Суровые антивирусные будни

May. 22nd, 2010 03:59 pm
vedmed: (Default)
[personal profile] vedmed
Впервые попался троян, с которым пока ничего не могу сделать. Уж по всякому ковырял - тремя разными антивирусными дисками, под Линуксом которые, проходил, и с Win PE грузился, там шерстил - ничего не выходит. Все проклятые девки глядят со своими сисьгами. Щас с Virusinfo работаю :) Подогнали бета-версию CureIt - загрузился под LiveCD, запустил, посмотрим, чего найдёт.

Девки. "Будем рейтинг сисьгами поднимть" © один мой френд :)




UPD. Работоспособность системы восстановлена, завтра зачищать и шлифовать, а также учить хозяйку машины правилам сетевой гигиены :)
Подробности восстановления опишу тоже завтра.
Tags:
  • Add Memory
  • Share This Entry
Threaded | Top-Level Comments Only

Date: 2010-05-22 10:19 am (UTC)
From: [identity profile] vedmed1969.livejournal.com
это не мои бабы-то :), более того, я даже не за деньги этим случаем занимаюсь - комп учительницы моей дочери, надо помочь, сама понимаешь :)
Стойкие попались в этот раз, раньше быстро ломались, а тут второй день ковыряюсь.

Date: 2010-05-22 10:32 am (UTC)
From: [identity profile] shagron2.livejournal.com
А дорого хотят за смс?Я в прошлом году отдал 300 р.

Date: 2010-05-22 10:39 am (UTC)
From: [identity profile] vedmed1969.livejournal.com
понятия не имею :)

Date: 2010-05-22 10:45 am (UTC)
From: [identity profile] shagron2.livejournal.com
Кстати, у меня это сработало.Больше картинок не было.

Date: 2010-05-22 10:54 am (UTC)
From: [identity profile] vedmed1969.livejournal.com
ты после этого профилактику провел? Антивирус + AVZ + HijackThis ? Троян-то никуда не делся, он просто разблокировал систему, и всё...

Date: 2010-05-22 10:59 am (UTC)
From: [identity profile] shagron2.livejournal.com
Систему переустановил.:)
Кстати, Эр-телеком как-то хитро трафик считает.Скорость мне уже зарезали:(

Date: 2010-05-22 11:04 am (UTC)
From: [identity profile] vedmed1969.livejournal.com
сильно зарезали-то?

Date: 2010-05-22 11:33 am (UTC)
From: [identity profile] alexjourba.livejournal.com
UserInit=C:\WINDOWS\system32\userinit.exe
Как-то ломал что-то схожее. Загрузился из под ERD-commander и исправил 2 строки в реестре на их верные значения.
После этого все заработало. Там вся фигня в userinit.
Но точного рецепта не записал, увы. Искал решение по названию троянов.

Date: 2010-05-22 11:37 am (UTC)
From: [identity profile] vedmed1969.livejournal.com
по какой-то причине LiveCD, в котором у меня есть ERD Commander, не дает копаться в реестре. Скачас сам ERD Commander, попробую поправить, если чо. Где править, я знаю :)

Date: 2010-05-22 12:02 pm (UTC)
From: [identity profile] periskop.livejournal.com
Так. Без паники. Заходим сюда, выкачиваем Троян Ремувер:
http://www.simplysup.com/

Затем лечим регистр.

Date: 2010-05-22 12:05 pm (UTC)
From: [identity profile] vedmed1969.livejournal.com
Серег, это не мой компьютер, какая паника :)
Троян Ремувер эта гадость распознает и не даёт запускать, так же, как и любую антивирусную оснастку вообще, так же как и диспетчер задач, редактор реестра и прочее...

Спасибо за участие! Разберемся :)

Date: 2010-05-22 12:21 pm (UTC)
From: [identity profile] il-e.livejournal.com
всё проще.

тем более баннер не на весь экран.

члены моей семьи часто ловят подобные штуки - несколько раз избавлялся удалением файлов изменённых/созданных за последние сутки.

там в папочке windows и внутри её ещё system32

Date: 2010-05-22 12:24 pm (UTC)
From: [identity profile] vedmed1969.livejournal.com
на этот раз нифига не проще - ничего не даёт делать

Date: 2010-05-22 12:25 pm (UTC)
From: [identity profile] il-e.livejournal.com
ну тогда наверное live cd только прогонять..

Date: 2010-05-22 12:27 pm (UTC)
From: [identity profile] vedmed1969.livejournal.com
я ж писал, не помогает :) Комплексное лечение провожу :)

Date: 2010-05-22 12:28 pm (UTC)
From: [identity profile] il-e.livejournal.com
ясно. ну.. успехов скорейших.. чего могу пожелать.

и поста - какой метод помог :)

Date: 2010-05-22 01:16 pm (UTC)
From: [identity profile] enoden.livejournal.com
combofix, если больше ничего не поможет.

Date: 2010-05-22 01:25 pm (UTC)
From: [identity profile] silver-ktulhu.livejournal.com
Да, результат истории хотелось бы прочитать )))
Сам ни разу не сталкивался, ограничиваюсь проверенными ссылками )))
Но и то изредка бывало (на айпапке пару раз напарывался на безобидную табличку, убираемую перезагрузкой браузера)

Date: 2010-05-22 01:56 pm (UTC)
From: [identity profile] vedmed1969.livejournal.com
есть один способ, который, конечно, 100-процентной гарантии не даёт - работать не под администратором. У меня админская учетная запись - не для работы в Инете, а довольно большая часть программ запускается "от имени". Тьфу-тьфу, вроде ничего так, помогает.

