Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Информационная безопасность » Защита компьютерных систем » Info - Вирус - [Архив]

Закрытая тема
Настройки темы
Info - Вирус - [Архив]
Pavlik


Сообщения: n/a

Профиль | Цитировать


Изменения
Автор: iskander-k
Дата: 17-10-2009
Описание: реорганизация
Лежала у меня программка spacekill, я и не знал, что это. И вот через время я ее запустил, и она убила свободное место у меня на винчестере. Подскажите, пожалуйста, как его убить или аннулировать.

Отправлено: 19:45, 09-09-2002

 

Новый участник


Сообщения: 36
Благодарности: 2

Профиль | Отправить PM | Цитировать


мешают?)
у каспера новая технология по установке на заражённую машину. если вирус не вырезал инсталятор винды, то он установится. другие нет, каспер устанавливается.
Цитата MadMaks:
Касперский меня не подводил (почти ни когда) в борьбе с активными угрозами. »
ну дык... и тест сдан на отлично))
Цитата MadMaks:
Если же нет времени и возможности, то я просто беру другой винт, с установленным антивирусником, подключаю его как системный и банально запускаю проверку. »
тоже вариант и более безопасный, чем safe mode)

Отправлено: 21:22, 20-09-2007 | #471



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Аватара для GEugene

Новый участник


Сообщения: 5
Благодарности: 0

Профиль | Отправить PM | Цитировать


Вот какая история ...

Работаю в крупной компании . Есть филиалы по Украине. Почтовый сервер находится в центральном офисе. Работает на MDaemon 9.x.x.

Мой руковолидель прислал мне письмо 06.11.2007 и в ответ получил письмо от меня (почти мсразуже), с жаргонно-эротическим содержанием.
Текст письма был на латиннице, причем были указаны фамилии, так сказать, персонажей. Тема была таже, что и при отправке.

Вот мои размышления на эту тему :
1. Письмо было внутренним (в моем офисе), т.к. логи указали бы внешний адрес
2. Письмо содержит фамилии руководящих лиц, которые не указаны в описании ФИО для аккаунтов, что наводит на мысль, что это письмо написано человеком, знающим структуру компании
3. В логах нету и следа об отправке письма от меня за 06.11.2007 в интервале до 12.00.

Если думать о вирусе, то откуда он знает фамилии и должности???
Если думать о человеке, то как его вычислить (слов нету культурных) ???

Помогите найти гада ...

Отправлено: 15:40, 07-11-2007 | #472

SilentSpider


Сообщения: n/a

Профиль | Цитировать


GEugene, заголовки письма смотрели? RFC822 headers.
Вирус скорее всего. Информацию взял вероятно из адресной книги.
Цитата GEugene:
3. В логах нету и следа об отправке письма от меня за 06.11.2007 в интервале до 12.00. »
То, что письмо пришло от вашего имени - не значит, что оно отсылалось с вашей машины.
PS. Вообще как-то не очень понимаю ситуацию. Письмо шло во внутренней сети, сервер есть - почему не посмотреть его логи. Станет понятно - с какой реально машины оно пришло. Ну а дальше - либо виря гонять, либо хозяину морду бить.
PS Вообще-то это задача сисадмина

Отправлено: 19:41, 07-11-2007 | #473


Аватара для Greyman

Человек


Сообщения: 3314
Благодарности: 104

Профиль | Отправить PM | Цитировать


Присоединяюсь к SilentSpider по поводу логов сервака и остального.
Ну а так гадать можно долго. Ведь как вариант, вирь может быть и на машине руководителя, к-ый так проявляется...

-------
Будь проще...


Отправлено: 22:06, 07-11-2007 | #474


Аватара для madmax24

Ветеран


Сообщения: 1190
Благодарности: 114

Профиль | Отправить PM | Цитировать


Цитата Greyman:
как вариант, вирь может быть и на машине руководителя, к-ый так проявляется »
Интересное предположение. Меня сразу навело на такую мысль: а от других сотрудников не приходили начальнику подобные письма?

