|
|
|
|
Железный канал: «Антивирусы, комплексные системы защиты #1» |
|
|
|
VRus
 648 EGP
   
Рейтинг канала: 2(17)
: 247
Posts: 5276
Location: Москва
Joined: 24 Jun 2001
  |
|
Пару месяцев назад приносили такую же. На флехе сидит вирь, файлы с флехи не удаляются на чистом компе. Не форматируется.
Не форматируется с помощью утилиты flashnul. дальше было влом копать.
Возможно, отформатится с помощью родных утилит для форматирования флехи, попробуй.
Глянь сюды:
http://forum.oszone.net/thread-65871.html
PS: Слышал мнение, что вири научились в фирмварь флехи влезать 
|
|
|
|
Gward
 310 EGP
Рейтинг канала: 5(180)
: 75
Posts: 1307
Location: Ставрополь
Joined: 11 Jun 2004
 |
|
| VRus wrote: |
|
Слышал мнение, что вири научились в фирмварь флехи влезать
|
Эт врятли! (с) Сухов
Влезть то оно влезет, а вот что оно дальше буит делать на 2-3 килобайтах (если они там еще и есть).
Время кодинга в АСМе прошло походу. Нонешние вирусы толстые, а по сравнению с прошлым вообще как динозавры рядом с муравьями.
Ну, а убивать вирусу флеху. Я прям не знаю. Все равно что пилить сук на котором сидишь. 
|
|
|
|
Rept-Tile
150 EGP
  
Рейтинг канала: 3(38)
: 55
Posts: 240
Location: Москва
Joined: 08 Nov 2007
|
|
| Gward wrote: |
|
а вот что оно дальше буит делать на 2-3 килобайтах
|
Ууу.. похоже, не мне тебе объяснять, чего только нельзя сделать на 2-3 килобайтах.  Для дроппера (+допционально - деструктора) вполне достаточно.
| Gward wrote: |
|
Время кодинга в АСМе прошло походу. Нонешние вирусы толстые
|
Надо будет - вспомнится. Вирусы (хотя строго говоря, это уже не вирусы) сейчас не толстые, а коммерческие. Будет запрос -> будет выгода -> будет благодатная почва -> будут писать и на ASMе. Чай, не глупее нашего поколения.
|
|
|
|
Gward
310 EGP
Рейтинг канала: 5(180)
: 75
Posts: 1307
Location: Ставрополь
Joined: 11 Jun 2004
|
|
| Rept-Tile wrote: |
|
Ууу.. похоже, не мне тебе объяснять, чего только нельзя сделать на 2-3 килобайтах.
|
Не надо.  Помню свое полное опупение от того сколько именно исполняемого кода содержится в Си-скомпиленной экзехе, а сколько откровенного шлака. Хоть я конечно уже сто лет сам не кодил, так, базис помню.
И от своей первой встречи с авторанами долго катался со смеху. Правда потом стало не до смеха, но функционал авторанов особо не радует сильной стороной. Правда должен оговориться, чем дальше в лес, тем толще партизаны.
Насчет 2 килобайт это так, от балды. Вполне возможно что сам фирмваре занимает десятки, максимум сотню байт плюс уже заполненных инфой. Там и инфы то раз-два и обчелся. Сотни байт за глаза.
Хотя конечно это все просто конкретное ИМХО! 
|
|
|
|
HeadHunter
2835 EGP
          
Рейтинг канала: 5(169)
: 540
Posts: 16358
Location: The Dark Wheel
Joined: 13 Dec 2005
|
|
Гм.. врядли поможет.. но один из "неудаляемых" вирусов я недавно
удалил сменив его имя.. а для второго вируса сначала переименовал
папку (может после этого и комп перезагрузил), а потом и файл - и удалил..
Фихня, конечно.. но мало ли.. 
_________________
..А поверх седых облаков
Синь - соколиная высь.
Здесь, под покровом небес
Мы родились..
Last edited by HeadHunter on 19:18 25-02-2009; edited 1 time in total |
|
|
|
McRousseaux
 851 EGP
   
Рейтинг канала: 1(2)
: 210
Posts: 6933 Предупреждений: 1
Location: ) и все мы
Joined: 31 Jan 2005
|
|
| HeadHunter wrote: |
один из "неудаляемых" вирусов я недавно
удалил сменив его имя.
|
тупо переименовал экзешник?
Зы: Ждём реакции Поциента на введённые препараты.
_________________
МакРуссо, он же Мак, он же Руссо.
Пират, контрабандист. Отличается пристрастием к рому.
