Помогите убить вирус!

Автор criminal, 25 Листопад 2012, 09:58:29

Попередня тема - Наступна тема

criminal

Пару дней назад мой компьютер поймал вирус (если быть точным, ему помогла теща, которая ходит по страницам с сомнительными новостями, это такие где куча поп-апов и разной всплывающей хрени). Казалось бы, дело привычное, отсканировал комп, удалил червей, жизнь налажена, но на этот раз оказалось все не так просто :( .
Для начала опишу симтомы. Вирус особенно ярко выражается при открытии соц. сети ВКонтакте: 1) На странице лог-ина надпись "Присоединяйтесь чтобы всегда оставаться..." смещена влево и находится не на своем месте; 2) Уже после лог-ина на том же самом месте (в верхнем левом углу) виднеется надпись "JavaScript error: opts.photos is undefined" на персиковом фоне; 3) Аудиозаписи прослушивать невозможно, он просто не реагирует на кпопку play; 4) Ну и самое назойливое (что наблюдается не только при серфинге Вконтакте) это самостоятельно открывающиеся окна со всякой бредовой рекламой.
Вирусы с точно такими же симптомами моя любимая теща ловит уже раз третий, но до этого все решалось простым сканированием (у меня стоял бесплатный Avast) с последующим удалением - и все окей...
Здесь я с начиная с пятницы вечера делал следущее: просканировал с Avasto'm => удалил пару червей, но главная проблема не исчезла, дальше просканировал с Avasto'm перед загрузкой windows => еще пару червяков, но без результата, потом удалил Avast, поставил Kaspersky trial => 17 новых угроз, главная проблема не решена! :( Так чтоб покороче, после касперского были еще: AVG Anti-Virus Free Edition, Ad-Aware Free Antivirus+, Dr. Web сканирует сейчас, но критическую область уже прошел и там всё "окей" с его слов...
Я в ужасе, что за зверь напал на мой копмьютер? Очень сильно не хочется переустанавливать систему. Подскажите, может кто уже сталкивался с этим гадом?
Intel Core2Duo E6550 2.33 GHz | Asus GeForce 440 GT 1024Mb GDDR5 |  Gigabyte GA-EP35C-DS3R | 3x1024 MB DDR2 667 Mhz (5-5-5-15-21-2T) Hynix 5300U | Samsung HD103UJ 1 TB, 7200 rpm, 32 Mb Cache | Sony Nec Opitarc Inc. DVD/CD RW AD-717OA| 19" Benq FP93GP

Edd.Dragon

Во-первых, в каких браузерах наблюдается?
Во-вторых, используй autoruns для поиска нетривиальных подозрительных элементов.

Volan

как вариант просканируй комп AVZ-шкой. Ставь максимальный уровень эвристики

criminal


Ура, ура, ура!!! Доблестный Dr.Web таки справился с задачей, имя зловредного и неуловимого вируса вы можете видеть на скриншоте. Кстати, Dr.Web единственный антивирус который очень подробно сканировал все файлы. На один только диск С (~50Гб) ушло часа два времени. Теперь всерьез задумаюсь о приобретении платной лицензии...

Цитата: Edd.Dragon від 25 Листопад 2012, 10:29:34
Во-первых, в каких браузерах наблюдается?
Во-вторых, используй autoruns для поиска нетривиальных подозрительных элементов.
Всегда только Mozilla Firefox, а за программку спасибо, поставлю обязательно. Еще на другом форуме посоветовали мозиловский AdBlock+ установил...

Цитата: Mr_Volan від 25 Листопад 2012, 12:20:25
как вариант просканируй комп AVZ-шкой. Ставь максимальный уровень эвристики
Теперь это уже не актуально, но все равно спасибо!
Intel Core2Duo E6550 2.33 GHz | Asus GeForce 440 GT 1024Mb GDDR5 |  Gigabyte GA-EP35C-DS3R | 3x1024 MB DDR2 667 Mhz (5-5-5-15-21-2T) Hynix 5300U | Samsung HD103UJ 1 TB, 7200 rpm, 32 Mb Cache | Sony Nec Opitarc Inc. DVD/CD RW AD-717OA| 19" Benq FP93GP

Goshkin

Дрвеб разумная и недорогая альтернатива всем остальным антивирусам. Кто еще надумал - заходите: купить drweb

Mantikor

Нужна помощь в следующем вопросе: как вы убиваете (у себя, у знакомых) вирус 14405updait.vbs, который делает все папки на флешке скрытыми, и вместо них делает ярлыки?
И второй вопрос: чем можно эффективно защитится от вирусов на флешках, но так чтобы работа сего продукта не мешала работе пользователя?

