|
|
|
|
Железный канал: «Антивирусы, комплексные системы защиты #1» |
|
|
|
VRus
 647 EGP
   
Рейтинг канала: 2(17)
Репутация: 247
Сообщения: 5276
Откуда: Москва
Зарегистрирован: 24.06.2001
  |
|
Пару месяцев назад приносили такую же. На флехе сидит вирь, файлы с флехи не удаляются на чистом компе. Не форматируется.
Не форматируется с помощью утилиты flashnul. дальше было влом копать.
Возможно, отформатится с помощью родных утилит для форматирования флехи, попробуй.
Глянь сюды:
http://forum.oszone.net/thread-65871.html
PS: Слышал мнение, что вири научились в фирмварь флехи влезать 
|
|
|
|
Gward
 310 EGP
Рейтинг канала: 5(180)
Репутация: 75
Сообщения: 1307
Откуда: Ставрополь
Зарегистрирован: 11.06.2004
 |
|
| VRus : |
|
Слышал мнение, что вири научились в фирмварь флехи влезать
|
Эт врятли! (с) Сухов
Влезть то оно влезет, а вот что оно дальше буит делать на 2-3 килобайтах (если они там еще и есть).
Время кодинга в АСМе прошло походу. Нонешние вирусы толстые, а по сравнению с прошлым вообще как динозавры рядом с муравьями.
Ну, а убивать вирусу флеху. Я прям не знаю. Все равно что пилить сук на котором сидишь. 
|
|
|
|
Rept-Tile
150 EGP
  
Рейтинг канала: 3(38)
Репутация: 55
Сообщения: 240
Откуда: Москва
Зарегистрирован: 08.11.2007
|
|
| Gward : |
|
а вот что оно дальше буит делать на 2-3 килобайтах
|
Ууу.. похоже, не мне тебе объяснять, чего только нельзя сделать на 2-3 килобайтах.  Для дроппера (+допционально - деструктора) вполне достаточно.
| Gward : |
|
Время кодинга в АСМе прошло походу. Нонешние вирусы толстые
|
Надо будет - вспомнится. Вирусы (хотя строго говоря, это уже не вирусы) сейчас не толстые, а коммерческие. Будет запрос -> будет выгода -> будет благодатная почва -> будут писать и на ASMе. Чай, не глупее нашего поколения.
|
|
|
|
Gward
310 EGP
Рейтинг канала: 5(180)
Репутация: 75
Сообщения: 1307
Откуда: Ставрополь
Зарегистрирован: 11.06.2004
|
|
| Rept-Tile : |
|
Ууу.. похоже, не мне тебе объяснять, чего только нельзя сделать на 2-3 килобайтах.
|
Не надо.  Помню свое полное опупение от того сколько именно исполняемого кода содержится в Си-скомпиленной экзехе, а сколько откровенного шлака. Хоть я конечно уже сто лет сам не кодил, так, базис помню.
И от своей первой встречи с авторанами долго катался со смеху. Правда потом стало не до смеха, но функционал авторанов особо не радует сильной стороной. Правда должен оговориться, чем дальше в лес, тем толще партизаны.
Насчет 2 килобайт это так, от балды. Вполне возможно что сам фирмваре занимает десятки, максимум сотню байт плюс уже заполненных инфой. Там и инфы то раз-два и обчелся. Сотни байт за глаза.
Хотя конечно это все просто конкретное ИМХО! 
|
|
|
|
HeadHunter
2835 EGP
          
Рейтинг канала: 5(169)
Репутация: 540
Сообщения: 16365
Откуда: The Dark Wheel
Зарегистрирован: 13.12.2005
|
|
Гм.. врядли поможет.. но один из "неудаляемых" вирусов я недавно
удалил сменив его имя.. а для второго вируса сначала переименовал
папку (может после этого и комп перезагрузил), а потом и файл - и удалил..
Фихня, конечно.. но мало ли.. 
_________________
..А поверх седых облаков
Синь - соколиная высь.
Здесь, под покровом небес
Мы родились..
Последний раз редактировалось: HeadHunter (19:18 25-02-2009), всего редактировалось 1 раз |
|
|
|
McRousseaux
 845 EGP
   
Рейтинг канала: 1(2)
Репутация: 210
Сообщения: 6931 Предупреждений: 1
Откуда: ) и все мы
Зарегистрирован: 31.01.2005
|
|
| HeadHunter : |
один из "неудаляемых" вирусов я недавно
удалил сменив его имя.
|
тупо переименовал экзешник?
Зы: Ждём реакции Поциента на введённые препараты.
_________________
МакРуссо, он же Мак, он же Руссо.
