» Антивирус Dr.Web (Доктор Веб, Doctor Web, DrWeb antivirus)

ValeryLedovskoy
Родной, научи скрины снимать, когда ни одна программа не запускается!!!
Я бы тебе все отдал с надеждой на избавление от геморроя, но - увы... Да и интерфейсный экзешник я убил - на хрена мне зараза...
И стоит у меня предписанный Symantec (до этого был McAffee) - корпоративная политика... А они таких бед не знают.
По поводу версии Winlock - ну абсолютно все совпадает с ранее описанным - и номерок СМС, и пароль, и uBest - чудес на свете не бывает!
Что найдено:
Trojan.Click.25800
Trojan.Muldrop.37496
Пока все, сканирование продолжается...
Подозрение на ошибки:
FathZIP.dll, лицензированная
Vodafone Mobile Connect - с ним у DrWeb'а вообще плохо - паранойя - я в инете посмотрел, народ за бугром по этому поводу сильно переживает - в инсталлере и в файле stream026 - вот там трояны и нашлись...
Мне так кажется, эпидемия сама на спад пойдет через недельку, как было в июле с Касперским винлоком. Но от него-то я сам за полдня избавился, а здесь таланты поработали...

Цитата:

И стоит у меня предписанный Symantec (до этого был McAffee) - корпоративная политика... А они таких бед не знают.

Каких бед? Детекта у Симантека тоже не было.


Цитата:

Vodafone Mobile Connect - с ним у DrWeb'а вообще плохо - паранойя - я в инете посмотрел, народ за бугром по этому поводу сильно переживает - в инсталлере и в файле stream026 - вот там трояны и нашлись...

На анализ. Бывает, что в таких программах используются ломаные обфускаторы, такие же, как в вирусах. Надо смотреть.


Цитата:

Мне так кажется, эпидемия сама на спад пойдет через недельку, как было в июле с Касперским винлоком. Но от него-то я сам за полдня избавился, а здесь таланты поработали...

Ну-ну. А мне кажется, что они становятся всё злее и чаще.
За последние месяцы в сетке из 150 компьютеров разбирался примерно с 5-ю случаями. Но раньше так сильно не защищались.

Добавлено:

Цитата:

Родной, научи скрины снимать, когда ни одна программа не запускается!!!

Народ снимает цифровыми фотоаппаратами и телефонами. Качество картинки не сильно важно.


Цитата:

Да и интерфейсный экзешник я убил - на хрена мне зараза...

Для того, чтобы понять, что происходит и как с ним бороться. Как раскрыть преступление, если жертва сама уничтожает улики?

Кстати, насколько я понимаю, у Вас в system32 ничего не нашлось с названием Trojan.Winlock. Подозреваю, что случай всё же другой.

ValeryLedovskoy
Ваша правда, уважаемый Symantec ни фига не нашел.
А "бед не бывает" - это в смысле того, что все это русскоязычное, наше, родное! (Я про вирусы эти)
Забыл сказать - проверка выборочная, только диска, подцепленного с USB. Еще только половина...

Хочу спросить - а что ключедел на сайте не срабатывает?
Потом, с заявлениями типа "а через 2 часа все самоуничтожается" я бы был поосторожнее. Но это не к Вам, уважаемый, а PR Вашему!

Чего делать-то? Завтра Outlook нужен, файлы рабочие, доступ к САПу - это жесть...
И, главное - ладно бы по порно-сайтам шлялся - просто некогда было! Заглянул на avaxhome, KpNemo... И ведь после июля стал визуально корень жесткого диска проверять перед выключением ноута - помогало неоднократно. Вчера не бвло ничего...

У меня CureIT находил winlock, но у меня жутко ключил интерфейс, не видел какой файл и видел только часть названия "WinLoc(а дальше всё не читабельное)"

alexeySTP
На http://virusinfo.info/forum.php? в разделе "Помогите" от этого трояна лечат.
Пример успешного излечения - http://virusinfo.info/showthread.php?t=62167.

Цитата:

Хочу спросить - а что ключедел на сайте не срабатывает?

