Vertris Опубликовано 14 марта, 2007 Жалоба Поделиться Опубликовано 14 марта, 2007 Забавно или нет но ситуэйшен next: Синдром: - Торможение (не головы) а и-нета - Появление в надстройках местических dll - запуск упомрочительного рендомайдного dll в реестре Прочее: Симантек определяет его Vundo Trojan , при этом успешно его "удаляет" и все бы не чего , но нет опять , роемся находим также троянчик Download .... (кстате гордый Касперский отважно так же убил его) - ан нет ... Утверждения по симантеку: Trojan.Vundo - 2002 год , риск 2 убиваеться простым пропатченым Симантеком Downloader - 2004 год , риск 1 убиваеться простым пропатченым Симантеком И так мысли: - Мы столкнулись с новым вирусом или умелой полиморфной модификацией? - Одиночный ли случий (карма у меня такая) или это начало ипедеми?? P.S я вылечил геморно но всеж , жду мнений Ссылка на комментарий Поделиться на другие сайты Поделиться
NickGolovko Опубликовано 14 марта, 2007 Жалоба Поделиться Опубликовано 14 марта, 2007 Забавно или нет но ситуэйшен next: Синдром: - Торможение (не головы) а и-нета - Появление в надстройках местических dll - запуск упомрочительного рендомайдного dll в реестре Прочее: Симантек определяет его Vundo Trojan , при этом успешно его "удаляет" и все бы не чего , но нет опять , роемся находим также троянчик Download .... (кстате гордый Касперский отважно так же убил его) - ан нет ... Утверждения по симантеку: Trojan.Vundo - 2002 год , риск 2 убиваеться простым пропатченым Симантеком Downloader - 2004 год , риск 1 убиваеться простым пропатченым Симантеком И так мысли: - Мы столкнулись с новым вирусом или умелой полиморфной модификацией? - Одиночный ли случий (карма у меня такая) или это начало ипедеми?? P.S я вылечил геморно но всеж , жду мнений Предположительно Symantec может ошибаться в детектировании, хотя не исключено, что он все же прав. Это не обязательно полиморфная модификация (хотя полиморфизм сейчас переживает второе рождение) - это может быть malware, работающее по принципу Adware. Look2Me: создание библиотек со случайными именами и столь же случайная их регистрация. Для большинства антивирусов такой механизм является весьма узким местом. Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 14 марта, 2007 Жалоба Поделиться Опубликовано 14 марта, 2007 Судя по тому, сколько раз Saule вытаскивает на свет божий утиллиту VundoFix, можно говорить если не об эпидемии, то о живучести это вида заразы. Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 15 марта, 2007 Жалоба Поделиться Опубликовано 15 марта, 2007 Утверждения по симантеку:Trojan.Vundo - 2002 год , риск 2 убиваеться простым пропатченым Симантеком В Symantec создавали для Vundo отдельную утилиту, причем на оф.сайте отмечено, что предпочтительнее использовать именно этот метод, а не удаление с помощью антивируса: Symantec Security Response has developed a removal tool to clean the infections of Trojan.Vundo. This is the preferred method in most cases. Хотя на самом деле, если эта утилита действительно была создана в 2005 году, то и она навряд ли реально сможет помочь :) И так мысли:- Мы столкнулись с новым вирусом или умелой полиморфной модификацией? На самом деле вирус достаточно старый, просто он относительно часто обновляется его разработчиками. Регистрируется, как BHO (мне известно 4 варианта: MSEvents Object, ATLDistrib Object, CIEPl Object, просто без имени) + как модуль уведомления Winlogon (Winlogon Notify) + в последних вариантах добавилась еще одна запись в AppInit_DLLs + изменение ключа BootExecute (HKLM\SYSTEM\ControlSet001\Control\Session Manager\BootExecute). Созданные файлы - с произвольным названием (5-8 знаков) + некоторые варианты маскируют своё присутствие от HijackThis (правда, переименование файла HijackThis.exe на HJT.exe или TJH.exe - эту маскировку уже устраняет) + последние версии для затруднения своего обнаружения и удаления используют полнофункциональный руткит (что легко объясняет полное бессилие многих ав). Самый простой способ для того, чтобы удостовериться в том, что у вас этого руткита нет: My Computer > Properties > Hardware > Device Manager > в верхнем меню: View > Show Hidden devices > Non-Plug and Play Drivers > если записи DP1112 в списке там нет, то всё ок (разумеется, с условием, что к тому времени не будет выпущена новая версия). И так мысли:- Одиночный ли случий (карма у меня такая) или это начало ипедеми?? Это достаточно распространенная вещь. По всей вероятности из-за того, что у многих установлены старые версии Sun Java (кстати, если вы подцепили эту инфекцию, возможно, есть смысл установить Java Runtime Environment (JRE) 6.0). P.S я вылечил геморно но всеж , жду мнений :) Способы удаления когда-то оставляла вот здесь: Vundo. Лечение. Ничего проще и эффективнее до сих пор так и не придумано. Хотя случается, что и эти способы не срабатывают так, как хотелось бы. В качестве примера, если вдруг кому-нибудь будет интересно, копирую содержание письма, полученного не так давно на эту тему: ...в поисках лекарства, так как мой avast оказался бесполезным против этого "зверька", наткнулся на созданную Вами тему... Програмка указанная тут в принципе показала себя неплохо, но и не очень хорошо... ...Dr.WEB CureIt! оказался более проворным, чем VundoFix, но и он был бессилен, пока я не запустил его же, но уже с загрузочного диска WindowsPE mini CD Edition (офф-сайта не нашел, но сама сборка ищется через поисковики на ура). На диске был тот же Dr.WEB CureIt!, но судя по лицензионному ключу, явно не непосредственно с сайта программы. Базы были где-то за середину января этого года. После сканирования системного диска антивирус нашел "незванного гостя" приблизительно в 10 файлах, включая исходный EXE-шник, с которого все началось, на рабочем столе, кучи библиотек в system32 и ещё пары непонятных файлов. После этого загрузился в нормальном режиме, ещё раз прошелся VundoFix, которая на сей раз, в отличии от предыдущих раз 10-20, сработала более основательно, слегка зачистил папку system32, и пока проблем, которые были раньше не наблюдаю. Если что-то изменится, сообщу... P.S.: надеюсь что-то, из сказанного выше, окажется полезным... Ссылка на комментарий Поделиться на другие сайты Поделиться
Dark_KRONOS Опубликовано 9 июля, 2008 Жалоба Поделиться Опубликовано 9 июля, 2008 Мне нужна помощь по этому трояну: неизвестно откуда подцепил( хотя IP адрес у меня показывается как 255.255.255.255, и теперь все врем пытается множиться в папке system32. Мой антивирус Symantec Endpoint Protection совместно с Outpost Firewall Pro 4.5 все время ловят, но я хочу спросить - как избавиться от него окончательно? Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 9 июля, 2008 Жалоба Поделиться Опубликовано 9 июля, 2008 Создайте тему в соотвествующем разделе и подготовьте логи. Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Для публикации сообщений создайте учётную запись или авторизуйтесь
Вы должны быть пользователем, чтобы оставить комментарий
Создать учетную запись
Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!
Регистрация нового пользователяВойти
Уже есть аккаунт? Войти в систему.
Войти