Форум: "Прочее";
Текущий архив: 2007.06.17;
Скачать: [xml.tar.bz2];
ВнизЗацепил трояна. Найти похожие ветки
← →
Сатир (2007-05-18 15:42) [0]Вот такой сабж:
1)Win32.Trojan.Agent
2)BackDoor.HackDefender.
Симптомы:
1)При открытии IE выдаёт такую мессагу
---------------------------
16-разрядная подсистема MS-DOS
---------------------------
C:\WINDOWS\CRYPTE~1.EXE
Процессор NTVDM обнаружил недопустимую инструкцию.
CS:0e58 IP:01a7 OP:63 68 61 72 73 Для завершения работы приложения нажмите кнопку ""Закрыть"".
---------------------------
Закрыть Пропустить
---------------------------
2)Завалил оперу. При попытке запуска последней не может найти Opera.dll
3) Задизейблил антивирус McAfee 8. Висит в трее, но перестал проводить мониторинг файлов, кнопка включения антивируса стала неактивной.
Других пакостей пока не заметил.
У кого есть похожий опыт и что порекоммендуете препринять.
Пока запустил только AdAware, с помощью которой выяснил названия этого трояна и сделал карантин последнего.
На порядке дня переставить антивирус и оперу.
Есть несколько других антивирусов, какой порекоммендуете.
Заранее благодарен всем отметившимся в этой ветке:)
← →
Сатир (2007-05-18 15:47) [1]Вот нашел ещё вот эту софитину
C:\WINDOWS\CRYPTE~1.EXE - crypteddos.exe
пока просто переименовал
← →
antonn © (2007-05-18 16:23) [2]просмотри надстройки в ИЕ, может туда что запихало...
← →
Сатир (2007-05-18 16:34) [3]
> просмотри надстройки в ИЕ, может туда что запихало...
какие именно? Есть какой-то ключ реестра или пункт меню?
После переименования ошибка при открытии ИЕ больше не возникает...
← →
alien1769 © (2007-05-18 16:42) [4]Есть такая утилитка CLrav.exe. 300Kb
← →
Сатир (2007-05-18 16:54) [5]А теперь самое интересно:
в ФАРе открыл это пресловутый файлик crypteddos.exe и вот что я в нём увидел:
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<HTML><HEAD><META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=windows-1251">
<TITLE>ОШИБКА: Доступ к кэшу запрещён.</TITLE>
<STYLE type="text/css"><!--BODY{background-color:#ffffff;font-family:verdana,sans-serif}PRE{font-family:sans-serif}--></STYLE>
</HEAD>
<BODY>
<H1>ОШИБКА</H1>
<H2>Доступ к кэшу запрещён</H2>
<HR noshade size="1px">
<P>
Во время доставки URL:
<A HREF="http://hernet.info/load/crypteddos.exe">http://hernet.info/load/crypteddos.exe</A>
<P>
Произошла следующая ошибка:
<UL>
<LI>
<STRONG>
Доступ к кэшу запрещён
</STRONG>
</UL>
</P>
<P>Извините, Вы не можете запросить:
<PRE> http://hernet.info/load/crypteddos.exe</PRE>
из этого кэша до тех пор, пока не пройдёте аутентификацию.
</P>
<P>
Для этого Вам необходим Netscape версии 2.0 либо выше, или Microsoft Internet
Explorer 3.0, или HTTP/1.1 совместимый броузер. Пожалуйста свяжитесь
с <A HREF="mailto:webmaster">администратором кэша</a>, если у Вас возникли проблемы
с аутентификацией, либо <A HREF="http://inet.welcash.kiev.ua/cgi-bin/chpasswd.cgi">смените</a>
Ваш пароль по умолчанию.
</P>
<BR clear="all">
<HR noshade size="1px">
<ADDRESS>
Generated Fri, 18 May 2007 11:45:27 GMT by inet.welcash.kiev.ua (squid/2.6.STABLE12)
</ADDRESS>
</BODY></HTML>
← →
Сатир (2007-05-18 16:57) [6]поиск в инете по ключевому слову "crypteddos.exe" результатов не принёс.
вот такие пироги...
← →
Сатир (2007-05-18 17:08) [7]пока я тут с вами обсуждал свою беду, он таки смог себя загрузить.
