|
|
|
Замучал вирусяга куда копать дальше?
|
|||
|---|---|---|---|
|
#18+
Судя по C:\ Documents and Settings\ NetworkService\ Local Settings\ Temporary Internet Files\ Content.IE5\ GXQ389QF\ alixx[1].bmp похож на сетевой КИДО. вот я тоже на это сначала подумал здесь есть лечилка на вид вируса Pakes http://support.kaspersky.ru/faq/?qid=180593202 Posted via ActualForum NNTP Server 1.4 ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 14.05.2010, 16:55 |
|
||
|
Замучал вирусяга куда копать дальше?
|
|||
|---|---|---|---|
|
#18+
KhodAnatoly PodgoretskyНу так приходи в понедельник, и если это сетевой червь, то отключай все компьютеры от сети и лечи. Если же нет, то просто проход по всем компьютерам. Да и в выходные вряд ли у тебя что выйдет, ты же не будешь помещения взламывать? Судя по C:\ Documents and Settings\ NetworkService\ Local Settings\ Temporary Internet Files\ Content.IE5\ GXQ389QF\ alixx[1].bmp похож на сетевой КИДО. Тогда ничего другого не остается, как сначала отключить ВСЕ компьютеры и лечить и устанавливать все обновления, чего видимо давно не делали, хотя бы из-за отсутствия Интернет, ждали когда петух жареный клюнет. И эта ситуация будет повторяться с завидной периодичностью. Для того что бы на компьютерах были свежие обновления совсем необязательно туда разрешать Интернет, достаточно одного WSUS сервера ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 14.05.2010, 16:56 |
|
||
|
Замучал вирусяга куда копать дальше?
|
|||
|---|---|---|---|
|
#18+
Дерзайте! Но тем более без заплаток - никак... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 14.05.2010, 16:57 |
|
||
|
Замучал вирусяга куда копать дальше?
|
|||
|---|---|---|---|
|
#18+
domovoi Судя по C:\ Documents and Settings\ NetworkService\ Local Settings\ Temporary Internet Files\ Content.IE5\ GXQ389QF\ alixx[1].bmp похож на сетевой КИДО. вот я тоже на это сначала подумал здесь есть лечилка на вид вируса Pakes http://support.kaspersky.ru/faq/?qid=180593202 Не надо от Касперского, учитывая его ложные срабатывания на Pakes - останешь совсем без системы, вот тогда точно будешь устанавливать ОС с нуля. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 14.05.2010, 16:58 |
|
||
|
Замучал вирусяга куда копать дальше?
|
|||
|---|---|---|---|
|
#18+
Anatoly Podgoretskydomovoi Судя по C:\ Documents and Settings\ NetworkService\ Local Settings\ Temporary Internet Files\ Content.IE5\ GXQ389QF\ alixx[1].bmp похож на сетевой КИДО. вот я тоже на это сначала подумал здесь есть лечилка на вид вируса Pakes http://support.kaspersky.ru/faq/?qid=180593202 Не надо от Касперского, учитывая его ложные срабатывания на Pakes - останешь совсем без системы, вот тогда точно будешь устанавливать ОС с нуля.Что вы так прицепились к этому Pakes, вердикт как вердик. Фалсы есть, но их меньше, чем вам кажется. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 14.05.2010, 17:08 |
|
||
|
Замучал вирусяга куда копать дальше?
|
|||
|---|---|---|---|
|
#18+
Факт этого официально признан фирмой Касперский, поэтому лучше не рисковать, а взять другой сканер, уже предлагался CureIt. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 14.05.2010, 20:05 |
|
||
|
Замучал вирусяга куда копать дальше?
|
|||
|---|---|---|---|
|
#18+
domovoi антирирусные базы у вас обновленные? просто если он где то останется, а вы не исправите причину распространения, то все начнется по новой. так же гляньте автозагрузку, на предмет левых процессов. даже 50 компов можно пролечить достаточно быстро зная расположение вируса. я немного капнул в общем если верить вот этому сообщению : Trojan.Win32.Pakes.och -> d:\windows\system32\ndvot.dll ( DrWEB: Win32.HLLW.Shadow.based, BitDefender: Win32.Worm.Downadup.Gen, NOD32: Win32/Conficker.AA worm, AVAST4: Win32:Confi [Wrm] ) нашлась статья про лечение Win32.HLLW.Shadow.based в ней так же указывается что нужны следующие обновления для системы: MS08-067 ; MS08-068 ; MS09-001 . ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 14.05.2010, 22:17 |
|
||
|
Замучал вирусяга куда копать дальше?
