IPB

Здравствуйте, гость ( Вход | Регистрация )

 
ОтветитьСоздать новую тему
> Win32/autorun.e и прочие угрозы съёмных носителей
Serega
сообщение 4.3.2008, 18:15
Сообщение #1


tourist


Группа: Teremki@LAN
Сообщений: 1718
Регистрация: 13.2.2004
Из: Теремки
Пользователь №: 3



На сегодняшние дни черви и трояны переносимые флеш-картами телефонов, USB-брелков и жёстких дисков, приобрели небывалый размах. Положение усугубляется тем, что многие из этих вирусов никак не распознаются антивирусными программами, и потому об их активности можно узнать лишь косвенно - по их действиям.
Я нашёл немного информации про самых активных вредителей, надеюсь она многим пригодится.
-------------------------------------------------------------------------------
Trojan-PSW.Win32.OnLineGames.mze

Алиасы
P acker.Malware.NSAnti.J (BitDefender)
VirTool:Win32/Obfuscator!Mal (Microsoft)
Troj/Lineag-Gen (Sophos)
Infostealer.Gampass (Symantec)
MulDrop.6474 (Dr.Web)

!!!! пробывал Авастом.. он не видет этот вирус, база обновлена 04.03.08

Файлы на диске
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll

Способ запуска
Ключ реестра HKEY_CURRENT_USER
Software\Microsoft\Windows\CurrentVersion\Run, amva

Внешние проявления (со слов пользователей)
Cкрытые файлы не показывает и диски при двойном клике открываются в новом окне.
-------------------------------------------------------------------------------------

Trojan.Win32.Patched.bh

Алиасы
-

Файлы на диске
Модифицированный (патченный) системный файл
C:\WINDOWS\system32\svchost.exe
Этот файл нельзя удалять!!!
Его нужно заменить на чистый. Или вылечить антивирусом Касперского.

Способ запуска
Запускается как системный файл, но в отличии от оригинального загружает библиотеку MSCORE.DLL в которой находится троян ( например Trojan.Win32.Small.yd )

Внешние проявления (со слов пользователей)
Исходящий траффик в два раза больше входящего.

-----------------------------------------------------------------------------------------------------

Trojan-Downloader.W in32.Agent.ggt

Алиасы
Generic9.AGXO (AVG)
Trojan.Kobcka.BY (BitDefender)
Trojan.Downloader-18735 (ClamAV)
BackDoor.Bulknet.112 (DrWeb)
Win32.Agent.ggt (eSafe)
Downloader.Agent.ggt (Ewido)
W32/Pushu.GGT!tr.dldr (Fortinet)
Generic.dx (McAfee)
VirTool:WinNT/Cutwail.F (Microsoft)
Win32/Wigon.AH (NOD32v2)
RootKit.Win32.Mnless.et (Rising)
Trojan-Downloader.Win32.Agent.gh (Sunbelt)
Trojan.Pandex (Symantec)
Trojan/Downloader.Agent.ggt (TheHacker)
Trojan.Wigon.C (VirusBuster)

Файлы на диске
Имя файла случайное, состоит из трех букв и двух цифр. Например:
C:\WINDOWS\system32\drivers\Taf40.sys
C:\WINDOWS\System32\drivers\Cyb60.sys
размер 21760 байт.

Способ запуска
Драйвер: Cyb60 C:\WINDOWS\System32\Drivers\Cyb60.sys Группа: SCSI Class
(имя драйвера = имя файла)

Внешние проявления
Файл с соответствующем именем с списках "Модули пространства ядра" и
Драйверы.

Trojan-Downloader.Win32.Dirat.aw

Алиасы
Infostealer.Gampass (Symantec)
Mal/Basine-C (Sophos)
Trj/ProxyServer.AS (Panda)
Trojan.Downloader-20037 (ClamAV)
Trojan.MulDrop.8347 (DrWeb)
Trojan.Proxy.Metro.D (BitDefender)
TrojanDownloader.Dirat.aw (CAT-QuickHeal)
W32/Basine.AW!tr.dldr (Fortinet)
W32/Downldr2.AUYI (F-Prot)

Файлы на диске
c:\windows\system32\vhosts.exe
19968 байт
MD5=5C1321793E369D890695FECED14B1AAC
использует трояна в файле MSCORE.DLL

