Вирусы

← →
Romychk (2002-11-29 11:32) [0]

Я уже задавал этот вопрос, но пришлось к нему вернуться:
1) Как избавится от вирусов:
ALEVIR.EXE
ALEVIR.LGC
BRASIL.EXE
BRASIL.PIF
MARCO!.SCR
SCRSVR.EXE
SCRSVR.LGC
instit.bat

К ДрВеб не имею ключа, может кто кинет потому пользовался триал версией, Clrav запускал, АВП тоже все что делают они вычисляют перечисленные файлы, советуют удалить, удаляют, но потом они вновь откудато берутся чистил почтовые базы, вообще все что мог, после чистки делал сетапкор, заметил что они сразу появляются при подключении к интернету, даже при отправке почты, может кто то что то посоветует, организация даже заказала АВП лицензионное :) может надо использовать брандмауер, если так то посоветуйте какой нибудь бесплатный, русифицированый ЕСЛИ КТО КИНЕТ ЧТО то ПОЛЕЗНОЕ НА МЫЛО, БУДУ ПРИМНОГО БЛАГОДАРЕН.

← →
Romychk (2002-11-29 12:13) [1]

Посоветуйте что нибудь!!!

← →
RV (2002-11-29 12:16) [2]

filemon запусти, посмотри в логе кто создает эти файлы

← →
romychk (2002-11-29 13:03) [3]

Где его найти?

← →
AL2002 (2002-11-29 13:09) [4]

> romychk

На кряйняк создай ехе-файлы-пустышки и поназывай их вышеуказанными тобою именами.

← →
RV (2002-11-29 13:11) [5]

romychk (29.11.02 13:03)
Где его найти?

если под кроватью и под столом нет, то в инете :)
или вышлю

← →
romychk (2002-12-03 13:19) [6]

Пустышки "заменило" на вируси, FileMon показывает много лишнего, и виснет есть чтото на подобии, но что бы показывало обращение только к нокоторой папке...

И вообще выскажите мнение что делать????

← →
romychk (2002-12-03 14:17) [7]

Засек что файлы создает Kernel32, но на него антивирусы, не обращают внимания! Что Вы можете еще посоветовать. Может ли другая какая то программа прикинуться кернелом????

← →
Бурундук (2002-12-03 14:49) [8]

сделай пустышки read-only.

← →
romychk (2002-12-03 14:52) [9]

Kernell c зараженного компа точно такой, как и кернел не зараженного компа :(

← →
Ketmar (2002-12-03 14:59) [10]

что делать, что делать... заразу не подхватывать. файрволы ставить. пересадить всех насильно в летучую мышку. убить ослика, заменить на оперу с отключенными жаба-скриптами, плугинами и авторедиректом. порезать юзверям права.
хватит? или будете голосить, что так нельзя, что лучше за идиотами подчищать, матерясь?

Satanas Nobiscum! 03-Dec-XXXVII A.S.

← →
romychk (2002-12-03 15:18) [11]

Мы пользуемся TheBat-ом, Oper-ой,
"убить ослика" - непонимаю

Какой бесплайтный, русифицированый файервол Вы посоветуейте если можна с сылкой :)

Может знаете, откуда берутся эти файлы???

← →
Shadow (2002-12-03 15:37) [12]

Ето Win95.Lorez идет смещение точки входа в программу. Антивирус-пишется программа все ставящая обратно(при запуске приложений), можно даже не удалять тело вируса, а просто на точке входа делать jmp на настоящее тело. Исходников нет, потому что WinXP

← →
AL2002 (2002-12-03 15:48) [13]

> romychk (03.12.02 14:52)
> Kernell c зараженного компа точно такой, как и кернел не
> зараженного компа :(

Ну а поверх зараженного пробовал его записывать? Это надо. Особенно если их CRC не совпадает.

А пустышки сделай не только рид-онли, а и хидден и систем.

← →
romychk (2002-12-03 16:05) [14]

Я сверял Кернел побайтно :(

← →
Ketmar (2002-12-03 16:08) [15]

а зачем русифицированный, собственно? используйте, к примеру, Tiny Personal Firewall 2. вполне бесплатен, весьма удобен.

