вирусяка michael.exe вас еще не посещала ? #468531


#0 by DES
не видится никаким антивирусником. все упоминания в инете и проверялки не привели ни к чему. все равно создает на сетевом диске autorun.inf
#1 by bizon2008
Наглая ложь. Касперский нормально его убивает. У меня уже на трех машинах такой пробегал.
#2 by aka MIK
Да не за что
#3 by aka MIK
Отключить нафиг авторан у всех дисков
#4 by VasilyKushnir
+ к Доктор, который вэб, тоже. 1. Ищи пути, откуда он попадает. 2. НоД может, к примеру, убивать сам вирус, но оставлять autorun.inf (заблокированный - убивается CureIT), что уже никакой опасности не несет.
#5 by IceSer1
autoruner это нам знакома, лечится убиванием процесса, и снятием из автозагрузки, или сэйфмод и скан курейтом
#6 by acsent
Нас вирусняки в принципе не посещают
#7 by acsent
Когда уже люди перестанут под админом работать?
#8 by IceSer1
когда прижмут за крэки)
#9 by nop
неа. И не надо!
#10 by Варвар
про виндовз ацтой тут уже писали?
#11 by DES
А как он классифицируется касперским?
#12 by NikVars
Научи, что нужно сделать, что посетила такая вирусяка?!
#13 by eklmn
про прямые руки еще не написали...
#14 by Neg
Net-Worm.Win32.Kido.ir    Файл    G:    autorun.inf
#15 by DES
Вот такая гадость сидит в сетевой папке не могу избавиться... [autorun ~dfsafklASKFkfWqкдАСЧДФКЛЊЧЛЉфјидџЊЉД open=LOOKEY///michael.exe %дњљдлЊЋДЛЊЉЋФксАЋL??DASFKw??QPF?qf icon=%SystemRoot%system32SHELL32.dll,4 &daskdl?KFGWQ?FKkfASL?FЭДЖВафыАЬЛЦЙАЭЖЦЙДАЛЗХЭЦЙа action=Open folder to view files using Windows Explorer (афыалцЭАЦДЙАЭЦдэФДЫАЭДЙЭАЛХЭЦЙАKdlPLLDWKDP Shellopencommand=LOOKEY///michael.exe >dasdflфАЕЛфЋЊЉлфЋЊЉдкфњљЧдмкјњљдкјчњКФњљфњљфњљ shellopencommand=LOOKEY///michael.exe !фњљфњљФЊКфЊЉЧКЈФЊЉ?fASLF?WQKFEOFK?EQ? USEAUTOPLAY=1 ?dqWQP?DLWQ?DFASFKAFKWQOPDA??DВЭДФЫЖВДЭЙВЛДБЭЦВЛЦЙВЛЬЭЦЙХВЦЙ
#16 by Demasiado
разрешать писать в сетевые папки аутораны - это адское зло...Мы обычно даже исполняемые файлы запрещаем туда писать, очень часто помогает
#17 by DES
Как запретить ?
#18 by Каштан
Ложью ))) зверек выцепляется утилитой КК.ЕХЕ, ее же настроили на автозагрузку на всех пользовательских компах, + каспер. Проблема исчезла ))))
#19 by Каштан
И эта же утилита блокирует автозапуск флешек на локальных машинах.
#20 by DES
Это не с флешки. юзер клянется. вроде как с интета, на раблере у юзера почта. говорит что отправил письмо только. Аваст выдал предупреждение и письмо мне на почту. По нему установил время заражения. После этого аваст сдох. переустановил на 5 версию. не обнаруживает ничего. а в сетевой появляется авторан, кожадый раз при запуске этой машины. куреит свежий не видит ничего.
#21 by Torquader
gpedit.msc Система Запретить автозапуск Включить на всех дисках. А дальше - вам Autorun не страшен. ещё полезно "зверям" ограничить запуск Exe-файлов. P.S. если пользователи работают не под админом, то это защищает локальные диски от внедрения туда Autorun.inf, но в директории запуска пользователя вирусы живут как ни в чём не бывало, причём - заходишь на машину под админом - никаких вирусов нет (они дремлют в папках пользователей), а вот под пользователями они работают - приходиться StartUp-ы у пользователей регулярно чистить.
