X   Сообщение сайта
(Сообщение закроется через 3 секунды)



 

Здравствуйте, гость ( Вход | Регистрация )

6 страниц V   1 2 3 4 5 6 >
Открыть тему
Тема закрыта
> Заразился диким трояном «Trojan.Mayachok.1», история о том, как я его фигачил по полной!
Monah
Monah
Topic Starter сообщение 3.12.2011, 19:10; Ответить: Monah
Сообщение #1


Тёмный seo мастер
******

Группа: Active User
Сообщений: 2376
Регистрация: 27.4.2009
Из: Лаборатории Монаха
Поблагодарили: 1299 раз
Репутация:   196  



Что только не повстречаешь на просторах рунета кроме полезной и интересной информации, тут тебе и всякий мусор, и по*рно, и вирусы, и кидалы, и прочая нечесть. Вот и мне с моей защитой, которую я долго вытачивал, пришлось столкнуться с диким трояном «Trojan.Mayachok.1», который не просто умудрился поразить мой компьютер, но и заразить мой антивирус ohmy.gif !

Конечно, это и осеняя активизация вируса (читал в новостях), и возможно, руткиты или ещё что вмешалось, но он умудрился обойти мой firewall и антвирус, и поглумиться над моей системой, а это уже повод задуматься над безопасностью ещё сильнее, хотя я и так параноик на эту тему!

Для начала поведаю, что стоит у меня:
  • Eset Nod 32 4.0.467
  • Outpost Firewall Pro 2009
  • Windows XP
Ну привык я юзать эту троицу, и ничего поделать не могу, хотя уже взял лицензию на Windows 7, и желаю поставить самый навороченный антивирус от лаборатории Касперского. Осталось только решиться снести систему и всё это поставить biggrin.gif .

Предыстория и процесс

Для начала я продолжал работать сразу на двух ПК, то есть на своём и на серверном, где работаю с Xrumer’ом и прочим софтом. Работал-работал, и на тебе, всё начинает закрываться, и дело пошло к перезагрузке системы. Чёрт побери.

Компьютер перезагрузился, Nod 32 сразу же выцепил из оперативной памяти какой-то вирусняк связанный с «netprotocol.exe» и выдал такое сообщение:

вероятно модифицированный Win32/TrojanClicker.Agent.NII троянская программа

По идее, когда дело касается заражения оперативной памяти, то я незамедлительно начинаю качать всеми известный Cureit, а вместе с ним и утилиту от Касперского, ведь это не шутки!

Вперёд к цели!

Скачал обе софтины и первым делом врубил cureit, который так же очень быстро нашёл заразу «Trojan.Mayachok.1» где-то в корне system32, в одном из ключевых файлов, а следом за ним и «Trojan.Mayachok.2» в месте, которое далеко от моего понимания и представления blink.gif .

Первый троян был обезврежен, а второй исцелён. Честно говоря, я давно уже не видел таких сообщений от cureit’а, так как обычно он просто удаляет вирусы.

Забавно, что в след за ними он нашёл вирусняк в процессе «ekrn.exe», который является базовым процессом антивируса nod 32, то есть как я понимаю это трактуется так, что этот троян поразил и мой антивирус. Ну его он обезвредил, ладно.

Вместе с этой пакостью, Cureit обнаружил «Adware.Downware.25» и подозрение на «DLOADER.Trojan», которые так же беспощадно удалил.

Но оказалось вирусняк жив!

В итоге после этой полной проверки, и удаления всякой нечисти, я сделал очередную быструю проверку в результате которой был вновь найден «Trojan.Mayachok.1» и снова в процессе антивируса, и опять был удалён.

На этот раз поражённый процесс был несколько иначе представлен, то есть либо оба антивируса находят лишь зараженные файлы, а не сам вирус, либо мои идеи иссякли sad.gif .

Но после этого сделал новый полный прогон диска C, и на этот раз вирусов найдено не было! Но неудовлетворённый, я по новой врубил быструю проверку Cureit’ом, что бы окончательно убедиться, что вирус удалён.

После проверки, cureit снова выявил этот чёртов «Trojan.Mayachok.1» arbayten.gif , и снова его обезвредил, но это значит пришло время для утилиты от лаборатории Касперского, а именно для «Kaspersky Virus Removal Tool».

Начинаю беспокоиться

Такой ситуации, когда заражался мой собственный антивирус, у меня никогда не было, да и когда Cureit что-то находил, но не мог удалить, вроде бы тоже.