Способ запуска
Служба msupdate "Microsoft security update service" c:\windows\system32\vhosts.exe
-----------------------------------------------

Backdoor.Win32.Small.cbo

Алиасы
BackDoor.Generic9.JSD (AVG)
Backdoor.Small.cbo (CAT-QuickHeal)
Generic.dx (McAfee)
Trojan.Perfcoo (Symantec)
Trojan.Proxy.1739 (DrWeb)
TrojanDownloader:Win32/Eldycow.gen!A (Microsoft)
W32/Backdoor2.DZB (F-Prot)

Файлы на диске
C:\WINDOWS\murka.dat
MD5=677C2CE46988695A7605B430DA399A38
6144 байт

Способ запуска
C:\WINDOWS\murka.dat
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs
----------------------------------------------------

Hoax.Win32.Renos.aom

Идет в комплекте с Trojan.Win32.Agent.dqz и Backdoor.Win32.Small.cbo

Алиасы
Aplicacion/Renos.aom (TheHacker)
Generic9.AJYI (AVG)
Hoax.Renos.aom (Not a Virus) (CAT-QuickHeal)
TR/Renos.4608.2 (AntiVir)
Trojan:Win32/Wantvi.B (Microsoft)
Win32/Eldycow.N (eTrust-Vet)
Win32/TrojanDownloader.FakeAlert.U (NOD32v2)

Файлы на диске
exe файл в папке Windows, возможны различные имена.
c:\windows\medichi.exe
C:\WINDOWS\mustafx.exe
4608 байт

Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE,
Software\Microsoft\Windows\CurrentVersion\Run, Medichi (имя может быть другим)
В автозапуск также прописан файл с таким же именем + цифра 2 на конце.

Внешние проявления (со слов пользователей)
Предложение об установке spyware и появляется строка о копировании чего-то куда то .. Меняется время само по себе.
----------------------------------------------

Trojan-Spy.Win32.Banker.hbo

Алиасы
Logger.Banker.hbo (Ewido)
PSW.Banker4.NBL (AVG)
TR/Spy.Banker.hbo (AntiVir)
Trojan-Spy.Banker.hbo (Sunbelt)
Trojan.Banker.Delf.YBG (BitDefender)
Trojan.PWS.Banker.14622 (DrWeb)
Trojan/Spy.Banker.hbo (TheHacker)
TrojanSpy.Banker.hbo (CAT-QuickHeal)
W32/Banker.BCCW (F-Prot)
W32/Banker.HBO!tr.spy (Fortinet)
Win32.Banker.hbo (eSafe)

Файлы на диске
C:\WINDOWS\explorer.exe:submitter5.jpg
MD5=16DC64AD2DB4473405AA0631A72020D1
280064 байт
Это альтернативный поток системного файла. Не удаляйте C:\WINDOWS\explorer.exe !!!

Способ запуска
?
Функционирует как модуль процесса c:\windows\explorer.exe

Внешние проявления (со слов пользователей)
Explorer.exe в процессах кушает 99% системных ресурсов, помогает только его закрытие и повторный запуск.

При сканировании диска AVZ обнаруживает:
c:\windows\explorer.exe:submitter5.jpg:$DATA >>> Опасно - исполняемый файл в потоке NTFS - возможно, маскировка исполняемого файла
----------------------------------------------
AdWare.Win32.Agent.zo

Алиасы
ADSPY/Sert.A (AntiVir)
Adware Generic2.ZOB (AVG)
AdWare.Agent.zo (Not a Virus) (CAT-QuickHeal)
Trojan.Click.5043 (DrWeb)
Win32/TrojanDownloader.Small.NZG (NOD32v2)

Файлы на диске
c:\windows\system32\users32.dat
16384 байт

Способ запуска
Способ запуска не определен.
users32.dat функционирует как модуль одного из запущенных пользовательских процессов.
Устанавливается в составе многочисленных вредоносных программ.
------------------------------------------------------

Rootkit.Win32.Agent.sv

Алиасы
BackDoor.Generic9.LBM (AVG)
Generic.Zlob.96765D0B (BitDefender)
Rkit/Agent.SV (AntiVir)
Rootkit.Agent.sv (CAT-QuickHeal)
Trojan:Win32/Wantvi.D (Microsoft)
Trojan.Virantix.B (Symantec)
Trojan/Agent.sv (TheHacker)
W32/Agent.SV!tr.rkit (Fortinet)