|
|||
|---|---|---|---|
|
#18+
ArhangeL_D domovoi антирирусные базы у вас обновленные? просто если он где то останется, а вы не исправите причину распространения, то все начнется по новой. так же гляньте автозагрузку, на предмет левых процессов. даже 50 компов можно пролечить достаточно быстро зная расположение вируса. я немного капнул в общем если верить вот этому сообщению : Trojan.Win32.Pakes.och -> d:\windows\system32\ndvot.dll ( DrWEB: Win32.HLLW.Shadow.based, BitDefender: Win32.Worm.Downadup.Gen, NOD32: Win32/Conficker.AA worm, AVAST4: Win32:Confi [Wrm] ) нашлась статья про лечение Win32.HLLW.Shadow.based в ней так же указывается что нужны следующие обновления для системы: MS08-067 ; MS08-068 ; MS09-001 . да обновления сыпятся на все компы ежедневно, через центральный Admin KIT все базы акактуальны, спасибо за статью щас ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 14.05.2010, 22:43 |
|
||
|
Замучал вирусяга куда копать дальше?
|
|||
|---|---|---|---|
|
#18+
Anatoly PodgoretskyФакт этого официально признан фирмой Касперский, поэтому лучше не рисковать, а взять другой сканер, уже предлагался CureIt.Если фирма Касперский что-либо признала официально, то будьте уверены, что фалсящую рекорду давно нашли, поправили/удалили/заменили и передали пользователям с первым же обновлением. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.05.2010, 02:41 |
|
||
|
Замучал вирусяга куда копать дальше?
|
|||
|---|---|---|---|
|
#18+
а можно обзавестись какой нибудь следилкой, просмотреть процессы хотяб пару машин, разузнать что за вирус, как работает, может он себя копипастит еще куда-то. картинки рабочего стола могут быть заменены на html файлы с зловредным кодом. может AVZ поможет? бог его знает. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.05.2010, 10:16 |
|
||
|
Замучал вирусяга куда копать дальше?
|
|||
|---|---|---|---|
|
#18+
Гавриленко Сергей АлексеевичAnatoly PodgoretskyФакт этого официально признан фирмой Касперский, поэтому лучше не рисковать, а взять другой сканер, уже предлагался CureIt.Если фирма Касперский что-либо признала официально, то будьте уверены, что фалсящую рекорду давно нашли, поправили/удалили/заменили и передали пользователям с первым же обновлением. Одначначно, но только вирусов Pakes не одна сотня, а признали только для одной. В итоге у меня нет уверности насчет остальных вариантов. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.05.2010, 13:20 |
|
||
|
Замучал вирусяга куда копать дальше?
|
|||
|---|---|---|---|
|
#18+
domovoi Hello, All! собственно 50 машин, стоит амин кит на сервачке 8 версии вторую неделю множится Trojan.Win32.Pakes.och касперы стоят везде версии KavWks 6.0.4.1212 они убивают это вырус но толку мало после перегруза снова лезет и множится откуда непойму, флешки запрещены, инета нет, как его доконца уничтожить ну замучал просто, и еще описание его найти немогу что он делает то? На Админ ките настроены и политики и все остальное нормально куда копать дальше? востановление систем отключены на машинах, основная система стоящая на машинах WIN XP sp3, вырус постоянно находит и убивает в System 32 и еще в C:\ Documents and Settings\ NetworkService\ Local Settings\ Temporary Internet Files\ Content.IE5\ GXQ389QF\ alixx[1].bmp тоже там убивает его У меня была полность похожая ситуация. Так там не помогла даже установка системы на другой диск. т.е. поставил винду на диск Д: сразу установил каспера и все обновления, протестировал все диски. Ничего не нашлось. Машина была отключена от сети, на ней локально под ограниченной учеткой набирали тексты и печатали их. И через некоторое время вирус с тем же самым именем начал детектироваться, что он уже поразил виндяру на диске Д. т.е. он каким-то образом из якобы пролеченных системных файлов старого раздела перелез на новый, прорвав антивирусник и ограниченную учетку. И стал обнаруживаться каспером по новой.Помогло только форматирование с последующей переустановкой. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.05.2010, 23:59 |
|
||
|
Замучал вирусяга куда копать дальше?
