Словил виря

[Mr.Zet]

Вобщем притащили ноут, туда сюда.....вобщем совал флешку. Предполагая что там зараза сунул её в рабочий комп с третьим нодом.
Просканил, Нод выявил наличие заразы, сказал удалять и Нод благополучно помер ))))
Доктора Вэба вирь секёт на корню, Каспера срузу после инстала.
Отправил образец на Вируслист. Сказали что это Win32.Xorer.eu, но ничего о нём не знают.
Поиск инфы по инэту меня ещё больше развеселил. Ввожу в поисковик название виря, жму Энтер и браузер вырубается, причём пофиг какой )))) Это происходит только если вписано "Xorer"
Скачал Доктора Вэба партейбл. Просканил. Вирь хавает ехе и html.
Обязательно заражает lsass.exe, smss.exe, dnsq.dll, создаёт в конре pagefile.pif - которые естественно не удалить.
В безопасном режиме система не стартует.
Теперь ИЕ сам себя запускает с идёт на пару китайских сайтов )))

С флешкой другая история. В винду я её совать не рискрул. Чистил её в линуксе. Не смог удалить несколько файлов. Система кричала защищён от записи и т.д., а потом вообще заявила что не понимает фАТ. Загрузил линукс с лайв СД и всё удалилось.

Вобщем я щас в восторге и в шоке. Вирь супер.
вопрос: а избавиться-то как?

[Mr.Zet]

Блин, инфы по удалению в инэте вроде хватает, тока я по Китайски не понимаю )))

[leo]

лечил.. ушло около 5 часов.. точно непомню какую последовательность, но стратегия была такова: убивали процессы и ставили через политику безопсности запрет на чтение, запуск..короч на всё, и вот так методично лечили службу за службой.нод переустанавливали несколько раз.

[Mr.Zet]

Кто переведёт?
http://www.antidu.cn/html/1/2008/4/virus_200841171056.html
^_^ ^_^

[lol]

Быстро решение. Сохранить всю нужну информацию на флешке. Отформатировать диск и ставить нормальные лицензионные АВ.

[rybeg]

А что мешает загрузить windows с лайв СД и всё удалить тем же вебером???

[Mr.Zet]

lol, сохранить инфу на флешку? ну 25гб инфы брать во внимание не будем, только вирь на флешку приписался сразу, я только пару архивчиков с ней сил.

rybeg, из того что было под рукой, был только с Каспером 5, он нашёл только html.

надо будет собрать свеженький...



P.S. А ну очень мелкую по объёму флешку никто не продаст? Тогда будет у меня флешка смерти )))))

[lol]

У меня на такие случаи внешный USB хард на 160Гб, удобно ;)

[leo]

Mr.Zet, флешки сразу заражаются и усти нод html не лечит, а удаляет..короч вирусняк куда-то в системные папки себя пишет и отттуда запускается (точно непомню) но там есть последовательность запуска.. отрезай и блокируй политикой безопасности (ставь запрет на всё на приложения) потом ребутся и смотри что запустилось, а что нет.

[vitorg]

можно попробовать avz если он конечно запустится. можно прибить все службы, заблокировать авторан с флешек и жд. не панацея но у него очень много функций которые отсутствуют в антивирусах. в том числе отображение скрытых папок после троянов чтоб в реестре не ковыряться и прочее..

[Nickolay]

Несколько раз тоже находил на флешке этого "гостя". Касперский 7 с новыми базами всегда находил и убивал гада. Так что есть смысл снять винт и просканить 7 каспером на другой машине. Вроде этот вирус не запускается пока не зайти на носитель с этой заразой.

[leo]

Gnome, Поребрик, R717, у человека конкретная проблема, думаю не особо на его месте хочется слушать что ж лучше и как надо было. мы решаем проблему лечения, а не выбора ОС! Разглагольствовать будете где-нить ещё, но не тут!

[Mr.Zet]

С процессами было лень возиться, вобщем загрузил ЛайвСД с посёк всё файло кроме необходимого.
Систему поставил заново.

Но вирь жесть.

[Gnome]

Цитата(leo @ 8.8.2008, 10:42) Gnome, Поребрик, R717, у человека конкретная проблема, думаю не особо на его месте хочется слушать что ж лучше и как надо было. мы решаем проблему лечения, а не выбора ОС! Разглагольствовать будете где-нить ещё, но не тут!

Leo, мне тоже интересно я же друзьям на вин компы инфу тягаю, а их компы могут заболеть(тк мой не болеет но является переносчиком), это были мысли в слух у тебя мак ,у меня мак, и у него мак и ничего нам не страшно. :rolleyes:
PS мне почетную грамоту вручили я выпил, поэтому может быть не связно простите.

[AlexBel]

Xorer - гадость редкостная, сам не далее чем 2-3 месяца словил его.Гемора скажу было предостаточно.Чуть весь винт не форматнул из-за него.Exe-шники и html заражаются. Полностью согласен с Leo - нод html не лечит, а удаляет.Касперский его не видит-сразу блокируется.Хард был разбит на 4 раздела, вирусняк на С.Как только открываешь D,E или F сразу же заражает и их. 100% загрузка процессов. Размножается при последующих перезагрузках.

Лечил так-пришлось форматнуть С, поставить винду и ни в коем случае не открывать(!!!) D,E или F разделы (сразу на С-раздел переберется вирусняк и придется все заново начинать).