Описание
http://www.symantec.com/security_response/...-99&tabid=2 (англ.)
Как уже отметил Зайцев Олег в предыдущем сообщении это один из нескольких файлов, устанавливаемых трояном дропером.
Пользователям, у которых антивирус нашел Rootkit.Win32.Agent.sv следует обратится в раздел Помогите, так как, этот файл идет в комплекте с несколькими вредоносными программами и, возможно, не все из них детектируются вашим антивирусом.

Файлы на диске
C:\WINDOWS\System32\Drivers\Beep.SYS
61440 байт.
MD5=CD7336CD26222FF6D1C7872DA7A43173

Способ запуска
Подменяет собой системный драйвер с таким же именем и запускается вместо него.
------------------------------------------------------

Rootkit.Win32.Agent.jp

Алиасы
BackDoor.Generic8.TNU (AVG)
Rootkit.Agent.jp (Ewido)
Rootkit/Spammer.AEL (Panda)
Spy-Agent.bv.sys (McAfee)
TR/Rootkit.Gen (AntiVir)
Troj/RKRun-Gen (Sophos)
Trojan:WinNT/Cutwail.A!sys (Microsoft)
Trojan.Kobcka.AY (BitDefender)
Trojan.NtRootKit.422 (DrWeb)
Trojan.Pandex (Symantec)
Trojan.Rootkit-235 (ClamAV)
Virus.Win32.Small.EPJ (Ikarus)
W32/Agent.DPE!tr.rkit (Fortinet)
W32/Rootkit.AFW (F-Prot)
Win32:Small-EPJ (Avast)
Win32/Rootkit.Agent.EY (NOD32v2)

Файлы на диске
C:\WINDOWS\system32\drivers\runtime2.sys

Способ запуска
Служба runtime2

Внешние проявления
В списке "Модули пространства ядра" присутствует файл
C:\WINDOWS\system32\drivers\runtime2.sys
Перехватывает функции:
NtDeleteValueKey
NtEnumerateKey
NtEnumerateValueKey
NtOpenKey
NtSetValueKey

На компьютере в папке C:\WINDOWS\Temp присутствует вредоносный файл startdrv.exe (Trojan.Win32.Pakes.bqb).
--------------------------------------------

Trojan-Spy.Win32.Broker.ap

Алиасы
PSW.Generic5.AFBZ (AVG)
TR/Spy.Broker.ap (AntiVir)
Trj/Sinowal.HM (Panda)
Trojan.Proxy.2486 (DrWeb)
Trojan.Spy.Brokrypt.A (BitDefender)
Trojan.Zbot-159 (ClamAV)
Trojan/Spy.Broker.ao (TheHacker)
W32/Trojan2.TRP (F-Prot)
Win32:PolyCrypt-AJL (Avast)

Файлы на диске
C:\WINDOWS\System32\ntos.exe

Способ запуска
Ключи реестра
HKEY_USERS
.DEFAULT\Software\Microsoft\Windows\CurrentVersion \Run, userinit
HKEY_LOCAL_MACHINE
Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit
----------------------------------------------

AdWare.Win32.Agent.yz

Алиасы
ADSPY/Agent.YZ (AntiVir)
Adware Generic2.ZJH (AVG)
AdWare.Agent.yz (Not a Virus) (CAT-QuickHeal)
AdWare.Win32.Agent.y (eSafe)
Adware/Agent.yz (TheHacker)
Mal/Behav-119 (Sophos)
Trojan.Agent.AGHG (BitDefender)
Trojan.DownLoader.38353 (DrWeb)
W32/Heuristic-KPP!Eldorado (F-Prot)
Win32:Agent-PCI (Avast)

Описания
Загружает и запускает вредоносные программы, расположенные на веб-сайте.
Для обхода файрвола внедряет свой код в процессы такие как Internet Explorer.

