Новые вирусы и методы защиты

[Сушкова]

надеюсь меня не забанят но хочу поделиться новостью которая противоположна названию темы. в инете появился новый вирус (ну один из новых)ведет себя потрясающе. прописывается в реестре и бомбит экзешные файлы. но прелесть в том что душит касперского. антивирус просто не запускается. и самый блеск. при попытке идти на сай антивируса касперского не пускает на их сайт. конфетка!!!

[camelia]

Не забанят, не надейтесь. 
Просто создали новую тему, где можно обсудить данную проблему.
Насколько я понимаю, перестают запускаться программы, в том числе и антивирусные? А методов борьбы с этим вирусом пока не придумали?..

[Сушкова]

уже!!! создали мал программку кот ставишь на комп и она уничтож вирус в реестре. ну а дальше легче. лечишься и ждешь новых творений вирусо-умельцев

[alex]

название вирусов и антивирусов хоть бы писали, а то пойдет в болталку, непонятно все...

[ahbobo]

Хе, так был у меня этот вирус год назад. Его НОД32 не обнаружил и он заразил всё ехе-шники. Вот тогда я поставил Каспера и он не запускался. Пришлось брать винт и идти чиститься к другу. После чистки Каспер поставился и всё стало гуд. С того времени ни слуху, ни духу. Жаль название вируса не запомнилось.

[SergeR]

Да, все это напоминает версию ОБС "одна баба, пардон, женщина сказала" 

[ahbobo]

Ну хотя бы придумайте название для этого самого нового вируса

Назовём его "Скотина", т.к. оно такое у меня на компе тогда натворило, что по другому его не назовёшь!

дайте ссылку на програмку для лечения.

Так помогает походу любой антивирь, просто винт нужно лечить как съемное устройство и ни в коем случае не грузиться с него для лечения!

[camelia]

Так помогает походу любой антивирь, просто винт нужно лечить как съемное устройство и ни в коем случае не грузиться с него для лечения!

Если пишут, что есть программа, то лучше ее или что-то другое. Потому как лечение винта - это не всегда удобная идея. Например, мне трудно снять 4 и идти куда-то для антивирусной помощи...

[SergeR]

Последний раз я бодался с хреновиной (забыл название), которая создавала в папке Windows файл soundmix.exe. Антивиры его убивали, но просили перегрузить комп, для удаления процесса из памяти. Прикол был в том, что остающийся в памяти модуль восстанавливал основной вирусный блок soundmix из резервных архивных копий (раскиданы в нескольких местах под видом dll, антивирами не идентифицировались). После перезагрузки, естественно, все повторялось. Убить эту штуку удалось Dr. Web. Можно было и Каспером, но с дополнительными извращениями - через альтернативный менеджер задач надо было заморозить (freeze) вирусный модуль в памяти, а потом лечение и перезагрузка. 

[ahbobo]

у меня последним приколом был вирус, который я подхватил у друзей, где-то пол года назад. Это был чисто флешковый вирус, создавал папаку на флешке с названием Nokia PC Suite. При втыке к компу, загружал себя в память. Удалить было легко, но после повторного подключения он опять показывался. Откуда не понятно. Помогло только форматирование.

[SergeR]

Похоже на вариацию AutoRun.

[Сушкова]

нет, ребятки имя этому другу VIRUS.WIN32.SALITY.AA.
он не новый, относительно, но 2008 года. весьма злая и умная тварь.
метод лечения есть. утилитка от касперского в одной руке, загрузочный диск с ОС в другой. загружаетесь с диска, запускаете касперскую утилитку. бьете его в системе на винте, в том числе и в реестре, и после этого, если сможете жить спокойно с пахнущим карантином компом,- то живете, нет - ПЕРЕЗАГРУЖАЙТЕСЬ

[gaswer]

Супер новый...  Skype вирус
Если вы пользуетесь skype, то возможно в последние дни до вас докатывалась волна рассылки вируса по контакт-листам.
Я недавно его зацепил, но уже все Ок...
Так что если ктото с ним встретится  вот как удалять его...

Симптомы - от вашего контакта (знакомого, друга, коллеги) приходит некий файл на подтверждение, вы его принимаете, открываете, замечаете что все ваши контакты выделены и все ожидают отправки некого файла от вашего имени. Повторяется примерно раз в час.

Возможные названия файлов:
"OMG-LESBIAN-DOGS",
"OMG-GAY-DOGS.com",
"HAHAA-LESBIAN-CATS",
"YOUR-MOTHER-NAKED-hahahaha".

1. Как можно быстрее выключайте skype.
Самый быстрый способ нажимаем Ctrl+Shift+Esc, вкладка Processes находим процесс Skype.exe и завершаем его (End Process)

2. Удаляем файл который получили.

3. Теперь необходимо попасть в safe mode. (безопасный режим)
Перезагружаем компьютер и во время загрузки жмем клавишу f8. В полученном меню выбираем пункт safe mode.

4. Удаляем все файлы из C:\Documents and Settings\имя_пользователя\Local Settings\Temp
Если вы не видите такой директории, необходимо включить отображение скрытых папок и файлов.
меню любого фолдера -> tools -> folder options -> view -> show hidden files and folders
имя_пользователя - именно тот пользователь под которым произошло заражение.

