Вирус, нейтрализующий Касперский. Поделитесь опытом, плизз

Железо, софт, сети, программирование, ремонт, настройка и обслуживание.

#1  Miker » Ср 9.11.2005, 23:25

В общем то, суть такова. На клиентской машине были самоустановлены различные настройки к Эксплореру, во всяком случае грешу на них, и заблокировался сайт касперского. Ни через какой браузер не кажет, ни обновить нельзя. Смотрел разрешения в эксплорере, отключил брандмауэр, сейчас обновил через zip-архив свежим обновлением и поставил на полную проверку..

Но однако же - где сидит запретительная настройка и чем лечить. В данном случае - цена вопроса - переставлять ли винду по такому поводу (море программ, включая 1С, голосовую и видеосвязь, в общем - по полной программе) либо найти баг. Другой антивирус не катит ибо Нортон 2005 с катушек сошёл на 2-й день, почему то нестабильный он, а к другим - доверия клиента да и моего - нет).. В общем - по сути - знает кто что где прописать/удалить аль нет?)

[color=green][size=9]Добавлено спустя 1 минуту 48 секунд:[/size][/color]

Да и- забыл добавить) Система зачищена вручную от всяких резидентов, ничего подозрительного и чужого не висит в процессах, в инете ничто никуда трафик не ест)... Короче - простейшие версии типа "Ба, да у тебя же там роза!" - не катят))
"Ох, деньги имеют изрядную силу
Коль можно девицу купить за кобылу"
Аватара пользователя
Miker
постоялец
 
Сообщения: 5057
Зарегистрирован: Вс 1.08.2004, 20:11
Откуда: Иркутскъ

#2  Alexx » Ср 9.11.2005, 23:52

проверь открыты ли порты 4438-4463
если закрыты тогда открой, должно сработать
Аватара пользователя
Alexx
постоялец
 
Сообщения: 168
Зарегистрирован: Вт 8.03.2005, 1:52

#3  Miker » Чт 10.11.2005, 0:20

Alexx гы) не скажешь, как объяснить "открыть порты" юзверю и мне в частности?) На хрени всё это, ессно).. Вроде файрвола не стоит, стандартный отключен - нечему их ни закрывать ни открывать))
"Ох, деньги имеют изрядную силу
Коль можно девицу купить за кобылу"
Аватара пользователя
Miker
постоялец
 
Сообщения: 5057
Зарегистрирован: Вс 1.08.2004, 20:11
Откуда: Иркутскъ

#4  Alexx » Чт 10.11.2005, 0:32

Так поставь кайнибудь фаер и глянь он хоть куданибудь ломится при апдейте
Аватара пользователя
Alexx
постоялец
 
Сообщения: 168
Зарегистрирован: Вт 8.03.2005, 1:52

#5  Alexx » Чт 10.11.2005, 2:20

Открой файл %System%\drivers\etc\hosts
если там будет запись типа - 127.0.0.1 www.avp.ru - или подобные
значит есть какая-то зараза, попробуй удалить все записи
кроме 127.0.0.1 localhost

Добавлено спустя 6 минут 53 секунды:

Хотя это не показатель, вовсяком случае посмотри, вирус мог и другим путем пойти, если конечно он там есть.
Аватара пользователя
Alexx
постоялец
 
Сообщения: 168
Зарегистрирован: Вт 8.03.2005, 1:52

#6  Andrey_SRU » Чт 10.11.2005, 2:34

Miker тыж типо сам вирусы пишешь? ты должен знать почму такие проблемы:)

Добавлено спустя 8 минут 42 секунды:

и еще:

яж говорил что ты сам знаешь - чем мне вирусочитателю вирусопесатели не нравятся.

вот возьми и напиши на Си программку для сканинга на нулевом кольце.
как это сделал когдато твой вирусочетатель.
А я дурак... вы не знали?
Аватара пользователя
Andrey_SRU
постоялец
 
Сообщения: 587
Зарегистрирован: Пн 17.01.2005, 6:11
Откуда: Irk

#7  Andrey_SRU » Чт 10.11.2005, 5:55

erase me хе хе да...
А я дурак... вы не знали?
Аватара пользователя
Andrey_SRU
постоялец
 
Сообщения: 587
Зарегистрирован: Пн 17.01.2005, 6:11
Откуда: Irk

#8  Miker » Чт 10.11.2005, 7:48

Andrey_ru а оно мне надо?)
erase me Однако форматирование и прочее - это лишнее).. А полиморфы и прочее, как бы не называлось - сие физически есть, и если только не запорчен какой нить важный файл типа того же эксплорера или lsass, как в случае с msblast - иной, то - спокойно удаляется вручную).. Кстати - забыл добавить, монитор то оставлять иль нет старый после такого вируса?))

Alexx Спасибо за совет, попробую, о результатах, как только будут - напишу)
"Ох, деньги имеют изрядную силу
Коль можно девицу купить за кобылу"
Аватара пользователя
Miker
постоялец
 
Сообщения: 5057
Зарегистрирован: Вс 1.08.2004, 20:11
Откуда: Иркутскъ

#9  Женька » Чт 10.11.2005, 9:48

заюзай Spybot - Search&Destroy ... это для начала
глянь.. пингует ли тачка хост касперского
и воткни сниффер, и смотри куда пакеты ходят када коннектишься к апдейтам для антивиря

Добавлено спустя 2 минуты 16 секунд:

переставлять систему - не панацея
у меня нарабочей тачке винда пашет с октября 2002 года.. и вирусняки были.. все было.. но ни разу не переставлял.. при умелом подходе и прямых руках все можно поправить без переустановки... переустанавливать винду - мозгов не надо
Изображение
Аватара пользователя
Женька
мЭрзкое жЫвотное
 
Сообщения: 2087
Зарегистрирован: Пт 10.06.2005, 13:28

#10  Andrey_SRU » Чт 10.11.2005, 9:59

erase me я вижу ты журнальчик ХАКЕР почитваешь.

