в данной теме будут обсуждаться способы ликвидации известных интернет-вирусов

просьба помещать сообщения в даной теме исключительно по тематике

LoveSun (msblast)

http://forum.na-svyazi.ru/index.php?showtopic=6943&st=0&#entry61537

ссылка на подробное описание способов ликвидации данного вируса с Вашего компьютера

СВОЕВРЕМЕННО УСТАНАВЛИВАЙТЕ update НА ВАШИ ОПЕРАЦИОННЫЕ СИСТЕМЫ!

долго я этой штукой мучился... Примечательно, что первый Agnitum Outpost его не ловил.. а АВП если и видел, то всё-равно меня перегружало...

Потом заплатку поставил.. и вирь уже не работал.. а там уже и не долго было его удалить..

Кстати, загружались несколько прог:
msblast
teekids
enbiei
mskaugh

вроде...

а отключать перезагрузку можно было... командой shutdown -a

тока всё-равно плохенько всё это работало...

Заплатки- вещь нужная... ;D

А mydoom как удалить? У меня нет, но напишите, может кому пригодится.

АВП таблетку выпустил... она там же и скачивается..

недавно лечился от вируса!
Назавем его:"Noname"
Так вот Он требует при в ходе в систему найти каталог(Или exe-шный файл(выглядит примерно так mswin.exe))так вот такого не существует в помине!!!Так что будте остородны(Этот Вирус так сказать,Замедляет работу компа,иногда не выводит изображение на Экран)
Ни Нортон ненаходит его Ни Касперский!
Делаем проще,Ищем regedit.еxе в windows(желательно сохранить настройки перед тем как рытся)
Так вот жмем поиск ищем тот самый mswin видим выдает две "системных строки" в Одной просто написано словами mswin(В строковых параметрах)просто стираем и сохраняем, а есть отдельный параметр Mswin,его мы удаляем!
Все просто Ка5к три перчика:)

А что за вирус прячется в папке Windows\System32\MsCafio и как его убить?

Народ! После посещения инета ... все время нахожу трояны в своей системе ... как заблокировать их попадание в комп? какие проги нужно ставить и как их настроить? :-/

Народ! После посещения инета ... все время нахожу трояны в своей системе ... как заблокировать их попадание в комп? какие проги нужно ставить и как их настроить? :-/
firewall
о настройках ПО лучше в софте

Народ! После посещения инета ... все время нахожу трояны в своей системе ... как заблокировать их попадание в комп? какие проги нужно ставить и как их настроить? :-/

Моё сетевое окружение\отобразить сетевые подключения
там на инетовское подключение тыкаешь правой кнопкой, заходишь в последнюю папку и ставишь там брандмауэр...
У меня после его появления затихли трояны

А я юзаю Agnitum Outpost Firewall Pro v2 и всем доволен ;D

А mydoom как удалить? У меня нет, но напишите, может кому пригодится.

залезь по следующему адресу http://www.microsoft.com/rus/security/mydoom/default.mspx?gssnb=1 там все в подробностах написано.

недавно лечился от вируса!
Назавем его:"Noname"
Так вот Он требует при в ходе в систему найти каталог(Или exe-шный файл(выглядит примерно так mswin.exe))так вот такого не существует в помине!!!Так что будте остородны(Этот Вирус так сказать,Замедляет работу компа,иногда не выводит изображение на Экран)
Ни Нортон ненаходит его Ни Касперский!
Делаем проще,Ищем regedit.еxе в windows(желательно сохранить настройки перед тем как рытся)
Так вот жмем поиск ищем тот самый mswin видим выдает две "системных строки" в Одной просто написано словами mswin(В строковых параметрах)просто стираем и сохраняем, а есть отдельный параметр Mswin,его мы удаляем!
Все просто Ка5к три перчика:)
Тоже было такое ВИНТ очистил и прогу заново усадил!