теперь файлик crypteddos.exe весит 23453 байта и внешне похож на исполняемый бинарник
так что пришлось обратно вернуть тот старый, в котором содержался ответ сервера, но и вернулась ошибка загрузки эксплорера
← →
homm © (2007-05-18 17:15) [8]> Симптомы:
> 1)При открытии IE выдаёт такую мессагу
Глупый вопрос можно? :) Зачем его открывать?
← →
keymaster © (2007-05-18 17:21) [9]Касперский+аутпост рулят...
← →
Карелин Артем © (2007-05-18 18:57) [10]
> keymaster © (18.05.07 17:21) [9]
> Касперский+аутпост рулят...
Присоединяюсь!
← →
homm © (2007-05-18 21:44) [11]Почему-то когда рулит касперский, он из Р4 РII делает.
← →
antonn © (2007-05-18 21:50) [12]
> Почему-то когда рулит касперский, он из Р4 РII делает.
не надо так свято верить слежбе АБС, либо сменить свой PIV 1.5/256/133
← →
homm © (2007-05-18 21:54) [13]Я не знаком с понятием «слежба АБС».
> либо сменить свой PIV 1.5/256/133
Лаборатория Касперского оплатит апгрейд?
Дело не в количестве оперативы вовсе. Если касперу диск с архивами подсунуть, то это все, атас. А нод почему-то спокойно работает, при том что действительно работает.
← →
{RASkov} © (2007-05-19 00:19) [14]Касперский без спорно хороший антивирус, но я сам им не пользуюсь и не кому не рекомендую, ибо он тормоз. Да... у меня не сильная машина, даже если у будет довольно таки сильная тачка, все равно ставить его не буду, так как есть альтернативы, например Nod, которые делают тоже самое, простые в обращении, незаметные в работе, и т.д. и нафик этот, хоть и хороший, но монстр Каспер.??? Были времена когда он действительно был отличным антивирусом, но.... разажрались.... имхо.
← →
turbouser © (2007-05-19 00:29) [15]
> keymaster © (18.05.07 17:21) [9]
>
> Касперский+аутпост рулят...
Касперский для unixmailservers еще более менее, однако для десктопов - нафиг нафиг...
Аутпост тоже в топку. Круче BlackICE, по моему мнению лучше только
правильно настроенный wipfw :)
← →
Ketmar © (2007-05-19 04:03) [16]AVZ+руки. AVZ сносит всякие левые дрова/перехватчики, потом руками мочишь весь мусор.
← →
keymaster © (2007-05-19 12:48) [17]
> Касперский без спорно хороший антивирус, но я сам им не
> пользуюсь и не кому не рекомендую, ибо он тормоз
А настраивать его вы не пытались?
У меня единственный замеченый минус - комп стал немного дольше грузится.
А NOD - отстой.
Ибо стоял он у меня и верил я ему. Но сразу после установки, касперский нашел бяку. Чем полностью заслужил доверие, выраженное в оплате годовой лицензии.
К слову сказать, бяка была трояном, пытавшимся регулярно что-то передать в сеть, но аутпост не пускал. Что тоже радует.
← →
Anatoly Podgoretsky © (2007-05-19 13:39) [18]> keymaster (19.05.2007 12:48:17) [17]
Так подобные антивирусы этим и отличаются, суют в свою базу что ни попадя, в надежде на подобных доверчивых пользователей и получения от них гешефта. Касперский не предел, есть другие у которых база шире примерно на 50000 "вирусов" - вот туда надо было нести деньги.
← →
TIF © (2007-05-19 14:02) [19]А что с ним Каспер делает?
← →
keymaster © (2007-05-19 14:21) [20]
> А что с ним Каспер делает?
Каспер его прибил.
> Так подобные антивирусы этим и отличаются, суют в свою базу
> что ни попадя
А нафиг мне нужен антивирус, который что-то пропускает?
← →
Anatoly Podgoretsky © (2007-05-19 15:10) [21]> keymaster (19.05.2007 14:21:20) [20]
А нафиг нужен антивирус, который удаляет нормальные файлы, из-за того, что у авторов фикс идея количественного побития конкурентов.
Последствия от этого тяжелые
← →
keymaster © (2007-05-19 15:19) [22]
> А нафиг нужен антивирус, который удаляет нормальные файлы
А если нормальный файл вылечить не удается?
з.ы.
в это раз удалось.
← →
{RASkov} © (2007-05-19 15:25) [23]> [17] keymaster © (19.05.07 12:48)
> А настраивать его вы не пытались?