Характер скверный.
Не женат. |
|
|
|
HeadHunter
2835 EGP
Рейтинг канала: 5(169)
: 540
Posts: 16358
Location: The Dark Wheel
Joined: 13 Dec 2005
|
|
| McRousseaux wrote: |
|
тупо переименовал экзешник?
|
Ага.. У одного из них сначала содержащие его папки переименовал, вроде.. и перезагрузил комп. Т.к. в "оригинальной" папке он переименовываться не хотел.
А второй немного посопротивлялся, но после очередной попытки переименовать - все-таки переименовался.
..но я не помню что за вирусы были..
Каспер тоже удалять не хотел - но.. может я его не обновлял долго..
Про один из тех вирусов в инете тогда читал -
народ его выковырять не мог.. Какие-то схемы давали как
его, вроде, через реестр приструнить.
Не в тему: недавно давал знакомому флешку для ребенка - что-то
в школу отнести. По возвращению из школы выловили с
флешки 9 вирусов.. Почистил. Потом опять сносили в школу - опять набились..
_________________
..А поверх седых облаков
Синь - соколиная высь.
Здесь, под покровом небес
Мы родились..
Last edited by HeadHunter on 00:07 26-02-2009; edited 3 times in total |
|
|
|
Mothman
 1416 EGP
Рейтинг канала: 5(159)
: 394
Posts: 3421
Location: Пятигорск
Joined: 26 Nov 2006
|
|
| McRousseaux wrote: |
|
...- флеха имеет переключатель защиты от записи?
|
нет
| Rept-Tile wrote: |
|
1) Оффлайн-проверку винтов в зубы прежде всего.
|
провел проверку всех винтов (почти сутки хрустели)
результат таков: помимо завсегдатых вирусо-жителей компа был найден подобный троянец
путь С:\Documents and Settings\All Users\Application Data\msvd32srv\msrmon.exe
размер 788992 байт
распознан ESET Smart Security как Win32/Inject.NCD троянская программа
| Rept-Tile wrote: |
|
2) На всякий случай, авторан полностью задавлен?
|
нет, поздно
| Rept-Tile wrote: |
|
3) Покопать на антивирусных форумах новости за последние несколько дней. Увы, самому просто физически некогда.
|
датирован добавлен в антивирусную базу 26.01.2009
| redona wrote: |
|
liveCD от доктора веба тебе в помощь, заточен под линухом
|
Спасибо! самому ленива было искать
Спасибо, с помощью утилитки JF RecoveryTool флешка форматнулась теперь все работает и не глючит, посмотрю что дальше будет после очередного возвращения флехи домой
утилиты live cd готовы для экспериментирования отложены до следующих времен
| McRousseaux wrote: |
|
Зы: Ждём реакции Поциента на введённые препараты.
|
препарат подействовал, пациент ожил, кардиограмма в норме
|
|
|
|
SecondShadow
365 EGP
Рейтинг канала: 6(375)
: -4
Posts: 1454 Заблокирован
Location: Бийск. Алтай.
Joined: 09 Feb 2008
|
|
Сбой флешки однако. У меня такое было. Лечу отсюда www.flashboot.ru
_________________
Склероз - классная болезнь, ничего не болит и новости каждый день. |
|
|
|
McRousseaux
851 EGP
Рейтинг канала: 1(2)
: 210
Posts: 6933 Предупреждений: 1
Location: ) и все мы
Joined: 31 Jan 2005
|
|
| Mothman wrote: |
|
препарат подействовал, пациент ожил, кардиограмма в норме
|
Ну и ладненько. Выздоравливайте.
На правах оффтопа (можно конечно и в хумор, но отпишу здесь)
Почему я про этот переключатель (зщиты от записи) вспомнил.
Нужно было скинуть инфу на комп, который предположительно являлся рассадником копьютерного секаса самых различных версий и направлений. Для этого я спецом взял флэху с защитой от записи у камрадов, переписал на неё нужную инфу, поэкспериментировал с этим переключателем (а действительно ли он защищает от записи чего-бы-то-ни-было на флеху), убедился, защищает.
А теперь вопрос на миллион!
Догадайтесь с одного раза, когда я воткнул эту флеху в целевой комп, в каком положении находился переключатель?
...
пральна... запись разрешена... заигрался блин, и не отследил.
_________________
МакРуссо, он же Мак, он же Руссо.
Пират, контрабандист. Отличается пристрастием к рому.
Характер скверный.
Не женат.