5. Удаляем из C:\Windows\Prefetch все файлы которые начинаются с трех цифр и заканчиваются .pf, все файлы где в названии имеется нечто подозрительное - naked, nude, gay, lesbian и т.д.
Если вы вовсе удалите все файлы из директории Prefetch, катастрофы не произойдет, эти файлы незначительно ускоряют скорость загрузки системы и постепенно будут восстановлены самой же системой.

6. Попадаем в msconfig.
В меню Start -> Run набираем "msconfig", жмем run, вкладка Startup,
снимаем галочку с пункта "winservice".
Отказываемся от немедленной перезагрузки, нам это не к чему.

7. Попадаем в реестр.
В меню Start -> Run набираем "regedit", по дереву реестра доходим до места
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
и удаляем запись с называние "winservice".

8. Очищаем корзину. Перезагружаемся как обычно.

После перезагрузки система предупредит об изменениях в msconfig, просто кликаем ok.

Для тех кто понимает причинно следственные связи:
возможные вариации в названиях процессов от червя - winservices.exe, wianamp100[1].exe, 766.exe и прочие трехзначные комбинации.

кстати еще Др.Веб помогает частично...

[camelia]

Вирус, атакующий карты памяти, сети и персональные компьютеры с низким уровнем защиты, представляет все большую угрозу для пользователей. Программа-вирус, известная под несколькими названиями - Conficker, Downadup или Kido - появилась в октябре 2008 года.

Несмотря на то, что компания Microsoft сразу же выпустила заплатку к Windows, около 3,5 миллионов компьютеров оказались заражены.

Эксперты предупреждают, что эта цифра может многократно возрасти, и призывают пользователей обзавестись последними антивирусными программами и заплаткой Microsoft MS08-067.

Специалисты Microsoft утверждают, что вирус проникает в систему через файл Windows "services.exe", становясь частью его кода.

Очутившись в Windows, вирус присваивает себе распространение ".dll" и название, состоящее из 5-8 букв, например, "piftoc.dll".

Затем активизированный вирус создает сервер HTTP, перегружает всю систему, что делает очень сложным ее последующее восстановление, и начинает загружать файлы с хакерских сайтов.

Однако эксперты из компании F-Secure, специализирующейся на компьютерных антивирусах, уверены, что возможности вируса распространяются намного дальше.

По их мнению, программа использует такой сложный алгоритм, что в состоянии создавать сотни различных названий доменов в день.

Специалисты пока не нашли эффективного метода борьбы с этим явлением, однако, благодаря последним разработкам, могут установить количество зараженных компьютеров.

"В настоящий момент мы видим, что зарегистрированные нами вирусные домены "сидят" в программах сотен тысяч компьютеров, - говорит эксперт из F-Secure Тони Ковунен. - Мы их видим, но удалить не можем".

Самое большое число пользователей, подвергшихся распространению вируса, зарегистрированы в Китае, Бразилии, России и Индии... 

[camelia]

Net-Worm.Win32.Kido.

Симптомы заражения в сети

   1. При наличии зараженных компьютеров в локальной сети повышается объем сетевого трафика, поскольку с этих компьютеров начинается сетевая атака.
   2. Антивирусные приложения с активным сетевым экраном сообщают об атаке Intrusion.Win.NETAPI.buffer-overflow.exploit.

Краткое описание семейства Net-Worm.Win32.Kido.
   1. Создает на съемных носителях (иногда на сетевых дисках общего пользования) файл autorun.inf и файл RECYCLED{SID<....>}\RANDOM_NAME.vmx
   2. В системе червь хранится в виде dll-файла со случайным именем, состоящим из латинских букв, например c:\windows\system32\zorizr.dll
   3. Прописывает себя в сервисах - так же со случайным именем, состоящим из латинских букв, например knqdgsm.
   4. Пытается атаковать компьютеры сети по 445 порту, используя уязвимость в ОС Windows MS08-067
   5. Обращается к следующим сайтам (рекомендуем настроить на сетевом брандмауэре правило мониторинга обращения к ним):
          * getmyip.org
          * getmyip.co.uk
          * whatsmyipaddress.com
          * whatismyip.org
          * checkip.dyndns.org
          * schemas.xmlsoap.org/soap/envelope/
          * schemas.xmlsoap.org/soap/encoding/
          * schemas.xmlsoap.org/soap/envelope/
          * schemas.xmlsoap.org/soap/encoding/
          * trafficconverter.biz/4vir/antispyware/loadadv.exe
          * trafficconverter.biz
          * maxmind.com/download/geoip/database/GeoIP.dat.gz

Способы удаления

Независимо от выбранного способа на всех рабочих станциях и серверах сети необходимо установить патч, закрывающий уязвимость MS08-067. Подробнее об этом патче Вы можете посмотреть на следующей странице: microsoft.com/technet/security/bulletin/MS08-067.mspx

Удаление сетевого червя необходимо производить с помощью специальной утилиты. Удаление можно производить локально на зараженном компьютере или централизованно, используя пакет Kaspersky Administration Kit.

Инструкция по  удалению:

   1. Скачайте архив с утилитой klwk.zip и распакуйте его на зараженной машине, в отдельную папку
   2. Запустите файл run_klwk.bat
   3. Дождитесь окончания сканирования...