Потому что нет его ещё для данной модификации. Наивно полагать, что у данной серии программ один автор. Существуют также конструторы подобного вирья и успешно продаются


Цитата:

А "бед не бывает" - это в смысле того, что все это русскоязычное, наше, родное! (Я про вирусы эти)
Забыл сказать - проверка выборочная, только диска, подцепленного с USB.

Там хватает лже-антивирусов. У нас народ на это не ведётся. К нам нужен особый подход


Цитата:

Чего делать-то? Завтра Outlook нужен, файлы рабочие, доступ к САПу - это жесть...

Ждать окончания проверки. Смотреть на результаты. Думать. Ещё раз думать.

PrintScreen
Спасибо за идею!
Ща согласно выложенным скриптам ручками пройдусь, почикаю...
Лишь бы загрузилось потом...

alexeySTP

Цитата:

Родной, научи скрины снимать, когда ни одна программа не запускается!!!

У меня паинт работал. PrintScreen, потом вставить в паинт. Если окна (сохранения например) вылазят за окном вируса с текстом - жми Альт+Пробел, выбирай Переместить и двигай окно стрелками.

alexeySTP

Цитата:

Ща согласно выложенным скриптам ручками пройдусь, почикаю...

Сомневаюсь, что получится, т.к. имена зловредных файлов наверняка рандомные. Я имел ввиду, что надо на том форуме открыть новую тему, опубликовать свои логи и получить скрипт.

PrintScreen
Возможно. Но я хочу, во-первых, дождаться окончания сканирования, т.к. Cure It влокирует доступ к жесткому диску, а во-вторых, в скриптах расположения этих файлов более-менее понятны, ручками поищу - там и имена найдутся. Нет времени и желания сегодня заморачиваться с AVZ и прочим.

Pasha_ZZZ
у меня даже калькулятор не работал, не то что Paint!


Добавлено:
Хочу поделиться своими наблюдениями.
Во-первых, Cure It не нашел ни фига кроме уже известного winagent.dll, который почти безвреден - Trojan.Click.31902
Во вторых, если внимательно посмотреть на контент system32, то там немало скрытых dll-ок одного и того же размера (88908 байт) и, естественно, без подписи. Есть основания полагать, что это и есть оно. Почему-то проводник при поиске их не обнаруживает, даже если задать в явную поиск по имени. Интересно, а как бы их всех да одним батником грохнуть??? Вручную уж больно утомительно будет... Ну а потом можно и посмотреть, что вышло...

Как мысля? Бред?


Добавлено:
Кстати, у всех - одна и та же дата создания - 31.12.2008. Нашел все по этому признаку, проверил размер и отсутствие подписи и грохнул
Посмотрим результат...


Добавлено:
Разрешите добавить?
Ноут нормально загрузился, никаких проблем визуально нет.
А Vodafone Mobile Connect придется переустанавливать - это DrWeb погорячился!

Ну вот, спасение утопающих - дело рук самих утопающих
Все хорошо, что хорошо кончается.

И специалисту DrWeb - СПАСИБО! Именно его вопрос о скрытых DLL и навел на правильный ход мыслей!

Желающим предлагаю воспользоваться моим рецептом - сначала в реестре в Winlogon посмотреть параметр userinit и при наличии чего-то еще после запятой все это выкинуть, затем удалить то, на что в userinit была ссылка, и подконец почистить Windows\system32 от скрытых dll без подписи размером 88908 байт. И все!

Готов принять благодарности за рецепт лечения!

