win32MkarC

[veiK]

Здорова

Может и не нужно было создавать отдельную тему

Тогда просьба - обьеденить с http://www.softboard.ru/index.php?showtopic=11887 или другой подобной!

Вообщем подхватили одни заразу! Вслед за ними подхватил и я (на работе :) )

Вообщем нашел 2 заразы!

1 что связаное с Radminim ! Червь RaHACK ! Эта творюка разошлась по сетке так как пасс был легко узнаваем Точнее стандартным! Но удалось вначале запустить ЕХЕ файлы - каспера - вроде вылечил :)

2 Mkar C - штука вроде и не страшная! Так как дописывает в ЕХЕ хи что то , всего навсего!! Но эта гадина заразила все , (ну не то чтобы все! Но много) ЕХЕ! И вылечить КАСПЕР про

Инфopмaция o пpoгpaммe

` Ha вaшeм кoмпьютepe ycтaнoвлeн Aнтивиpyc Кacпepcкoгo Personal Pro

5.0.388. Иcпoльзyeмыe aнтивиpycныe бaзы были выпyщeны ceгoдня

(13.06.2006 7:26:37) и coдepжaт 188139 зaпиceй.

Не лечит а предлагает удалить! Но одно дело когда эта зараза висит в C:\WINDOWS\system32\spool или в D:\System Volume Information :)

А дуругое дело когда КРИМСОН ЛЕНД не работает :sm(100): :D

[Saule]

Пробуй лечить бесплатным сканером Dr.Web'а - CureIt!, он всегда лечил на порядок выше Каспера.

P.S. Конфликтов в системе не будет, так как это не резидентный антивирусный монитор.

[veiK]

Здорова

Saule:

Пробуй лечить бесплатным сканером Dr.Web'а - CureIt!, он всегда лечил на порядок выше Каспера

попробывать то попробую! А обновления он поддерживает ?! Так как бесплатный что то в нем не так !

Может есть какие то ФИКСЫ именно для этой заразы ?!

PS ссылка СКАЧАТЬ Dr.Web CureIt! не пашет!

Connection to server ftp.drweb.com failed (Connection actively refused by the server.)

PSS могу здеся выложить файлик зараженый! Вот ЗАРАЖЕНЫЙ файл! Можешь глянуть чем он лечится ?!

рабочая

http://http.drweb.ru/drweb/cureit/drweb-cureit.exe

virus.rar

virus.rar

Изменено 15 июня, 2006 пользователем veiK

[Saule]

А обновления он поддерживает ?! Так как бесплатный что то в нем не так !

Цитирую с сайта:

...всегда имеет в своем составе самые последние вирусные базы Dr.Web, но в нее не входит модуль автоматического обновления вирусных баз. Поставляемые с утилитой Dr.Web CureIt! обновления вирусных баз актуальны только до выхода нового дополнения (как правило, дополнения к вирусным базам Dr.Web выпускаются дважды в час). Для того, чтобы просканировать компьютер утилитой Dr.Web CureIt! в следующий раз с самыми последними обновлениями вирусных баз, необходимо снова скачать Dr.Web CureIt!...

Вот ЗАРАЖЕНЫЙ файл! Можешь глянуть чем он лечится ?!

Dr.Web:

Контрольная проверка файла другими антивирусами после лечения Веба:

[Alex]

Скачал этот вирус (решил проверить свой антивирусник Norton 2005). Вирус он нашёл а удалить не может. Засел вирус в кеше браузера мозила. В ручную легко удалился. Saule: Почему антивирусник не смог удалить его?

[Saule]

Скачал этот вирус (решил проверить свой антивирусник Norton 2005). Вирус он нашёл а удалить не может. Засел вирус в кеше браузера мозила. В ручную легко удалился. Saule: Почему антивирусник не смог удалить его?

Скорей всего потому что вирус находился в архивном файле (.rar)

То есть если бы ты его оттуда достал - всё было бы в порядке :)

[veiK]

Здорова

Вообщем действительно Др.Веб вылечил этот МРАК

И к тому же понаходил у меня еще кучу зверей

Trojan.Swizzor

Trojan.Isbar.281

Trojan.DownLoader.1073

Trojan.ErrorPage

BackDoor.Motiv.12

Прям инкубатор какой то

Только вот почему исцелить их не смог Некоторые поудалял! А некоторые в КАРАНТИН! Хорошо хоть при запуске указывает где карантин лежит :) Почему же КАСПЕР так не делает !? И еще денег хочет! Вообще обнаглел!

