Страница 1 из 1

Вирус, кажется

Добавлено: 08 янв 2007 15:57
X
Побродил по сайтам, в результате вдруг замечаю, что исходящий трафик качается сам собой. В диспетчере задач обнаружил dllhost.exe, который обычно там не висит. Нашел этот файл на диске, время создания совпало с инет-серфингом, весит он в 10 раз больше оригинального (хотя всего 60К), короче, заряжен. Антивируса нет, могу прислать этот файл энтузиастам для анализа.

Добавлено: 08 янв 2007 16:36
Raven
Ты лучше антивирь поставь, энтузиастам твой файл вряд ли интересен. Как вариант - сдай его Касперскому для опытов прямо на сайте. http://www.kaspersky.ru/virusscanner

Добавлено: 08 янв 2007 16:47
Коммунист
Лазить по инету без антивируса - это по меньшей мере глупо.
Ставь антивирус NOD32 - лучший на сегодняшний день.

Добавлено: 08 янв 2007 17:20
LISovsky
Эксперты по информационной безопасности обнаружили уязвимости в антивирусе NOD32, которые позволяют злонамеренному пользователю осуществить атаку, приводящую к отказу в обслуживании или скомпрометировать уязвимую систему.
Целочисленное переполнение при обработке DOC файлов позволяет переполнить динамический буфер через специально обработанный DOC файл и выполнить произвольный на целевой системе.
Ошибка деления на ноль при обработке CHM файлов позволяет вызвать отказ в обслуживании через специально обработанный CHM файл.
“Дырам” присвоен рейтинг опасности “критическая”. Уязвимы NOD32 for Domino 2.x, NOD32 for DOS 1.x, NOD32 for FreeBSD 1.x, NOD32 for Linux 1.x, NOD32 for MS Exchange Server 0.x, NOD32 for NetBSD 1.x, NOD32 for Novell Netware Server 1.x, NOD32 for OpenBSD 1.x, NOD32 for Windows 95/98/ME 2.x, NOD32 for Windows NT/2000/XP/2003 2.x.


нод сакс.. фф топку

Добавлено: 08 янв 2007 19:19
X
Ну, у меня, например, Win2000, на него нужна сетевая версия того же каспера. А вообще если по сомнительным сайтам не лазить, в ряд ли заразишься. За 2 месяца это первый случай, да и то не особо страшный. Правда, не понял точно, с какого сайта он залез. По времени создания в роде бы совпадает с посещением job.ru, но еще заходил на какой-то сомнительный сайт заработка в инете.

Добавлено: 08 янв 2007 19:24
X
Во, оказывается, это был Backdoor.Win32.SdBot.xd

Добавлено: 08 янв 2007 19:28
X
А еще под акаунтом админа в сеть залез... Хотя и читал об этом...

Добавлено: 09 янв 2007 08:14
1@NIC>RU
X писал(а):Ну, у меня, например, Win2000, на него нужна сетевая версия того же каспера. А вообще если по сомнительным сайтам не лазить, в ряд ли заразишься. За 2 месяца это первый случай, да и то не особо страшный. Правда, не понял точно, с какого сайта он залез. По времени создания в роде бы совпадает с посещением job.ru, но еще заходил на какой-то сомнительный сайт заработка в инете.
На Джобе не может быть. Ищи раньше. Наверно просто обнаружил ты его по совпадению :).

Добавлено: 09 янв 2007 08:18
Raven
X писал(а): Ну, у меня, например, Win2000, на него нужна сетевая версия того же каспера.
Хм, если он у тебя не Win2000 Server - то ему вполне подойдёт и обычный, а если сервер - немедленно уничтож его и поставь нормальные винды. ;)

Добавлено: 09 янв 2007 12:49
X
Он у меня как раз сервер, хотя я и ставил его в режиме рабочей станции. В общем, я просто напросто заблокировал службу Windows Host Services, которая и запускается файлом dllhost.exe.

Добавлено: 09 янв 2007 14:28
Raven
Хм... А какой смысл держать в качестве рабочей станции 2000 сервер? 2003 я ещё понимаю, есть у него некоторые преимущества, но 2000???
Ну да не касперским единым - есть антивирусы, которые и на таком запускаются. У Symantec, например.