Кроме того, на случай если зарекомендовавшие себя утилиты не справятся с этой злобой дня, я скачал ещё чистящих софтин:
  1. Malwarebyters’ Anti-Malware
  2. Trojan Remover
  3. Spyware Doctor
  4. Super Antispyware
  5. Registry booster
Каждая из этих программ нарекомендована мне либо массовыми голосованиями на форумах безопасности, либо я пользовался ими сам. Из всего списка я пользовался лишь Spyware Doctor, и в то время она показала себя очень хорошо в плане обезвреживания всякого рода шпионов и мусора.

Запускаю пятый антивирус

А точнее пятую программу из всего перечня (Nod32, Cureit, VRT, MAM и Trojan Remover), выставил, как и ранее, самые мощные настройки, и получаю, что она почти сутки работала, но к сожалению, вообще ничего не нашла.

К слову, предыдущие 4-е что-то да находили, это были либо иные угрозы, либо разные имена всё того же «Trojan.Mayachok.1», и каждая делала свою работу по удалению, а итог один и тот же, cureit всё-равно находит вирус, и почти каждый раз в новом файле.

И что тогда делать дальше?

Идти по списку своих программ, и следующим по списку как раз идёт ранее зарекомендовавший себя «Spyware Doctor», правда не знаю, или уже не надеюсь, что и он справится. И всё же покапался в настройках «Trojan Remover», и по новой запустил проверку, правда теперь какой-то супер эвристический анализ, так как проверялся почти сутки, и вообще ничего нового не нашёл.

Снова проверил компьютер Cureit, и снова он нашёл этот долбанный «Trojan.Mayachok.1» arbayten.gif , а при прочих равных и мой Nod32 время от времени срабатывал на «Win32/Agent.SFM» в «Malwarebyters’ Anti-Malware». Всё проверил, всё почистил, запустил снова nod 32 на проверку всего компьютера, и о боги, он снова нашёл вирусы, не смог их обезвредить и попросил перезагрузку системы.

Систему перезагрузил, и ни nod32, ни Cureit больше ничего не находят! Похоже, мне всё-таки удалось удалить этот чёртов троян с помощью обезвреживания и лечения Cureit’ом моего заражённого Nod32, удаления связанной с этим вирусом нечестии с помощью «Malwarebyters’ Anti-Malware» и прочих действий.

В завершение

В завершение я ещё на раз проверил компьютер с помощью Nod32, Cureit, Virus Removal Tool и «Malwarebyters’ Anti-Malware», и никто из них более ничего не нашёл. Теперь я убедился, что система чиста, что мне однозначно приглянулся «Malwarebyters’ Anti-Malware», надо брать лицензию, и наконец, что бы быть аккуратнее с сервером, ведь именно оттуда вирус и пришёл.

Выводы

А какие тут могут быть выводы? После проверки сервера, выяснилось, что там вообще вирусов нет! Потенциально опасные сайты я вроде бы как не посещаю, да и моя система защиты ранее сбои не давала... не знаю, что думать, но если по работе всё срастётся, то буду сносить xp и пересаживаться на лицуху win7.

Источник мысли


--------------------
Я вернулся из спячки... и запустил генератор трафика.
0
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
PalaceCash
PalaceCash
сообщение 3.12.2011, 19:19; Ответить: PalaceCash
Сообщение #2


Новичок
*

Группа: Banned
Сообщений: 16
Регистрация: 2.12.2011
Поблагодарили: 2 раза
Репутация:   0  


Пользуюсь KIS 2012, всё устраивает smile.gif Всё в одном.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Monah
Monah
Topic Starter сообщение 3.12.2011, 19:22; Ответить: Monah
Сообщение #3


Тёмный seo мастер
******

Группа: Active User
Сообщений: 2376
Регистрация: 27.4.2009
Из: Лаборатории Монаха
Поблагодарили: 1299 раз
Репутация:   196  


PalaceCash, да меня тоже всегда моя троица устраивала, как бы как параноик к этому отношусь, а тут такое дело... Я честно, тоже на лицуху KIS 2012 хочу перейти, либо на более мощный их кристаловский продукт...