Date: 2010-05-22 01:56 pm (UTC)
From: [identity profile] vedmed1969.livejournal.com
посмотрим там

Date: 2010-05-22 02:23 pm (UTC)
From: [identity profile] maratakh.livejournal.com
А откатиться до старой точки восстановления не пробовал?

Date: 2010-05-22 02:24 pm (UTC)
From: [identity profile] wolff1975.livejournal.com
Старый надёжный майкрософтовский антивирус поможет. Называется format.com :-)

Date: 2010-05-22 03:50 pm (UTC)
From: [identity profile] shagron2.livejournal.com
До 2 мегабит:(

Date: 2010-05-22 05:55 pm (UTC)
From: [identity profile] bolshoymike.livejournal.com
Хорошо хоть, не на своем компе попал.

Date: 2010-05-22 06:03 pm (UTC)
From: [identity profile] vedmed1969.livejournal.com
я на своём-то предохраняюсь - как именно, я в комментах выше писал.

В общем, новый CureIt отработал прекрасно, кучу всякого нашел, восстановление системы через AVZ я провёл, ну и хватит на сегодня - завтра дочищу, как раз нужный скрипт для AVZ напишут :)

Date: 2010-05-22 06:04 pm (UTC)
From: [identity profile] vedmed1969.livejournal.com
не даёт. Службу востановления зловред отключил :)

Date: 2010-05-22 06:04 pm (UTC)
From: [identity profile] vedmed1969.livejournal.com
это неспортивно

Date: 2010-05-22 06:35 pm (UTC)
From: [identity profile] rexroth.livejournal.com
В реестр в таких случаях можно залезть (прибив действие трояна на считанные секунды), поковыряв с помощью gpedit.msc в настройках групповых политик, там же и диспетчер задач врубить можно (опять же нужно быстро-быстро)... Но в случае баннера на весь экран только CureIt запустив вслепую....Не завидую...

Date: 2010-05-22 06:39 pm (UTC)
From: [identity profile] vedmed1969.livejournal.com
в ...надцатый раз говорю - не пускал ни в реестр, ни в диспетчер. Про gpedit.msc писало каку-то фигню типа обратиться к администратору :)

Завтра опишу все, как было.

Date: 2010-05-22 08:42 pm (UTC)
From: [identity profile] one-russian.livejournal.com
http://www.drweb.com/unlocker/index

Вот так оно вообще просто.

Date: 2010-05-23 03:31 am (UTC)
From: [identity profile] vedmed1969.livejournal.com
нет :)

Date: 2010-05-23 04:46 am (UTC)
From: [identity profile] dtn-ru.livejournal.com
Для лечения скачиваем и нарезаем загрузочный диск
http://www.freedrweb.com/livecd/
Чтобы включить отключенные злоумышленниками редакторы реестра, таскменелжеры и т.д.
Используем утилиту AVZ
http://z-oleg.com/

Date: 2010-05-23 04:55 am (UTC)
From: [identity profile] vedmed1969.livejournal.com
я знаю про AVZ, я грамоте училсо :)

Читай историю борьбы тут (http://virusinfo.info/showthread.php?t=79051)

Date: 2010-05-23 04:59 am (UTC)
From: [identity profile] vedmed1969.livejournal.com
в итоге таки да - http://virusinfo.info/showthread.php?t=79051

Date: 2010-05-23 06:43 am (UTC)
From: [identity profile] one-russian.livejournal.com
Не лечит ? Те что мимом меня пробегали с такой фигней - отучались свободно.

Date: 2010-05-23 06:49 am (UTC)
From: [identity profile] vedmed1969.livejournal.com
этот оказался крепким орешком :)

Combofix вам в помощь!!!

Date: 2010-05-23 01:59 pm (UTC)
From: (Anonymous)
Постоянно лечу у друзей эту дрянь Combofix'ом. Можт и вам поможет :)
Тока бойтесь подделок!
Оригинальная версия лежит тут - хттп://www.bleepingcomputer.com/combofix/how-to-use-combofix

Re: Combofix вам в помощь!!!

Date: 2010-05-23 03:30 pm (UTC)
From: [identity profile] vedmed1969.livejournal.com
спасибо, уже воспользовался.

Date: 2010-05-24 09:02 am (UTC)
From: [identity profile] sorry-chel.livejournal.com
порекомендовал бы в будущем использовать sandboxie.
но важно научить пользователя с ней работать.

когда пошла волна этих вирусов-блокираторов, специально искал надежное средство...
нашел sandboxie
поставил и 2 дня ходил по всем заразным сайтам.... пока не поймал зверушку...

лечение заняло несколько кликов мышью.

Date: 2010-05-24 09:58 am (UTC)
From: [identity profile] vedmed1969.livejournal.com
зачем пользователя учить? Не надо, пусть ко мне обращаются. :)
  • Add Memory
  • Share This Entry
Threaded | Top-Level Comments Only

Profile

vedmed: (Default)
vedmed
Ведмедь Инжиниринг

January 2026

S M T W T F S
     1 2 3
4 5 67 8910
11121314151617
18192021222324
25262728293031

Most Popular Tags

Page Summary

Style Credit

Expand Cut Tags

No cut tags
Page generated Feb. 2nd, 2026 09:52 am
Powered by Dreamwidth Studios