Народ! После посещения инета ... все время нахожу трояны в своей системе ... как заблокировать их попадание в комп? какие проги нужно ставить и как их настроить? :-/
доказано в основном все вирусные проги настроены на пользователей с антивирусами т.е хады хотят опробовать твою антивируску и все
вот я с роду как инет заимел 0 антивирусок
0 хак атак ;D

доказано в основном все вирусные проги настроены на пользователей с антивирусами т.е *хады хотят опробовать твою антивируску *и все
вот я с роду как инет заимел *0 антивирусок
0 хак атак *;D

А ты никогда не думал, что ты просто ничего не замечаешь? А тя тем временем хакают... ;)

По поводу троянов... Сидел на днях в инете и вдруг спайдер жалуется: С:\WINNT\system32\d2.exe инфицирован Trojan.PWS.Stealer. Посмотрел что за еруна - чуть со стула не упал. Троян dialpass2 - обалденная штука, считывает все диал-соединения, номера телефонов впридачу с именами пользователей, логинами и пассвордами из парольного кэша. К томуже может отсылать по сети все это хозяйство в нескольних форматах: хочешь в текстовом, а хочешь текстом с табуляцией, а хочешь html - пожалуйста.
Потом посмотрел - чуть второй раз со стула не упал... оказывается директория WINNT вдобавок ко всему еще открыта для общего доступа!!! :o
А теперь вопрос знатокам: ну ладно, буй сним, попал из инета троян и попытался записаться в сятая всех святых system32, но как можно из сети папку доступной сделать? А то что это сделали из сети - стопроцентно, потому что свой WIN2K SP4 я поставил буквально день назад на свежеотформатированный диск и вход в систему запаролил.

По поводу троянов... Сидел на днях в инете и вдруг спайдер жалуется: С:\WINNT\system32\d2.exe инфицирован Trojan.PWS.Stealer. Посмотрел что за еруна - чуть со стула не упал. Троян dialpass2 - обалденная штука, считывает все диал-соединения, номера телефонов впридачу с именами пользователей, логинами и пассвордами из парольного кэша. К томуже может отсылать по сети все это хозяйство в нескольних форматах: хочешь в текстовом, а хочешь текстом с табуляцией, а хочешь html - пожалуйста.
Потом посмотрел - чуть второй раз со стула не упал... оказывается директория WINNT вдобавок ко всему еще открыта для общего доступа!!! :o
А теперь вопрос знатокам: ну ладно, буй сним, попал из инета троян и попытался записаться в сятая всех святых system32, но как можно из сети папку доступной сделать? А то что это сделали из сети - стопроцентно, потому что свой WIN2K SP4 я поставил буквально день назад на свежеотформатированный диск и вход в систему запаролил.

поставь заплатку от мсбласта...
100% поможет =)
пебя поимели обычным rpc dcom эксплоитом...
удалённый пользователь получает полняй доступ у твоему компу...
странно, что у тебя антивирь не отключили =)
кстати по идее "ты сам" скачал этот файл к себе на компьютер с удалённого фтп...

По идее так и должно быть, только ничего я не закачивал, а просто лазил в иненте. Он сам пришел. Другой вопрос как?

А у меня в папке WINDOWS\system32 появился какой-то ftpupd.exe. Теперь оттуда не вылазиет. У кого есть что-то похожее?

По поводу троянов... Сидел на днях в инете и вдруг спайдер жалуется: С:\WINNT\system32\d2.exe инфицирован Trojan.PWS.Stealer. Посмотрел что за еруна - чуть со стула не упал. Троян dialpass2 - обалденная штука, считывает все диал-соединения, номера телефонов впридачу с именами пользователей, логинами и пассвордами из парольного кэша. К томуже может отсылать по сети все это хозяйство в нескольних форматах: хочешь в текстовом, а хочешь текстом с табуляцией, а хочешь html - пожалуйста.
Потом посмотрел - чуть второй раз со стула не упал... оказывается директория WINNT вдобавок ко всему еще открыта для общего доступа!!! :o
А теперь вопрос знатокам: ну ладно, буй сним, попал из инета троян и попытался записаться в сятая всех святых system32, но как можно из сети папку доступной сделать? А то что это сделали из сети - стопроцентно, потому что свой WIN2K SP4 я поставил буквально день назад на свежеотформатированный диск и вход в систему запаролил.
Поставь Troyan Remover