--------------------
Я вернулся из спячки... и запустил генератор трафика.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Belos
Belos
сообщение 3.12.2011, 19:23; Ответить: Belos
Сообщение #4


Старожил
******

Группа: Active User
Сообщений: 2468
Регистрация: 11.11.2008
Из: Украина
Поблагодарили: 695 раз
Репутация:   96  


Ни один антивирус вас не спасет от НОВОГО вируса! Потому как сначала выходит вирус, а потом антивирусные системы, анализируя сам вирус, пытаются сделать антивирус, а уж потом идет обновление баз.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
justfour
justfour
сообщение 3.12.2011, 19:27; Ответить: justfour
Сообщение #5


Частый гость
**

Группа: User
Сообщений: 73
Регистрация: 21.8.2011
Поблагодарили: 15 раз
Репутация:   6  


Юзаю Linux, проблем таких как у ТС не знаю. tongue.gif


--------------------
Когда-нибудь здесь будет подпись
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Monah
Monah
Topic Starter сообщение 3.12.2011, 19:27; Ответить: Monah
Сообщение #6


Тёмный seo мастер
******

Группа: Active User
Сообщений: 2376
Регистрация: 27.4.2009
Из: Лаборатории Монаха
Поблагодарили: 1299 раз
Репутация:   196  


(Belos @ 3.12.2011, 22:23) *
Ни один антивирус вас не спасет от НОВОГО вируса!

Как всегда бы поспорил с этим утверждением, при наличии комплексного антивируса или пары (антивирус + фаервол), но не в моей ситуации спорить... Хотя! У меня система и фаервол не оптимизированы под максимлаьную защиту, хотя и стоят почти максимальные настройки... Как в истории с Маулом, работая с деньгами, надо уважать себя, а мы с ним до таких ситуаций, видно не уважаем себя, раз юзаем xp на в современных условиях.


--------------------
Я вернулся из спячки... и запустил генератор трафика.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Belos
Belos
сообщение 3.12.2011, 19:38; Ответить: Belos
Сообщение #7


Старожил
******

Группа: Active User
Сообщений: 2468
Регистрация: 11.11.2008
Из: Украина
Поблагодарили: 695 раз
Репутация:   96  


(Monah @ 3.12.2011, 18:27) *
Как всегда бы поспорил с этим утверждением



А чего спорить?! Если так и есть! Ведь антивирусные системы так и построены. Так же как и у человека, заболел, потом определяются чем, если не знают, пытаются проанализировать вирус, а потом делают вакцину.

Тоже в принципе касается и фаервола... Ведь загнать к вам в ПК какую-нибудь дрянь можно, изучив дырки в ПК, даже не дырки, а открытые порты.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Monah
Monah
Topic Starter сообщение 3.12.2011, 19:43; Ответить: Monah
Сообщение #8


Тёмный seo мастер
******

Группа: Active User
Сообщений: 2376
Регистрация: 27.4.2009
Из: Лаборатории Монаха
Поблагодарили: 1299 раз
Репутация:   196  


(Belos @ 3.12.2011, 22:38) *
Тоже в принципе касается и фаервола... Ведь загнать к вам в ПК какую-нибудь дрянь можно, изучив дырки в ПК, даже не дырки, а открытые порты.

Солидарен на все 100%.

А к возможному спору, систему, так же как и фаервол с антивирусом, можно настроить так, что ни у какой дряни и шансов не будет залезть к вам, то есть создать некое виндовс-уникс smile.gif а вот и намёк на это с Virusinfo smile.gif

Кстати, когда подбирал картинку для этой темы, набрёл на видео группы “Вирус”, под которую мы колбасились лет 10 назад, включил, глянул, послушал, ностальгия прям tongue.gif



--------------------
Я вернулся из спячки... и запустил генератор трафика.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Softik
Softik
сообщение 3.12.2011, 21:03; Ответить: Softik
Сообщение #9


Снимает стресс денежный пресс.
******

Группа: Active User
Сообщений: 1465
Регистрация: 4.12.2008
Из: ftp server
Поблагодарили: 495 раз
Репутация:   60  


(justfour @ 3.12.2011, 18:27) *
Юзаю Linux, проблем таких как у ТС не знаю.

Это конечно замечательно, но как быть, когда многие проги: Пастухов, Keycollector и т.п. не идут на линахе?
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Monah
Monah
Topic Starter сообщение 3.12.2011, 21:06; Ответить: Monah
Сообщение #10


Тёмный seo мастер
******

Группа: Active User
Сообщений: 2376
Регистрация: 27.4.2009
Из: Лаборатории Монаха
Поблагодарили: 1299 раз
Репутация:   196  


Softik, для этого видно надо иметь две ОС, одну линукс с которой работать, и одну винду, с которой тоже работать f_4866c2c501a2c.gif


--------------------
Я вернулся из спячки... и запустил генератор трафика.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
6 страниц V   1 2 3 4 5 6 >
Открыть тему
Тема закрыта
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0


 



RSS Текстовая версия Сейчас: 15.12.2017, 3:04
Дизайн