оlbaneс
25.05.2008, 14:24
вот наткнулся в сети. не похоже что баян.
самое главное выбрал.
новая модификация этого вируса, ха–ха, стала т.н. "руткитом".
Теперь сам файл образа вируса невозможно увидеть проводником, и речь не о аттрибуте "скрытый", речь о том, что теперь ntos.exe стал перехватчиком!
resistor, то что ты называешь ntos.exe — это троян–кухонный комбайн Zeus. имеет функционал:
а) таскать всё, что ты заполняешь в POST–формах броузеров
б) тащит с твоего компа все сертификаты (в том числе и от webmoney light)
в) превращает твою тачку в сокс–сервер ( через тебя будут лазать в инет злые хекеры)
г) позволяет вгружать на твой комп прочий вредоносный софт.
форматься или по крайней мере откатись на last restore point. ибо лечение сложно и не факт что поможет.
надеюсь ясно объяснил что ты подхватил
кстати, про вирусы -- мысль дельная.
Вот например новая модификация ntos.exe (ссылка на прошлогоднюю).
На одном компьютере появлялись ошибки "память не может быть "read" при запуске различных приложений под определённой учётной записью, в то время как под другими всё работало без проблем.
Стандартными средствами Windows файл вируса в каталоге %windir%\system32 не виден (и речь не о атрибуте "скрытый"), также не показывает его и Total commander 4 версии (другие не проверял, но какая-то сборка 6-го уже показывает).
Как процесс этот вирус тоже не виден и поэтому может показаться, что с системой всё в порядке.
Поэтому если не лень, можно воспользоваться парой process explorer и autoruns все от того-же Русиновича.
Банальные вирусы всплывают сразу, а с т.н. rootkit можно изрядно попариться.
Можно в process explorer включить lower pane и посмотреть, что прицепилось к системным процессам, в первую очередь к winlogon.exe, конечно.
Один раз именно таким скрупулезным методом я выловил какой-то "руткит", который запускал от имени SYSTEM процесс iexplore.exe, сами понимаете, не потехи ради. При принудительном завершении этого процесса, он разумеется стартовал заново.
Я обнаружил, что вместе с winlogon.exe, точнее им, запущен некий abc.dll, удаление которого при помощи movefile того же Русиновича решило проблему с тормозами системы и генерацией трафика.
Самое интересное в том, что последующий поиск фразы "abc.dll" в реестре и во всех файлах на диске не дал совпадений!
Вот...
Добавление от 25.04.2008 19:30:
Кстати, avz и cureit не справляются с новым ntos.exe, точнее в упор его не замечают, хотя с прошлогодней версией хладнокровно расправлялись.
Мне удалось победить ntos.exe вручную при помощи включения avz guard, запуска regedit как доверенного приложения, редактирования ключа и перезагрузки компьютера (без выключения avz guard).
После этого, разумеется, ntos.exe проводник Windows уже отобразил.
вот еще.
за последние 3 дня попались 2 тачки с этим ntos.exe, Trojan Remover спас ситуацию
Написал kunfuzi, 28.04.2008 в 08.07 | ответить что он написал? .
0 + —
Без прав админа эта херня живет в AppData пользователя. У нас стоит НОД32. Я–таки поражаюсь этому антивирусу. Он не видит сам Нтос, но видит CryptPE и еще какую–то херню, которую тот тащит к себе из интернета. То что тащит — блокирует, а самого нТоса — почему–то нет… Сам нТос, впрочем, легко удаляется руками в безопасном режиме. Вот откуда он берется, я никак понять не могу.
Еще появилась такая штука как usdeject.com Его не видят ни касперский с последними обновлениями, ни семантек, ни НОД. Вносит изменения в реестр, так что скрытые файлы не показываются. В корне дисков появляются скрытые файлы usdeject.com и autorun.inf (Total их видит) после удаления появляются снова. Источник — DLL amv0.dll в Windows\system32\. Единственный антивирус, который его находит — ClamAV. Удаляется руками в безопасном режиме.
Обе эти срани так корячат систему, что приходится переустанавливаться.