PS Не забудьте включить обратно диспетчер задач и возможность правки реестра - надеюсь, с gpedit.msc все знакомы

Напоследок - камушек в Cure it - на полное сканирование диска с 17 Гб содержимого у Cure It ушло 4 или 5 часов (!!!)
У Symantec это заняло 1 час - почувствуйте разницу!
При этом результат одинаков - источник беды не найден.

alexeySTP
Цитата:

сначала в реестре

а как ты попал?? если regedit не работат??? плиз, короче и по пунктам... а то я уж темку убогую подогнал http://forum.drweb.com/index.php?showtopic=285961
только что свежий CureIt проверку закончил... ничяго не нашёл... перезагруз... опять Акно... картинка см. выше
два винча по 250 ГБ проверял часов с 16-00 мск

dirnola
В начале эпопеи я написал, что пользовался Winternals ERD Commander - им и цеплял реестр, не вынимая жесткого диска, там и была ссылка на svcnost.exe (это часть вируса, которая как раз за твою картинку отвечает, а весила, зараза, всего 7 Кб!).
Ну а потом все остальное - можно тоже ERD, но я цеплял винт по USB к "живой" машине - так быстрей и удобнее.
Ветка реестра для подробностей: HKLM\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon - там и следует смотреть параметры shell (на всякий случай) и userinit, в последнем после запятой ничего не должно быть!
Если чего недопонял - спроси, я всей душой - переволновался сам сегодня, мне же не за IT-хлопоты денег платят!

Пишу уже с реанимированного казенного ноута


Добавлено:
dirnola
Посмотрел твой пост у Веба на форуме.
Алгоритм борьбы описан правильно, за исключением - размер dll-ок 88908 байт, реестр (описанную ветку) почистить, и, наконец, удалить в Progam Files\Internet Explorer\svcnost.exe. Все!
И еще - минимум неделю любой антивирус будет бесполезен, особливо - буржуйские. Они на русский наг-скрин, подцепленный с русскоязычных сайтов и смотреть не будут.
Покуда ребята из DrWeb грамотно сканировать эту каку учиться будут - а это же отладить еще надо! - та самая неделя и пройдет, а то и поболее.
Если ты - сисадмин, напиши батничек соответствующий и воткни его на автозапуск своим юзерам или хоть под собой - у юзеров прав не хватит - возможно, и поможет... Кстати, включить диспетчер задач и редактор реестра можно тоже через тот же батничек. Мне лень копаться - как решить вопрос с удалением всех скрытых dll-ок с одной датой создания и одного размера. Но если у тебя не один десяток компов - есть смысл потратить время. К примеру, я всегда проверяю корень жесткого диска перед выключением и иногда вижу появившийся там хлам и знаю, что это Winlock в той или иной форме. И Symantec ни разу не выдал при проверке, что это вирус. А сколько уже времени прошло с момента появления этих локеров!

Цитата:

Алгоритм борьбы описан правильно, за исключением - размер dll-ок 88908 байт

А не 88608?


Цитата:

Покуда ребята из DrWeb грамотно сканировать эту каку учиться будут - а это же отладить еще надо! - та самая неделя и пройдет, а то и поболее.

Надумано.


Цитата:

А Vodafone Mobile Connect придется переустанавливать - это DrWeb погорячился!

CureIt! каждый раз спрашивает по умолчанию перед действием над файлом. Значит, Вы сами согласились, что эти файлы нужно грохнуть. Делаете всё с точностью наоборот. Я просил эти файлы не грохать и потом переустанавливать это ПО, а отправить в вирлаб.


Цитата:

Почему-то проводник при поиске их не обнаруживает, даже если задать в явную поиск по имени.

Потому что у них атрибут "скрытый". Либо используйте нормальный файловый менеджер, либо включайте в Проводнике отображение скрытых файлов.


Цитата:

Почему-то проводник при поиске их не обнаруживает, даже если задать в явную поиск по имени. Интересно, а как бы их всех да одним батником грохнуть???

Вот снова грохнуть, о других не думаете Надеюсь, хоть один экземпляр сохранился? Если эта dll до сих пор не детектится, значит, это новая модификация. Заархивируйте с паролем virus и вышлите ко мне на ledovskoy /at/ drweb /dot/ com.


Цитата:

Напоследок - камушек в Cure it - на полное сканирование диска с 17 Гб содержимого у Cure It ушло 4 или 5 часов (!!!)
У Symantec это заняло 1 час - почувствуйте разницу!