вот расскажи тем кто тут читает все это про кольца windows nt, и про то что нельзя типа доступ на Си сделать.

ато нипонятно ниче понимаешь ли.
А я дурак... вы не знали?
Аватара пользователя
Andrey_SRU
постоялец
 
Сообщения: 587
Зарегистрирован: Пн 17.01.2005, 6:11
Откуда: Irk

#11  Женька » Чт 10.11.2005, 10:31

андрей ру
фтыкай внимательно.. про свои кольца
Изображение
Аватара пользователя
Женька
мЭрзкое жЫвотное
 
Сообщения: 2087
Зарегистрирован: Пт 10.06.2005, 13:28

#12  Miker » Чт 10.11.2005, 10:59

Вот и у меня так же).. Сносить не люблю... судя по всему, из ответов исходит, что действия для такой борьбы - очень геморны и корректных и простых отображений средствами самого ХРена нет. Отсюда вывод - если Касперский не излечит - придётся всё таки переснести винду. Кстати, защита от таких глюков в 0-383 Касперском уже есть, а вот в 226-м нету.

Всем спасибо!
"Ох, деньги имеют изрядную силу
Коль можно девицу купить за кобылу"
Аватара пользователя
Miker
постоялец
 
Сообщения: 5057
Зарегистрирован: Вс 1.08.2004, 20:11
Откуда: Иркутскъ

#13  Andrey_SRU » Чт 10.11.2005, 21:20

erase me
Да лано забей на это. Поштил я. Для микера писал.
Никто кроме тя не посмеялся. Ктот даже пример тут привел какой то.
Про кольца я знаю. Както пытался дрова писать.

Женька че это за пнг.
А я дурак... вы не знали?
Аватара пользователя
Andrey_SRU
постоялец
 
Сообщения: 587
Зарегистрирован: Пн 17.01.2005, 6:11
Откуда: Irk

#14  Miker » Чт 10.11.2005, 22:44

erase me вот интересно, что, кроме рук пользователя, даст вирусу-полиморфу запуститься на новой винде, поставленной совсем в другом месте (да и в этом же - вроде как хрень убивает файлы все из папки где она была).. Или - Дос форрева?)

Добавлено спустя 2 минуты 47 секунд:

Andrey_ru Шарик, ты Балбес).. Для справки - а попробуй ка у себя на системе кильнуть ntdetect.com, ntldr либо autoexec.bat)
"Ох, деньги имеют изрядную силу
Коль можно девицу купить за кобылу"
Аватара пользователя
Miker
постоялец
 
Сообщения: 5057
Зарегистрирован: Вс 1.08.2004, 20:11
Откуда: Иркутскъ

#15  Miker » Чт 10.11.2005, 22:58

Бляяя... я тебе вот об этом:

"Способ лечения - переустановка ОСи с обязательным форматированием системного раздела, установкой всех имеющихся заплаток и сервис паков, локальным апдейтом баз AVP и установкой последней версии огнестена."

Таки, юный вы хацкер, как активируется то же вирус, если винт не форматировать, а просто систему переснести, естественно по-чёрному (без сохранения настроек)?)) Быть может, как терминатор? У него самосознание есть?)..
"Ох, деньги имеют изрядную силу
Коль можно девицу купить за кобылу"
Аватара пользователя
Miker
постоялец
 
Сообщения: 5057
Зарегистрирован: Вс 1.08.2004, 20:11
Откуда: Иркутскъ

#16  Miker » Чт 10.11.2005, 23:06

erase me вооот) Что и требовалось доказать).. Таки - а зачем форматирование? Давно не спасали большие массивы документов и фотографий?)

В общем - и вам рекомендую - грохните у себя ntldr!) Это легко, и потом - он же восстановится)
"Ох, деньги имеют изрядную силу
Коль можно девицу купить за кобылу"
Аватара пользователя
Miker
постоялец
 
Сообщения: 5057
Зарегистрирован: Вс 1.08.2004, 20:11
Откуда: Иркутскъ

#17  Miker » Чт 10.11.2005, 23:36

erase me никогды не замечали быстро пролетающую строчку на современных то мощностях - удаления старых файлов?).. Стирает, и ещё как)..
"Ох, деньги имеют изрядную силу
Коль можно девицу купить за кобылу"
Аватара пользователя
Miker
постоялец
 
Сообщения: 5057
Зарегистрирован: Вс 1.08.2004, 20:11
Откуда: Иркутскъ

#18  bublik_enemy » Чт 24.11.2005, 22:45

Хакеры крякеры виросописатели все это х-ня:)вы наверное и вирусы пишете что евристический анализатор их поймать может:)есть мега рульная прога с помощью нее можно все!!!SoftIce называется так что в зубы и вперед:)сложно?определенно но все зависит от цены вопроса:)

Добавлено спустя 8 минут 58 секунд:

да вот ишо что делать прогу работы в ядре мега не гуд есть WMI все аккуратно быстро а главное скриптами:)даже думать много не надо чтоб докопаться до инфы о потоке сетевого драйвера:)
Бабло побеждает зло:)
bublik_enemy
 
Сообщения: 37
Зарегистрирован: Пн 21.11.2005, 19:33
Откуда: уже не важно:(

Аватара
спонсор



cron