Словил вирусягу

[Andy]

Собственно, сабж. Щас пытаюсь лечить всем возможными способами; мешает то, что в процессах не могу посмотреть, кто это мне так гадит - эта сволочь ухитрилась заблокировать Task Manager (при попытке запуска так и пишет - "заблокировано вашим администратором"... тока вот я и есть администратор!). Кто-нито может предложить варианты, как получить доступ к менеджеру? (ввсякие антивирусные средства применяю, пока особого эффекта нету - они чего-то находят и типа лечат, но оно все живо).

[gandjubazzz]

Предохраняться надо до, а не после =)
У антивирей, вроде как, есть возможность проверки системы до загрузки в виндовс, воспользуйся этим

[Andy]

Цитата:

Сообщение от gandjubazzz

Предохраняться надо до, а не после =)

Если ты знаешь идеальный антивирусник - посоветуй, буду благодарен. Я такого не знаю.

Цитата:

Сообщение от gandjubazzz

У антивирей, вроде как, есть возможность проверки системы до загрузки в виндовс, воспользуйся этим

Не слыхал я что-то об этом, и не видел ни у Касперского, ни у Др Веба, ни у Симантека.

[gandjubazzz]

На счет идеального антивирусника не скажу (один умеет одно, другой другое), а вот то что кроме него FireWall не помешал бы - это точно.

Сделай как atos ниже предлагает - это проверенный способ

[gandjubazzz]

Цитата:

Сообщение от Andy

Не слыхал я что-то об этом, и не видел ни у Касперского, ни у Др Веба, ни у Симантека.

http://www.avast.ru/Free_avast_home_edition.htm

Еще одна новая опция - проверка на вирусы при старте компьютера (только в Windows NT/2000/XP/2003). Это незаменимая возможность, если вы подозреваете наличие вирусов на вашем компьютере. Проверка при старте выполняется прежде, чем вирус может активизироваться, и он никак не может повлиять на проверку при старте компьютера.

[Andy]

Гм... любопытно. Спасибо.

[atos]

Не помогает, к сожалению, против бут-вирусов и вещей, построенных на виртуализации.

[Delfa]

млин, установила с дуру себе еще и его...теперь у меня тормозит...ВСЁ.......

[gandjubazzz]

Если я правильно понял, то установила вторым антивирусом?
Если да, то не стоило так делать

[Delfa]

правильно-правильно...больше не буду так безобразничать..как вернуть все обратно? ?

[aaz]

Убить Аваст, вестимо.

[Delfa]

удалила, все равно тормозит блин

[Red_Ace]

Avira к вашим услугам, на эту тему

[Delfa]

нет уж, мне уже аваста хватило..избавиться вот не могу...

[atos]

Снимайте винт, несите на чистую машину и оттуда лечите.

[Andy]

А что, системный диск на своей машине не вылечишь? Или смотря от чего?

[atos]

Если стелс или полиморф - шансов мало.
Да и от от обычного многокомпонентника еще умудриться надо...

[Andrezzz]

А потом снимай оба винта и неси на следующую чистую машину

[atos]

За шутку зачОд, по теме - неуд. :-)

[aaz]

По корпоративке сегодня пришло. Придётся целиком скопировать (искать тошно), так что извиняюсь за объём.

Цитата:

Yahoo Messenger user's beware, a virus infecting yahoo messenger is on the loose. Avoid clicking on suspicious links that friends might forward, it could be a virus. The virus sends links from a user's id to his friends, when their friends click on it they will get infected. Yahoo messenger being used by million's world over, thus helps the virus spread faster. 60 million yahoo users’ are at risk. That doesn't mean you should panic.

If you are infected with it what is going to happen?

1. It sets your default IE page to nsl-school.org, you can’t even change it back to other page. If you open IE from your comp some malicious code will automatically executed into your computer.
2. It will disable the Task manager / regedit. So you can’t kill the Trojan process anymore.
3. Files that are going to be installed by this virus are svhost.exe , svhost32.exe , internat.exe.
You can find these files in windows/ & temp/ directories.
4. It sends the secured & protected information to attacker

The code for infecting virus is hidden in the html pages, and once you open it your pc will get infected. The virus is known as "nsl-school.org"it is because the url of the virus link ends with it. The virus can be avoided by ignoring all
- "nsl-school.org" links
- "myglobalnews.org"links
- "lottery-news.info" links
- "vnol.org" links
- "ie-protector.com"links

Watch out for these links when you login to your messenger, avoid clicking on them to be safe, because "PREVENTION IS BETTER THAN CURE”, you will be receiving these links from your friends, but it is the virus that actually sends it to you. The link comes in the following ways as IM's
- Saying your friend has won a lottery
- "Damn she is so cute” along with link
- saying” Check this link for me"
- Asking to vote for a Vietnam beauty

REMOVING THE VIRUS

First try using Microsoft System Restore. I should give you an option to load a previous version of Windows that isn’t infected. If this isn’t possible or doesn’t work try the procedure below.