-------
Я закончил, все свободны.


Отправлено: 09:08, 08-11-2007 | #475


Аватара для ShaddyR

Железных Дел Мастер


Moderator


Сообщения: 24690
Благодарности: 4526

Профиль | Сайт | Отправить PM | Цитировать


Цитата:
Включаете вы свой Windows, а там...
если ткнуть кнопку с ключиком жёлтым можно увидеть вот это:
предлагается следующее решение :
Цитата:
— грузимся в безопасном режиме (консоль именно!)
— в консоли набираем (regedit)
— regedit
— по адресу
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
ключ "Shell"="Explorer.exe" < — если не такой а подобие ( …system32\drivers\Vinlogon.exe ) то это вирус, замените на ключ "explorer.exe"
— сканим регистр на наличие "driversVinlogon.exe" и мочим наглухо
— рестарт ( через консоль должно работать C:\WINDOWS\system32\shutdown.exe )
— грузим в нормальном режиме и проходим полный скан антивирем
Доп. сведения:
Цитата:
Оригинал давно Симантек ловит.
Каспер про него ругнулся, но как-то вяло, надо бы обновить базы... А вот Eset спокойно пропустил
(оригинал информации здесь)

-------
[FAQ] Как определить аппаратную конфигурацию компьютера и правильно задать вопрос
-------
В благодарность за помощь нажимаем ссылочку "Полезное сообщение" внизу этого самого сообщения (подробнее). Помните: админ конфеты НЕ ПЬЁТ ;)
-------
Говори, что думаешь и думай, что говоришь! (c) || МОЙ ShaddyR.at.UA/blog - Новая метла и инвентаризация)


Последний раз редактировалось ShaddyR, 17-11-2007 в 13:57.

Это сообщение посчитали полезным следующие участники:

Отправлено: 13:22, 17-11-2007 | #476


Аватара для SimSim

Soft-Эксплуататор


Сообщения: 3583
Благодарности: 507

Профиль | Отправить PM | Цитировать


В принципе очень верный расчёт вирусописак. Если учесть, что на территории бывшего СССР очень много нелегальных копий Windows, то можна неплохо поживиться. Странно, как это они не додумались "предоставить выбор" пользователю, дабы и кредитной карточкой заплатить можно было.

-------
MULTI MULTA; NEMO OMNIA NOVIT


Отправлено: 15:43, 17-11-2007 | #477


Аватара для mapcoxog

Новый участник


Сообщения: 19
Благодарности: 0

Профиль | Отправить PM | Цитировать


Цитата ShaddyR:
предлагается следующее решение : »
Еще лучшее решение использовать вменяемый антивирус + патчить ОС.