Файлы на диске
C:\WINDOWS\windsk.dll
15872 байт

Способ запуска
Запускается другой вредоносной программой, предположительно Rootkit.Win32.Agent.sv
Работает как модуль процессов explorer.exe и iexplore.exe
---------------------------------------------------
Rootkit.Win32.Agent.ql

Алиасы
Rootkit.Agent.ql (CAT-QuickHeal)
Rootkit.Win32.Agent.tw (F-Secure)
Trojan.NtRootKit.511 (DrWeb)
Trojan.Rootkit.Agent.NDW (BitDefender)
W32/Rootkit.AHL (F-Prot)

Файлы на диске
У файла случайное имя из букв, расширение dat, находится в папке C:\WINDOWS\system32\Drivers
Например:
C:\WINDOWS\system32\Drivers\ovtgjscc.dat
C:\WINDOWS\system32\Drivers\uucxtlmr.dat
19456 байт

Способ запуска
Драйвер со случайным именем, отличным от имени файла.
Группа: Boot Bus Extender
Работает как модуль пространства ядра.

Внешние проявления
AVZ в логе лечения выдает сообщение:
>>>> Подозрение на RootKit glvkqfgf C:\WINDOWS\system32\drivers\uucxtlmr.dat
----------------------------------------------------

Trojan-Downloader.Win32.Agent.hbs

Алиасы
Downloader.Agent.hbs (Ewido)
Downloader.Agent.ZQF (AVG)
TR/Dldr.Agent.hbs.8 (AntiVir)
Trojan.DownLoader.39204 (DrWeb)
Trojan.Downloader.Agent.YZD (BitDefender)
Trojan/Downloader.Agent.hbs (TheHacker)
TrojanDownloader.Agent.hbs (CAT-QuickHeal)
VirTool:WinNT/Cutwail.F (Microsoft)
Win32/Wigon.AJ (NOD32v2)

Файлы на диске
Имя файла случайное, состоит из трех букв и двух цифр. Например:
C:\WINDOWS\System32\Drivers\Tbi07.sys
C:\WINDOWS\system32\Drivers\Hnr04.sys
размер 24832 байт.

Способ запуска
Драйвер: Tbi07 C:\WINDOWS\System32\Drivers\Tbi07.sys Группа: SCSI Class
(имя драйвера = имя файла)

Внешние проявления
Файл с соответствующем именем с списках "Модули пространства ядра" и
Драйверы.
-----------------------------------

Trojan.Win32.Agent.dur

Алиасы
BehavesLike:Win32.ExplorerHijack (BitDefender)
Covert.Code (Prevx1)
Mal/Behav-150 (Sophos)
SHeur.ALGN (AVG)
Trj/Agent.HQV (Panda)
Trojan.Agent.dur (CAT-QuickHeal)
W32/Smalltroj.BVJU (Norman)
Win-Trojan/Agent.25600.CY (AhnLab-V3)

Файлы на диске
c:\windows\system32\svchost.exe:ext.exe:$DATA
Это альтернативный поток системного файла. Не удаляйте C:\WINDOWS\system32\svchost.exe !!!
25600 байт

Способ запуска
Служба FCI C:\WINDOWS\system32\svchost.exe:ext.exe

Внешние проявления
При сканировании диска AVZ выдает в лог сообщение:
c:\windows\system32\svchost.exe:ext.exe:$DATA >>> Опасно - исполняемый файл в потоке NTFS - возможно, маскировка исполняемого файла
-------------------------------------------

Trojan-Downloader.Win32.Bensorty.fu

Алиасы
Downloader.Generic6.ADBR (AVG)
TR/Dldr.Bensorty.FU.1 (AntiVir)
Trojan.DL.Small.uei (Rising)
Trojan.DownLoader.38509 (DrWeb)
Trojan/Downloader.Bensorty.fu (TheHacker)
Win32/TrojanDownloader.Small.NTQ (NOD32v2)

Файлы на диске
C:\WINDOWS\system32\hg543fdg.dll
MD5=19AC498EDA5FEF62437072CABD1540C2
10000 байт

Способ запуска
O2 - BHO: C:\WINNT\system32\hg543fdg.dll - {B2AC49A2-94F3-42BD-F434-2604812C897D} - C:\WINNT\system32\hg543fdg.dll

Внешние проявления
Отсутсвует в логе AVZ, хотя в базе безопасных не значится.
----------------------------------------