1. Close the IE browser. Log out messenger. Remove Internet Cable.

2. Enable Regedit:
Click Start, Run and type this command exactly as given below: (better - Copy and paste)

REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System /v DisableRegistryTools /t REG_DWORD /d 0 /f

3. Enable task manager:
(To kill the process we need to enable task manager)

Click Start, Run and type this command exactly as given below: (better - Copy and paste)

REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System /v DisableTaskMgr /t REG_DWORD /d 0 /f

4. Change the default page of IE though regedit.
Start > Run > Regedit

From the below locations in Regedit chage your default home page to google.com or other.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main
HKEY_ LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main
HKEY_USERS\Default\Software\Microsoft\Internet Explorer\Main

Just replace the attacker site with google.com or set it to blank page

5. Kill the process from back end.
Press Ctrl + Alt + Del
Kill the process svhost32.exe . ( may be more than one process is running.. check properly)

6. Delete svhost32.exe , svhost.exe files from Windows/ & temp/ directories.
Or just search for svhost in your comp.. delete those files.

7. Go to regedit search for svhost and delete all the results you get.
Start menu > Run > Regedit >

8. RESTART COMPUTER
NOW YOU ARE VIRUS FREE!!

The above tips worked for some people, Do it at your own risk. Be careful!!!

Если даже у тебя другой вирус, по крайней мере, ты хотя бы Task Manager (п. 3) запустить сможешь.

[Andy]

Вирус у меня и правда другой какой-то. Попробовал разлочить Таск Менеджер через реестр - не помогает: эта тварь тут же нужный ключ опять в единицу прописывает

Все равно спасибо

[aaz]

Тогда сначала найди tasklist'ом и грохни taskkill'ом процесс, а потом уже восстанавливай реестр.

P.S. В таких случаях иногда бывает полезным taskkill /IM <name> в бесконечный цикл загнать.

[Andy]

Щас, кстати, инетересно стало: ключ для таскменеджера успешно занулился и обратно сам по себе больше не восстанавливается, но таск менеджер не запускается по-прежнему.

[SAV]

так-то вот работать под администраторским аккаунтом

можно поискать в интернете консольные утилиты для убийства процессов.
pskill например

[aaz]

В XP есть штатные taskkill и tasklist.

[SAV]

у меня вот есть XP, пробую:

C:\>tasklist
'tasklist' is not recognized as an internal or external command,
operable program or batch file.

C:\>taskkill
'taskkill' is not recognized as an internal or external command,
operable program or batch file.

C:\>

[gandjubazzz]

CDocuments and Settings\sss>taskkill
ERROR: Invalid Syntax. Neither /FI nor /PID nor /IM are specified.
Type "TASKKILL /?" for usage.

CDocuments and Settings\sss>tasklist

Image Name PID Session Name Session# Mem Usage
========================= ====== ================ ======== ============
System Idle Process 0 Console 0 28 K
System 4 Console 0 256 K
smss.exe 776 Console 0 388 K
csrss.exe 824 Console 0 5*736 K
winlogon.exe 848 Console 0 5*872 K
services.exe 892 Console 0 5*692 K
lsass.exe 904 Console 0 7*736 K
svchost.exe 1064 Console 0 5*164 K
svchost.exe 1136 Console 0 4*512 K
svchost.exe 1784 Console 0 32*568 K
svchost.exe 1824 Console 0 3*284 K
Smc.exe 128 Console 0 5*700 K
svchost.exe 184 Console 0 3*340 K
svchost.exe 480 Console 0 7*740 K
ccSvcHst.exe 1244 Console 0 4*720 K
spoolsv.exe 572 Console 0 7*536 K
scardsvr.exe 256 Console 0 2*688 K
s.......

Тоже XP =)

[SAV]

экспи экспе рознь?

[gandjubazzz]

Ага

[aaz]

Только что запускал. Сейчас проверю, в чём может быть дело.

