Помогите идентифицировать вирус

← →
J_S (2002-04-10 15:23) [0]

Народ есть вопросик....что за вирус создает файлы следующего формата name.expr.rar где expr - это произвольное первое расширение в имени файла.Kaspersky его не видит.

← →
wicked (2002-04-10 15:29) [1]

а не SirCam ли?.... имхо...

← →
Digitman (2002-04-10 15:31) [2]

странно, что Касперский не видит. очень похоже на работу I-Worm.Klez"а. А Касперский его точно "ловит".

← →
J_S (2002-04-10 15:32) [3]

да нет вроде бы.. с SirCam-ом имела дела - на него не похоже...

← →
KPY (2002-04-10 15:32) [4]

Iworm.Klez.*
есть специальная прога Clrav.com если хочешь замылю.
Вообщето касперский с последними обновлениями видеть больные файлы должен.

← →
J_S (2002-04-10 15:35) [5]

>Digitman
вот в том-то все и дело - AVP подкачивает обновления каждый день и Klez-а он "ловит". Вообщем - непонятки:(

← →
J_S (2002-04-10 15:39) [6]

>KPY
Есть у меня такая прога - личили ею раньше, когда klez явно идентифицировался Касперским - находила.
Сейчас ее запустила - говорит мол ничего нет для того что бы очистить, а файлы, тем не менее имеются...

← →
Андрей Сенченко (2002-04-10 15:53) [7]

Значит еще одну дрянь подобную написали. По структуре работы пожоже на упомянутых черыей Sircam или Klez

← →
J_S (2002-04-10 16:07) [8]

>Андрей Сенченко
Значит написали...:(..
Help!Help!Help!

← →
Sergo (2002-04-10 16:14) [9]

это I-Worm.Klez и clav тебе мало чем поможет, форматируй
диски.

← →
Eduard (2002-04-10 16:18) [10]

Именно clrav и помогает. Запускается с ключом /scanfiles

← →
J_S (2002-04-10 16:24) [11]

>Eduard
ну так я и говорю - запускала и с этим ключом тоже.. "не видит" вообщем:(

>Sergo
весьма радикальное средство...

← →
Андрей Сенченко (2002-04-10 16:26) [12]

http://www.viruslist.com/viruslist.asp?id=4415&key=00001000140000100104

← →
Андрей Сенченко (2002-04-10 16:27) [13]

Приведенной по ссылке информации достаточно для того, чтобы снести эту дрянь вручную.

>> Sergo © (10.04.02 16:14)
НЕ БОЛТАЙТЕ ЕРУНДОЙ

← →
J_S (2002-04-10 16:32) [14]

>Андрей Сенченко
Большой-большой сеньк:)
Щас загляну.

← →
Sergo (2002-04-10 16:34) [15]

>Андрей Сенченко ©
Спасибо за ссылку, очень познавательно (без сарказма).
Я запускал clav с ключем /scanfiles и он плохо помог...

← →
Андрей Сенченко (2002-04-10 16:59) [16]

>> Sergo © (10.04.02 16:34)
>> Я запускал clav с ключем /scanfiles и он плохо помог...

Скорее всего потому, что ядро вируса было активным. Может быть Мастера меня поправят, но лично мне не известны способы удалить исполняемый код вируса из запущенного EXE-шника.

← →
J_S (2002-04-10 17:04) [17]

Закончила сканировать - clav с ключем /scanfiles
Результат малоутешительный: ничего не найдено..:(
Тема остается открытой....

← →
Sergo (2002-04-10 17:14) [18]

Мне только сейчас пришло письмо зараженное это фигней(мистика :)...),DrWEB 4.27b засек...

← →
Андрей Сенченко (2002-04-10 17:17) [19]

>> J_S © (10.04.02 17:04)

Статейку прочитала ?
Перед сканированием ключи соответствующие из реестра снесла и перезагрузилась ?

← →
Anatoly Podgoretsky (2002-04-10 17:17) [20]

Sergo © (10.04.02 17:14)
И какой виру он назвал?

