DiFor
oembios.exe в студию
oembios.exe в студию
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Подцепил вирь?
- Автор темы Winux
- Дата начала
раз трабла решена то и сказке конец.
А теперь по сути:
1) сканишь комп который весь вговне с соседней сетевой тачки условно чистой
2) Если такая бодяга. что ен помогла (антивирь такой же (что по идее так, корп. стандарт), ВСЕГДА качаешь допом еще один антиврь вынося старый нахрен (само собой типа им проверив и он типа ничего не находит), из личных практик терминатор сумантек (SEP) или дядя Женя К.
3) раз известно имя малваре было, то помима соплей на форумах, лучше сначала залезте в Known bast разных АВ вендоров (вируслист, сумантек. трендмикра, Мкфии), или поискатьс пецильно заточенную софтину по удалению этого говна.
4) ну а так как надо чтобы все былоо неебаться быстро и шустро, тов паралель разварачиваешь новую тачку, скидываешь туда БД (говно из бакн клиентов, клчюи, сертификаты, переприязвываешь крипто про) и если тчо выходишь по раньше.
ЗЫ: да, НИКОГДА, НИКОГДА не давайте права администратора бухгалтерам, чтобы такой херни небыла. Обновления 1С не так часто, установка банк клиентов тоже. больеш им права админа НЕНУЖНЫ. Решите что важнее не ночевать и увольнения или поднять пару рахз жопу (с удаленым помощника (да да, это рабоатет ткоа инструкцию написать понятнуюс картинками дял юзера надо), с радмином и т.п. говном, можно не поднимать)
Да и само собой всегда держать на тачках юзеров корпоративные решения all-in-all (SEP, KIS и т.п.)
ЗЫЗы: а тачку улчше всеранвои мхо перезалить и запатчить по самые помидоры, а то когда недо админы вые**ся что виста фи. а мы Ыкспи, с 6 ишаком дырявым и не патченым в сети стандартом ввели, то тут смысл говрить о секурности (а ишак так или иначе нужен всяким банк клиентом, спринтерам и т.п. хне)
А теперь по сути:
1) сканишь комп который весь вговне с соседней сетевой тачки условно чистой
2) Если такая бодяга. что ен помогла (антивирь такой же (что по идее так, корп. стандарт), ВСЕГДА качаешь допом еще один антиврь вынося старый нахрен (само собой типа им проверив и он типа ничего не находит), из личных практик терминатор сумантек (SEP) или дядя Женя К.
3) раз известно имя малваре было, то помима соплей на форумах, лучше сначала залезте в Known bast разных АВ вендоров (вируслист, сумантек. трендмикра, Мкфии), или поискатьс пецильно заточенную софтину по удалению этого говна.
4) ну а так как надо чтобы все былоо неебаться быстро и шустро, тов паралель разварачиваешь новую тачку, скидываешь туда БД (говно из бакн клиентов, клчюи, сертификаты, переприязвываешь крипто про) и если тчо выходишь по раньше.
ЗЫ: да, НИКОГДА, НИКОГДА не давайте права администратора бухгалтерам, чтобы такой херни небыла. Обновления 1С не так часто, установка банк клиентов тоже. больеш им права админа НЕНУЖНЫ. Решите что важнее не ночевать и увольнения или поднять пару рахз жопу (с удаленым помощника (да да, это рабоатет ткоа инструкцию написать понятнуюс картинками дял юзера надо), с радмином и т.п. говном, можно не поднимать)
Да и само собой всегда держать на тачках юзеров корпоративные решения all-in-all (SEP, KIS и т.п.)
ЗЫЗы: а тачку улчше всеранвои мхо перезалить и запатчить по самые помидоры, а то когда недо админы вые**ся что виста фи. а мы Ыкспи, с 6 ишаком дырявым и не патченым в сети стандартом ввели, то тут смысл говрить о секурности (а ишак так или иначе нужен всяким банк клиентом, спринтерам и т.п. хне)
в общем почистил вроде как тройан ремовером, потом прошелся анхуком, потом малварь байт антималваре. файло в атаче
http://www.virustotal.com/ru/analisis/38e8...00b9aef36993618
http://www.filterbit.com/results.cgi?uid=z...2mfvr2tg9mhfn0d
http://virscan.org/report/3bf5cfe0bbd84623...9adfde2552.html
http://www.virustotal.com/ru/analisis/38e8...00b9aef36993618
http://www.filterbit.com/results.cgi?uid=z...2mfvr2tg9mhfn0d
http://virscan.org/report/3bf5cfe0bbd84623...9adfde2552.html
DiFor
А тебя никак не насторожило что фаел в ~300 кило сжался менее чем в 1 килобайт?
xor eax, eax
ret
весьма смешно, особенно учитывая что это драйвер . В нем есть путь к отладочным символам =)
T:\o\i386\d.pdb
ну и собсно путь к выходному файлу
o\i386\d.sys
А тебя никак не насторожило что фаел в ~300 кило сжался менее чем в 1 килобайт?
xor eax, eax
ret
весьма смешно, особенно учитывая что это драйвер . В нем есть путь к отладочным символам =)
T:\o\i386\d.pdb
ну и собсно путь к выходному файлу
o\i386\d.sys
аэммм, и чо делать?
да, спасибо, действительно, ..больше, чем кажется на второй взгляд...