Добавлено: 09 янв 2007 16:21
@lexb
Коммунист писал(а):Лазить по инету без антивируса - это по меньшей мере глупо.
Ставь антивирус NOD32 - лучший на сегодняшний день.
я лажу... проблем нет... что я делаю не так?

Добавлено: 09 янв 2007 17:22
Коммунист
Лазий. Тебе никто не запрещает. Никто не заставляет насильно стаивть антивирус. Вот у меня на харде хранится очень ценная для меня информация, поэтому я ставлю антивирус и не переживаю, что какой-нибудь весёлый вирусняк поест экзешники, побъёт архивы и тд. А суть антивируса ты поймёшь в один "прекрасный день".

Добавлено: 09 янв 2007 18:41
Raven
Коммунист
Подозреваю, что в инете он лазает с линюха, а под линюх народу вирусы писать лениво. ;)

Добавлено: 09 янв 2007 19:55
Коммунист
Raven, точно 8-)

Sainter, вот только ты цытату не дописал, выглядит она так:
Дырам» присвоен рейтинг опасности «критическая». Уязвимы NOD32 for Domino 2.x, NOD32 for DOS 1.x, NOD32 for FreeBSD 1.x, NOD32 for Linux 1.x, NOD32 for MS Exchange Server 0.x, NOD32 for NetBSD 1.x, NOD32 for Novell Netware Server 1.x, NOD32 for OpenBSD 1.x, NOD32 for Windows 95/98/ME 2.x, NOD32 for Windows NT/2000/XP/2003 2.x. Для использования уязвимостей нет эксплойта. Для решения проблемы установите NOD32 1.1743 или более высокую версию антивируса.
И от себя добавлю - ТЕКУЩАЯ ВЕРСИЯ 2.70.XX

Добавлено: 09 янв 2007 22:16
TeCHNoiD
а я использую Symantec Antivirus уже около двух лет и могу считать его лучшим :)

Добавлено: 10 янв 2007 08:17
1@NIC>RU
виндоса - это один большой вирус. А как аксиома: 2 антивируса конфликтуют :).
Вывод понятен :).

Добавлено: 07 мар 2007 00:04
Ленивый
На работе комп без Интернета. Поймал (гамал по локалке и отключил KIS, а потом забыл включить, млин...) от кого-то вирус Virus.VBS.small.a Понял по глюкам с вордом. Запустил KIS, он все нашел, несколько файлов вылечил, а несколько предложил удалить. В запарке согласился на удаление. Однако теперь из-под проводника Win XP не окрываются... жесткие диски. То есть когда кликаешь по значку любого диска, вылетает сообщение "Не найден файл сценария [имя диска]:\autorun.vbs"
Посмотрел резервное хранилище KIS, там лежат три файла autorun.vbs от моих трех дисков. Но при попытке их восстановить, KIS кричит, что файлы заражены и лечение невозможно... Причем из-под WinCommander все открывается, копируется, удаляется, сохраняется ну и т.д. Может кто что посоветует? Может создать новые и положить их на диск, но я не в курсе, что там надо прописать в этих файлах?

Добавлено: 07 мар 2007 00:28
еуе
Ленивый
дык это кажется механизм его распространения и есть
удали из реестра все ключи с значением autorun.vbs
копию реестра сохрани предварительно разумеется

Добавлено: 07 мар 2007 00:43
Ленивый
еуе
Спасибо, завтра (блин, уже сегодня... :( ) попробую почистить реестр.

Добавлено: 07 мар 2007 08:11
Raven
Как вариант можешь отключить автозапуск. Делается это через gpedit.msc, там "Административные шаблоны", "Система", дальше найдёшь. ;)

Добавлено: 08 мар 2007 14:34
Ленивый
еуе
Реестр почистил. Но, как выяснил, это полностью его не удаляет. Нашел в Сети маленькую программку, специально против этого вируса, она удалила по 11 файлов с каждого диска + еще какие-то записи в реестре... Теперь все ровно. Кстати, Касперский тож лечит, их саппорт ответил, что надо просто почистить комп в безопасном режиме...

Добавлено: 08 мар 2007 14:35
Ленивый
Raven
Спасибо, все уже работает...