← →
Sergo (2002-04-10 17:19) [21]

Вот это I-Worm.Klez

← →
Anatoly Podgoretsky (2002-04-10 17:27) [22]

Видимо мутант, раз J_S не обнаруживает

← →
Sergo (2002-04-10 17:28) [23]

Может быть...

← →
J_S (2002-04-10 17:29) [24]

Записи все снесла - те которые нашлись - щас сидим - проверяемся.
Пока ничего нет..

← →
Doom (2002-04-10 17:45) [25]

Не хотелось новую конфу начинать но я наверное в тему. У меня тоже зверь, очень на то уж похоже. Дело так было: тут в аське познакомиться рашила якобы молодая особа , попросилиа авторизацию на пересылки картинки, ну я и дал. Сказала что через аську не получается и послала по мылу. Думаю что она переслала все же на аську но только экзешник а не картинку. Через день "она" в аське появилась и саразу пропала, но я засек IP в аське (он совпал с IP в emal)---значит человек не по дозвону работает. Так вот сижу я вчера, запустил в окне netstat 5 и вижу что сразу после коннекта с того же IP какой-то человек проверяет мой порт, потом устанавливается состояние ESTABLISHED и исходящий трафик полетел!!!
Как мне отловить что это за проа сидит у меня? Может журнал соединений есть с именами приложений?
И подскажите- у меня Zone Alarm Pro стоит и я выставил самый высокий SECURITY. Но как тогда человек с удаленного компа запустил у меня свой троян (если допустить что он его передал по аське?)
Помогите плиз.

И еще. Я точно знаю по IP что это за организация в Харькове откуда меня имеют (сам оттуда). По базе данных это Восток! Та мдаже мыло и телефон провайдера указан. А за такие вещи вообще по попе надавать нельзя?

← →
J_S (2002-04-10 17:57) [26]

Прежние результаты... Ничего не найдено.

← →
J_S (2002-04-10 18:08) [27]

Ну такие вещь - не редкость. Посылают тебе "сервер" (очень как раз похоже). Например, работающий по 1044 порту - ну и все - он преспокойненько отсылает "клиенту", то есть "ЕЙ", все что надо - ни один firewall не "засечет" (по крайней мере так до сего времени и было).
Совет, я думаю, один: будьте осторожны с незнакомками:) - проблем будет меньше:)))...
А ася... еще та "дырка" - это, по-моему, известно всем...

← →
Doom (2002-04-10 18:15) [28]

Да но как он его запустил? Что у меня за ресурсы расшареные? И есть ли в ХР логи соединений - какя прога связывалась по инету по какому порту??? Я же эту прогу сейчас вычислить не могу. ПОМОГИТЕ а то эти ребята скоро сядут за свой комп и опять начнут меня ...

← →
J_S (2002-04-10 18:22) [29]

2 Doom
посмотри виндовские журналы (журнал приложений).. там точно должно что-то остаться, если конечно не затирали, но это вряд ли...
Если до завтрашнего дня доживешь - могу принести прогу - она как раз по твоему вопросу - такие вот "бяки" удаляет.

← →
Андрей Сенченко (2002-04-10 18:31) [30]

>> J_S © (10.04.02 17:57)
>> Прежние результаты... Ничего не найдено.

В этом случае есть два предположения:

1. Что-то все-таки не так сделали.
-- Тут ничего уже предложить не могу, т.к. не вижу ЧТО Вы делаете

2. Эта разновидность червя не знакома Вашей версии Clrav.com
-- Если копия AVP легальная - никто и ничто не может помешать Вам
обратиться к напямую Касперскому за консультацией :)

>>Doom © (10.04.02 18:15)
1. Проверял ключи автозапуска в реестре ?
2. В System.ini случаем не прописано какой-либо дряни вместо Explorer.exe ?
3. Сам Explorer.exe по контрольной сумме совпадает с оригиналом ?