|
|||
|---|---|---|---|
|
#18+
Мне помогла утилита kk.exe Затем установка антивируса на все компьютеры, отключение службы Task Manager на всех компьютерах, ну и конечно установка всех обновлений через WSUS. Ну и еще в GroupPolici - автоматический запуск службы - Автоматическое обновление. Во время лечения на всех работающих компах висела эта утилита в режиме мониторинга: "kk.exe -m" ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.05.2010, 00:26 |
|
||
|
Замучал вирусяга куда копать дальше?
|
|||
|---|---|---|---|
|
#18+
v-eremeev, а если каспера настроить серьезно на максимальную защиту а на полный контроль админу? что-бы каспер показывал какие процессы чего требовать а администратор контролировал можно ли ему исполнятся или нет. Если касперский 6 тоже на ключиках, тогда почему бы вам не поставить касперского 2010? сам им пользуюсь. Еще нод могу порекомендовать, бывает нод ловит то что касперский не ловит. Еще можно попробовать и другими антивирусами, такие например как avast и др. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.05.2010, 00:29 |
|
||
|
Замучал вирусяга куда копать дальше?
|
|||
|---|---|---|---|
|
#18+
DocPCv-eremeev, а если каспера настроить серьезно на максимальную защиту а на полный контроль админу? что-бы каспер показывал какие процессы чего требовать а администратор контролировал можно ли ему исполнятся или нет. это можно настроить на своём компе, а не у юзера,т.к. в таком случае юзер будет постоянно прибегать со словами - ой, у меня там антивирус чего-то пищит автор Еще нод могу порекомендовать, бывает нод ловит то что касперский не ловит Была у нас ситуация - на одном компе стоял нод, и юзер свою почту пересылал другим сотрудникам за соседними столами, у которых был каспер. ИМХО - нод вообще ничего не ловил, т.к. у них в этой пересылаемой почте каспер находил то,что пропускал нод. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.05.2010, 08:25 |
|
||
|
Замучал вирусяга куда копать дальше?
|
|||
|---|---|---|---|
|
#18+
Anatoly Podgoretsky Одначначно, но только вирусов Pakes не одна сотня, а признали только для одной. В итоге у меня нет уверности насчет остальных вариантов. Ну так вы вроде как касперским и не пользуетесь, а используете антивирус, с которым есть уверенность насчет остальных вариантов. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.05.2010, 08:29 |
|
||
|
Замучал вирусяга куда копать дальше?
|
|||
|---|---|---|---|
|
#18+
v-eremeev Еще нод могу порекомендовать, бывает нод ловит то что касперский не ловит Была у нас ситуация - на одном компе стоял нод, и юзер свою почту пересылал другим сотрудникам за соседними столами, у которых был каспер. ИМХО - нод вообще ничего не ловил, т.к. у них в этой пересылаемой почте каспер находил то,что пропускал нод.[/quot] Это они меряются так ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.05.2010, 09:25 |
|
||
|
Замучал вирусяга куда копать дальше?
|
|||
|---|---|---|---|
|
#18+
v-eremeevНу так вы вроде как касперским и не пользуетесь, а используете антивирус, с которым есть уверенность насчет остальных вариантов. Гарантии нет, все антивирусы иногда делают ложные определения, но они отличаются количеством и последствиями. McAfee меня еще не подводил, даже с учетом последней коллизии, а тех кого коснулось ложное срабатывания практически не пострадали, в отличии от других антивирусов. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.05.2010, 09:27 |
|
||
|
Замучал вирусяга куда копать дальше?