какими, если не секрет ?
trojan remote® - их так много..
RootKitUnhooker 3.8.341.552 - этим?
DiFor
Да ниче не делать - просто это какая-то дрянь для отвода глаз. Если такое загрузить - будет БСОД.
Да ниче не делать - просто это какая-то дрянь для отвода глаз. Если такое загрузить - будет БСОД.
Отключите автозапуск со всех дисков, не давайте права админа обычным юзерам, поставьте фришный антивирус, если у организации нет денег на платный..(правда хз что из бесплатного есть более-менее хорошего, та же авира, которую хрен заткнешь, мониторит только файлы, не сканируя память..) И будет админу радость.. Кстати комодо кто пробовал? Поделитесь впечатлениями.
пробовала только файрволл. ну..уступает, конечно аутпосту, но все хором говорят, что лучшмй из бесплатных
По поводу антивируса+файрволл -идет в связке есть отзывы здесь
http://soft.softodrom.ru/ap/p6479.shtml
Ксттаи, много знакомых спрашивают о бесплатных антивирях. Дам ссылку, спасибо, напомнили
есть деньги ? купите ф-секурите имхо отличная сборка ав по базам авп + свой хисп + неплохой фаервол ... ваще душы в нем не чаял пока был ключ ):
el-
ты про это? http://f-secure.ru/home_user/products_a-z/fsis2009.html ?
[mod][el-:] ну да[/mod]
lisa99
вот этим http://www.simplysup.com/ анхук помоему тот самый
ты про это? http://f-secure.ru/home_user/products_a-z/fsis2009.html ?
[mod][el-:] ну да[/mod]
lisa99
вот этим http://www.simplysup.com/ анхук помоему тот самый
lisa99, comodo фаервол то я юзал, оч понравился, больше чем аутпост, проактивка на высоте. А вот антивирус не ставил, по-этому и спросил...
lisa99
--exe--
Использую связку авира + комодо , очень эффективно получается особенно если параноидальные настройки влкючить
Самое главное они очень неплохо дружат ...
--exe--
Использую связку авира + комодо , очень эффективно получается особенно если параноидальные настройки влкючить
Самое главное они очень неплохо дружат ...попробовала. Увы...плохо, на мой взгляд. Работает по сигнатурному признаку (2004 г.) Открывает 134 порта и проверяет нет ли на них активности некторых вирусов..по базе 2004 г.
Естественно, незнакомые приложения проходят на ура...
Имхо, порочный подход..
Выцарапала с дисков файлы автозапуска
Они работали, но закриптованы.
Насколько я теперь понимаю, это загрузчики
Естественно, антивирусы никого не видят =\
Ниже код одного из них.
Тогда есть несколько вопросв. Чисто теоретический- а как и кем декодится этот текст? И практический:
Можно ли восстановить исходный и посмотреть связанные файлы?
п.с. заранее всем спасибо, кто наставит..на путь истины =)
Они работали, но закриптованы.
Насколько я теперь понимаю, это загрузчики
Естественно, антивирусы никого не видят =\
Ниже код одного из них.
Код:
;oAAdliAka93SaSkkakrlKdnDLrfqwDK1jiJa41k142r7qj09wa0q2Ak2s7ee
[AutoRun]
;qdfK2748oKCoikJwaUdlwjikwsJjes73oAAS1iakk9oAsac4kAO39i2SKsdd
;ia405f42oqkS73dokr4j9L4JqZKsrKi5awp5s714dOaaiDAiw3KJ3lKk7de1f2A2Al0Dake8Ddok03i4wadLkL3aAisrwkArrDi5wS3Dkf432Zrk
;1Saaf6D235kr4Jwrd2J0oDfL4DiASkKkk3d9aJww3Kspri29j0XickKsOqspeKKj3HdKK7s28740dqawAk43i2rALi3clDLJa3aC72i35ks1erLai2Ade
shell\open\Default=1
;iaL4sls4A3D4iiwpOK90dA8qpeidaw74laawkLkj006icLssjwLq9kwo4DkAl1ar45wAs303ioi72wsrajslk
;DZO3i9jiwk07alpfd4ssqD48kJaaloaam7XAlrAo2a2iaТогда есть несколько вопросв. Чисто теоретический- а как и кем декодится этот текст? И практический:
Можно ли восстановить исходный и посмотреть связанные файлы?
п.с. заранее всем спасибо, кто наставит..на путь истины =)
это у тебя autorun.inf
просто с мусорром.. скорей всего конфигер у тебя .. скачай kidokiller
просто с мусорром.. скорей всего конфигер у тебя .. скачай kidokiller
конечно autorun.inf
с мусором? хм..так он работал- 2 штуки в корнях лог. дисков. Блокировали прямое обращение к ним.
Ок. поищу kido.
с мусором? хм..так он работал- 2 штуки в корнях лог. дисков. Блокировали прямое обращение к ним.
Ок. поищу kido.
ну мусор.. чтоб трудней дедектить было их антивирусами.. работать то они работают =))
я давно на всех компах поотрубал авторан с всех дисков ...
через avz это можно сделать кстать выставив тупо всег алочки в натсройках =)
я давно на всех компах поотрубал авторан с всех дисков ...
через avz это можно сделать кстать выставив тупо всег алочки в натсройках =)