P.S. CWindows\System32\tasklist.exe

P.P.S. А, они только в XP Pro имеются. У кого их нет, скачать можно, например, тут: http://www.computerperformance.co.uk...s.htm#TaskKill

[SAV]

систему не насиловал

[aaz]

Саш, я правда не знаю, по какой причине они у тебя отсутствуют. Быть должны.

Ну хочешь, я подойду и мы вместе посмотрим, в чём дело? :-)

[SAV]

нафиг они мне не нужны ))) как и XP

[Andy]

Ага, не знал, клево. Нашел у себя некий "фениксизирующийся" процесс wmiprvse.exe... щас почитаю про него в тырнете.

[aaz]

Оригинальный wmiprvse.exe абсолютно легален. И ЕМНИП "само"восстановление для него в порядке вещей. Другое дело, что под его личиной могут разные бяки скрываться.

[aaz]

А вообще, выложи сюда результат работы tasklist'а ("tasklist /v" и "tasklist /svc"). Если не стесняешься, конечно. ;-)

[Andy]

Не могу выложить - проблемы у меня на домашнем компе (я его из сетки убрал пока что на всякий случай), пишу с рабочего. Можно, канешна, флешку поискать... пойду поищу, пожалуй.

[aaz]

Правильно сделал, что убрал.

Кстати, рабочий полностью проверить не забудь.

[Andy]

Рабочий только пару недель как вылечил тоже от какой-то хрени. Но там все легко убралось при помощи CureIt, а в этом случае как-то сложнее.

[Andy]

Цитата:

Сообщение от aaz

А вообще, выложи сюда результат работы tasklist'а ("tasklist /v" и "tasklist /svc"). Если не стесняешься, конечно. ;-)

Нашел-таки флешку, выкладываю результаты.

[aaz]

Цитата:

mgmrwmrv.exe 748 N/A
_start.exe 1680 N/A

Читоэта? (с)

[Andy]

старт.ехе - может иметь отношение к дру вебу (КуреИт), который у меня щас в н-ный раз крутился. непроизносимый процесс - хз, убить его не получается.

[Andy]

о, получилось убить )

Странно все это

[aaz]

Процесс действительно странный. И заголовок у него мутный.

И что теперь?

[Gosha %)]

ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe + безопасный режим тебя вылечат

[Andy]

Увы, не помогает (это было первое, что я попробовал).

[atos]

Получили хотя бы название твари?

[Gosha %)]

хм надож как свезло, а мне что то давно ничего серьезного не попадолсь все трояны у клиентов....

[Benzin95]

Еще есть вариант загрузки с LiveCD и проверки портированным антивирусом. Ну или проверка с загрузочного диска. У меня был такой, тока древний совсем, года два ему уже (базе антивируса еще больше).

[Duke Solo]

При этом вирусе для вызова менеджера процессов, нажми ctrl+shift+esc
Если ты разбираешься, какие системные файлы действительно системные, воспользуйся HiJackThis!, а какие только маскируются, можешь выложить его лог сюда.
Для эффективной борьбы с руткитами могу посоветовать AVZ

[aaz]

Т.е. вирус ламеры писали?

P.S. Если в реестре TaskMan запрещён на уровне политик, никакие кнопкосочетания не помогут.

[Duke Solo]

Возможно я погорячился, и существуют разные модификации... но вот та, что ходила с год назад реально позволяла вызвать менеджер задач через комбинацию ctrl+shift+esc. А тебя удивляет, что подобные вещи пишут вовсе не системные инженеры?
рекомендация про HJT и особенно AVZ в силе.

[Andy]

Скачал AVZ. Пока крутится, результата нет, но сама утилитка уже нравится ) Думаю, поможет, так что спасиба за совет

[aaz]

Так ты прибил свои вири в "рантайме" или как?

[Andy]

фиг тебе, грит (в смысле не тебе, а мне ). Заблокирован таск менеджер Но он мне в общем не нужен уже - тасклист и тасккилл работают. Тока не помогают )

[aaz]

Вполне возможно, не то убиваешь.

Кстати, вывод "не помогают" с чего сделан? Из-за постоянной модификации значения в реестре?

[Andy]

Ну... список тасков в студии, мнения экспертов приветствуются

[Andy]

Да просто в списке мой ламерский взгляд ни за что не цепляется особо. Только тот процесс, под который. как ты сказал, часто вирусы маскируются...