поставь заплатку от мсбласта...
100% поможет =)
пебя поимели обычным rpc dcom эксплоитом...
удалённый пользователь получает полняй доступ у твоему компу...
странно, что у тебя антивирь не отключили =)
кстати по идее "ты сам" скачал этот файл к себе на компьютер с удалённого фтп...
подскажи что за заплатку надо ставить?! :) Я еще у себя ничего не ставил =)))

А у меня в папке WINDOWS\system32 появился какой-то ftpupd.exe. Теперь оттуда не вылазиет. У кого есть что-то похожее?
У меня тоже такое было. Я его обманул: сначала удали антивирусом этот файл, а потом создай в папке WINDOWS\system32 пустой ftpupd.exe и установи в нём атрибут только чтение. Вирус хочет перезаписать его, а не может. С тех пор, как так сделал он меня не беспокоит.

А у меня в папке WINDOWS\system32 появился какой-то ftpupd.exe. Теперь оттуда не вылазиет. У кого есть что-то похожее?
У меня этот файл есть, но он 0 byte весит и без атрибутов. Что за хрень? Этого файла точно не должно быть?

У меня деньги на счету горят *хотя инет давно не работает(заблокировано на -0.0132 помоему, а ща -5.324).Помогите!!! что делать??

Ни у кого не было вируса под названием Win32.Parit B!
Грохает *.exe файлы!

Ни у кого не было вируса под названием Win32.Parit B!
Грохает *.exe файлы!
Был ,но я его убил...


Никто не знает, есть ли новые сетевые черви под ХР СП2? Чего бояться?

Был ,но я его убил...


Никто не знает, есть ли новые сетевые черви под ХР СП2? Чего бояться?
вирусы не боятся ничего, поэтому они и вирусы. Побеждают, потому что их много...

Я недавно проверял на антивирус и нашёл... около.. (!)500(!) инфицированных файлов. И все они были заражены вирусом "Win32"... ::) ::) ::)

Как так можно докатиться, я лично не понимаю...


не флуди...модер

Ни у кого не было вируса под названием Win32.Parit B!
Грохает *.exe файлы!
У меня был Win32.Parit А, он внедряет вирусный код в exe-файлы, вреда вроде незаметно, но неприятно.
Кстати Касперский почти все заражённые файлы вполне корректно лечит, так, что программы работают.
Сначало просканируй папку windows, если найдёт этот вирус - заверши процесс regsrv32, потом удаляй вирус, затем ищи заражённые файлы в тех папках, куда заходил в то время, когда был запущен вирусный процесс и лечи их.

Всех, кого мучают трояны, Euvgeni выложил на фтп Ремувер. *http://forum.chebnet.com/?board=homelan;action=display;num=1095253457;start =60(Я на всаякий случай сделал апдейт)
И ещё сеть такая прога Ad-Aware Professional. Вроде тоже от троянов чистит.

Всех, кого мучают трояны, Euvgeni выложил на фтп Ремувер. *http://forum.chebnet.com/?board=homelan;action=display;num=1095253457;start =60(Я на всаякий случай сделал апдейт)
И ещё сеть такая прога Ad-Aware Professional. Вроде тоже от троянов чистит.
;D ;D ;D
Она не чистит от троянов.
Она блокирует баннеры, и еще послыает информацию о твоем компе автору программы

Не знаю. Я тут где-то спросил что она делает. Мне сказали, что чистит от троянов и тому подобных.
Тогда извиняюсь за распространение ложной информации. :)

Не знаю. Я тут где-то спросил что она делает. Мне сказали, что чистит от троянов и тому подобных.
Тогда извиняюсь за распространение ложной информации. :)
Обрати внимание на то, что ставить эту прогу отнюдь не безопасно

Ad-Awere? Почему?