Ставил Тotal Commander, открывал доступ к папке С/System Volume Information(!!!) (в Тotal Commander-е) и чистил ее все содержимое на разделах С, D/System Volume Information,E/System Volume Information или F/System Volume Information.
Xorer там тоже прописывается, даже если она удалена антивирем. На мой взгляд, это нужно сделать обязательно, иначе все дальнейшее насмарку.
Следующий этап
Далее ставил Nod 32 с последним обновлением баз(!), (не знаю как у других, но у меня ни касперыч, ни доктор веб,ни любой другой антивирь его не находил).Ставил сканирование дисков и тут понеслось - найдено 50, 100,250 и т.д. зараженных файлов.Самое главное найти источник заражения - он либо в System Volume Information или где на разделе. Процедура занимала 4-5 часов. Долго. Но все же хоть какая-то гарантия что вирусняк полностью снесен.Результат - некоторые exe и html лечились, но большинство, увы были удалены Nodом.
Вывод: форматировать диск С; чистить System Volume Information (в Тotal Commander-е);ставить Nod 32.
Способ не 100%, но все же работает.Он полезен, если нет под рукой другого винта. У кого есть другие варианты? Вирь жесть!

[Schumi]

какие-то ужастики расказываете :)
AlexBel,
ЦитатаСтавил Тotal Commander, открывал доступ к папке С/System Volume Information(!!!) (в Тotal Commander-е)[/quote]
расскажи, как ты смог залезть из tc в system volume? Как понял у тебя NTFS...

[leo]

AlexBel, не.. когда я на ноуте лечил (на работе из отдела принесли), то почти ничего не потеряли, может пару процентов от общей инфы.

[AlexBel]

.

[AlexBel]

Schumi - расскажи, как ты смог залезть из tc в system volume? Как понял у тебя NTFS...
[/quote]

В двух словах- Пуск-Панель управления-Свойства папки-Вид,снимаем галочку "Использовать простой общий доступ". В Свойствах файлов и папок появляются 2 новых вкладки: "Доступ" и "Безопасность", на вкладке "Доступ" назначаем своей учетной записи права полного доступа.
В tc в верхней строке значок звездочка (скрытые элементы) - щелкаешь на нее - откроются скрытые сист файлы и System.Далее свойства System - будут вкладки Доступ и Безопасность.Идем на безопасность, пишем в ней имя своей учетной записи и разрешаем ей доступ (ставить галочки).Потом на Доступ и открываем доступ к файлам.
Подробнее:
Windows XP Professional с файловой системой NTFS в составе рабочей группы или на автономном компьютере
1. Нажмите кнопку Пуск и выберите пункт Мой компьютер.
2. В меню Сервис выберите команду Свойства папки.
3. На вкладке Вид выберите пункт Показывать скрытые файлы и папки.
4. Снимите флажок Скрывать защищенные системные файлы (рекомендуется). Для подтверждения изменений нажмите кнопку Да.
5. Снимите флажок Использовать простой общий доступ к файлам (рекомендуется).
6. Нажмите кнопку ОК.
7. Щелкните правой кнопкой мыши папку System Volume Information в корневом каталоге раздела и выберите команду Свойства.
8. Перейдите на вкладку Безопасность.
9. Нажмите кнопку Добавить и введите имя пользователя, которому будет предоставлен доступ к папке. Как правило, это учетная запись, которая была использована для входа в систему. Подтвердите изменение настроек, два раза нажав кнопку ОК.
10. Чтобы открыть папку System Volume Information (расположена в корневом каталоге соответствующего раздела), дважды щелкните ее значок.

Еще подробнее - вот здесь - http://yandex.ru/yandsearch?text=%EF%EE%EB...ume+information
Удачи.
P.S.Кстати здесь вроде есть крутой выпуск TC Extreme Pack - http://samlab.ws/soft/tcep/

[leo]

AlexBel, не службы, а процессы. .вирусня размножается и запускается из попки Windows и sistem 32, вот там она клонирует часть приложений и запускает их под видом системных, доступ к этим папкам я и закрывал, попутно убивая процессы и перезагружаясь.. естессно после ребута процесс не стартует (нет прав на чтение)... тут главное найти последовательность запуска и выявить корень.

[kp79]

Цитата(Schumi @ 11.8.2008, 11:31) какие-то ужастики расказываете :)
AlexBel,

расскажи, как ты смог залезть из tc в system volume? Как понял у тебя NTFS...

можно пойти более коротким путем чем описанный выше, но вот не знаю во всех тоталах это или только который от samlab, я использую от samlab.
1. сначала идешь в настройки и ставиш галочку показывать скрытые/системные файлы
2. соответственно применить и ок.
3. далее становимся на нужную папку и в меню сеть выбирает стать владельцем NTFS. (придется в процесе несколько раз нажать ок)
4. все, можно входить в папку System Volume Information и чистить ее на свое усмотрение.

[Schumi]

kp79,
да, действиьтельно, потом смотрится и tc и farом.
Так же потом можно и снять права. Я снял, учитывая, что чистить нечего, когда там 20 кб всего :)

[kp79]

Цитата(Schumi @ 12.8.2008, 11:34) kp79,
да, действиьтельно, потом смотрится и tc и farом.
Так же потом можно и снять права. Я снял, учитывая, что чистить нечего, когда там 20 кб всего :)

а чистить у тебя нечего потому что отключено восстановление системы, в этой папке винда хранит контрольные точки.

[Schumi]

kp79, да в курсе я :) . Отключено, потому что от этой каки толку мало

[Mr.Zet]

Во, появилась хоть какая-то инфа на понятном языке )))
http://www.threatexpert.com/report.aspx?ui...71-9b40a5f850f3

Удачи народ.

[valcom2]

Хм, довольно зловредный гад, хотя вот Symantec определяет риск как very low
http://www.symantec.com/security_response/...-99&tabid=2