20 ноября, вторник 03:20
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Как бороться с таким вирусом ?

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Как бороться с таким вирусом ?

    Коллеги
    Тут знакомый скинул письмо такого содержания(см.ниже), подскажите плиз если не сложно
    Вчера я получил несколько сомнительных писем от незнакомых авторов с вложениями. Авторов таких письма я немедленно заношу в список запрещенных, а сами письма уничтожаю не читая. Но на этот раз без моего участия автоматически был вызван Универсальный проигрыватель, начавший проигрывать некий файл, пиктограмму которого я потом обнаружил на рабочем столе. Кроме того, у меня автоматически и настойчиво возникало соединение с Интернетом, которое я с трудом отменил после нескольких попыток. Уничтожив все письма, в том числе в папке Удаленные, я поработал некоторое время, а потом, после перерыва, перегрузил ПК. В процессе перегрузки у меня появилось предупреждающее сообщение о попытке загрузить файл, зараженный вирусом Win.com (? кажется), имеющий какое-то странное числовое имя и, как потом оказалось, с временем создания, совпадающим с временем получением письма. Используя предлагаемые антивирусной программой варианты действий, я переместил этот файл в папку на другом диске, после чего ПК загрузился. Однако я обнаружил, что из правой части панели задач, в которой находятся пиктограммы автоматически загружаемых программ, исчезли пиктограммы программ Spider (антивирусная программа, непрерывно работающая в фоновом режиме) и планировщика заданий антивирусного контроля (задает расписание работы программы полного антивирусного ПК). Обе эти программы из антивирусного комплекса DRWEB. Я вызвал программу Пуск/Программа/Стандартные/Служебные/Сведения о системе (файлC:\Program Files\Common Files\Microsoft Shared\MSINFO\MSINFO32.EXE), в меню этой программы выполнил Сервис\Программа настройки системы и в открывшемся окне открыл вкладку Автозагрузка. В этой вкладке находится перечень программ, запускаемых автоматически при загрузке ПК, в дополнении файлам, указанным в папке Автозагрузка (папка C:\Windows\Программы\Автозагрузка). Во вкладке я обнаружил, что там появилось название новой автоматически загружаемой программы с именем Winkjа. Дальнейший анализ показал, что время создания этой программы также совпадает с временем получения письма, хотя последующий антивирусный контроль ничего подозрительного в ней не нашел. Кроме того, я обнаружил, что программа SpiDer и планировщик антивирусного контроля стерты из ПК вообще. Я переименовал программу Winkjа, перенес ее в другую папку и отменил ее автозагрузку, переустановил заново DRWEB и выполнил полный антивирусный контроль, в результате которого были обнаружены еще два зараженных Win.com файла с числовыми именами и датой получения писем. Эти файлы я также переименовал и переместил в другую папку.
    Сейчас ПК работает нормально, однако теперь я каждый раз со страхом проверяю почту. Я вроде бы сделал все необходимое, чтобы не заразиться при чтении почты, и все же заразился. Что же я сделал не так или что еще я должен был сделать?
    Р.S. Не известно ли где в Windows SE (в каком файле?) хранится список программ, показываемых в окне программы Пуск/Программа/Стандартные/Служебные/Сведения о системе/ Сервис/Программа настройки системы/Автозагрузка?

  • #2
    Punisher Да уж... Сурово Тебя... Касперскому не писал???
    Чего за почтарь юзаешь? Аутлук ведь... Не иначе... На "Бат!" перейти не пробовал? Или слишком много юзеров переучивать придётся ???
    Да пребудет с Тобою Великая Сила! ©

    Комментарий


    • #3
      Возможно, это тот вирус, который AVP определяет как Win32.Kletz -- похоже по проявлениям. Если нету сетки -- затереть папку виндов и програм филез, затем установить винды в чистую папку, и переустановить все программы. Если есть сетка -- натравить AVP на этот диск с другой машины, все файлы, на которые он будет ругатться -- затереть, все равно не лечатся. Затем установить винды в старую папку, и ОБЯЗЯТЕЛЬНО переустановить оффис, Far, Acrobat Reader (если пользуетесь), а также проверить, на что ссылаются иконки этих программ с рабочего стола и из меню пуск.
      И НИКОГДА, НИКОГДА больше не открывать письма с интригующими сабджектами на ангельском языке, типа My girlfriend's foto, Fotos from my party, New antivirus и так далее.
      P.S. в регистри, или в сустем.ини раздел боот, или могут вызываться запускаемыми приложениями -- короче, черт ногу сломит.