Last edited by McRousseaux on 00:34 27-02-2009; edited 1 time in total |
|
|
|
Rept-Tile
150 EGP
Рейтинг канала: 3(38)
: 55
Posts: 240
Location: Москва
Joined: 08 Nov 2007
|
|
| Mothman wrote: |
С:\Documents and Settings\All Users\Application Data\msvd32srv\msrmon.exe
размер 788992 байт
распознан ESET Smart Security как Win32/Inject.NCD троянская программа
|
Эмм.. мне этот зверек незнаком. Не осталось экзешника, чтобы классифицировать его другими утилитами? Или отправь мне в запароленном архиве, если остался. Заинтриговал - хочется уточнить, не он ли все-таки отключал девайс при попытке его удаления или стандартного формата.
В любом случае - рад, что ты снова в строю и с флешкой.
добавлено спустя 2 минуты:
| Mothman wrote: |
| Rept-Tile wrote: |
|
2) На всякий случай, авторан полностью задавлен?
|
нет, поздно
|
Никогда не поздно (это намек).
Last edited by Rept-Tile on 00:58 27-02-2009; edited 2 times in total |
|
|
|
Mothman
1416 EGP
Рейтинг канала: 5(159)
: 394
Posts: 3421
Location: Пятигорск
Joined: 26 Nov 2006
|
|
| Rept-Tile wrote: |
|
Не осталось экзешника, чтобы классифицировать его другими утилитами?
|
Источник локальной эпидемии найден, на другом компе с которого его принесли
просканировал портативным вебом вот результат:
| Rept-Tile wrote: |
|
Или отправь мне в запароленном архиве, если остался. Заинтриговал - хочется уточнить, не он ли все-таки отключал девайс при попытке его удаления или стандартного формата.
|
троянец остался, вышлю
|
|
|
|
Sabo
884 EGP
Рейтинг канала: 3(30)
: 228
Posts: 1163
Location: Краснодар
Joined: 22 May 2003
|
|
Намотал я свежий висус... как это водится - на флешку. Глянул в инете - про эту гадость написано только на http://forum.mlzone.ru/index.php?showtopic=2167&st=220&gopid=65053&#entry65053 и написано, что Каспер его не лечит и даже не обнаруживает. Стало быть, появилось это недавно, посему решил поделиться с народом
Поскольку у меня дома, и на Тотал Командере и в свойствах папок проводника включено "Показывать скрытые и системные файлы", я довольно быстро обнаружил свеженький файлик autorun.inf в корневых каталогов съёмных носителей... В том же Тотале, глянул, куда он кажет... Оказалось - в папку "RECYCLER" - файлик "whatulikelol.exe" Попытался тупо их удалить - и "авторан" и экзешник... Фигушки! тут же, секунды через три,восстанавливаются... Далее - пошёл проторенным путём, испытанным в борьбе с трояном "csrcs":
1) Нажимаем Ctrl+Alt+Del, смотрим вкладку "Процессы" и видим там, запущенный от имени юзера, процесс "shvhost" (не путать с "svchost"!), которого раньше на моём компе не было, и завершаем его.
2) Кнопка "Пуск" -> "Выполнить" -> regedit, забиваем в "Поиск" "shvhost.exe" (без кавычек) и сносим соответствующую запись, не забыв глянуть, куда она указывала. Действие сие нужно производить осторожно... а то я как-то после ошибочных резких движений в реестре систему переустанавливал...
3) В папке "WINDOWS" находим и убиваем файлик "shvhost.exe" (именно туда указывала запись в реестре).
4) На всех съёмных носителях, в корневом каталоге, убиваем "autorun.inf" и в папке "RECYCLER" - файлик "whatulikelol.exe"
5) После перезагрузки проверяем - если всё сделано правильно, эта гадость уже не появляется
_________________
Стрельба - это тоже передача мыслей на расстояниe... (с)Анатолий МАРКУША "Большие неприятности" - повесть в журнале "Костёр" 80-х годов.