AdWare.Win32.Virtumonde.dnl

Алиасы
AdWare.Virtumonde.djl (Not a Virus) (CAT-QuickHeal)
Adware.Vundo.V.Gen (VirusBuster)
Adware/Virtumonde.bio (TheHacker)
Lop (AVG)
TR/Vundo.dvc.5 (AntiVir)
Troj/Virtum-Gen (Sophos)
Trojan:Win32/Vundo.gen!A (Microsoft)
Trojan.Juan.29 (DrWeb)
Trojan.Win32.Undef.bff (Rising)
W32/Virtumonde.G.gen!Eldorado (F-Prot)

Файлы на диске
Файлы dll со случайными именами в папке C:\WINDOWS\system32

Способ запуска
Модуль расширения Internet Explorer BHO
CLSID случайный

Признаки
Модуль dll с подозрительным именем у безопасных процессов таких как:
c:\windows\explorer.exe
c:\windows\system32\lsass.exe
+ соответствующий модуль расширения Internet Explorer BHO
----------------------------------------------

Trojan-Proxy.Win32.Wopla.at

Алиасы
Proxy.XKA (AVG)
Rkit/Agent.EZ (AntiVir)
Trojan Horse (Symantec)
Trojan.Proxy.Wopla.AO (BitDefender)
TrojanProxy.Wopla.at (CAT-QuickHeal)
Win32:Agent-JBL (Avast)
Win32/TrojanProxy.Wopla.AT (NOD32v2)

Файлы на диске
C:\WINDOWS\system32\Drivers\ndisaluo.sys
C:\WINDOWS\system32\Drivers\ntio922.sys
C:\NETHLPR.EXE

Способ запуска
?

Признаки
В пункте 1.3 лога AVZ сообщения:
>>>> Подозрение на RootKit ndisaluo C:\WINDOWS\system32\Drivers\ndisaluo.sys
>>>> Подозрение на RootKit ntio922 C:\WINDOWS\system32\Drivers\ntio922.sys
------------------------------------------

Virus.Win32.Xorer.dr

Алиасы
Generic9.APEN (AVG)
TR/Fujacks.A.1 (AntiVir)
Trojan.Rox (DrWeb)
Virus:Win32/Xorer.A (Microsoft)
W32.Pagipef.I!inf (Symantec)
W32/Fujacks (McAfee)
W32/Smalltroj.CFJY (Norman)
Win32:Agent-PPS (Avast)

Краткое описание
При запуске создает несколько своих копий, прописывает себя в автозапуск.
Записывает на диск несколько вредоносных файлов, таких как:
Virus.Win32.Xorer.dd
Virus.Win32.Xorer.df
Virus.Win32.Xorer.dp
Копирует себя на съемные диски, прописывая в автозапуск через файл AUTORUN.INF
Судя по наличию в его файле строк с названиями антивирусов, Virus.Win32.Xorer.dr пытается активно противодействовать им.

Файлы на диске
c:\pagefile.pif
C:\NetApi00.sys
C:37589.log
C:\AUTORUN.INF
C:\lsass.exe.48247687.exe
C:\WINDOWS\system32\com\smss.exe
C:\WINDOW S\system32\com\netcfg.000
C:\WINDOWS\system32\com\netcfg.dll
C:\WINDOWS\system32\com\lsass.exe
C:\WINDOWS\system32\dnsq.dll
Некоторые имена случайны.

Способ запуска
1. Прописывает запуск через файл AUTORUN.INF в корне основного и съемных дисков.
2. Записывает свои копии в меню автозапуска:
...\Главное меню\Программы\Автозагрузка\~.exe.49425375.exe
3. O20 - AppInit_DLLs: C:\WINDOWS\system32\dnsq.dll

Email-Worm.Win32.Agent.l Алиасы
BackDoor.Generic_c.AEW (AVG)
Generic.dx (McAfee)
I-Worm.Agent.l (CAT-QuickHeal)
TR/Pandex.L.2 (AntiVir)
Trj/Spammer.ADX (Panda)
Troj/Agent-GDR (Sophos)
Trojan.NtRootKit.360 (DrWeb)
Trojan.Pandex.L (BitDefender)
VirTool:WinNT/Cutwail.D (Microsoft)
W32/Agent.L@mm (Fortinet)
W32/Smallworm.AEH (Norman)
W32/Trojan.BXQV (F-Prot)
Win32:Agent-LNK (Avast)
Win32.Agent.l (eSafe)
Win32/Agent.NBT (NOD32v2)
Win32/Agent.worm.114480 (AhnLab-V3)
Win32/Cutspeer.A (eTrust-Vet)
Worm.Agent.l (Ewido)
Worm.Mail.Win32.Agent.mc (Rising)