Жаль что раньше этой проги не было ! Так как много ЕХЕ шников поудалял КАСПЕР! (На других машинах стоят НАВ 2006 и он тоже НЕ ЛЕЧИТ а тоже УДАЛЯЛ!)

PS Выкладываю КАРАНТИН! Там зараженые!

DoctorWeb.rar

DoctorWeb.rar

[Alex]

Saule: Всё гениальное просто. Спасибки

[Saule]

Вообщем действительно Др.Веб вылечил этот МРАК :)

И к тому же понаходил у меня еще кучу зверей

Trojan.Swizzor

Trojan.Isbar.281

Trojan.DownLoader.1073

Trojan.ErrorPage

BackDoor.Motiv.12

Прям инкубатор какой то

Только вот почему исцелить их не смог :) Некоторые поудалял! А некоторые в КАРАНТИН! Хорошо хоть при запуске указывает где карантин лежит

В троянах обычно исцелять нечего, так как они в основном представляют собой полностью посторонние файлы, а не зараженные файлы твоей системы. Поэтому в данном случае удаление - это совершенно нормально.

Почему же КАСПЕР так не делает !? И еще денег хочет! :) Вообще обнаглел!

Жаль что раньше этой проги не было ! Так как много ЕХЕ шников поудалял КАСПЕР! (На других машинах стоят НАВ 2006 и он тоже НЕ ЛЕЧИТ а тоже УДАЛЯЛ!)

Потому что в лечение Dr.Web одназначно лучший Никогда не халявит.

У других антивирусов уклон какбы немного в другую сторону.

[Delphi]

У меня тоже был тако вирус на компе было заражено окло 600 файлов ну я их начал удалять а потом винду переставил и помогло если вирусы не лечатся советую такую комбинацию если файлов не жалко

если два и более дисков

Очищаем диск на котором нету операционки потом проводим полное скинорование этого диск новой базой и переставляем операционку с полным форматированием раздела( или можно весь диск форматнуть :) )

если один диск переставить операционку с форматированием диска

[Saule]

У меня тоже был тако вирус на компе было заражено окло 600 файлов ну я их начал удалять а потом винду переставил и помогло если вирусы не лечатся советую такую комбинацию если файлов не жалко

если два и более дисков

Очищаем диск на котором нету операционки потом проводим полное скинорование этого диск новой базой и переставляем операционку с полным форматированием раздела( или можно весь диск форматнуть )

если один диск переставить операционку с форматированием диска

А зачем переустанавливать систему, если всё и так прекрасно лечится?

P.S. И совсем на худой конец, если у кого-либо будут проблемы с зараженными системными файлами, и лечению они поддаваться не будут никак, а переустановки системы вы сделать не можете, то пришлите штучки 3 таких файла, как образец, мне на мейл (saule [at] sp0raw.ru), обьяснив ситуацию. И я постараюсь помочь ;)

Изменено 23 февраля, 2007 пользователем Saule

[Delphi]

Если заражены системные файлы (а у меня они были заражены и без них ком не работает) и если неохота возится то лутче переустановить

[Saule]

Если заражены системные файлы (а у меня они были заражены и без них ком не работает) и если неохота возится то лутче переустановить

Да, не работает, в том случае, если их удалить. Если же они просто заражены - то работает, иначе бы вирусу не было смысла их вообще заражать, он ведь тоже жить хочет :)

А что касается переустановки - то может быть ты и прав. Только вот не у всех и далеко не всегда, к сожалению, есть такая возможность. Плюс мне лично всё-таки кажется, что переустановка требует намного больше возни, чем лечение антивирусом :( Тогда уж лучше восстанавлиывать систему из предварительно сделанного образа. Вот это точно быстрее.

[veiK]

Здорова

Вообщем все вроде проще простого! НО не тут то было!