Ad-Awere? Почему?
Она блокирует баннеры, и еще послыает информацию о твоем компе автору программы

Народ подскажите как избавиться от вируса W32.Korgo.V Просто уже бесит я его лечил нортоном раз сто даже заплатку с сайта Симатик скачал не помогло всеравно появляется >:(

Народ подскажите как избавиться от вируса W32.Korgo.V Просто уже бесит я его лечил нортоном раз сто даже заплатку с сайта Симатик скачал не помогло всеравно появляется >:(
Касперский все W32 замечательно лечит, установи, просканируй комп...если не поможет есть такой вариант как форматирование винта...но это последний вариант ;)

От троянов и червей пользуюсь Microsoft AntiSpyware http://www.microsoft.com/athome/security/spyware/product,
в остальном Касперским.

Не мог бы сказать сколько весит, а то инета нет.

Скажите пожалуйста,как бороться с вирусом Win32.padobot.z достал уже.Из-за него комп тормозит и выскакивает порграмма System Shutdown,мол файл Lsass.exe поврежден и система перезагружается,Касперский находит заражённые файлы,а толку нет.А после Shutdown'а в интернет нельзя зайти :'(

Нужно ставить заплатки на операционку, еще поставь фаервол. Или поставь windows xp sp2.

Скажите пожалуйста,как бороться с вирусом Win32.padobot.z
Ищи Касперским поражённые файлы в папке Windows, если он не удалит их - удали вручную, по-моему система позволяет их удалять, у меня был там заражённый файл ftpupd.exe. Затем создай там же пустой файл с тем же именем и установи атрибут "только чтение" - если вирус у тебя на компе, то поможет, а от атак, тех у кого эти вирусы сидят - нет. Для этого нужно блокировать ip вирусоносителей в файерволе.

Скажите пожалуйста,как бороться с вирусом Win32.padobot.z достал уже.Из-за него комп тормозит и выскакивает порграмма System Shutdown,мол файл Lsass.exe поврежден и система перезагружается,Касперский находит заражённые файлы,а толку нет.А после Shutdown'а в интернет нельзя зайти :'(
У меня та же херь, если нет-биос разрешаю в файрволле. Если блокирую, то все тип-топ. В связи с этим вопрос: мой комп заражен? Если да, то Касперский тем не менее никаких вирусов не находит.

У меня та же херь, если нет-биос разрешаю в файрволле. Если блокирую, то все тип-топ. В связи с этим вопрос: мой комп заражен? Если да, то Касперский тем не менее никаких вирусов не находит.
Если Касперский не находит заражённых файлов, значит комп не заражён. Это у других они зражены и эти вирусы атакуют остальных пользователей, используя дыру в безопасности Windows.

В основном все вирусы идут с других компов, мой антивирус(каспеский 6.0.12)на дню отражает по 30 атак LSASS exploit. Так что надо ставить заплатки, у тебя какая ОСь.
На 2000 SP4 заплатка от етого вируса у меня есть, а если у тебя XP, то просто поставь SP2.

В основном все вирусы идут с других компов, мой антивирус(каспеский 6.0.12)на дню отражает по 30 атак LSASS exploit. Так что надо ставить заплатки, у тебя какая ОСь.
На 2000 SP4 заплатка от етого вируса у меня есть, а если у тебя XP, то просто поставь SP2.
Поставил бы SP2, тока английскую версию найти не могу. Русская не катит. Так что сижу на SP1 и блокирую нет биос. Раньше, кстати, таких проблем не было почему-то.

