Спарки лови опять червячка...
Восстановление работы ОС В
Роман Николаевич
Научный сотрудник
Днепропетровск
1.8K 340
Отв.120 01 Июня 10, 21:41
Отв.121 01 Июня 10, 21:52, через 11 мин
В АВЗ Файл-Выполнить скрипт. Туда вставишь этот текст
и запустишь. После перезагрузки отчет. К инету НЕ ПОДКЛЮЧАТЬСЯ
и запустишь. После перезагрузки отчет. К инету НЕ ПОДКЛЮЧАТЬСЯ
begin
SetAVZPMStatus(True);
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\system32\DRIVERS\vuhub.sys','');
DeleteFile('C:\WINDOWS\system32\DRIVERS\vuhub.sys');
BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\vuhub.sys');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','uTorrent');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Роман Николаевич
Научный сотрудник
Днепропетровск
1.8K 340
Отв.122 01 Июня 10, 22:48, через 57 мин
Отв.123 02 Июня 10, 23:10
Почти двое суток борьбы дали результат. Ноут Романа Николаевича побежден.
Проблема мучила многих. Итак, решение.
Компьютер при подключении к сетке, практически, висит,- зомби. Процесс lsass.exe занимает 99% ресурсов процессора. Интересно, что ни отчет АВЗ, ни один антивирус не определяет активности, прицепившихся к процессу библиотеки или драйвера.
Причина: Подобное поведение вызывают:
c:\windows\system32\********.dll
c:\windows\system32\drivers\********.sys
где * - случайный лат. символ.
Размер: 11264 Б
Атрибуты: скрытый, системный.
Дата создания совпадает с датой инфицирования.
Лечение:
1. Находим данные файлы (сортируем по дате) и записываем их имена;
2. В АВЗ выполняем чистку системы;
3. Выполняем скрипт:
После перезагрузки все тип-топ.
Проблема мучила многих. Итак, решение.
Компьютер при подключении к сетке, практически, висит,- зомби. Процесс lsass.exe занимает 99% ресурсов процессора. Интересно, что ни отчет АВЗ, ни один антивирус не определяет активности, прицепившихся к процессу библиотеки или драйвера.
Причина: Подобное поведение вызывают:
c:\windows\system32\********.dll
c:\windows\system32\drivers\********.sys
где * - случайный лат. символ.
Размер: 11264 Б
Атрибуты: скрытый, системный.
Дата создания совпадает с датой инфицирования.
Лечение:
1. Находим данные файлы (сортируем по дате) и записываем их имена;
2. В АВЗ выполняем чистку системы;
3. Выполняем скрипт:
beginгде, xxxxxxxx и yyyyyyyy,- найденные файлы.
SetAVZPMStatus(True);
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\System32\Drivers\xxxxxxxx.sys','');
DeleteFile('C:\WINDOWS\System32\Drivers\xxxxxxxx.sys');
BC_QrFile('C:\WINDOWS\System32\Drivers\xxxxxxxx.sys');
QuarantineFile('C:\WINDOWS\System32\yyyyyyyy.dll','');
DeleteFile('C:\WINDOWS\System32\yyyyyyyy.dll');
BC_QrFile('C:\WINDOWS\System32\yyyyyyyy.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки все тип-топ.
Makovka
Игорь
Краснодарский край
9.5K 2.3K
Отв.124 04 Июня 10, 18:50
Почти двое суток борьбы дали результат. Ноут Романа Николаевича побежден.SpankyHam, 03 Июня 10, 00:10
Роман Николаевич, магарычок свину...
AlenLegion
Научный сотрудник
Ташкент
740 132
Отв.125 20 Июня 10, 11:04
SpankyHam, разные Антивирус никак не обнаружил, Касп, Dr.Web и Nod32. 