Volan

Цитата: Mantikor від 04 Грудень 2013, 08:47:19который делает все папки на флешке скрытыми, и вместо них делает ярлыки?
лично я открываю чужие флешки только через ТС, сразу всё видно. тело вируса обычно находится в скрытых папках типа RECYCLER и т.п. убивается вручную. удаляются все остальные подозрительные файлы и папки. Потом выделяешь все свои скрытые файлы/папки, ФАЙЛЫ - ИЗМЕНИТЬ АТРИБУТЫ
это как есть:

как надо:

жмешь ОК и всё

Mantikor

Цитата: Mr_Volan від 04 Грудень 2013, 09:06:19
лично я открываю чужие флешки только через ТС, сразу всё видно. тело вируса обычно находится в скрытых папках типа RECYCLER и т.п. убивается вручную. удаляются все остальные подозрительные файлы и папки. Потом выделяешь все свои скрытые файлы/папки, ФАЙЛЫ - ИЗМЕНИТЬ АТРИБУТЫ
это как есть:
жмешь ОК и всё
Не ну это все понятно, у меня просто парк с over 100 машин, и делать такое вручную не вариант. Думал может кто-то нашел способ более эффективно бороться с этой заразой, скриптом там, антивирусом каким-то, или спец.прогой.

Volan

#8
антивирусом сканировать и потом ТС восстанавливать атрибуты файлов. или написать bat-ник если знаешь как

нашел любопытное:
Как убрать вирус и сделать папки видимыми

Нашел на просторах сети еще один способ избавиться от описанной проблемы. Этот способ, пожалуй, будет попроще, но не везде сработает. Однако в большинстве случаев он все же поможет привести USB флешку и данные на ней в нормальное состояние. Итак, создаем bat файл следующего содержания, после чего запускаем его от имени администратора:


:lable
cls
set /p disk_flash="Vvedite bukvu vashei fleshki: "
cd /D %disk_flash%:
if %errorlevel%==1 goto lable
cls
cd /D %disk_flash%:
del *.lnk /q /f
attrib -s -h -r autorun.*
del autorun.* /F
attrib -h -r -s -a /D /S
rd RECYCLER /q /s
explorer.exe %disk_flash%:

После запуска компьютер запросит ввести букву, соответствующую Вашей флешке, что и следует сделать. Затем, после того, как автоматически будут удалены ярлыки вместо папок и сам вирус, при условии нахождения его в папке Recycler, Вам будет показано содержимое вашего USB накопителя. После этого рекомендую, опять же, обратить на содержимое системных папок Windows, речь о которых шла выше, в первом способе избавиться от вируса.

Mantikor

И ты предлагаешь мне делать это каждый раз когда пользователи приносят флешку? На всех 100 машинах?
Тем более что этот 14405updait.vbs копирует себя в систему и прописывает себя в реестр.

Edd.Dragon

Цитата: Mantikor від 04 Грудень 2013, 09:28:49
Не ну это все понятно, у меня просто парк с over 100 машин, и делать такое вручную не вариант. Думал может кто-то нашел способ более эффективно бороться с этой заразой, скриптом там, антивирусом каким-то, или спец.прогой.
Антивирусы ж блокируют автозапуск с флешек?
Касперский, так даже вроде по-умолчанию это делал...


Цитата: Mantikor від 04 Грудень 2013, 10:12:28И ты предлагаешь мне делать это каждый раз когда пользователи приносят флешку?
Цитата: Mr_Volan від 04 Грудень 2013, 09:32:15Как убрать вирус и сделать папки видимыми

А на чистых машинах ты должен вручную или как хочешь отключить автозапуск. Как бороться с автозапуском с флешек? Отключить его! Тогда и в контекстном меню проводника не будет жирного "автозапуск", а будет жирное "открыть".