Да, относительно медленно. Но от актуальных руткитов Symantec спасти не может, например. Например, от этого, насколько мне известно:
http://news.drweb.com/show/?i=685&c=9&p=0
Причём этот руткит постоянно в настоящее время развивается. Чуть ли ни каждую неделю новые модификации.
Сканер в т.ч. из-за работы антируткита работает сейчас медленее. Но работа по убыстрению ведётся. Когда нужно от чего-то вылечить, на первое место ставится качество лечения (здесь я не о детекте, над ним тоже нужно работать).
Это я всё к тому, что нет идеальных антивирусов. Антивирус - это инструмент. У каждого инструмента есть свои особенности и предназначение. При сноровке можно практически с любым инструментом сделать практически всё, что угодно. Полагаться на то, что инструмент всё и всегда будет делать сам - несколько глупо. Антивирус - не скатерть-самоубранка.

Добавлено:
dirnola, аналогичная просьба загрузиться с какого-нибудь LiveCD и прислать одну или несколько экземпляров скрытых dll в почту.

ValeryLedovskoy
Цитата:

прислать одну или несколько экземпляров скрытых dll

я, блин, ничё не понимаю: ну нет у меня в system32 скрытых левацких dll-ек... первым делом их сегодня начал искать... всю system32 перерыл... нетути... и дат таких нет, и размеров... разумеется скрытые все включены... "где же суслик?"
ты, прости меня, но толку от меня ноль, т.к. машина клиентская, а директор там самодур (хуже)... поэтому материала от меня нетути
я уж на офсайт отписал... чюствую, с потрохами съедят... а что делать...
[more=вот, в прынцыпе, что я там накарябал]Documents and Settings\User\Local Settings\Temp - зачищал, да, зараза там чёто разворачивает
Windows\Temp - зачищал, практически пустая, левого не было
кэш убрал
леватину из %sysdir% убрал
а при запуске с livecd ничего случайно в sysdir не прописывает? пытался под livecd убрать хрень под названием .fuse-hidden0000000200000001... не убрать... тут же заместо 02..03..04... убрал просто в безопасном режиме уже как .fuse-hidden0000000200000006
убрал Progam Files\Internet Explorer\svcnost.exe 8 Кб
зачистил Prefetch
подвижки есть... раньше вообще ничего нельзя было запустить... ни панель управления, ни учётные записи пользователей... щас хоть что-то... но диспетчер задач фиг... и самое главное, перехват "отлично" срабатывает на файловые менеджеры... так по жизни избаловался, что как без рук... лажу-лажу в проводнике по папкам... убого... чисто машинально жму на far или totalcmd - сразу вражье Акно...
и самое обидное - шерстю-шерстю system32... ну нет никаких типа pmyda.dll, pmd.dll и т.п... размером 88608 байт.. как пишут на http://search.otvet.mail.ru/?q=ubest+netspeed+pro&sf=0
и dll-ок 88908 байт левацких тож нет как пишут http://forum.ru-board.com/topic.cgi?forum=...mp;start=1840#7
ни в скрытых, ни в открытых
плиз, прошу не ругайте меня, т.к. машина клиентская, директор жлоб... времени нет... мне легче было систему из образа поднять...
поэтому ни логов, ни материала для Вирлаб - от меня, как от козла молока
пытался было акронисом образ заразной машины снять, чтоб потом на свободе развернуть... хрен... проги то не запускается...
мне помощь не нужна... постил только для того, чтоб остальных предупредить... за последние года такой крепкой заразы не встречал!!! [/more]

Добавлено:
[more=гы, вот ещё туда накарябал]дык, не будет логов... поздно, товарисча акрониса пришлось запущать... если только там дурдиректор или его подчинённые (бестолковые) снова не подцепят... гы, забыл сказать: hosts там был убийственный что-то типа (хотя мобыть это не от сабжа):
ip такой-то www.odnoklassniki.ru
ip odnoklassniki.ru
ip my.mail.ru
блин, смешно, там ранее сетка местная была мною прописана... дир-р в своё время пожалел бабла на SS, дал купить только лицензии на антивирь... а зря
-------------------
по идее да, ЛивЦД понятия не имеет про sysdir... тогда получается изворотливая скотина сидела в корне .fuse-hidden0000000200000001(..6..)... при попытке del под ЛивЦД он моментально переименовывался на +1, но потом то я его в безопаске убрал... sysdir пустой[/more]

dirnola, ничего страшного. Всё равно спасибо за общение. В следующий раз, может быть, повезёт больше.