Отв.126 20 Июня 10, 11:17, через 14 мин
Пожалуйста, скачай Зайцева, сделай исследование и прикрепи сюда зип-отчет. В первом посте описано, как это сделать
Андрей
Администратор
Бухарест
5.2K 4.8K 2
Отв.127 20 Июня 10, 12:22
SpankyHam, sp**.sys
это кокой то клон sptd.sys, если sptd.sys удалить, то и sp**.sys побольше не будет создаваться.
это кокой то клон sptd.sys, если sptd.sys удалить, то и sp**.sys побольше не будет создаваться.
Отв.128 20 Июня 10, 12:57, через 36 мин
Да я уже нашел. В этой теме уже писал об этом. Это большинство версий Дэймон Тулз так себя ведут. У меня какая-то версия, что так не кочевряжится, вот поэтому и не мог вдуплить сразу.
Андрей
Администратор
Бухарест
5.2K 4.8K 2
Отв.129 21 Июня 10, 03:56
Прошу проверить прикрепленный файл.
Пол часа назад на абсоклабе открыл фотку Викторчика с прошлогодней летней встречи, ФФ вызвал ошибку и закрылся, я заметил, что hosts был изменен, перезагрузился и увидел на раб столе порнобаннер и блокировку части функционала винды.
Тут же восстановился акронисом и сделал скан, который и выложил.
ПС
Впервые заразился открыв страницу довольно популярно сайта, помоему keep4u, как то так.
Как же избежать такой напасти?
Пол часа назад на абсоклабе открыл фотку Викторчика с прошлогодней летней встречи, ФФ вызвал ошибку и закрылся, я заметил, что hosts был изменен, перезагрузился и увидел на раб столе порнобаннер и блокировку части функционала винды.
Тут же восстановился акронисом и сделал скан, который и выложил.
ПС
Впервые заразился открыв страницу довольно популярно сайта, помоему keep4u, как то так.
Как же избежать такой напасти?
Bitner
Научный сотрудник
NN
938 410
Отв.130 21 Июня 10, 09:29
Избежать от этой напасти можно перейдя на никсы.
А так, если при открытии сайта вылезает окно с левым предложением, убить в диспетчере задач приложение, по новой запустить и при предложении восстановить сессии убрать галку где было подхвачено. Кнопеля ДА, НЕТ, ОТМЕНА всегда приводят к результату ДА !!!
А так, если при открытии сайта вылезает окно с левым предложением, убить в диспетчере задач приложение, по новой запустить и при предложении восстановить сессии убрать галку где было подхвачено. Кнопеля ДА, НЕТ, ОТМЕНА всегда приводят к результату ДА !!!
Отв.131 21 Июня 10, 09:34, через 5 мин
Прошу проверить прикрепленный файл.Андрей, 21 Июня 10, 03:56В отчете чисто. АВЗ местером поиска и устранения проблем проверь на предмет косяков. Загрузись в альтернативную среду, вычистить папки темп, поищи, отсортировав по дате, свежие файлы в:
c:windows
c:windowssystem32
c:windowssystem32drivers
c:windowssystem32dllcache
Как же избежать такой напасти?Андрей, 21 Июня 10, 03:56Файервол с интерактивным режимом. Это для юзера.
НАХ%Й Вин-хостинг! Это для сайтов.
Я на своих ресурсах в логах регулярно наблюдаю кучи атак, будь я под этим говном, мудохался бы регулярно.
Андрей
Администратор
Бухарест
5.2K 4.8K 2
Отв.132 21 Июня 10, 14:13
Раз в отчете чисто, значит все хорошо, я весь диск С восстановил.
И фаервол бы мне не помог, я зашел на обычный сайт с картинками.
А чем ВинХостинг плох у меня там тоже Апач стоит, он же только отдает файлы а не запускает их.
И фаервол бы мне не помог, я зашел на обычный сайт с картинками.
А чем ВинХостинг плох у меня там тоже Апач стоит, он же только отдает файлы а не запускает их.
Отв.133 21 Июня 10, 14:24, через 11 мин
Вин хостинг плох тем, что он ВИН! Система, которая пускает без авторизации в свое "святая святых" - ГОВНО! ГОВНИЩЕ!