Столкнулся я с такой фигней как Mkar Mrak Marak и еще их разновидности! Все и не упомнишь.

Вот что я перепробывал! Мне нужно вылечить а не удалить! Так как машина не моя а клиента! И там полетели практически ВСЕ *. ехе файлы

Рассказываю что делал.

1 NORTON Antivirus эта чудо прога начала раздражать посте 2 часов. Постоянно выскакивает окно. Не лечит а удаляет!

2 КАСПЕР тоже только удаляет.

3 Dr WEB (Cuite ) тоже брешет! Он типа его лечит (пишет исцелен) а потом опеть эта гадина подымается из пепла и начинает чудеса творить.

Другово пока я ничего не делал!

Вообщем то что говорит клиент! У него есть комп. клуб на 10 компов (+- 10 ) не важно вообщем! Так вот когда этот (зараженный комп в сети) Начинается сетка вешатся! По сети начинают бегать пакеты в огром количестве и на тех машинах которые имеют выход в инет начинают бросать пакеты во вне. Эта штука заражает все ЕХЕ файлы и постоянно WEB находит в C:\WINDOWS\system32\drivers здесь вроде!

1 Как узнать что эта зараза сделала ?!

2 Как побороть эту заразу?

3 Как выявить и устранить все что она сделала ?!

i

Уведомление:

Темы соединил.

Shurr.

[veiK]

Здорова

Вообщем полазил по инету!

Толкового ниче не нашел

Для хранения своих переменных использует ключ реестра:

[sOFTWARE\Microsoft\Mrak]

Может добавлять себя в автозагрузку системы, создавая ключ:

[sOFTWARE\Microsoft\Windows\CurrentVersion\Run\NetStart]

Во всем аналогичен Virus.Win32.Mkar.a, за исключением того, что для хранения некоторых своих переменных использует другой ключ реестра:

[sOFTWARE\Microsoft\DrWatson]

Также создает в системе сервис с именем NetLogSrv.

Внутри себя содержит строку:

uY0ze7R

Кроме http://virusinfo.info/showthread.php?t=3124

Так вот ! Где можно надыбать MrakKiller v1.01 и вправду ли она лечит от этой заразы ?! Ибо на КАСПЕР ЛАБ тоже говорят что последние обновление все лечут но ниче подобного.

[veiK]

Здорова

WEB то написал что ИСЦЕЛЕН но на самом деле он ОБМАНЩИК :(

Вообщем работал комп работал а потом БАЦ и сеть во всем компьютерном клубе пропала!

Когда они отключают этот комп от сети , то все появляется!

Сеть у них просто рабочая группа! Без всяких там DOMEN !

Приехал я туда позапускал все что у меня было с собой !

А было у меня с собой

avz4

drweb-cureit

hijackthis

Avast

aawsepersonal

ЛОГИ выкладываю! Не последней свежести конечно! Но после такого сканирования ВСЕ началось опять :( Я уже не знаю что делать !

LOGI_TXT.rar

LOGI_TXT.rar

[Saule]

Где можно надыбать MrakKiller v1.01 и вправду ли она лечит от этой заразы ?! Ибо на КАСПЕР ЛАБ тоже говорят что последние обновление все лечут но ниче подобного.

В твоём случае суть немного не в том, чем именно удалять вирусный код из твоих файлов (Dr.Web и MrakKiller будут лечить одинаково). Ты не можешь избавиться от Mrak из-за того, что где-то чего-то просто не замечаешь, и через какое-то время он снова инфицирует всю систему.

Крайне важно убить (т.е. вылечить или удалить, если лечение невозможно) все до единого зараженные файлы, чтобы в последствии предотвратить повторное заражение. Если хоть один из них всё-таки где-то останется и когда-нибудь кем-то будет запущен - всё начнется сначала.

Речь может идти не только о том, что находится на этом конкретном компьютере. Помимо него, наверняка, существуют переносные носители информации (CD-R, CD-RW-диски, USB-Flash и т.п.), другие компьютеры, подключенные по сети и т.д.

Постараюсь дать более полную картину, как заражения, так и удаления большинства вирусов, которые для своего распространения используют внедрение в исполняемые файлы системы (не смотря на их вариации и некоторые отличия, сама схема удаления остается примерно такой же).