← →
J_S (2002-04-10 18:44) [31]

2 Doom
примерно такой строки
shell=explorer.exe *.exe/*.dll

2 Андрей Сенченко
>>-- Если копия AVP легальная - никто и ничто не может помешать Вам обратиться к напямую Касперскому за консультацией :)

не, енто не наш метод:))..
а делала я все как обычно: сначала почистила реестр, затем подгрузилась в защищенном режиме и запустила Clrav.

← →
Doom (2002-04-10 18:47) [32]

у меня стоит Ad-Ware но ничего не находит
Да, я смотрел журнал приложений и что странно- в тот день как раз когда я "общался с ней" записи с 22.54 до 02.34 стерты!!! Хотя в другие дни они есть. И что делать?
У меня ХР и по идее должно быть видно все процессы системы. Может поискать на диске каждый из них и методом "тыка" и сравнения выявить "чужой"? Прокатит такая проверка или и от нее может троян ускольнуть?

← →
Sergo (2002-04-10 20:15) [33]

Не мучай голову, вызывай формацевта, а все я из за того, что по ссылке http://www.delphibest.narod.ru/compmakerdoc.html человек сказал (который создал blakdoor), что достаточно изменить имя приложения, чтобы антивир его не засекал.

← →
Doom (2002-04-10 20:51) [34]

По-моему (как я думаю ) я его засек. Странно, но смотрите: в списке процессов висят программы, а рядом их размер. В списке процессов висит csrss.exe и винда описывает его как Client Server Runtime Process. Так вот интересная вещь. На диске этот файл занимает 4 килобайта, а в памяти 1212 килобайт! Это единственно подозрительная вещь которую я пока нашел.

Так что это и есть "тот самый сервер" ?

← →
vuk (2002-04-10 21:54) [35]

CSRSS - часть ядра в NT-based системах.

← →
Doom (2002-04-10 22:29) [36]

Ну тогда я совсем запутался. Если ХР показывает все процессы, то какой же тогда искомый? По каким признакам его определить?

← →
ION T (2002-04-10 22:46) [37]

Дык может он не работает как процесс (стримится, создан чужой поток в хосте...)......а можно послать этот файл на мой ящик? Если мой арсенал антивирусов не поможет, то по крайней мере Нортону или Касперскому послать на проверку......

← →
Slava (2002-04-11 07:46) [38]

J_S © (10.04.02 15:23)

Народ есть вопросик....что за вирус создает файлы следующего формата name.expr.rar где expr - это произвольное первое расширение в имени файла.Kaspersky его не видит.

clrav.com такие файлы действительно не видит, но они уже не страшные. Достаточно их просто удалить.
А вообще clrav.com 100-процентно убивает I-Worm.Klez.
Пришлось с ним столкнуться. Сейчас не знаю как новые версии антивирусников, а тогда (февраль 2002), если ядро этого червя активно, то он на корню убивал процессы всех известных антивирусов.

Андрей Сенченко © (10.04.02 16:59)

>> Sergo © (10.04.02 16:34)
>> Я запускал clav с ключем /scanfiles и он плохо помог...

Скорее всего потому, что ядро вируса было активным. Может быть Мастера меня поправят, но лично мне не известны способы удалить исполняемый код вируса из запущенного EXE-шника.

clrav.com сначала убивает процесс вируса в памяти, потом сканирует и лечит. Проверено.

← →
J_S (2002-04-11 17:01) [39]

Эпопея:((..

2 Slava

>>clrav.com такие файлы действительно не видит, но они уже не страшные. Достаточно их просто удалить.

удалить-то их можно - да только при следующей перезагрузке они снова возникают...:( И это-то при том, что clrav говорит, что типа чисто все, а в реестре больше вроде как ничего не нашлось подозрительного...

← →
Slava (2002-04-12 07:47) [40]

> J_S © (11.04.02 17:01)

А вот это уже странно :(

Могу предложить еще одну лечилку: fix_klez.com от Trend Micro, Inc ( http://www.antivirus.com). Но она сканирует только память. Хотя, по-моему, тебе это не помешает.

Помогите идентифицировать вирус Найти похожие ветки