ValeryLedovskoy
1. Ну, положим, проводником пользоваться меня учить не надо - все галки стояли как надо. Сам ничего не понял!
2. "Грохнуть" - естественная реакция, в т.ч. при сигнале антивируса - чего заразу плодить? У нас с Вами, уважаемый, цели разные - Вам коммерческий продукт отладить, а мне работать надо - где гарантия, что "из искры не возгорится пламя"??? Ведь Вы меня спасать не будете - при заражении чем-то новым спасение утопающих - дело рук самих утопающих. В конечном итоге, я и свою задачу решил, и, надеюсь, хоть кому-то мои мучения полезны будут.
От этого же и Mobile Connect полетел в корзину - а вдруг все-же нечисть какая? Дистрибутив есть, программа бесплатна от Vodafone.
3. Если DrWeb завтра противоядие на сайте выложит - ей-ей на следующий год подписку оформлю за буржуйскую капусту!!! Но понимая, насколько кропотлива ваша работа - неделя - это еще мало!
4. СПАСИБО - за ценный совет. Думать - всегда полезно и нужно, что я и сделал. Работать-то надо!

dirnola
Не хнычь!
Первое, что стоит сделать - поискать скрытые экзешники с одинаковой датой создания. Далее - не зацикливайся на конкретном размере, дате и атрибуте. Главное - зараженные файлы без подписи, а все, что есть в system32 нормального - оно подписано, включая то, кто делал. Ищи исходя из этого, далее - общие признаки. Хоть один гад останется - кранты. Тупым перебором, иначе не получится.
Ох, понимаю я тебя - видел самодуров-директоров! Но и сисадмин-самодур - тоже не редкость

Цитата:

Сам ничего не понял!

Я на всякий случай.


Цитата:

Ведь Вы меня спасать не будете - при заражении чем-то новым спасение утопающих - дело рук самих утопающих. В конечном итоге, я и свою задачу решил, и, надеюсь, хоть кому-то мои мучения полезны будут.

Существование CureIt! говорит об обратном. Да, в этой утилите есть реклама. Посередине сериала (если смотреть по ТВ) реклама тоже есть Ферштейн?
Кроме того, вот ходят трояны, которые шифруют пользовательские данные. Тоже аналитики всем помогают, кому можно, расшифровать данные.
Не думайте, что для нас деньги - на первом месте. Реноме первее часто.


Цитата:

4. СПАСИБО - за ценный совет. Думать - всегда полезно и нужно, что я и сделал. Работать-то надо!

Всегда интересно пообщаться с адекватными людьми, не опьянёнными [мнимой] анонимностью инета

Видимо никто не умеет пользоваться из-под нормальных LiveCD файлменами (тоже нормальными). Отсортируйте по размеру - сразу увидите хуеву тучу DLL одинакового размера, просто пролистав папку. И имя тут не сыграет роли. Хотя более продвинутые могут использовать dir /b и Excel.

Народ помогите с настройками веба!?Стоит Dr.Web Security Space 5. + outpost firewall pro 2009. При подключение utorrent у меня начинает приглючивать SpIDer Mail ,а при посещении веб страниц начинают логать прерываться.Когда отключаю SpIDer Gate то страницы нормально открываются .

LeoSirota
Попробуй на время удалить Аутпост. А по идее - снеси все эти гейты с мэйлами к херам...

Уважаемые, подскажите по антиспаму, для белого списка емейлов какая маска емейлов.
Вот имею такую строчку в drweb.ini
SpamWhiteList=*@ttt.com.ua
те емейлы типа lalala@ttt.com.ua должны быть в белом списке, а нифига, не в списке и проверяются антиспамом, и маркируются! Прописывать по одному сотню емейлов,- тогда белый список срабатывает, но облом.