зыж
ослик - это MSIE. %-)

Satanas Nobiscum! 03-Dec-XXXVII A.S.

← →
Max Zyuzin (2002-12-03 16:08) [16]

Попробуй вывинтить с этой машины "больной" винт, вставить его слейвом к "здоровой", загрузиться со "здоровой" системы и пройтись по "больному" антивирусом... просто некоторые файлы могут быть поросто заблокированы или эти поганые вирусы в памяти сидели...
Только надо быть ОЧЕНЬ аккуратным, что бы потом не пришлось лечить сразу 2 машины :))

← →
AL2002 (2002-12-03 16:12) [17]

> romychk (03.12.02 16:05)
> Я сверял Кернел побайтно :(

Значит, не кернел, а дллка, к которой он обращается.
Вот эти дллки тоже замени:
USER32.DLL
GDI32.DLL
ADVAPI32.DLL

← →
AL2002 (2002-12-03 16:19) [18]

Еще вариант проверить из ДОСа.

← →
Ketmar (2002-12-03 16:20) [19]

2AL2002:
а керналь ни к кому не обращается. на то он и керналь %-)

Satanas Nobiscum! 03-Dec-XXXVII A.S.

← →
AL2002 (2002-12-03 16:30) [20]

> Ketmar © (03.12.02 16:20)
> 2AL2002:
> а керналь ни к кому не обращается. на то он и керналь %-)

Обращается.

← →
Ketmar (2002-12-03 16:45) [21]

доказательства?

Satanas Nobiscum! 03-Dec-XXXVII A.S.

← →
AL2002 (2002-12-03 16:57) [22]

> Ketmar © (03.12.02 16:45)

Я по SpyProcess posmotrel. Kernel32.dll обращается к тем трёд длл-кам.

← →
Ketmar (2002-12-03 17:05) [23]

ну... не знаю, не видел. лень проверять... но подозреваю, что неправда.

Satanas Nobiscum! 03-Dec-XXXVII A.S.

← →
AL2002 (2002-12-03 17:08) [24]

← →
romychk (2002-12-03 17:12) [25]

эти DLL тоже идентичны.

> Max Zyuzin
твой вариант тоже пробовал антивирус ничего не нашел пользовался Касперским, с самимы новыми базами, Clrav тоже пробовал все они плюются на перечисленные файлы, а вот найти причину их появления не могут пробовал их все вытирать, с доса запускал сетапкор не помогло, мне кажется что эти файлы появляются при работе в инете, даже при чтении почты.

Дайте ссылку на бесплатный русский файервол, или ссылку на фаервол и русификатор, я на диалапе и скачать проблема а я уже не раз накалывался на несовпедение версий и русификация не шла.

← →
Ketmar (2002-12-03 17:12) [26]

ну нечем... кассандра говорит, что не обращается. правда, дописан кусок на скорую руку и может глючить %-)

Satanas Nobiscum! 03-Dec-XXXVII A.S.

← →
Ketmar (2002-12-03 17:13) [27]

естественно, обращается к NTDLL.

Satanas Nobiscum! 03-Dec-XXXVII A.S.

← →
Ketmar (2002-12-03 17:15) [28]

2romychk:
ну коли TPF не устраивает, ищите сами.

Satanas Nobiscum! 03-Dec-XXXVII A.S.

← →
AL2002 (2002-12-03 17:19) [29]

> romychk (03.12.02 17:12)

Бери соседнюю виндозу и переписывай все ехе и длл файлы с неё на зараженный комп. В ДОСе, ессно. И BackUp сделай.

← →
zzet (2002-12-03 17:28) [30]

У меня подобное было с (непомню название вируса), тоже ни лечить ни удалять не желались. Сделал загрузочную дискету с касперским (для экономии места суешь туда не все базы), загрузился, вылечил.
А вообще читай: Max Zyuzin © (03.12.02 16:08) - он правильно говорит, так проще.

← →
romychk (2002-12-03 17:50) [31]

пробовал, мне интересно не может ли происходить заражение с интернета?

← →
Ketmar (2002-12-03 18:16) [32]

"с интернета" заражений не бывает. так же, как беременности от пальца.

Satanas Nobiscum! 03-Dec-XXXVII A.S.

Вирусы Найти похожие ветки