Да... бесит еще и настраивать его...
> У меня единственный замеченый минус - комп стал немного дольше грузится.
и немного дольше "думать"....
Ага. Это его большой минус.
> А NOD - отстой.
Может быть.... в твоих глазах, но меня он вполне устраивает, вовремя обновляю и проблем не вызывает, у них(каспер и нод) разный алгоритм обнаружения вирусов - каспер "рубит" сразу все, а нод только в случае реальной угрозы (Например при копировании архива с вирусом, каспер блокирует а нод разрешит, но при обращении к архиву поднимет защиту) тем самым увеличивая общую скорость системы.
> К слову сказать, бяка была трояном, пытавшимся регулярно
> что-то передать в сеть, но аутпост не пускал. Что тоже радует.
Больше ходим по порно сайтам... У меня и у Нода не всегда резидент загружен и ниче...
ЗЫ Я не отговариваю от каспера, но на домашних машинках, ему делать нечего.
ЗЫЫ У Каспера еще и с его удалением, помоему, проблемы были... так? Т.е. он вместе с системой сносится ;)
← →
Anatoly Podgoretsky © (2007-05-19 15:56) [24]> {RASkov} (19.05.2007 15:25:23) [23]
> ЗЫ Я не отговариваю от каспера, но на домашних машинках, ему делать нечего.
А на серверах антивирусу вообще делать нечего.
← →
VirEx © (2007-05-19 16:28) [25]
> [24] Anatoly Podgoretsky © (19.05.07 15:56)
есть версия каспера 6го для сервера, вот незнаю ставить или нет
← →
homm © (2007-05-19 16:58) [26]> Ибо стоял он у меня и верил я ему. Но сразу после установки,
> касперский нашел бяку. Чем полностью заслужил доверие,
> выраженное в оплате годовой лицензии.
Обратных примеров не меньше, а то и больше. Тебе просто так повезло.
← →
homm © (2007-05-19 17:08) [27]> [15] turbouser ©
> Круче BlackICE, по моему мнению лучше только
> правильно настроенный wipfw
Какашка на полчке какая-то этот BlackICE. В конце установки завис. Удаляться не хочет. Вычистил файлы, при попытке повторно поставить говорит «неверная папка», при чем без разница какая. Вернулся к NetLimiter.
← →
keymaster © (2007-05-19 18:52) [28]
> ЗЫ Я не отговариваю от каспера, но на домашних машинках,
> ему делать нечего.ЗЫЫ У Каспера еще и с его удалением,
> помоему, проблемы были... так? Т.е. он вместе с системой
> сносится ;
Имхо - каспер одно из лучших решений для дома.
Сносится он отлично. При необходимости.
Хочу попробовать kaspersky internet security, посмотреть, как он в качестве файрвола будет работать.
← →
homm © (2007-05-19 19:05) [29]> Имхо - каспер одно из лучших решений для дома.
> Сносится он отлично.
:)))
← →
{RASkov} © (2007-05-19 19:13) [30]> [29] homm © (19.05.07 19:05)
Тоже самое улубнуло )
← →
Сатир (2007-05-20 10:18) [31]
> AVZ+руки. AVZ сносит всякие левые дрова/перехватчики, потом
> руками мочишь весь мусор.
а кто такой AVZ?
← →
{RASkov} © (2007-05-20 13:36) [32]> [31] Сатир (20.05.07 10:18)
Антивирус Зайцева
← →
Ketmar © (2007-05-20 13:52) [33]угу. он самый. http://www.z-oleg.com/secur/avz/
← →
Сатир (2007-05-20 13:53) [34]thnX
← →
Vendict © (2007-05-20 20:28) [35]Ketmar © (20.05.07 13:52) [33]
а на сервак 2003 он встанет ? а то с тех пор как авира прикрыла эту лавочку(больше не поддерживает сервачную платформу), ищу что-нибудь ещё бесплатное и могущее обновляться из нета ...
← →
VirEx © (2007-05-20 21:31) [36]хм. интересный этот avz, обнаружил мою старую библиотеку (D7), по управлению удаленным компом как "подозрение на Trojan-PSW.Win32.Lmir.bge", притом ранее ни нод ни каспер 6й его не трогали)
Страницы: 1 вся ветка
Форум: "Прочее";
Текущий архив: 2007.06.17;
Скачать: [xml.tar.bz2];
Память: 0.55 MB
Время: 0.051 c