Примечание
Появился почти полгода назад. Его знают все антивирусы, но он все еще попадается в диком виде!
Возможна связь с Trojan-Downloader.Win32.Agent.ggt

Файлы на диске
C:\WINDOWS\system32\DRIVERS\smtpdrv.sys
18176 байт
MD5=5A5A869F4343A5C4057DA597FFFA3482

Способ запуска
Драйвер smtpdrv C:\WINDOWS\system32\DRIVERS\smtpdrv.sys
Группа: Streams Drivers
-----------------------------------------------

Trojan.Win32.Obfuscated.mp

Алиасы
Generic.Zlob.80ABF7BE (BitDefender)
Generic9.AJXX (AVG)
TR/Obfuscated.MP (AntiVir)
Trojan-Downloader.Zlob.Media-Codec (Sunbelt)
Trojan:Win32/Wantvi.D (Microsoft)
Trojan.NtRootKit.612 (DrWeb)
Trojan.Obfuscated.mp (CAT-QuickHeal)
Trojan.Virantix.B (Symantec)
Trojan/Obfuscated.mp (TheHacker)
W32/Obfuscated.MP!tr (Fortinet)
W32/Trojan2.TCK (F-Prot)
Win32.Obfuscated.mp (eSafe)

Файлы на диске
C:\WINDOWS\System32\Drivers\Beep.SYS
37888 байт.

Способ запуска
Подменяет собой системный драйвер с таким же именем и запускается вместо него.
--------------------------------------------------

AdWare.Win32.Agent.yw

Алиасы
ADSPY/Agent.YW.2 (AntiVir)
Adware Generic2.ZKE (AVG)
AdWare.Agent.yw (Not a Virus) (CAT-QuickHeal)
Adware.Bho (DrWeb)
Not-A-Virus.Adware.Agent (Ewido)

Файл на диске
C:\Program Files\ContentSaver\ContentSaver.dll
118784 байт

Способ запуска
C:\Program Files\ContentSaver\ContentSaver.dll BHO {29F340EA-2108-40d0-94A0-62EC2B9EDF59}

Особенности
Можно удалять через Панель управления - Установка/Удаление программ.
-------------------------------------------------

Rootkit.Win32.Agent.tc

Алиасы
BackDoor.Generic9.MOG (AVG)
Generic RootKit.a (McAfee)
Rkit/Agent.TC (AntiVir)
RootKit.A!tr (Fortinet)
Rootkit.Agent.tc (CAT-QuickHeal)
Rootkit/Lanman.BR (Panda)
Trojan.LanMan (DrWeb)
Trojan/Agent.tc (TheHacker)
VirTool:WinNT/Laqma.A (Microsoft)
W32/Rootkit.CDH (Norman)

Краткое описания
Функционирует как модуль пространства ядра.
Перехватывает несколько функций в KernelMode.
Встречался в паре с c:\windows\system32\lanmanwrk.exe - Trojan.Win32.Agent.dwq

Файлы на диске
C:\WINDOWS\System32\lanmandrv.sys
MD5=B5EC5B3E0BC6B26BB05282B65AF90686
5632 байт

Способ запуска
Драйвер: lanmandrv C:\WINDOWS\System32\lanmandrv.sys
----------------------------------------------------------

AdWare.Win32.Virtumonde.dnn

Алиасы
AdWare.Virtumonde.dnn (CAT-QuickHeal)
Generic9.AQNO (AVG)
Spyware/Virtumonde (Panda)
TR/Vundo.DWB (AntiVir)
Troj/Virtum-Gen (Sophos)
Trojan.Metajuan (Symantec)
Trojan.Virtumod.260 (DrWeb)
Trojan.Vundo.DWB (BitDefender)
W32/Virtumonde.G.gen!Eldorado (F-Prot)
W32/Virtumonde.JTK (Norman)
Win32/Adware.SecToolbar (NOD32v2)

Описание
Рекламная программа, показывающая всплывающие сообщения.
Функционирует как модуль сразу нескольких процессов.
Встречается вместе с другими представителями семейства AdWare.Win32.Virtumonde.
Экземпляры файлов отличаются друг от друга приписанным в конце файла случайным набором чисел.