Пират, контрабандист. Отличается пристрастием к рому.
Характер скверный.
Не женат. |
|
|
|
HeadHunter
2835 EGP
Рейтинг канала: 5(169)
Репутация: 540
Сообщения: 16365
Откуда: The Dark Wheel
Зарегистрирован: 13.12.2005
|
|
| McRousseaux : |
|
тупо переименовал экзешник?
|
Ага.. У одного из них сначала содержащие его папки переименовал, вроде.. и перезагрузил комп. Т.к. в "оригинальной" папке он переименовываться не хотел.
А второй немного посопротивлялся, но после очередной попытки переименовать - все-таки переименовался.
..но я не помню что за вирусы были..
Каспер тоже удалять не хотел - но.. может я его не обновлял долго..
Про один из тех вирусов в инете тогда читал -
народ его выковырять не мог.. Какие-то схемы давали как
его, вроде, через реестр приструнить.
Не в тему: недавно давал знакомому флешку для ребенка - что-то
в школу отнести. По возвращению из школы выловили с
флешки 9 вирусов.. Почистил. Потом опять сносили в школу - опять набились..
_________________
..А поверх седых облаков
Синь - соколиная высь.
Здесь, под покровом небес
Мы родились..
Последний раз редактировалось: HeadHunter (00:07 26-02-2009), всего редактировалось 3 раз(а) |
|
|
|
Mothman
 1416 EGP
Рейтинг канала: 5(159)
Репутация: 392
Сообщения: 3419
Откуда: Пятигорск
Зарегистрирован: 26.11.2006
|
|
| McRousseaux : |
|
...- флеха имеет переключатель защиты от записи?
|
нет
| Rept-Tile : |
|
1) Оффлайн-проверку винтов в зубы прежде всего.
|
провел проверку всех винтов (почти сутки хрустели)
результат таков: помимо завсегдатых вирусо-жителей компа был найден подобный троянец
путь С:\Documents and Settings\All Users\Application Data\msvd32srv\msrmon.exe
размер 788992 байт
распознан ESET Smart Security как Win32/Inject.NCD троянская программа
| Rept-Tile : |
|
2) На всякий случай, авторан полностью задавлен?
|
нет, поздно
| Rept-Tile : |
|
3) Покопать на антивирусных форумах новости за последние несколько дней. Увы, самому просто физически некогда.
|
датирован добавлен в антивирусную базу 26.01.2009
| redona : |
|
liveCD от доктора веба тебе в помощь, заточен под линухом
|
Спасибо! самому ленива было искать
Спасибо, с помощью утилитки JF RecoveryTool флешка форматнулась теперь все работает и не глючит, посмотрю что дальше будет после очередного возвращения флехи домой
утилиты live cd готовы для экспериментирования отложены до следующих времен
| McRousseaux : |
|
Зы: Ждём реакции Поциента на введённые препараты.
|
препарат подействовал, пациент ожил, кардиограмма в норме
|
|
|
|
SecondShadow
365 EGP
Рейтинг канала: 6(375)
Репутация: -4
Сообщения: 1454 Заблокирован
Откуда: Бийск. Алтай.
Зарегистрирован: 09.02.2008
|
|
Сбой флешки однако. У меня такое было. Лечу отсюда www.flashboot.ru
_________________
Склероз - классная болезнь, ничего не болит и новости каждый день. |
|
|
|
McRousseaux
845 EGP
Рейтинг канала: 1(2)
Репутация: 210
Сообщения: 6931 Предупреждений: 1
Откуда: ) и все мы
Зарегистрирован: 31.01.2005
|
|
| Mothman : |
|
препарат подействовал, пациент ожил, кардиограмма в норме
|
Ну и ладненько. Выздоравливайте.
На правах оффтопа (можно конечно и в хумор, но отпишу здесь)
Почему я про этот переключатель (зщиты от записи) вспомнил.
Нужно было скинуть инфу на комп, который предположительно являлся рассадником копьютерного секаса самых различных версий и направлений. Для этого я спецом взял флэху с защитой от записи у камрадов, переписал на неё нужную инфу, поэкспериментировал с этим переключателем (а действительно ли он защищает от записи чего-бы-то-ни-было на флеху), убедился, защищает.
А теперь вопрос на миллион!
Догадайтесь с одного раза, когда я воткнул эту флеху в целевой комп, в каком положении находился переключатель?
...
пральна... запись разрешена... заигрался блин, и не отследил.
_________________
МакРуссо, он же Мак, он же Руссо.
Пират, контрабандист. Отличается пристрастием к рому.
Характер скверный.
Не женат.