[aaz]

Я за парочку сразу зацепился. Иди отвечай уже. :-)

[Andy]

Уже ))

[Andy]

Кстати, интересный момент: в стартап-меню в мсконфиг сами собой восстанавливаются галочки автозапуска у неких прог spools и cftmon. Это правильно?

[aaz]

cftmon или ctfmon?
spools - странное имя.

Восстанавливаются-то они легко - в {HKLM,HKCU}\Software\Microsoft\Windows\CurrentVers ion\Run прописываются. Ну или в Autolaunch, например. А вот то, что это происходит "само собой" - весьма подозрительно.

[Andy]

Жжош Внимательный ) Вирус енто, маскирующийся под нормальную прогу. Так же, как и spools. Нашел про них в тырнете, буду мочить. Пока что они, гады, в Run в реестре сами себя прописывают и в процессах автовосстанавливаются.

А mgmrwmrv.exe я вроде замочил - это спайваре было. Заодно получилось разлочить таск менеджер - он был не только в Local Machine залочен в реестре, но и в Current User.

[aaz]

Да вообще дураки эти вирусописатели . Когда я этим баловался, я экзешник точь-в-точь как оригинал называл, просто размещал его не в Windows\System32, а, например, просто в Windows. Штатный TaskMan вообще разницы не покажет.

Ну и ещё вкуснее - переименовать оригинальный экзешник, а по его стандартному имени положить прокси на переименованный оригинал. Естественно, со своими особыми наворотами. :-)

[Duke Solo]

ctfmon и spoolsv - системные треды. А вот то, что под них маскируется - вирусы.

[Andy]

Ага, у меня так и было - cFtmon, spoolS, а еще недавно был spoolCsv.

[sr]

http://virusinfo.info/forum.php?referrerid=775

[Andy]

Да-да, был я там Неплохой в общем ресурс

[Alex Rex]

Я вместо Task Manager'а пользуюсь Starter'ом от CodeStuff, чего и тебе советую. Он и процессы кажет, и автозагрузки все, и службы вплоть до уровня ядра покажет.

[Andy]

В общем, завалил я вражину вроде. Вчера замочил спайварину, а сегодня добил spools и cftmon. Спасибо всем за полезные советы, а также спасибо сайту virusinfo за подсказки, где на винте эти вирусы искать - я в итоге вручную прибил их по месту расположения, включая реестр. AVZ прибыла на место, когда все уже бвло кончено - ей оставалось только зафиксировать смерть преступников ))

[Alex Arc]

Поздновато прочитал, но можно было попробовать альтернативный таск менеджер. Пользуюсь им две недели, пока багов не замечено.
Вот страничка автора: http://alex-home-pg.nm.ru/

[Alex Arc]

Нашёл сейчас ещё одну программу для работы с процессами. Запустил, понравилось. Впрочем, на этом сайте много разных инструментов.
http://technet.microsoft.com/ru-ru/s...53(en-us).aspx

[aaz]

Ну так это же Mark Russinovich, классика.

[Andy]

Да не - процессы я и так убивал, из консоли виндовой; только они опять возрождались Сейф-мод таки спас отца русской демократии - в нем процессы не запустились при старте системы, и я ехе-шники замочил.

[aaz]

Они не могли просто так возрождаться. Кто-то хитрый их возрождал, получается. По идее, можно узнать, какой процесс каким процессом запущен, но это глубоко копать надо.

Кустарных способов борьбы с этим безобразием я знаю два. Засунуть убийство процессов по image name в бесконечный цикл (элементарный батник), а в другой бесконечный цикл засунуть удаление гадских экзешников. Ну и запустить параллельно, конечно же.

Второй способ - тупо переименовать гада, после чего убить процесс. Несмотря на кажущийся идиотизм и примитивность этого метода, он очень часто срабатывает. :-)

[OlegL]

Этим AVZ хорошо занимается. Включаешь AVZ Guard и он не дает процессам запускаться. Мочишь их тапочками и чистишь реестр. И все ок.

[Andy]

Верю Но когда я поставил АVZ, вирусы уже подохли. Ну по-любому - на будущее знать буду, тулза хорошая.

[ЛЕО]

Цитата:

Сообщение от Andy

Верю Но когда я поставил АVZ, вирусы уже подохли. Ну по-любому - на будущее знать буду, тулза хорошая.

А восстанавливать систему на предыдущую сохранённую дату не пробовал ?!
У меня пока проходило !!!

[Duke Solo]

Что именно у тебя проходило?