Файлы на диске
Файл dll со случайным именем из букв в папке C:\WINDOWS\system32
163904 байт

Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\_имя_файла_
+
BHO {A95B2816-1D7E-4561-A202-68C0DE02353A}
-------------------------------------------------

Trojan.Win32.Agent.dxg

Алиасы
Agent.2.AN (AVG)
Mal/Behav-150 (Sophos)
Trojan.Agent.dxg (Ewido)
Trojan.Spambot.2572 (DrWeb)
Trojan/Agent.dxg (TheHacker)
W32/Agent.DXG!tr (Fortinet)
W32/Smalltroj.CFKI (Norman)
W32/Trojan2.TZE (F-Prot)
Win-Trojan/Agent.25600.DD (AhnLab-V3)
Win32/Obfuscated.NAL (NOD32v2)
Win32/SillyProxy.BQ (eTrust-Vet)

Файлы на диске
Может быть как в виде exe файла:
C:\WINDOWS\system32\fci.exe
Так и в виде альтернативного потока системного файла:
C:\WINDOWS\system32\svchost.exe:ext.exe:$DATA
Не удаляйте файл C:\WINDOWS\system32\svchost.exe !!!
25600 байт
MD5=01EA113361CC3ACC160930D8918FC682

Способ запуска
Служба FCI C:\WINDOWS\system32\fci.exe
Группа: TDI

Внешние проявления (со слов пользователей)
Много трафика идет. svchost.exe создает много подключений по SMTP.
Периодически с компьютера отправляют сообщения по электронной почте.
---------------------------------------------------

Worm.Win32.AutoRun.bnq

Алиасы
amvo.exe:
PWS-OnlineGames.a (McAfee)
SHeur.SHW (Prevx1)
Trojan.PWS.OnlineGames.NXF (BitDefender)
W32.Gammima.AG (Symantec)
W32/AutoRun.BDA (Norman)
W32/AutoRun.bnq (TheHacker)
W32/AutoRun.BNQ!worm (Fortinet)
W32/Autorun.LD.worm (Panda)
W32/Worm.LZX (F-Prot)
Win-Trojan/OnlineGameHack.103956 (AhnLab-V3)
Win32:AutoRun-MH (Avast)
Win32.AutoRun.bnq (eSafe)
Win32.HLLW.Autoruner.1020 (DrWeb)
Win32.Packed.NSAnti.r (CAT-QuickHeal)
Win32/Frethog.AGF (eTrust-Vet)
Win32/PSW.OnLineGames.NLI (NOD32v2)
Worm/AutoRun.Y (AVG)
amvo0.dll:
OnlineGames.A!tr.pws (Fortinet)
PWS-OnlineGames.a (McAfee)
Trojan.PWS.OnlineGames.NXF (BitDefender)
Trojan.PWS.Wsgame.2387 (DrWeb)
W32/AutoRun.BDE (Norman)
W32/AutoRun.bnq (TheHacker)
W32/Autorun.LD.worm (Panda)
Win-Trojan/OnlineGameHack.54784.B (AhnLab-V3)
Win32/Frethog.AGF (eTrust-Vet)
Win32/PSW.OnLineGames.NLI (NOD32v2)

Файлы на диске
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll
autorun.inf в корневой папке на всех дисках.
В нем прописан файл u.bat (имя файла может быть другим) для автозапуска.
u.bat имеет атрибуты скрытый, системный, только для чтения.
Для сокрытия присутствия используется руткит, работающий в режиме ядра - C:\WINDOWS\system32\wincab.sys Его файл после запуска удаляется с диска.

Способ запуска
1. C:\WINDOWS\system32\amvo.exe Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, amva
2. Прописывает запуск через файл AUTORUN.INF в корне основного и съемных дисков.