Отправлено: 13:46, 18-11-2007 | #478


Новый участник


Сообщения: 8
Благодарности: 0

Профиль | Отправить PM | Цитировать


Здравствуйте!
У меня возник именно такой вопрос: subj.
После малость неадекватного поведения компа решил провериться на вирусы. Запустил Avast - ничего не нашел (он, в принципе, уже года два как постоянно меня "защищает" и ни гу-гу(!)). Затем решил провериться с помощью AVZ 4.29 и вот, что он красным написал:
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка - не найден файл (F:\WINDOWS\system32\ntoskrnl.exe)
>>>> Обнаружена маскировка процесса 1390784 ?
>>>> Обнаружена маскировка процесса 141568 ?
>>>> Обнаружена маскировка процесса 8388608 ?
>>>> Обнаружена маскировка процесса 1179649 ?
>>>> Обнаружена маскировка процесса 862807412 ?
>>>> Обнаружена маскировка процесса 81 ?
>>>> Обнаружена маскировка процесса 40960 ?
>>>> Обнаружена маскировка процесса 1313429340 ?
>>>> Обнаружена маскировка процесса 1145789490 ?
>>>> Обнаружена маскировка процесса 39843750 ?
>>>> Обнаружена маскировка процесса 19975216 ?
>>>> Обнаружена маскировка процесса 28733 ?
>>>> Обнаружена маскировка процесса 156250 ?
>>>> Обнаружена маскировка процесса -426582848 ?
>>>> Обнаружена маскировка процесса 16792048 ?
>>>> Обнаружена маскировка процесса 16 ?
>>>> Обнаружена маскировка процесса 1250 ?
>>>> Обнаружена маскировка процесса 13593750 ?
>>>> Обнаружена маскировка процесса 20 ?
>>>> Обнаружена маскировка процесса 99615 ?
>>>> Обнаружена маскировка процесса 151011328 ?
>>>> Обнаружена маскировка процесса 1398230852 ?
>>>> Обнаружена маскировка процесса 1230394447 ?
>>>> Обнаружена маскировка процесса 13 ?
>>>> Обнаружена маскировка процесса 38 ?
>>>> Обнаружена маскировка процесса 12 ?
>>>> Обнаружена маскировка процесса 15 ?
>>>> Обнаружена маскировка процесса 9456 ?
>>>> Обнаружена маскировка процесса 36402 ?
>>>> Обнаружена маскировка процесса -1394495488 ?
>>>> Обнаружена маскировка процесса 1703959 ?
>>>> Обнаружена маскировка процесса 1112099913 ?
>>>> Обнаружена маскировка процесса 29910512 ?
>>>> Обнаружена маскировка процесса -2048 ?
>>>> Обнаружена маскировка процесса 200704 ?
>>>> Обнаружена маскировка процесса 1917082674 ?
>>>> Обнаружена маскировка процесса 1395545170 ?
>>>> Обнаружена маскировка процесса 17729840 ?
>>>> Обнаружена маскировка процесса 72 ?
>>>> Обнаружена маскировка процесса 312500 ?
>>>> Обнаружена маскировка процесса 20772800 ?
>>>> Обнаружена маскировка процесса 76 ?
>>>> Обнаружена маскировка процесса 2662 ?
>>>> Обнаружена маскировка процесса 17385696 ?
>>>> Обнаружена маскировка процесса 80 ?
>>>> Обнаружена маскировка процесса 1937339182 ?
>>>> Обнаружена маскировка процесса -1400803328 ?
>>>> Обнаружена маскировка процесса 81920 ?
>>>> Обнаружена маскировка процесса 1380211762 ?
>>>> Обнаружена маскировка процесса 1498623571 ?
>>>> Обнаружена маскировка процесса 1932423278 ?
>>>> Обнаружена маскировка процесса 29561 ?
>>>> Обнаружена маскировка процесса -1394364416 ?
>>>> Обнаружена маскировка процесса 1703937 ?
>>>> Обнаружена маскировка процесса 1162103113 ?
>>>> Обнаружена маскировка процесса 90112 ?
>>>> Обнаружена маскировка процесса 1853189965 ?
>>>> Обнаружена маскировка процесса 1932422003 ?
>>>> Обнаружена маскировка процесса -1401528320 ?
>>>> Обнаружена маскировка процесса 307200 ?
>>>> Обнаружена маскировка процесса 1936486262 ?
>>>> Обнаружена маскировка процесса 779249485 ?
>>>> Обнаружена маскировка процесса 115 ?
>>>> Обнаружена маскировка процесса -1402105856 ?
>>>> Обнаружена маскировка процесса 118784 ?
>>>> Обнаружена маскировка процесса 1395544142 ?
>>>> Обнаружена маскировка процесса 1932423783 ?
>>>> Обнаружена маскировка процесса 24 ?
>>>> Обнаружена маскировка процесса -1394233344 ?
>>>> Обнаружена маскировка процесса 212992 ?
>>>> Обнаружена маскировка процесса 1667584843 ?
>>>> Обнаружена маскировка процесса 28 ?
>>>> Обнаружена маскировка процесса -1392070656 ?
>>>> Обнаружена маскировка процесса 98304 ?
>>>> Обнаружена маскировка процесса 1919182451 ?
>>>> Обнаружена маскировка процесса 7567731 ?
>>>> Обнаружена маскировка процесса 32 ?
>>>> Обнаружена маскировка процесса -1414004736 ?
>>>> Обнаружена маскировка процесса 1900545 ?
>>>> Обнаружена маскировка процесса 1953724787 ?
>>>> Обнаружена маскировка процесса 1684889948 ?
>>>> Обнаружена маскировка процесса 28672 ?
>>>> Обнаружена маскировка процесса 1937331036 ?
>>>> Обнаружена маскировка процесса 842231141 ?
>>>> Обнаружена маскировка процесса 1768122479 ?
>>>> Обнаружена маскировка процесса 1225801728 ?
>>>> Обнаружена маскировка процесса 1382901108 ?
>>>> Обнаружена маскировка процесса 1230128220 ?
>>>> Обнаружена маскировка процесса 1398362926 ?
>>>> Обнаружена маскировка процесса 36 ?
>>>> Обнаружена маскировка процесса 1551134575 ?
>>>> Обнаружена маскировка процесса 1397900630 ?
>>>> Обнаружена маскировка процесса -1417658368 ?
>>>> Обнаружена маскировка процесса 1129070940 ?
>>>> Обнаружена маскировка процесса 262144 ?
>>>> Обнаружена маскировка процесса 1936483188 ?
>>>> Обнаружена маскировка процесса 1769104476 ?
>>>> Обнаружена маскировка процесса 40 ?
>>>> Обнаружена маскировка процесса 1936876918 ?
>>>> Обнаружена маскировка процесса -1418313728 ?
>>>> Обнаружена маскировка процесса 1634560348 ?
>>>> Обнаружена маскировка процесса 110592 ?
>>>> Обнаружена маскировка процесса 1932422511 ?
>>>> Обнаружена маскировка процесса 44 ?