Last edited by Sabo on 16:06 07-03-2009; edited 3 times in total |
|
|
|
Lars
440 EGP
Рейтинг канала: 6(253)
: 77
Posts: 2450
Location: Архангельск
Joined: 28 Mar 2007
|
|
Очередной тупой вирь 
| Sabo wrote: |
|
2) Кнопка "Пуск" -> "Выполнить" -> regedit, забиваем в "Поиск" "shvhost.exe" (без кавычек) и сносим соответствующую запись, не забыв глянуть, куда она указывала. Действие сие нужно производить осторожно... а то я как-то после ошибочных резких движений в реестре систему переустанавливал...
|
Похоже можно проще, запустить msconfig и грохнуть его в автозагрузке
_________________
"Мозги... нам нужны мозги!"(с) "Живые мертвецы" |
|
|
|
Sabo
884 EGP
Рейтинг канала: 3(30)
: 228
Posts: 1163
Location: Краснодар
Joined: 22 May 2003
|
|
Возможно...) Тем более - это когда знаешь, что нужно убивать... У меня же стояла задача найти, где оно гнездится
_________________
Стрельба - это тоже передача мыслей на расстояниe... (с)Анатолий МАРКУША "Большие неприятности" - повесть в журнале "Костёр" 80-х годов.
Last edited by Sabo on 16:31 07-03-2009; edited 1 time in total |
|
|
|
Gward
310 EGP
Рейтинг канала: 5(180)
: 75
Posts: 1307
Location: Ставрополь
Joined: 11 Jun 2004
|
|
| Lars wrote: |
|
Похоже можно проще, запустить msconfig и грохнуть его в автозагрузке
|
Нельзя. Сначала надо грохнуть в процессах, это базис. Иначе в большой вероятностью он себя восстановит как на винтах в авторане, так и в реестре в автозагрузке. Ну и ессно искать такие "тупые", но злобные вири проводником винды - это полный неадекват.
| Sabo wrote: |
|
У меня же стояла задача найти, где оно гнездится
|
Угу. Только надо было точнее сказать, что надо искать процессы нетипичные для обычных процессов в памяти, или похожие, но не те. Плюс встречаются вири тройного запуска. То есть то что висит в процессах уже есть дочерняя программа. А тело вируса может быть даже не в рециклере. Авторан->Рециклер->Процесс1->Процесс2 Второй ты в процессах увидишь конечно.
Вообще есть два простых правила для таких вещей. Открывать флехи только через TC с включенным предосмотром скрытых файлов. (Предосмотр на линухе и маках уж если есть на то возможность) Ну и из раздела дурного пилотажа - помнить те процессы, что запускаются виндой. К тому же своевременная очистка автозапуска в msconfig от необязательных процессов зачастую дает нехилый прирост к скорости системы.
Стоит конечно еще входить в систему не под админской учеткой, но кто этим пользуется.
|
|
|
|
Lars
440 EGP
Рейтинг канала: 6(253)
: 77
Posts: 2450
Location: Архангельск
Joined: 28 Mar 2007
|
|
| Gward wrote: |
|
Нельзя. Сначала надо грохнуть в процессах
|
Я написал замену только второму пункту
_________________
"Мозги... нам нужны мозги!"(с) "Живые мертвецы" |
|
|
|
Gward
310 EGP
Рейтинг канала: 5(180)
: 75
Posts: 1307
Location: Ставрополь
Joined: 11 Jun 2004
|
|
| Lars wrote: |
|
Я написал замену только второму пункту
|
Тоже спорно. Я например не заметил что это конкретно ко второму пункту относится.
Я конечно и сам тупо так делаю, но иногда потом вирь может "всплыть" в службах, да и вообще лучше тотальной гребенкой пройтись в общем-то.
|
|
|
|
Sabo
884 EGP
Рейтинг канала: 3(30)
: 228
Posts: 1163
Location: Краснодар
Joined: 22 May 2003
|
|
| Gward wrote: |
|
Только надо было точнее сказать, что надо искать процессы нетипичные для обычных процессов в памяти, или похожие, но не те.
|
Я именно это и сказал :
| Sabo wrote: |
|
видим там, запущенный от имени юзера, процесс "shvhost" (не путать с "svchost"!), которого раньше на моём компе не было
|
_________________
Стрельба - это тоже передача мыслей на расстояниe... (с)Анатолий МАРКУША "Большие неприятности" - повесть в журнале "Костёр" 80-х годов. |
|
|
|
Gward
310 EGP
Рейтинг канала: 5(180)
: 75
Posts: 1307
Location: Ставрополь
Joined: 11 Jun 2004
|
|
| Sabo wrote: |
|
Я именно это и сказал
|
Только вот одним shvhost дело то не ограничивается. Плюс иногда вполне знакомые svchost и ctfmon могут оказаться копиями оригиналов, только запускаться совсем из других мест. Больше всего умилил ctfmon в банальной автозагрузке меню "Пуск->Программы->Автозагрузка"
|
|
|
|
|
|
|
|
|
Железный канал: «Антивирусы, комплексные системы защиты #1» |
|
|
