|
Главная | Правила | Регистрация | Дневники | Справка | Пользователи | Календарь | Поиск | Сообщения за день | Все разделы прочитаны |
|
Опции темы | Опции просмотра |
18.06.2008, 17:06 | #1 (permalink) |
Member
Регистрация: 18.06.2008
Сообщений: 26
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 10
|
|
18.06.2008, 17:06 | |
Helpmaster
Member
Регистрация: 08.03.2016
Сообщений: 0
|
Возможно, что проблема уже решена кем то из пользователей вирус Win32/Scano Вирус win32.agent.pz Вирус Win32:Spyware-gen Вирус Trojian.Win32.Gorshok Вирус Trojan.Win32.Srizbi.v |
18.06.2008, 18:04 | #3 (permalink) |
IT-Specialist
Регистрация: 12.04.2007
Сообщений: 2,906
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 1845
|
Инфо:::
Virus.Win32. Sality.t 19 марта, 2007 Данная программа представляет собой файловый вирус с троянским функционалом. Является приложением Windows (PE EXE-файл). Размер тела вируса — 16384 байта. Инсталляция При запуске зараженного файла из тела вируса извлекается следующий файл: * %System%\oledsp32.dll — имеет размер 25600 байт Далее этот файл загружается в систему как библиотека DLL, и вирус передает управление оригинальной зараженной программе. Процедура заражения Вредоносная программа заражает исполняемые файлы Windows (PE-EXE) с расширениями .EXE и .SCR. Не инфицируются объекты размером больше 20 миллионов 971 тысячи 520 байт и менее 1024 байт. При заражении вирус дописывает себя в конец последней секции PE-файла. После того как Sality.t завершает свою работу, управление снова передается оригинальной программе. Следует отметить, что поиск файлов для внедрения вредоносного кода производится на всех разделах жесткого диска. Деструктивная активность Библиотека «%System%\oledsp32.dll» устанавливает перехватчик открывающихся окон, тем самым подгружая себя в адресное пространство всех запущенных процессов. Также инсталлируется перехватчик клавиатурного ввода, позволяющий следить за нажимаемыми клавишами в окнах, с которыми работает пользователь. Собранная информация сохраняется в зашифрованном виде внутри следующего файла: %System%\TFTempCache В отчет вносятся заголовки окон, последовательности нажатых клавиш, а также системные дата и время. Кроме того, туда помещается информация о дате и времени работы с окнами, содержащими в заголовках такие строки: * TERM * CONNECT * СОЕДИНЕН * УДАЛЕНН * REMOTE * LOGIN * PASS * СВЯЗ * ТЕРМ * ПОДКЛЮЧ * MOZIL * OUTLOOK * SERV * ПОЧТ * NET * CHAT * MONEY * РЕГИСТ * EGIST * SYSTEM * ПАРОЛ * PIN * ПЕРЕД * ПИН Вирус получает список модемных соединений и их параметры, похищает содержимое системного парольного кэша (с помощью функции WNetEnumCachedPasswords), получает сведения о последних открытых в Internet Explorer URL. Также из системного реестра извлекается информация об ОС: версия, серийный номер, название организации, имя пользователя. Содержимое файла «%WinDir%\edialer.ini» похищается. Все собранные данные вирус отсылает на один из электронных адресов злоумышленника: sector****@list.ru ****ntovij@list.ru Наконец, данная вредоносная программа ищет и удаляет файлы, содержащие в своем имени строку «drw», а также файлы с расширениями: .vdb .key .avc .tjc |
19.06.2008, 04:21 | #4 (permalink) |
IT - Specialist
Регистрация: 08.12.2007
Сообщений: 6,815
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 6316
|
Веселая штука... :/ Я так понимаю, если эта гадость уже "засрала" файлы, ее банальным удалением уже не обойдешься...
И единственный метод борьбы - просто не пускать его в систему. Так? |
22.06.2008, 13:43 | #5 (permalink) |
IT-Specialist
Регистрация: 12.04.2007
Сообщений: 2,906
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 1845
|
Aleksan, я сталкивался с этой фигней....она офигено размножается :)
просканил систему нашлось 2500 зараженных объектов, просканил через неделю а зараженных объектов уже 3500 !!! :) просто взял и переустановил винду...эта хрень попала в винду, потому что не было установлено антивирусное ПО :) |
Ads | |
Member
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
|
23.06.2008, 11:03 | #6 (permalink) | |
IT - Specialist
Регистрация: 08.12.2007
Сообщений: 6,815
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 6316
|
Но я так и не понял:
Цитата:
|
|
23.06.2008, 12:08 | #7 (permalink) |
IT-Specialist
Регистрация: 12.04.2007
Сообщений: 2,906
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 1845
|
после удаления этой гадости всеравно будут сообщения, что на компе есть зараженные объекты...
после того как я установил антивирусное ПО, на зараженный комп, мне пришлось его обратно удалять, потому что все время антивирь обнаруживал зараженные объекты :) Прикольный этот вирусяга :) |
25.06.2008, 16:48 | #8 (permalink) |
Member
Регистрация: 18.06.2008
Сообщений: 26
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 10
|
Народ, а если я винду переустановлю, могут ли возникнуть проблемы с драйверами, может надо сначала сделать архив драйверов (если нет таковых от производителя)?
|
26.06.2008, 03:27 | #9 (permalink) |
IT - Specialist
Регистрация: 08.12.2007
Сообщений: 6,815
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 6316
|
Смотря на что именно. Возможно можно в инте их найти и скачать. Но если они не заражены - тогда оставляй конечно.
|
Ads | |
Member
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
|
Метки |
win32:sality |
Опции темы | |
Опции просмотра | |
|
|