При этом ntoskrnl.exe благополучно присутствует на диске. Я подумал мож удалить его нафик и записать нормальный, не тут-то было... некто при загрузке постоянно генерит новый (свой)... или это так и должно быть?

Помоему, это вирус) И что с ним делать, если антивирусы ничего не предпринимают (Аваст вообще ниче не заподозрил, а АВЗ только написал что-то - и то непонятно как этой инфой можно воспользоваться - ни одного названия)

Отправлено: 19:55, 03-02-2008 | #479


Аватара для Baw17

[OVER]Baw17


Сообщения: 4085
Благодарности: 695

Профиль | Отправить PM | Цитировать


Цитата TiGro:
или это так и должно быть? »
совершенно верно
Цитата TiGro:
>>>> Обнаружена маскировка процесса 40 ? »
цитата с сайта разработчика
Цитата:
По поводу маскировки - на сервере такое часто бывает, это не опасно. Просто там есть фоновая активность, скажем процесс X может запуститься и завершиться, а в ходе скана это будет воспринять как маскировка. Чаще всего такое проявляется на Win2k3, причем далеко не всегда - например, на моих серверах с Win2k3 такого эффекта не наблюдается.
посмотри еще тут

-------
U/\/@┬┬ﻉ/\/Ð ﻉ Й Team
Мой личный Блокнот
Не оказываю техподдержку через систему личных сообщений, почту и ICQ
http://2ip.ru/bar/ip10.gif
Best Regards [Over]Baw17


Отправлено: 20:10, 03-02-2008 | #480



Компьютерный форум OSzone.net » Информационная безопасность » Защита компьютерных систем » Info - Вирус - [Архив]

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Открывая 7z архив пишет не удаётся открыть как архив. Можно ли его восстановить? DreDo Хочу все знать 4 01-12-2009 18:54
Разное - Вирус "Send" или не вирус? semia777 Лечение систем от вредоносных программ 1 01-08-2008 18:56
Kaspersky стал в программе Remote admin определять вирус - не вирус, почему? Dionin Защита компьютерных систем 5 30-03-2005 08:27
Архив Guest Программное обеспечение Linux и FreeBSD 8 17-08-2004 14:41




 
Переход