Последний раз редактировалось: McRousseaux (00:34 27-02-2009), всего редактировалось 1 раз |
|
|
|
Rept-Tile
150 EGP
Рейтинг канала: 3(38)
Репутация: 55
Сообщения: 240
Откуда: Москва
Зарегистрирован: 08.11.2007
|
|
| Mothman : |
С:\Documents and Settings\All Users\Application Data\msvd32srv\msrmon.exe
размер 788992 байт
распознан ESET Smart Security как Win32/Inject.NCD троянская программа
|
Эмм.. мне этот зверек незнаком. Не осталось экзешника, чтобы классифицировать его другими утилитами? Или отправь мне в запароленном архиве, если остался. Заинтриговал - хочется уточнить, не он ли все-таки отключал девайс при попытке его удаления или стандартного формата.
В любом случае - рад, что ты снова в строю и с флешкой.
добавлено спустя 2 минуты:
| Mothman : |
| Rept-Tile : |
|
2) На всякий случай, авторан полностью задавлен?
|
нет, поздно
|
Никогда не поздно (это намек).
Последний раз редактировалось: Rept-Tile (00:58 27-02-2009), всего редактировалось 2 раз(а) |
|
|
|
Mothman
1416 EGP
Рейтинг канала: 5(159)
Репутация: 392
Сообщения: 3419
Откуда: Пятигорск
Зарегистрирован: 26.11.2006
|
|
| Rept-Tile : |
|
Не осталось экзешника, чтобы классифицировать его другими утилитами?
|
Источник локальной эпидемии найден, на другом компе с которого его принесли
просканировал портативным вебом вот результат:
| Rept-Tile : |
|
Или отправь мне в запароленном архиве, если остался. Заинтриговал - хочется уточнить, не он ли все-таки отключал девайс при попытке его удаления или стандартного формата.
|
троянец остался, вышлю
|
|
|
|
Sabo
884 EGP
Рейтинг канала: 3(30)
Репутация: 228
Сообщения: 1163
Откуда: Краснодар
Зарегистрирован: 22.05.2003
|
|
Намотал я свежий висус... как это водится - на флешку. Глянул в инете - про эту гадость написано только на http://forum.mlzone.ru/index.php?showtopic=2167&st=220&gopid=65053&#entry65053 и написано, что Каспер его не лечит и даже не обнаруживает. Стало быть, появилось это недавно, посему решил поделиться с народом
Поскольку у меня дома, и на Тотал Командере и в свойствах папок проводника включено "Показывать скрытые и системные файлы", я довольно быстро обнаружил свеженький файлик autorun.inf в корневых каталогов съёмных носителей... В том же Тотале, глянул, куда он кажет... Оказалось - в папку "RECYCLER" - файлик "whatulikelol.exe" Попытался тупо их удалить - и "авторан" и экзешник... Фигушки! тут же, секунды через три,восстанавливаются... Далее - пошёл проторенным путём, испытанным в борьбе с трояном "csrcs":
1) Нажимаем Ctrl+Alt+Del, смотрим вкладку "Процессы" и видим там, запущенный от имени юзера, процесс "shvhost" (не путать с "svchost"!), которого раньше на моём компе не было, и завершаем его.
2) Кнопка "Пуск" -> "Выполнить" -> regedit, забиваем в "Поиск" "shvhost.exe" (без кавычек) и сносим соответствующую запись, не забыв глянуть, куда она указывала. Действие сие нужно производить осторожно... а то я как-то после ошибочных резких движений в реестре систему переустанавливал...
3) В папке "WINDOWS" находим и убиваем файлик "shvhost.exe" (именно туда указывала запись в реестре).
4) На всех съёмных носителях, в корневом каталоге, убиваем "autorun.inf" и в папке "RECYCLER" - файлик "whatulikelol.exe"
5) После перезагрузки проверяем - если всё сделано правильно, эта гадость уже не появляется
_________________
Стрельба - это тоже передача мыслей на расстояниe... (с)Анатолий МАРКУША "Большие неприятности" - повесть в журнале "Костёр" 80-х годов.