Вроде эта заплатка от него, поищи может у кого есть, а то у меня нету. WindowsXP-KB835732-x86-RUS.EXE(Токо это русская а тебе английскую как я понял надо ;D, но название тоже ;D)

4е за байда захожу сюда C:\Documents and Settings\фыв\Local Settings\Temporary Internet Files хочу удалить все, а там пусто и весит ок 700 метров... вирус?

4е за байда захожу сюда C:\Documents and Settings\фыв\Local Settings\Temporary Internet Files хочу удалить все, а там пусто и весит ок 700 метров... вирус?
просмотр скрытых файлов включи.

просмотр скрытых файлов включи.
и ещё отображение скрытых системных файлов или попробуй через Far - там по умолчанию всё это видимо.

и ещё отображение скрытых системных файлов или попробуй через Far - там по умолчанию всё это видимо.
В Total это включается нажатием одной кнопочки на панели

4е за байда захожу сюда C:\Documents and Settings\фыв\Local Settings\Temporary Internet Files хочу удалить все, а там пусто и весит ок 700 метров... вирус?
Все это удаляется очень просто, и там нет ни каких скрытых файлов ;D. Заходиш в Internet Explorer\Сервис\Свойства обозревателя\выбираеш вкладку общие\где находятся временные документы выбираеш удалить файлы\ставиш галочку нажимаеш OK,все ;D. Эти файлы создаются когда ты что-то качаеш из сети, но они по идее должны удалятся сами, но может из-за разрыва связи остаются.

Все это удаляется очень просто, и там нет ни каких скрытых файлов ;D. Заходиш в Internet Explorer\Сервис\Свойства обозревателя\выбираеш вкладку общие\где находятся временные документы выбираеш удалить файлы\ставиш галочку нажимаеш OK,все ;D. Эти файлы создаются когда ты что-то качаеш из сети, но они по идее должны удалятся сами, но может из-за разрыва связи остаются.
Раз уж так дело пошло, то это кэш браузера. Они по идее не должны удаляться сами собой, пока не заполнять определенный объем, выставляемый в IE там же, где их их удаление.
Но это уже все оффтоп

Ищи Касперским поражённые файлы в папке Windows, если он не удалит их - удали вручную, по-моему система позволяет их удалять, у меня был там заражённый файл ftpupd.exe. Затем создай там же пустой файл с тем же именем и установи атрибут "только чтение" - если вирус у тебя на компе, то поможет, а от атак, тех у кого эти вирусы сидят - нет. Для этого нужно блокировать ip вирусоносителей в файерволе.
Тоже попался троян-доунлоадер ... так этот бес прописывал себя в куче необходимых длл и ехе-файлах (к примеру винлогон) и фиг его удалишь простым стиранием и даже касперский немог его удалить (т.к. при попытке удалить его вылезал синий экран смерти виндовз).
Сделал проще - записал какой вирь-троян (его основную прогу (какой-нить длл сидящий в сустем32)) - лез в реестр и удалял все его следы - вуаля, при следующей перезагрузке Касперский (базы обновляю каждые 2-е недели через инет самим Касперским) ничего ненашел, вернее в папке Виндовз, пару в Ресторе, но от туда Каспер лего удалил ;) - но одно плохо, он прописал загруз-ю страницу в ИЕ (какая-то Длл-ка) - вообщем следуя совету из этой странички в инете "Отслеживание загрузки шпионских программ в системе Windows" (http://www.whatis.ru/reg/reg_t10.shtml) удалось нейтрализовать и эту "брешь" ;)

