar
MAKK
26 January 2010


avatar
без имени:

Не, серьезно, как вы это подхватываете?
Последние версии винды многократно спрашивают - "вы таки реально хотите запустить это хреновину из интернета и дать ей доступ к системным ресурсам?"

Похоже, эта гадость не спрашивает разрещения... Последнюю неделю ничего не скачивал. Работал в поисковиках и естественно открывал интересующие ссылки... ХР (SP3) даже не крякнула по этому поводу.
avatar
без имени
26 January 2010


MAKK
такого не может быть, это наверняка установочный файл. Пусть ничего не скачивал, но запрос должен возникать, если какая то гадость через АктивХ или еще что полезет. Это на уровне системы. Или может какая дырка в IE?
avatar
Taurus
26 January 2010


без имени
Последние версии да, а там XP у них стоит по ходу делу...
avatar
Sarumjan
26 January 2010


avatar
без имени:

Не, серьезно, как вы это подхватываете?
Последние версии винды многократно спрашивают - "вы таки реально хотите запустить это хреновину из интернета и дать ей доступ к системным ресурсам?"

верно говоришь!
Помню в студенческие годы, когда были актуальны винды 95, 98, МЕ, а ручки в то же время были шаловливые, по сомнительным сайтам лазить любил - винду переставлял раз в два-три месяца..
Сейчас установлена виндовс XP уже года 4 без переустановок, жду не дождусь синего экрана, или чтоб вирус какой её сожрал, да я семерку поставлю - никак
avatar
Taurus
26 January 2010


Вот и жаждущий Sarumjan! Дайте ему ссылку где побольше всякой всячины гадкой!
П.С. у меня Виндовс 7
avatar
Alex Napoli
27 January 2010


Была таже самая хрень. На выходных поборол, благо сервак рядом стоит. Ввел в яндексе "вирус на номер 4460". И выдало, что номер принадлежит какой-то компании ( у нее название с каким-то агрегатом связано) и телеФон этой компании. Звоню, отвечает девушка, говорю что за хрень выскачела . Она называет пароль и вуаля, все работает. Потом вебом прогнал и удалил 9 троянов. Удачи!

звонил с городского!!!
avatar
DoctorH
27 January 2010


avatar
без имени:

MAKK
такого не может быть, это наверняка установочный файл. Пусть ничего не скачивал, но запрос должен возникать, если какая то гадость через АктивХ или еще что полезет. Это на уровне системы. Или может какая дырка в IE?

к сожалению этот троян ничего не спрашивает, и даже неизвестно когда ты на него подсел...
ЗЫ DOS 6.22 рулит!!!
avatar
canon3000
27 January 2010


сабака работает и в безопасном режиме, все коды, которые дал сайт касперского перебрал, не подходят. лечебные проги запустить не дает.

где поймал не знаю. ничего не устанавливал, но вот яву обновлял. касперский всегда был онлайн. стоит виндовз ХР и Опера 10
avatar
canon3000
27 January 2010


хитрая прога не дает просто так перебирать коды , а для каждого последующего ввода она берет все более длительный временной интервал.

скачал все что можно с др.веба. ща прогоняю. потом попробую АVZ .

наковырял он мне троян Winlock 938
avatar
без имени
27 January 2010


Сегодня на Бизнес ФМе рассказывали, что даже несмотря на многочисленные обращения в милицию, никто до сих пор не прикрыл эту контору, которой принадлежит короткий номер, на которые надо слать СМС, а без милиции сотовые операторы сами проявлять активность не хотят. Уж казалось бы что может быть проще, а нет, оказывается! Это к вопросу о нашей милиции, что обсуждалось днем в параллельной ветке.
avatar
Alex Napoli
27 January 2010


Как раз номер 4460 знають кому принадлеЖит, вроде как даже дело заведено!

-- Добавлено: Сегодня в 01:24
этого вируса идет привязка к дате! Соотв меняя дату будет меняться пароль.

-- Добавлено: Сегодня в 01:25
Потому что девушка по телефону интересовалась датой установленной на компе! После того как ввел пароль, в компе начались какие-то процессы, а результатом был синий экран. После перезагрузки все исчезло.

-- Добавлено: [mergetime]1264544956[/mergetime]
Чота криво получилось
avatar
canon3000
27 January 2010


я дату пробовал менять, но фигня не излечилась.

так чо, получается если позвонить по тел. 4460 то там девужка аля "техподдержка" ответит и поможет с паролем?
атвечай на мой атвет получается?
avatar
Derini
27 January 2010


цитата:
У меня была такая хрень я избавился от нее очень просто позвонил владельцу номера 4460 по телефону 8-800-555-01-02 (звонок по России бесплатный). Взяла трубку милая девушка я ей говорю че за ... давай мне ключ разблокировки и верни мне обратно мои деньги. Она дала мне ключ разблокировки и записала мои данные для возврата денег. Звонить туда не стесняйтесь, разговаривайте с наездом и обвиняйте их в мошенничестве. Удачи на дорогах!


