Вирус, кажется

X · Сообщение X » 08 янв 2007 15:57

Побродил по сайтам, в результате вдруг замечаю, что исходящий трафик качается сам собой. В диспетчере задач обнаружил dllhost.exe, который обычно там не висит. Нашел этот файл на диске, время создания совпало с инет-серфингом, весит он в 10 раз больше оригинального (хотя всего 60К), короче, заряжен. Антивируса нет, могу прислать этот файл энтузиастам для анализа.

Raven · Сообщение **Raven** » 08 янв 2007 16:36

Ты лучше антивирь поставь, энтузиастам твой файл вряд ли интересен. Как вариант - сдай его Касперскому для опытов прямо на сайте. http://www.kaspersky.ru/virusscanner

Коммунист

Лазить по инету без антивируса - это по меньшей мере глупо.
Ставь антивирус NOD32 - лучший на сегодняшний день.

LISovsky · Сообщение **LISovsky** » 08 янв 2007 17:20

Эксперты по информационной безопасности обнаружили уязвимости в антивирусе NOD32, которые позволяют злонамеренному пользователю осуществить атаку, приводящую к отказу в обслуживании или скомпрометировать уязвимую систему.
Целочисленное переполнение при обработке DOC файлов позволяет переполнить динамический буфер через специально обработанный DOC файл и выполнить произвольный на целевой системе.
Ошибка деления на ноль при обработке CHM файлов позволяет вызвать отказ в обслуживании через специально обработанный CHM файл.
“Дырам” присвоен рейтинг опасности “критическая”. Уязвимы NOD32 for Domino 2.x, NOD32 for DOS 1.x, NOD32 for FreeBSD 1.x, NOD32 for Linux 1.x, NOD32 for MS Exchange Server 0.x, NOD32 for NetBSD 1.x, NOD32 for Novell Netware Server 1.x, NOD32 for OpenBSD 1.x, NOD32 for Windows 95/98/ME 2.x, NOD32 for Windows NT/2000/XP/2003 2.x.

нод сакс.. фф топку

X · Сообщение X » 08 янв 2007 19:19

Ну, у меня, например, Win2000, на него нужна сетевая версия того же каспера. А вообще если по сомнительным сайтам не лазить, в ряд ли заразишься. За 2 месяца это первый случай, да и то не особо страшный. Правда, не понял точно, с какого сайта он залез. По времени создания в роде бы совпадает с посещением job.ru, но еще заходил на какой-то сомнительный сайт заработка в инете.

X · Сообщение X » 08 янв 2007 19:24

Во, оказывается, это был Backdoor.Win32.SdBot.xd

X · Сообщение X » 08 янв 2007 19:28

А еще под акаунтом админа в сеть залез... Хотя и читал об этом...

1@NIC>RU · Сообщение **1@NIC>RU** » 09 янв 2007 08:14

X писал(а):Ну, у меня, например, Win2000, на него нужна сетевая версия того же каспера. А вообще если по сомнительным сайтам не лазить, в ряд ли заразишься. За 2 месяца это первый случай, да и то не особо страшный. Правда, не понял точно, с какого сайта он залез. По времени создания в роде бы совпадает с посещением job.ru, но еще заходил на какой-то сомнительный сайт заработка в инете.

На Джобе не может быть. Ищи раньше. Наверно просто обнаружил ты его по совпадению

.

Raven · Сообщение **Raven** » 09 янв 2007 08:18

X писал(а): Ну, у меня, например, Win2000, на него нужна сетевая версия того же каспера.

Хм, если он у тебя не Win2000 Server - то ему вполне подойдёт и обычный, а если сервер - немедленно уничтож его и поставь нормальные винды.

X · Сообщение X » 09 янв 2007 12:49

Он у меня как раз сервер, хотя я и ставил его в режиме рабочей станции. В общем, я просто напросто заблокировал службу Windows Host Services, которая и запускается файлом dllhost.exe.

Raven · Сообщение **Raven** » 09 янв 2007 14:28

Хм... А какой смысл держать в качестве рабочей станции 2000 сервер? 2003 я ещё понимаю, есть у него некоторые преимущества, но 2000???
Ну да не касперским единым - есть антивирусы, которые и на таком запускаются. У Symantec, например.