з.ы троян был от Мелкософта - эт вроде российские хакеры? :o

Microsoft заделала больше двадцати дыр в своих продуктах

13 октября 2004 года, 09:58
Текст: Владимир Парамонов

Корпорация Microsoft выпустила девять бюллетеней безопасности, описывающих уязвимости в различных версиях операционных систем Windows, табличном процессоре Excel и пакете Microsoft Exchange Server. По крайней мере, семь дыр представляют крайне высокую опасность и могут использоваться злоумышленниками с целью выполнения произвольных действий на удаленных компьютерах.
Первый из октябрьских бюллетеней безопасности, MS04-029, описывает брешь в службе удаленного вызова процедур (RPC). При обработке сформированных особым образом запросов в библиотеке RPC Runtime возникает ошибка переполнения буфера. Дыра теоретически может использоваться хакерами с целью организации DoS-атак, а также для несанкционированного доступа к конфиденциальной информации. Уязвимость, получившая рейтинг важной, присутствует в Microsoft Windows NT 4.0 Server и Microsoft Windows NT 4.0 Server, Terminal Server Edition.
Брешь в модуле WebDAV также позволяет проводить DoS-атаки на удаленные ПК. Уязвимость, присутствующая в различных версиях Windows (в том числе 64-битной), может быть задействована через Internet Information Services. Подробную информацию о дыре можно найти в бюллетене MS04-030. Уязвимость в службе Network Dynamic Data Exchange (NetDDE) обеспечивает возможность выполнения произвольного программного кода на машине-жертве. Правда, данная служба в операционных системах Windows отключена по умолчанию. Обе вышеописанные дыры получили рейтинг важных.
Еще четыре дыры в Windows представляют критическую опасность. Ошибка в программном интерфейсе Window Management позволяет злоумышленникам захватить полный контроль над атакуемой системой. Аналогичная уязвимость имеется в модуле обработки VDM (Virtual DOS Machine). Кроме того, брешь в ядре Windows обеспечивает возможность проведения DoS-атак через специальную программу. Наконец, ошибка обнаружена в компоненте Graphics Rendering Engine. Для реализации атаки нападающему достаточно вынудить жертву просмотреть сформированное особым образом изображение в формате WMF (Windows Metafile) и EMF (Enhanced Metafile). При попытке открытия подобного файла на машине может быть выполнен произвольный код.
Бюллетень безопасности MS04-034 описывает уязвимость в Windows ХР/2003 (в том числе 64-битных версиях). Ошибка, возникающая при обработке сформированных особым образом сжатых (zipped) папок, позволяет выполнять на компьютере произвольные действия. Брешь, охарактеризованная как критически опасная, требует устранения при первой возможности.
Еще одна дыра, найденная в SMTP компоненте ОС Windows ХР/2003 и Microsoft Exchange Server 2003, обеспечивает возможность удаленного выполнения вредоносного кода на машине-жертве. Ошибка проявляется при обработке специфичных DNS-запросов и представляет критическую опасность. Подробная информация о проблеме и патчи доступны на сайте софтверного гиганта. Похожая брешь обнаружена в модуле NNTP (Network News Transfer Protocol). Дыра, также охарактеризованная как критически опасная, присутствует в операционных системах Windows NT/2000/2003 и Microsoft Exchange Server 2000/2003.
Две другие критические дыры найдены в компонентах Windows Shell и Program Group Converter операционных систем Windows 98/98SE/2000/ХР/Server 2003 (в том числе 64-битных версий). Уязвимость в Windows Shell может быть задействована через сформированный особым образом веб-сайт и обеспечивает возможность выполнения на ПК произвольных действий. В свою очередь, брешь в Program Group Converter также может использоваться злоумышленниками для получения полного доступа к удаленной системе. Для этого необходимо вынудить жертву перейти по специфичной HTML-ссылке или открыть файл. Стоит отметить, что для пользователей Windows XP со вторым сервис-паком большинство дыр неактуальны.
Наконец, уязвимость в табличном процессоре Microsoft Excel, описанная в бюллетене MS04-033, предоставляет хакерам возможность захватить полный контроль над компьютером через вредоносный файл. Ошибка охарактеризована как критически опасная.

А у мня вирус был который *.bat файлы заражал

Microsoft заделала больше двадцати дыр в своих продуктах
13 октября 2004 года

Ты б еще припомнил, что 3 года назад было...