      Комментарий


      • #4
        здорово похоже на klez или его модификация, скачай у Касперского проверялку

        Комментарий


        • #5
          Punisher Как бороться с таким вирусом ?
          Уже как-то обсуждалась эта тема. Еще раз подтверждается мнение, что лучше не использовать для Инета продукты от MS - почти все злобные атаки и вирусы на них и расчитаны. Замени Аутглюк на тот же Bat (кстати для него и плагины есть от AVP и DrWEB) и "жить станет лучше"
          Правда один минус - Bat не бесплатный. Но для банка, ИМХО, это не деньги.

          Комментарий


          • #6
            Punisher

            Видимо, очередная пакость, использующая знаменитую дыру IE под названием IFrame. В русских версиях эксплорера ниже 5.5 патчами не лечится. Проявляется следующим образом: достаточно просто посмотреть на письмо при помощи аутлука (вложение смотреть и запускать не требуется!) - и привет, вложение загрузилось и запустилось. Предохраниться от этого безобразия, по-моему, можно единственным способом - в настройках безопасности IE запретить загрузку файлов, а если потребуется что-то скачать - или временно разрешать эту загрузку или пользоваться чем-нить вроде регета. Ну или обновить IE до версии > 6 и поставить все имеющиеся патчи. Ну или Бат.

            Кстати, последние версии Касперского считают вирусом все письма, в теле которого находится такая запускалка.

            Да, и ещё - появились сайты, зайдя на которые можно поиметь у себя на машине файлик, который тебе нафиг не упёрся - всё та же IFrame. Если загрузка файлов запрещена - будет выдано сообщение о невозможности загрузки, иначе - всё по тихой, загрузились-запустились.

            А списка автоматически запускаемых программ в едином файле не существует - он размазан по реестру, папке автозагрузка и файлу win.ini... Так что пользуй утилитку msconfig - она собирает этот список из всех возможных мест.

            К_Маркелов

            Не всегда, к сожалению, можно использовать Бат... Например, у нас для связи с ЦБшным Exchange Server - только аутлук или он же, но экспресс. Тот же самый клиент банка от R-Style, точнее - система RS-Mail в режиме работы pop3-smtp требует аутлука.

            Комментарий


            • #7
              ALL
              Спасибо за помощь[/B]

              Комментарий


              • #8
                2 Pov Тот же самый клиент банка от R-Style, точнее - система RS-Mail в режиме работы pop3-smtp требует аутлука.

                Простите как это требует?

                Господа, нас столько лет дурили !!!!!
                Оказывается куриные кубики МАГИ, вовсе не кубики а параллелепипеды!!

                По-моему подходит любая почтовая система. Я в свое время делал на Lotus Notes, почтовые ящики клиентов заводил у себя в домене.

                И даже больше если у вас ящик находится у провайдера - Ваш ящик входящей корреспонденции (можно попросить отдельный для системы RS-Mail), то RS-Mail самостоятельно туда стучиться без всяких аутлуков.

                Еще более интересно прямое IP соединение. Правда некоторые порты на сервере приходится открывать, если в безопасности уверенны то это наилучший вариант, ИМХО.

                2 Punisher

                Была у меня похожая ситуация, причем откуда взялось непонятно.
                Безксловно лечиться переустановкой виндов, но у меня получилось следующим образом:
                1) Он прописал себя в автозапуск - в регестри, и вайл был wqk.exe - после запуска он заражал все *.exe до которых мог добраться - тихий ужас. Если AVP лечил, то большую часть находил и вычищал, но на занятых файлах спотыкался и в результате это не помогало.

                Я лечил так: Загружаешь комп в ДОС 6.22, любой безобидный ехе переименовываешь в wqk.exe и заменяешь заразу.
                Грузишься в безопасном режиме и запускаешь avp. Но, что-то он ловит что-то опять заражается, гадость wkq.exe опять становиться плохим. Чистишь регистри, и просто выключаешь (питание). опять Дос 6,22, опять меняешь плохой wqk.exe и загружаешся в безопасном режиме и опять сканишь. У меня в данном случае он уже себя не грузил сразу и после AVP приходилось опять проверять регистри.