#22 by Torquader
Последний вирус, который я видел на Flash - он создаёт на диске файлы с иконкой папки и именем уже существующих папок, и никакого Autorun, но пользователь в проводнике работает - он его и запускает. P.S. в данном случае очень помогает Far, так как в нём файл с папкой спутать просто нереально.
#23 by DES
Этот создает "папку" LOOKEY с иконкой корзины. в ней отображаются файлы из настоящей корзины. среди них прячется екзешка, но я ее не вижу, под админом даже с другой машины. папка блокируется машиной заразителем.
#24 by apollo
однако..
#25 by Каштан
попробуй этой утилкой, она и сетевые сканит диски, на сколько я помню... если уж эту заразу затащил, то без вспомогательных утилок ты ее не уберешь.
#26 by DES
проверенную ссылку на нее можно ?
#27 by Каштан
- это опыт борьбы с кидо... на 34 странице описание к ней. - сама утилка.
#28 by Каштан
ссылка на утилку вызывает доверие))) ???
#29 by DES
это для кидо...
#30 by DES
куреит вешается на 80% проверки...
#31 by DES
заменил scrss.exe - вроде теперь на сетевом диске не создается каталог, но блокирована почта. завтра буду смотреть кто занял порты
#32 by smaharbA
ниче она не блокируется, пользуйся не проводником
#33 by DES
блокирована. (unloker снимает блокировку)
#34 by smaharbA
mkdir "C:Корзина.{645FF040-5081-101B-9F08-00AA002F954E}" есть методика и без клсида
#35 by DES
что это ?
#36 by smaharbA
о "корзине"
#37 by smaharbA
и все таки конфикер или что ?
#38 by smaharbA
конфикер можно найти по журналу и по характерным файлам на жертве
#39 by DES
зачем мне Корзина на c: ? Вирус "создает"  корзину на сетевом мапированном диске, в которой отображаются файлы из корзины локальной машины.
#40 by DES
не знаю что. никто, кроме аваста не ругнулся, а сейчас и аваст не ругается...
#41 by DES
поставил каспера - тоже молчит
#42 by DES
снимал диск - тестил на другой машине, авастом/каспером - никого.
#43 by smaharbA
без разницы проверять надо не тот кто с шарой, а окружающих
#44 by smaharbA
а выявить кто лочит средств масса начиная с net file
#45 by DES
естесно. проверял ту машину, которая лочит этут папку.
#46 by DES
с нее пришел сигнал заражения и при ее выключении папка удаляется свободно
#47 by smaharbA
выявляй процесс
#48 by smaharbA
если конфикер не редко вебсервер и в качестве исполняемых идут "картинки"
#49 by DES
ничего нет лишнего. убил все , что мог. при очередной загрузке, ругнулось на офис и память не может быть реад, само перезагрузло и папки не создает теперь. Но 25 порт вробе занят чем то. проблемы с почтой.
#50 by DES
ничего не понял.
#51 by smaharbA
netstat -a -o | find ":smtp"
#52 by DES
cports.exe но завтра попробую.
#53 by smaharbA
не редко кидо работат как веб сервер
#54 by DES
думаешь это кидо ?
#55 by smaharbA
х.з. по повадкам не похоже тот гасит и перепускает службу сервера
#56 by DES
дело в том что и на сервере  почтовик загнулся, но после перезагрузки почтовика завелся.
#57 by DES
опять же сервер под каспером - все чисто, говорит...
#58 by smaharbA
а защитить элементарно создать папку autorun.inf и файл lookey не верь антивирусам )
#59 by DES
хи-хи... первым делом сдела. Он их перезаписывает, сука. Даже если они рид-онли.
#60 by smaharbA
именно так ? папку и файлнаоборот ?
#61 by DES
корректировал авторан, чтоб путь екзешки не нашел. куда там - просек.
#62 by DES
нет, не так
#63 by smaharbA
а в том и дело папку ауторан, а файл лукей
#64 by DES
+ а в чем фишка ?
#65 by smaharbA
в том, что файл перепишет ибо откроет fopen а папку нет
#66 by DES
а кильнуть папку и создать не догадается ?
#67 by DES
лан, спасибо за участие...
Тэги: Админ
Ответить:
Комментарии доступны только авторизированным пользователям

В этой группе 1С