[aaz]

Цитата:

Сообщение от OlegL

Включаешь AVZ Guard и он не дает процессам запускаться.

Механизм действия?

Цитата:

Сообщение от OlegL

Мочишь их тапочками и чистишь реестр.

Угу, мёртвые процессы не пахнут. ;-)

[OlegL]

По 1-му: Перехватывает и блокирует запуск новых процессов.
По 2-му: Гибче надо мыслить
- есть вирусы которые легче ручками вычистить, притом что два процесса одного вируса висят в памяти и если один из них убит восставнавливают его. В этом случае avz не дает первому процессу вируса запустить второй;
- при включенном гварде через менюшку запускается в защищенном режиме антивирус и лечит гораздо больше, чем без блокировки запуска процессов (почти как в сейф-моде);

Я очень часто использую связку HiJackThis/avz/cureit на компах, которые лечу. Т.е. первой и второй (у которой хорошие тулзы просмотра процессов, автозапуска и прочего) обнаруживаю что надо пофиксить и удаляю ручками или утилитками того-же avz, а для дальнейшей чистки cureit пускаю. Недавно пришлось к этим тулзам еще и gmer добавить, он получше руткитов обнаруживает.

[Duke Solo]

Цитата:

Сообщение от aaz

Механизм действия?

Драйвер уровня ядра.

[aaz]

Сурово. Я бы лично сперва хорошо подумал, прежде чем в своё ядро какую-либо полезную нечисть пускать.

[Duke Solo]

Я может быть тебя огорчу, но значительное количество современных вирусов, а точнее руткитов, тоже работают не в третьем кольце.

[aaz]

Ну так нефиг под админом работать.

[Илья /Martin/]

В окнах проводника пункт Сервис - Свойства папки есть?
Очень похоже на Brontok'а:

Цитата:

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь представляет собой PE EXE-файл. Размер зараженного файла около 41 КБ.

Инсталляция
При инсталляции червь копирует себя в следующие каталоги со следующими именами:

%Documents and Settings%\User\Local Settings\Application Data\csrss.exe
%Documents and Settings%\User\Local Settings\Application Data\inetinfo.exe
%Documents and Settings%\User\Local Settings\Application Data\lsass.exe
%Documents and Settings%\User\Local Settings\Application Data\services.exe
%Documents and Settings%\User\Local Settings\Application Data\smss.exe
%Documents and Settings%\User\Local Settings\Application Data\winlogon.exe
%Documents and Settings%\User\Start Menu\Programs\Startup\Empty.pif
%Documents and Settings%\User\Templates\WowTumpeh.com
%System%\<Имя пользователя>'s Setting.scr
%Windir%\eksplorasi.pif
%Windir%\ShellNew\bronstab.exe
После чего червь регистрирует себя в ключе автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run ]
"Bron-Spizaetus"="%Windir%\ShellNew\bronstab.exe"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run ]
"Tok-Cirrhatus"="%Documents and Settings%\User\Local Settings\Application Data\smss.exe"

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe %Windir%\eksplorasi.pif"

При каждой следующей загрузке Windows автоматически запустит файл червя.

Также червь изменяет следующие записи в системном реестре, чтобы заблокировать работу некоторых приложений и опций Windows (Системный Реестр, свойства папок):

[HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer]
"NoFolderOptions"="1"
[HKCU\Software\Microsoft\Windows\CurrentVersion\exp lorer\advanced]
"Hidden"="0"
"ShowSuperHidden"="0"
"HideFileExt"="1"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System]
"DisableRegistryTools"="1"
"DisableCMD"="0"


Также червь создает следующую папку:

%Documents and Settings%\User\Local Settings\Application Data\Bron.tok-XX
XX – 2 случайные цифры.

Если нет опыта по вылавливанию и убиванию таких гадов - лучше не пробовать, в т.ч. и на чистом компе. В корне каждого раздела диска будет файлик autorun.inf, потому двойной щелчок по разделу вызовет запуск вируса и на чистой машине. Потому сразу же эти файлы надо грохнуть и очень осторожно. Также копия виря должна быть на каждой флешке, которая подцеплялась к заражённому компу. Карт памяти для фотиков/мобильников это тоже касается.
Можно его убить и просто так, для этого потребуется альтернативный менеджер задач (любой) и редактор реестра (Vilma Registry Explorer, к примеру).
Алгоритм действия - остановить исполнение процессов виря, вычистить его исполняемые файлы целиком и отовсюду, затем зачистить реестр.