Написал Jeriho, 28.04.2008 в 12.25
какие мысли будут?
самое главное выбрал.
новая модификация этого вируса, ха–ха, стала т.н. "руткитом".
Теперь сам файл образа вируса невозможно увидеть проводником, и речь не о аттрибуте "скрытый", речь о том, что теперь ntos.exe стал перехватчиком!
resistor, то что ты называешь ntos.exe — это троян–кухонный комбайн Zeus. имеет функционал:
а) таскать всё, что ты заполняешь в POST–формах броузеров
б) тащит с твоего компа все сертификаты (в том числе и от webmoney light)
в) превращает твою тачку в сокс–сервер ( через тебя будут лазать в инет злые хекеры)
г) позволяет вгружать на твой комп прочий вредоносный софт.
форматься или по крайней мере откатись на last restore point. ибо лечение сложно и не факт что поможет.
надеюсь ясно объяснил что ты подхватил
кстати, про вирусы -- мысль дельная.
Вот например новая модификация ntos.exe (ссылка на прошлогоднюю).
На одном компьютере появлялись ошибки "память не может быть "read" при запуске различных приложений под определённой учётной записью, в то время как под другими всё работало без проблем.
Стандартными средствами Windows файл вируса в каталоге %windir%\system32 не виден (и речь не о атрибуте "скрытый"), также не показывает его и Total commander 4 версии (другие не проверял, но какая-то сборка 6-го уже показывает).
Как процесс этот вирус тоже не виден и поэтому может показаться, что с системой всё в порядке.
Поэтому если не лень, можно воспользоваться парой process explorer и autoruns все от того-же Русиновича.
Банальные вирусы всплывают сразу, а с т.н. rootkit можно изрядно попариться.
Можно в process explorer включить lower pane и посмотреть, что прицепилось к системным процессам, в первую очередь к winlogon.exe, конечно.
Один раз именно таким скрупулезным методом я выловил какой-то "руткит", который запускал от имени SYSTEM процесс iexplore.exe, сами понимаете, не потехи ради. При принудительном завершении этого процесса, он разумеется стартовал заново.
Я обнаружил, что вместе с winlogon.exe, точнее им, запущен некий abc.dll, удаление которого при помощи movefile того же Русиновича решило проблему с тормозами системы и генерацией трафика.
Самое интересное в том, что последующий поиск фразы "abc.dll" в реестре и во всех файлах на диске не дал совпадений!
Вот...
Добавление от 25.04.2008 19:30:
Кстати, avz и cureit не справляются с новым ntos.exe, точнее в упор его не замечают, хотя с прошлогодней версией хладнокровно расправлялись.
Мне удалось победить ntos.exe вручную при помощи включения avz guard, запуска regedit как доверенного приложения, редактирования ключа и перезагрузки компьютера (без выключения avz guard).
После этого, разумеется, ntos.exe проводник Windows уже отобразил.
вот еще.
за последние 3 дня попались 2 тачки с этим ntos.exe, Trojan Remover спас ситуацию
Написал kunfuzi, 28.04.2008 в 08.07 | ответить что он написал? .
0 + —
Без прав админа эта херня живет в AppData пользователя. У нас стоит НОД32. Я–таки поражаюсь этому антивирусу. Он не видит сам Нтос, но видит CryptPE и еще какую–то херню, которую тот тащит к себе из интернета. То что тащит — блокирует, а самого нТоса — почему–то нет… Сам нТос, впрочем, легко удаляется руками в безопасном режиме. Вот откуда он берется, я никак понять не могу.
Еще появилась такая штука как usdeject.com Его не видят ни касперский с последними обновлениями, ни семантек, ни НОД. Вносит изменения в реестр, так что скрытые файлы не показываются. В корне дисков появляются скрытые файлы usdeject.com и autorun.inf (Total их видит) после удаления появляются снова. Источник — DLL amv0.dll в Windows\system32\. Единственный антивирус, который его находит — ClamAV. Удаляется руками в безопасном режиме.
Обе эти срани так корячат систему, что приходится переустанавливаться.
Написал Jeriho, 28.04.2008 в 12.25
какие мысли будут?