дернул из комментов...
avatar
sereza
27 January 2010


о такая же фигня была. 2 дня голову ломал как избавится, уже хотел систему перестанавливать. но вот в интернете порылся нашел телефончик 8-495-363-14-27 (это как раз хозяин короткого номера 4660 А1агрегатор http://www.a1agregator.ru/, или вот такой 8 800 555 01 02), Звоните туда, говорите такая та фигня произошла, вам говорят код разблокировки, вводите его, что то происходит, потом перезагружается комп и все банер пропадает. потом почистить рееестр, прогнать антивирусами и комп работает. Уже дней 5 работает, ничего больше не вылезало.



Это самый простой путь, но можно и сложным пойти. Вот тут почитать много всего написано http://boltunishka.berserki.ru/. Кстати ни один генератор кодов не работает для этого вируса.
avatar
Sloon
27 January 2010


canon3000
Я на прошлой и на этой неделе штуки три таких вируса убил.
В основном они попадают на комп при заходе на зараженные сайты. Никаких запусков никаких программ делать ненадо. чтобы заразиться !!!
Поэтому и массовый бум вируса. Последние обновления вирусных баз вас защитят, но, конечно не со 100% вероятностью, так как вирусы пишут быстрее, чем их учатся лечить.

По - поводу лечения - запускаете компьютер с загрузочного диска и прогоняете утилитой CureIt (Dr.Web), а лучше утилитой AVZ, также в этой утилите есть команда в меню Файл - Восстановление системы, там устанавливаете галки на нужных параметрах и все работает - Диспетчер задач, регедит и т.п.
Далее перегружаетесь - при перезагрузке всегда синий экран даст. Не страшно.

После запускаетесь как обычно, если антивирус не убит, то обновляете его. Вот и все.

Обычно вирус сидит, как тут уже выше писали в юзерской папке Temp, в Windows\System32 лежит один .exe и могут по одному exe-шнику лежать в корнях жестких дисков.
avatar
miska
27 January 2010


Данные банеры вирусами не вляются поэтому всякая рень типа антивирусника ему не помеха, пользуйте бесплатные утилиты типа Dr.Web. На сайтах многих антивирусников есть генераторы кодов по номеру СМС. Ну и попробуйте в безопасном режиме удалить файл Plugin.exe
avatar
canon3000
27 January 2010


вобщем прогнал Др.Вебом , он нашел вирус как я уже писал,в 13 файлах с разрешением DLL. в папке Систем32 и папке Темп. потом прогнал еще АVZ с касперского, он нашел еще какой то троян в файле unist.exe или как то так.

после этого AVZ предложил удалится. я так и сделал, надеясь, что сейчас запущу лиц.касперского, обновлюсь и все будет ОК.

НО. Касперский так и не может запуститься, опять службы отключены. не работает даже CTRL+ALT+DEL. все пишет про недостаток прав.

подскажите, чо еще можно сделать. учетная запись у меня одна, а как войти как Администратор со всякими правами я не знаю. систему ставили давно и не я, если попросит какой пароль - у мене нет
avatar
Derini
27 January 2010


canon3000
вариант:
запустить Пуск-Выполнить
ввести cmd
написать команду net user Администратор /active:yes

Тогда можно попробовать войти под Админом. Пароля быть не должно...
avatar
sereza
27 January 2010


canon3000
блокировка диспетчера , служб и писанина про недостаток прав, + не показывает скрытые файлы - все это дело этого вируса, значит еще остался.

Банер удалился или нет? Если выскочит, звоните выше писал телефоны куда, скажут код разблокировки, потом чистить темпы все, и реестр, висит там он где то. Вот тут еще почитать можно
http://wiki.drweb.com/index.php/%D0%95%D1%...%B5%D0%BD%D0%BE canon3000
ну или вот тут вот: http://igorka.com.ua/2010/01/11/internet-security-virus/

кстати после захода под админом, вылезет этот банер
avatar
canon3000
27 January 2010


Derini
ок, спасибо, буду вечером пробовать

sereza
баннер пропал после Др.Веба.
Марат.
27 January 2010


Сегодня тоже такая же фигня была, в пол экрана баннер вылез, деньги собака просит за отключение, чего я только не пробовал, комп процентов на 50 не работает, история долгая как удалял, опишу концовку, нашёл путь через проводник, сидел в c:\documents and settings\1\local settings\application data\opera\opera\temporary_downloads\update_flash_player_x30 .exe , при его простом удалении комп виснуть начинал, так мин. 15 мучался, тут касперыч закричал (базы устарели) как только обновился сразу кричать стал что системе угражает опасность и показывает выше указанный файл, так я его удалил, после перегрузки всё окей.

1 person online

1 person online

Log in to leave a message or Sign up
Popular on website
Автобеседка
Зимние шины ч.2
FF3 эл.оборудование
Блок предохранителей (ВСМ)
FF2 эксплуатация
Выбираем АКБ для ФФ2
FF2 эксплуатация
Панель приборов
FF2 эксплуатация
Выжимной подшипник
FF2 эксплуатация
Система охлаждения


up