Доброго дня всем.
Подцепил эту заразу позавчера - вчера пытался убить её, читая этот форум.
Заметил неточности в размерах скрытых dll - кто говорит что 88608, кто говорит 88908.
У меня нет таких файлов, но есть другие, с такими вот характеристиками:
-размер 88098, их 9 штук
-все они скрытые
-все они созданы 20.05.2008
-у всех рандомные имена(с разным кол-вом символов в названии), например - vbpnt.dll, ukdlvibmb.dll
-не удаляются стандартно через командную строку (вистовский загрузочный диск)-пишет что не удается найти C:\windows\system32\vbpnt.dll (скрытые файлы удаляются командой DEL /f, или как-то по-другому надо удалять???)

ALL
вопрос по реализации проверки hosts... в котором мною прописана местная сетка... отключать проверку hosts не хочется, но если воспользоваться услугами SS, то получаешь пустой hosts! а где же мой рабочий?
как правильно реализовать проверку или замену hosts?

Удалил все эти файлы через командную строку командой del /f /a:h "имя".
Вирус удален, окна блокировки нету, но теперь нет прав на редактирование реестра и диспетчер задач не работает.

Цитата:

Вирус удален, окна блокировки нету, но теперь нет прав на редактирование реестра и диспетчер задач не работает.

должна помочь эта утилита

Добавлено:

Цитата:

вопрос по реализации проверки hosts... в котором мною прописана местная сетка... отключать проверку hosts не хочется, но если воспользоваться услугами SS, то получаешь пустой hosts! а где же мой рабочий?
как правильно реализовать проверку или замену hosts?

данная функция восстанавливает оригинальный HOSTS файл который был при установке ОС. ваши изменения будут уничтожены. по другому никак.

dirnola

Цитата:

как правильно реализовать проверку или замену hosts?

Только отключать проверку... Я тоже вносил изменения в файл, поэтому, при сканировании, Доктор постоянно ругался, что файл изменён. Отключил проверку и всё...

devon, спасибо большое! Всё, я вылечился !!! Хе хе

unadjusted, жаль, что не сохранили один из экземпляров для отсылки в вирусную лабораторию... Похоже, у Вас другая модификация относительно той, что обсуждалась вчера.


Цитата:

данная функция восстанавливает оригинальный HOSTS файл который был при установке ОС. ваши изменения будут уничтожены. по другому никак.

При этом перед тем как редактировать файл, сканер спрашивает, есть ли необходимость это делать. Если знаете, что прописано что-то своё, то есть повод отказаться от восстановления файла с помощью сканера и посмотреть самостоятельно этот файл.


Цитата:

Уважаемые, подскажите по антиспаму, для белого списка емейлов какая маска емейлов.
Вот имею такую строчку в drweb.ini
SpamWhiteList=*@ttt.com.ua
те емейлы типа lalala@ttt.com.ua должны быть в белом списке, а нифига, не в списке и проверяются антиспамом, и маркируются! Прописывать по одному сотню емейлов,- тогда белый список срабатывает, но облом.

Цитата из документации по поводу:


Цитата:

Поля Белый список и Черный список содержат "черные" и
"белые" списки адресов отправителей почтовых сообщений.
* Если адрес отправителя добавлен в "белый" список, письмо
не подвергается анализу на содержание спама. Однако если
доменное имя адресов получателя и отправителя письма
совпадают, и это доменное имя занесено в белый список с
использованием знака "*", то письмо подвергается проверке
на спам.
* Если адрес отправителя добавлен в "черный" список, письму
без дополнительного анализа присваивается статус спама.
Данные поля следует заполнять последовательно, разделяя
разные почтовые адреса с помощью знака ";". Допускается
использование знака "*" вместо части адреса. (Например, запись
вида *@domain.org означает все адреса с доменным именем
domain.org).

Думаю, в Вашем случае как раз получается так, что доменные адреса получателя и отправителя совпадают. Если не этот случай, пишите в техподдержку или багтрекер с логами и подробным описанием ситуации.