|
|||
|---|---|---|---|
|
#18+
v-eremeevНу так вы вроде как касперским и не пользуетесь, а используете антивирус, с которым есть уверенность насчет остальных вариантов. Гарантии нет, все антивирусы иногда делают ложные определения, но они отличаются количеством и последствиями. McAfee меня еще не подводил, даже с учетом последней коллизии, а тех кого коснулось ложное срабатывания практически не пострадали, в отличии от других антивирусов. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.05.2010, 09:29 |
|
||
|
Замучал вирусяга куда копать дальше?
|
|||
|---|---|---|---|
|
#18+
Anatoly Podgoretsky McAfee меня еще не подводил Ну то же самое я заявляю обычно про Касперского автор даже с учетом последней коллизии, а тех кого коснулось ложное срабатывания практически не пострадали, в отличии от других антивирусов. А каков механиз постраданий ? Ну сидит к примеру юзер под ограниченной учеткой, и установлен каспер. Допустим он пытаеться открыть файл, содержащий ОЧЕНЬ СТРАШНЫЙ ВИРУС, который касперу не известен. если в этом вирусе нет механизма повышения прав до админа, то ему нет куда внедриться и прописаться в системе.Он просто продолжает оставаться в файле без последствий. Как что тут может пострадать, как тут бывают расписывают, что в результате происков антивируса повалилась система? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.05.2010, 11:51 |
|
||
|
Замучал вирусяга куда копать дальше?
|
|||
|---|---|---|---|
|
#18+
Как что тут может пострадать, как тут бывают расписывают, что в результате происков антивируса повалилась система? у антивируса привилегии SYSTEM, поэтому он вполне может завалить систему, удалив парочку системных файлов, если заподозрит в них вирус. Это относится к epic fail. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.05.2010, 12:10 |
|
||
|
Замучал вирусяга куда копать дальше?
|
|||
|---|---|---|---|
|
#18+
v-eremeevиспользуете антивирус, с которым есть уверенность я пользуюсь касперским. в нём не уверен, просто знаю как он работает, и он у меня есть потому что выполняет то что мне нужно. программа программой :) еще вариант построить мега киборга с искусственным интеллектом и подключить его к usb, тогда можно спать спокойно :)) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.05.2010, 15:23 |
|
||
|
Замучал вирусяга куда копать дальше?
|
|||
|---|---|---|---|
|
#18+
Кстати о касперском я перешел месяц назад на эту версию MP4 до этого стояла MP3, и блин этот MP4 стал нестого нисссего то удалит Explorer.exe? то удалит ntuser. Политика предприятия обязует использовать только его так что удивляет о меня все больше и больше. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.05.2010, 17:44 |
|
||
|
Замучал вирусяга куда копать дальше?
|
|||
|---|---|---|---|
|
#18+
domovoiКстати о касперском я перешел месяц назад на эту версию MP4 до этого стояла MP3, и блин этот MP4 стал нестого нисссего то удалит Explorer.exe? то удалит ntuser. Политика предприятия обязует использовать только его так что удивляет о меня все больше и больше. Ну так злобные Буратино. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.05.2010, 18:18 |
|
||
|
Замучал вирусяга куда копать дальше?
|
|||
|---|---|---|---|
|
#18+
domovoiКстати о касперском я перешел месяц назад на эту версию MP4 до этого стояла MP3, и блин этот MP4 стал нестого нисссего то удалит Explorer.exe? то удалит ntuser. Политика предприятия обязует использовать только его так что удивляет о меня все больше и больше. Ну так просто, требуй от политиков восстановления компьютера, раз они выбрали такой злобный антивирус. Уже сколько раз писали, что Касперский хороший антивирус, пока им не лечишь. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.05.2010, 18:20 |
|
||
|
|
start [/forum/topic.php?fid=26&msg=36628974&tid=1499853]: |
0ms |
get settings: |
8ms |
get forum list: |
16ms |
check forum access: |
3ms |
check topic access: |
3ms |
track hit: |
161ms |
get topic data: |
9ms |
get forum data: |
2ms |
get page messages: |
61ms |
get tp. blocked users: |
1ms |
| others: | 212ms |
| total: | 476ms |
| 0 / 0 |