В *никс зайди юзером в /etc , /bin или /usr/local ! Без прав оно дальше твоего хоум никуда не пустит.
ВИН это ГОВНО написанное троечниками для троечников!
Залезло к тебе скриптом в банере, имхо. Нормальный фаер такие вещи режет.
Про инфицированные сайты. На *никс хостинге НИКОГДА и НИКТО не сможет переписать содержимое директории твоего сайта без двойной авторизации. Такой хуйней, как "зараженный сайт" может похвастаться ТОЛЬКО вин хостинг. Причем, как правило, заражаются все сайты, размещенные на данном серве.
ГОВНО!
В *никс зайди юзером в /etc , /bin или /usr/local ! Без прав оно дальше твоего хоум никуда не пустит.
ВИН это ГОВНО написанное троечниками для троечников!
Залезло к тебе скриптом в банере, имхо. Нормальный фаер такие вещи режет.
Про инфицированные сайты. На *никс хостинге НИКОГДА и НИКТО не сможет переписать содержимое директории твоего сайта без двойной авторизации. Такой хуйней, как "зараженный сайт" может похвастаться ТОЛЬКО вин хостинг. Причем, как правило, заражаются все сайты, размещенные на данном серве.
ГОВНО!
Андрей
Администратор
Бухарест
5.2K 4.8K 2
Отв.134 21 Июня 10, 15:08, через 44 мин
В *никс зайди юзером в /etc , /bin или /usr/local ! Без прав оно дальше твоего хоум никуда не пустит.
SpankyHam, 21 Июня 10, 14:24
Такой запрет можно в конфигурации ПХП прописать.
Я НИКСОМ не умею пользоваться, но тоже считаю что он лучше, т.к. он не популярен среди простых пользователей, следовательно и зловредное ПО для НИКСА пишут меньше.
Отв.135 21 Июня 10, 19:43
Такой запрет можно в конфигурации ПХП прописать.Андрей, 21 Июня 10, 15:08Если система инфицирована, то ей по тазику настройки пхп. Она локально гуляет по серву, рассовывая себя куда попало.
Андрей, боятся там нечего. FreeBSD я освоил (чуть-чуть) за год перекуров. Информации море, в т.ч. и на русском. Этого моего чуть-чуть хватило запустить 5 серверов и поддерживать (сейчас 3) в добром здравии уже лет шесть, кажется.
Для Фри или Юникса или МакОс вирусов нет не потому, что ими меньше пользуются, а потому, что эти системы пишут люди с высшим образованием для РАБОТЫ. Эти системы БЕСПЛАТНЫ!
А Вин пишут нелегалы: китаезы и индусы, за еду. Руководит ими недоучка-троечник без диплома. Пишется все с коммерческой целью, и им ПЛЕВАТЬ, как оно будет работать!
Андрей
Администратор
Бухарест
5.2K 4.8K 2
Отв.136 21 Июня 10, 23:21
Я уже осознал, что ФриБСД для веб сервера больше подходит, буду изучать это дело.
AlenLegion
Научный сотрудник
Ташкент
740 132
Отв.137 22 Июня 10, 22:55
SpankyHam,
Пожалуйста, скачай Зайцева, сделай исследование и прикрепи сюда зип-отчет. В первом посте описано, как это сделатьSpankyHam, 20 Июня 10, 13:17Пожалуйста!
Отв.138 23 Июня 10, 09:11
AlenLegion, это не отчет.
Сегодня в разъездах. Часов через 6-8 буду.
В АВЗ
Файл - Исследование системы. (Для выкладывания отчета в этом посте ставим птичку "создать zip-архив...") Нажимаем ПУСК, выбираем, куда сохранить файл отчета.SpankyHam, 09 Марта 10, 22:32
Сегодня в разъездах. Часов через 6-8 буду.
AlenLegion
Научный сотрудник
Ташкент
740 132
Отв.139 23 Июня 10, 13:03
ага...