Последний раз редактировалось: Sabo (16:06 07-03-2009), всего редактировалось 3 раз(а) |
|
|
|
Lars
440 EGP
Рейтинг канала: 6(253)
Репутация: 77
Сообщения: 2450
Откуда: Архангельск
Зарегистрирован: 28.03.2007
|
|
Очередной тупой вирь 
| Sabo : |
|
2) Кнопка "Пуск" -> "Выполнить" -> regedit, забиваем в "Поиск" "shvhost.exe" (без кавычек) и сносим соответствующую запись, не забыв глянуть, куда она указывала. Действие сие нужно производить осторожно... а то я как-то после ошибочных резких движений в реестре систему переустанавливал...
|
Похоже можно проще, запустить msconfig и грохнуть его в автозагрузке
_________________
"Мозги... нам нужны мозги!"(с) "Живые мертвецы" |
|
|
|
Sabo
884 EGP
Рейтинг канала: 3(30)
Репутация: 228
Сообщения: 1163
Откуда: Краснодар
Зарегистрирован: 22.05.2003
|
|
Возможно...) Тем более - это когда знаешь, что нужно убивать... У меня же стояла задача найти, где оно гнездится
_________________
Стрельба - это тоже передача мыслей на расстояниe... (с)Анатолий МАРКУША "Большие неприятности" - повесть в журнале "Костёр" 80-х годов.
Последний раз редактировалось: Sabo (16:31 07-03-2009), всего редактировалось 1 раз |
|
|
|
Gward
310 EGP
Рейтинг канала: 5(180)
Репутация: 75
Сообщения: 1307
Откуда: Ставрополь
Зарегистрирован: 11.06.2004
|
|
| Lars : |
|
Похоже можно проще, запустить msconfig и грохнуть его в автозагрузке
|
Нельзя. Сначала надо грохнуть в процессах, это базис. Иначе в большой вероятностью он себя восстановит как на винтах в авторане, так и в реестре в автозагрузке. Ну и ессно искать такие "тупые", но злобные вири проводником винды - это полный неадекват.
| Sabo : |
|
У меня же стояла задача найти, где оно гнездится
|
Угу. Только надо было точнее сказать, что надо искать процессы нетипичные для обычных процессов в памяти, или похожие, но не те. Плюс встречаются вири тройного запуска. То есть то что висит в процессах уже есть дочерняя программа. А тело вируса может быть даже не в рециклере. Авторан->Рециклер->Процесс1->Процесс2 Второй ты в процессах увидишь конечно.
Вообще есть два простых правила для таких вещей. Открывать флехи только через TC с включенным предосмотром скрытых файлов. (Предосмотр на линухе и маках уж если есть на то возможность) Ну и из раздела дурного пилотажа - помнить те процессы, что запускаются виндой. К тому же своевременная очистка автозапуска в msconfig от необязательных процессов зачастую дает нехилый прирост к скорости системы.
Стоит конечно еще входить в систему не под админской учеткой, но кто этим пользуется.
|
|
|
|
Lars
440 EGP
Рейтинг канала: 6(253)
Репутация: 77
Сообщения: 2450
Откуда: Архангельск
Зарегистрирован: 28.03.2007
|
|
| Gward : |
|
Нельзя. Сначала надо грохнуть в процессах
|
Я написал замену только второму пункту
_________________
"Мозги... нам нужны мозги!"(с) "Живые мертвецы" |
|
|
|
Gward
310 EGP
Рейтинг канала: 5(180)
Репутация: 75
Сообщения: 1307
Откуда: Ставрополь
Зарегистрирован: 11.06.2004
|
|
| Lars : |
|
Я написал замену только второму пункту
|
Тоже спорно. Я например не заметил что это конкретно ко второму пункту относится.
Я конечно и сам тупо так делаю, но иногда потом вирь может "всплыть" в службах, да и вообще лучше тотальной гребенкой пройтись в общем-то.
|
|
|
|
Sabo
884 EGP
Рейтинг канала: 3(30)
Репутация: 228
Сообщения: 1163
Откуда: Краснодар
Зарегистрирован: 22.05.2003
|
|
| Gward : |
|
Только надо было точнее сказать, что надо искать процессы нетипичные для обычных процессов в памяти, или похожие, но не те.
|
Я именно это и сказал :
| Sabo : |
|
видим там, запущенный от имени юзера, процесс "shvhost" (не путать с "svchost"!), которого раньше на моём компе не было
|
_________________
Стрельба - это тоже передача мыслей на расстояниe... (с)Анатолий МАРКУША "Большие неприятности" - повесть в журнале "Костёр" 80-х годов. |
|
|
|
Gward
310 EGP
Рейтинг канала: 5(180)
Репутация: 75
Сообщения: 1307
Откуда: Ставрополь
Зарегистрирован: 11.06.2004
|
|
| Sabo : |
|
Я именно это и сказал
|
Только вот одним shvhost дело то не ограничивается. Плюс иногда вполне знакомые svchost и ctfmon могут оказаться копиями оригиналов, только запускаться совсем из других мест. Больше всего умилил ctfmon в банальной автозагрузке меню "Пуск->Программы->Автозагрузка"
|
|
|
|
|
|
|
|
|
Железный канал: «Антивирусы, комплексные системы защиты #1» |
|
|