@lexb · Сообщение **@lexb** » 09 янв 2007 16:21

Коммунист писал(а):Лазить по инету без антивируса - это по меньшей мере глупо.
Ставь антивирус NOD32 - лучший на сегодняшний день.

я лажу... проблем нет... что я делаю не так?

Коммунист

Лазий. Тебе никто не запрещает. Никто не заставляет насильно стаивть антивирус. Вот у меня на харде хранится очень ценная для меня информация, поэтому я ставлю антивирус и не переживаю, что какой-нибудь весёлый вирусняк поест экзешники, побъёт архивы и тд. А суть антивируса ты поймёшь в один "прекрасный день".

Raven · Сообщение **Raven** » 09 янв 2007 18:41

Коммунист
Подозреваю, что в инете он лазает с линюха, а под линюх народу вирусы писать лениво.

Коммунист

Raven, точно

Sainter, вот только ты цытату не дописал, выглядит она так:
Дырам» присвоен рейтинг опасности «критическая». Уязвимы NOD32 for Domino 2.x, NOD32 for DOS 1.x, NOD32 for FreeBSD 1.x, NOD32 for Linux 1.x, NOD32 for MS Exchange Server 0.x, NOD32 for NetBSD 1.x, NOD32 for Novell Netware Server 1.x, NOD32 for OpenBSD 1.x, NOD32 for Windows 95/98/ME 2.x, NOD32 for Windows NT/2000/XP/2003 2.x. Для использования уязвимостей нет эксплойта. Для решения проблемы установите NOD32 1.1743 или более высокую версию антивируса.
И от себя добавлю - ТЕКУЩАЯ ВЕРСИЯ 2.70.XX

TeCHNoiD · Сообщение **TeCHNoiD** » 09 янв 2007 22:16

а я использую Symantec Antivirus уже около двух лет и могу считать его лучшим

1@NIC>RU · Сообщение **1@NIC>RU** » 10 янв 2007 08:17

виндоса - это один большой вирус. А как аксиома: 2 антивируса конфликтуют

.
Вывод понятен

.

Ленивый

На работе комп без Интернета. Поймал (гамал по локалке и отключил KIS, а потом забыл включить, млин...) от кого-то вирус Virus.VBS.small.a Понял по глюкам с вордом. Запустил KIS, он все нашел, несколько файлов вылечил, а несколько предложил удалить. В запарке согласился на удаление. Однако теперь из-под проводника Win XP не окрываются... жесткие диски. То есть когда кликаешь по значку любого диска, вылетает сообщение "Не найден файл сценария [имя диска]:\autorun.vbs"
Посмотрел резервное хранилище KIS, там лежат три файла autorun.vbs от моих трех дисков. Но при попытке их восстановить, KIS кричит, что файлы заражены и лечение невозможно... Причем из-под WinCommander все открывается, копируется, удаляется, сохраняется ну и т.д. Может кто что посоветует? Может создать новые и положить их на диск, но я не в курсе, что там надо прописать в этих файлах?

еуе · Сообщение **еуе** » 07 мар 2007 00:28

Ленивый
дык это кажется механизм его распространения и есть
удали из реестра все ключи с значением autorun.vbs
копию реестра сохрани предварительно разумеется

Ленивый

еуе
Спасибо, завтра (блин, уже сегодня...

) попробую почистить реестр.

Raven · Сообщение **Raven** » 07 мар 2007 08:11

Как вариант можешь отключить автозапуск. Делается это через gpedit.msc, там "Административные шаблоны", "Система", дальше найдёшь.

Ленивый

еуе
Реестр почистил. Но, как выяснил, это полностью его не удаляет. Нашел в Сети маленькую программку, специально против этого вируса, она удалила по 11 файлов с каждого диска + еще какие-то записи в реестре... Теперь все ровно. Кстати, Касперский тож лечит, их саппорт ответил, что надо просто почистить комп в безопасном режиме...

Ленивый

Raven
Спасибо, все уже работает...