                В принципе, должно помочь. Хотя иногода у меня с первого раза выполнения данных процедур не вылечивалось, но их повторение или комбинация обьязательно поможет.
                --------------------
                С уважением,

                Комментарий


                • #9
                  Р.S. Не известно ли где в Windows SE (в каком файле?) хранится список программ, показываемых в окне программы Пуск/Программа/Стандартные/Служебные/Сведения о системе/ Сервис/Программа настройки системы/Автозагрузка?

                  Это храниться в регестри - ищи там.
                  --------------------
                  С уважением,

                  Комментарий


                  • #10
                    Lotus , но на занятых файлах спотыкался

                    Кде-то выше пролетало следующее. Цепляешь диск к другой машине и лечишь тем же AVP. Я так Klez лечил, а то он AVP убивал.

                    Комментарий


                    • #11
                      Lotus Господа, нас столько лет дурили !!!!!
                      А вот как без помощи аутлука организовать обмен файлами посредством RS-Mail? Что, рстайловцы уже написали плагин для бата? Если да, то извините.

                      А чтобы изгнать KLEZ лучше всего воспользоваться специальной противоклезовой вакциной, у Касперского лежит, она уничтожает заразу со всех доступных дисков, в том числе и сетевых.

                      Комментарий


                      • #12
                        TO Punisher В конце апреля у нас была точно такая же ситуация. Полетело много машин, началось с писем полученных аутглюком, про то, что помогут патчи для IE - ерунда, вирусологи всегда на шаг впереди MS, причем на одну из машин пришло письмо, и при переводе на него курсора - вывалилось сообщение (стандартно виндовое): запустить с текущего места или сохранить на диске выбор - грандиозен. На диске появился файл с цифровым названием, что то там 25... догадались что это клез, запустили на машине утилиту от касперского, цифрой файл он убил, но тела вируса были уже во многих экзешниках, и утилита с этим не справилась. Лечить файлы бесполезно, размер нарушен экзешник не запускается( РС-банк - встал, как монумент современному хакеру) Начали лечить Нортонантивирусом, все нормально, убивает как надо, но мапить другой комп в сети и запускать на него антивирус со своего - пустая трата времени, потому как во время проверки зараженный комп посылает в обратку по сети заразу. Закончилось все установкой антивирусов на все серваки (при чем хоть касперский и лучше, но в конце апреля реально помогал только нортоновский антивирус) и далее последовательное лечение всех машин. О БАТе - сущая правда - на машине с батом вирусная атака была расценена как новый поток спама( ну по последствиям...)
                        Хотите верьте - хотите нет, но у нас было так!

                        Комментарий


                        • #13
                          Мы Клец извели Dr.WEB-ом + NAV for Exchange.
                          Жить надо так, чтоб тебя помнили сволочи!

                          Комментарий


                          • #14
                            2 Pov
                            Неа не написали

                            Конечно, я могу ошибаться относительно Вашей ситуации.
                            Но, исходя из вашей надписи - работа по SMTP/ РОР3 - осуществляется именно через этот интерфейс, а он есть в любом почтовом сервере.

                            А обмен файлами - это обмен стороними файлами, или работа InterBank посредством файлового плагина?
                            --------------------
                            С уважением,

                            Комментарий


                            • #15
                              Pov: система RS-Mail в режиме работы pop3-smtp требует аутлука.

                              Я готов поспорить на деньги, что это не так...

                              Александр

                              Комментарий


                              • #16
                                Иванов
                                Не-а, с Вами спорить про RS-Mail на деньги... нафиг-нафиг

                                Николай.

                                Комментарий


                                • #17
                                  Ну хоть пол-литра...

                                  А вот как без помощи аутлука организовать обмен файлами посредством RS-Mail?

                                  Я тут статью написал про новую версию в нашем журнале, цитата: ...решено было реализовать простой файловый менеджер. Что же он представляет из себя? Это процесс-демон, наподобие маршрутизатора, имеет собственные параметры функционирования и может запускаться как автоматически, так и по требованию пользователя, кроме этого будет предусмотрено использование расписания.

                                  Подробнее наверное не в этой теме и даже наверное не в этом форуме...

                                  Александр

                                  Комментарий


                                  • #18
                                    75092 Лечить файлы бесполезно, размер нарушен экзешник не запускается( РС-банк - встал, как монумент современному хакеру)
                                    А вот есть ещё такая рекомендация - экзешники юзерам (да и админам, наверное, тоже) на запись не давать

                                    Комментарий

                                    Пользователи, просматривающие эту тему

                                    Свернуть

                                    Присутствует 1. Участников: 0, гостей: 1.

                                    Обработка...
                                    X