В таких случаях инсталляция вируса обычно случается во время запуска зараженного файла. Разумеется, пользователь при этом и не подозревает о том, что запускаемый файл может быть заражен. Т.к. это вполне может быть нужная ему прога, которой он уже ни раз пользовался (напр., с USB-флешки, побывавшей недавно на каком-либо зараженном компьютере, в результате чего вирус "незаметно" успел заразить находящиеся на ней файлы); или дистрибутив, полученный от хороших знакомых, которые просто не знали о заражении; или CD-диски с софтом, записанные когда-то на зараженном компьютере (о заражении которого на тот момент также не знали)...

В общем, вариантов может быть много, но в ситуациях, когда через какое-то время происходит повторное заражение (тем же вирусом на той же системе) - это может играть достаточно важную роль (поэтому для того, чтобы предотвратить это, в первую очередь постарайтесь подумать о том, каким именно образом зараженный файл мог оказаться на вашей системе).

Плюс еще большую роль тут играет то, что, к сожалению, далеко не все устанавливают антивирусные программы, из-за чего момент попадания вируса на систему никак не фиксируется и не предупреждается. Т.е., если бы в момент запуска инфицированной программы, антивирусный монитор был бы включен, вирус просто-напросто не успел бы ничего заразить..

Дальше.

После инсталляции вирус начинает поиск и заражение подходящих ему по определенным параметрам файлов. Под заражением подразумевается всего-навсего процедура, когда вирус копирует (добавляет) свой код в обнаруженные программные файлы. Если это происходит корректно, то программы без проблем и каких-либо видимых изменений продолжают работать, ничем не выдавая присутствие в системе инфекции.

Обычно поиск и выявление подходящих файлов начинается с каталога, на котором установлена Windows. Когда все соответствующие файлы в системных папках будут заражены, вирус переходит к следующим подкаталогам.. Таким образом постепенно сканируются все логические диски компьютера, внешние съемные носители информации (USB-флешки, CardReaders и т.п.) и доступные сетевые диски при локальном соединении с другими компьютерами.. До тех пор, пока что-нибудь пойдет не так, либо пользователь не вспомнит об антивирусе..

Лечение.

Полное сканирование всех дисков, при чем желательно проводить его в безопасном режиме.

Все зараженные файлы должны быть вылечены, неизлечимые - удалены. Учти, что если хоть один из них выживет - через некоторое время всё начнется сначала.

Еще более лучший способ - временный перенес жёсткого диска и его подключение, как второстепенного, на другой незараженный(!) компьютер, с последующим сканированием всех находящихся на нем файлов. Это предпочтительнее из-за того, что в активной системе в процессе лечения вирус поточно может опять заражать уже исцеленные файлы. Поэтому сканирование на всякий случай нужно обязательно повторить (и если снова что-либо будет найдено - повторять до тех пор, пока система не будет полностью чистой).

Также крайне желательно перед подключением компьютера к вашей сети, проверить и остальные машины, так как твой вирус может заражать файлы и через сетевые ресурсы (в этом случае от него будет невозможно избавиться до тех пор, пока по отдельности не будут вылечены все компьютеры без исключения).

А что касается твоей фразы о вебе-обманщике, то объясню: в том, что вирус вернулся, виноват не он, а пользователь компьютера. Веб не может в последующем контролировать ситуацию, так как не охраняет комп резидентно, а запускается лишь по твоему требованию. Но на тот момент, на который его запускают, он лечит зараженные файлы корректно (т.е. удаляет код вируса из программного файла). Настолько, насколько это возможно. MrakKiller в этом плане лучше такую процедуру не выполнит и от повторного заражения, пока не будет устранена сама причина, также никак не спасет.

Плюс есть еще один вариант - полное удаление всего зараженного (это тебе может предложить уже любой из АВ). Правда, если ты так и не понял сути того, что было написано выше, боюсь, что и в случае удаления - повторного заражения будет не избежать (но это опять-таки произойдет не по причине того, что антивирус что-то не смог правильно удалить. Фактически это будет уже другим заражением, с которым снова придется бороться).