Сосвсем другой вопрос, как бороться с непокобелимостью юзеров, которые "оооой, а что это тут такое...". Так что, отображение лишних файлов им включать не следует. Они и без этого умудрятся. И решения этой проблемы нет. Если парк из 100 блндинок, то таки да - придется скакать вокруг них вручную периодически. Или же разработать доходчивую лекцию как не клацать лишнего и сколько говна на флешках носится и вдолбить им троекратно.

А автозапуск - отключить.

ПОтому на многих предприятих пользование флешками и запрещают, потому как неудобно, но надежно.

Mantikor

#11
Цитата: Edd.Dragon від 04 Грудень 2013, 12:20:57Антивирусы ж блокируют автозапуск с флешек?
Цитата: Edd.Dragon від 04 Грудень 2013, 12:20:57А на чистых машинах ты должен вручную или как хочешь отключить автозапуск.
Дело не в этом, автозапуск у всех отключен, дело не в вирусах которые распространяются через autorun.
Этот мерзкий скрипт 14405updait.vbs делает все папки на флешке скрытыми, а вместо них ставит ярлыки, в свойствах которых прописано запускать какой-то эксплойт.
Соответственно пользователь приходит на работу с уже зараженной флешкой, пытается открыть ярлык(ибо реальная папка скрыта), и заражает систему. Сейчас стоит фришная авира, она при этом даже не чухается, с авастом та же фигня. Сейчас вот думаю на какой антивирь переходить, чтобы не было проблем с ключами и обновлениями. Тестирую Symantec EP.
После заражения эту гадость можно вывести только в сейф моде cureit-ом.
Увы пользование флешками запретить не могу, хоть и хотелось бы.

Edd.Dragon

Цитата: Mantikor від 04 Грудень 2013, 14:02:49Этот мерзкий скрипт 14405updait.vbs
Ну так откуда он там взялся? Раз это не в твоей юрисдикции, значит два способа:
- либо флешки должны проходить через тебя (а не ты по ним);
- либо найти/додаться антивирус, который это будет определять (в авиру и аваст можно и письмо написать же, приложив вирус, раз не чухается).


Mantikor

Первый вариант не вариант.
Цитата: Edd.Dragon від 04 Грудень 2013, 14:17:21- либо найти/додаться антивирус, который это будет определять
Ну так в этом и прошу помощи
Цитата: Mantikor від 04 Грудень 2013, 08:47:19чем можно эффективно защитится от вирусов на флешках, но так чтобы работа сего продукта не мешала работе пользователя?

Edd.Dragon

Цитата: Mantikor від 04 Грудень 2013, 14:23:03
Первый вариант не вариант.Ну так в этом и прошу помощи
Ну так ты его на virustotal выгружал?

Точнее и его, и зараженные ним файлы (или на что там ярлыки ссылаются).

Mantikor

Цитата: Edd.Dragon від 04 Грудень 2013, 14:23:58Ну так ты его на virustotal выгружал?
Не, не додумался до такого.
Точняк, надо будет сделать.

Mantikor

Поймал гада.
Вот ссылка на virustotal. Ловит его только часть антивирусов.
Теперь буду думать какой из предложенных юзать на работе.

Edd.Dragon

Цитата: Mantikor від 05 Грудень 2013, 15:43:56Теперь буду думать какой из предложенных юзать на работе.
Вирус то пошли, тем которыми пользуешься.

И может эвристический анализ надо усилить (если конечно это настраивается, как в Касперском). Он, судя по отчету, именно эвристикой выловил, не имея сигнатур.



Mantikor

Цитата: Edd.Dragon від 05 Грудень 2013, 16:47:11Вирус то пошли, тем которыми пользуешься.
И то верно, послал.
Что-то у меня совсем мало опыта в борьбе с новыми видами заразы, элементарных вещей не знаю. :(

Mantikor

Нынче нашел у себя Bitcoin.Miner-вирус, во время профилактической проверки dr.web cureit-ом.
Попал через эксплойт джавы, MSE пропустил, такие дела.

Volan

скачал, проверил, чист)) Аваст таки стал лучше :)

Edd.Dragon

Цитата: Mr_Volan від 19 Грудень 2013, 23:24:16
Аваст таки стал лучше :)
В смысле? Ты не столкнулся с этим вирусом. А вот если бы столкнуля и Аваст закричал "Я его убил!" - тогда другое дело.

Volan

у меня три штуки нашел dr.web cureit до переустановки ОС, теперь чисто уже столько времени

NatanLop

тут нужны профессионалы