Внешние проявления (со слов пользователей)
Не показывает скрытые файлы и папки. Локальные диски открывает в новом окне.
-------------------------------------------

Virus.Win32.Sality.v

Алиасы
Win32/Sality.AB (NOD32v2)
Virus:Win32/Sality.AH (Microsoft)
W32.Sality.AB (Symantec)
W32/Kashu.A (AntiVir)
W32/Sality-AM (Sophos)
W32/Sality.ad (McAfee)
W32/Sality.AE (F-Prot)
Win32.Kashu.A (BitDefender)
Win32.Sector.4 (DrWeb)
Win32/Kashu (AhnLab-V3)
Win32/Sality.V (eTrust-Vet)

Описание
Файловый вирус. Распространяется путем заражения исполняемых файлов (.exe и .scr). Пытается загрузить вредоносные файлы через Интернет.
http://www.symantec.com/security_res...011120-5334-99 (англ.)

Внешние проявления (со слов пользователей)
Компьютер не может загрузится в Безопасном режиме.
Работа антивирусов нарушается, антивирусы удаляются.
---------------------------------------

Trojan-Spy.Win32.Broker.as

Алиасы
Downloader.Agent.AACP (AVG)
PWS:Win32/Zbot (Microsoft)
Trojan-Spy.Win32.Broker.as (Kaspersky)
Trojan.Proxy.2634 (DrWeb)
Trojan.Spy.Broker.N (BitDefender)
Trojan/Spy.Broker.as (TheHacker)
W32/Malware.BOKQ (Norman)

Файлы на диске
C:\WINDOWS\system32\ntos.exe

Способ запуска
C:\WINDOWS\system32\ntos.exe
Ключ реестра HKEY_LOCAL_MACHINE,
Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit

Примечание
Представитель этого семейства с описанием: Trojan-Spy.Win32.Broker.ap
-----------------------------------------------

Rootkit.Win32.Agent.tw

Алиасы
BackDoor.Generic9.NNL (AVG)
Rootkit.Agent.ql (CAT-QuickHeal)
Trojan.NtRootKit.511 (DrWeb)
Trojan.Rootkit.Agent.NDW (BitDefender)
VirTool:WinNT/Boaxxe.E (Microsoft)
W32/Rootkit.AHL (F-Prot)
W32/Rootkit.CNC (Norman)
Win32:Agent-PSI (Avast)
Win32/Agent.NOU (NOD32v2)
Win32/Kvol.Q (eTrust-Vet)

Файлы на диске
C:\WINDOWS\system32\Drivers\*.dat
* - 8 случайных латинских букв
19456 байт

Способ запуска
Драйвер. Его имя тоже случайное и отличается от имени файла.
Группа: Boot Bus Extender
Работает как Модуль пространства ядра.
---------------------------------------------

Trojan.Win32.BHO.agz

Алиасы
BZub.ARU (Norman)
Generic9.AJIO (AVG)
TR/BHO.agz.21 (AntiVir)
Trj/Downloader.RKS (Panda)
Troj/BHO-EL (Sophos)
Trojan:Win32/Boaxxe.C (Microsoft)
Trojan.Adclicker (Symantec)
Trojan.BHO-1253 (ClamAV)
Trojan.BHO.agz (Ewido)
Trojan.DoS.Win32.Opdos (Prevx1)
Trojan.DownLoader.38058 (DrWeb)
Trojan.Spy.Bzub.NGP (BitDefender)
Trojan/BHO.agz (TheHacker)
W32/BHO.AGZ!tr (Fortinet)
Win32:BHO-KD (Avast)
Win32/BHO.AGZ (NOD32v2)
Win32/Kvol!generic (eTrust-Vet)

Файлы на диске
dll файл со случайным именем из латинских букв в папке c:\windows\system32
Встречается вместе с Rootkit.Win32.Agent.tw (см. выше).

Способ запуска
BHO, CLSID - случайный
------------------------------------

Worm.Win32.AutoRun.bur

Алиасы
amvo.exe
Trj/Wow.SE (Panda)
Trojan.Dropper.OnlineGames.I (BitDefender)
Trojan.MulDrop.6474 (DrWeb)
Trojan.Win32.AVKiller (VBA32)
W32.Gammima.AG (Symantec)
W32/Autorun-AQ (Sophos)
W32/AutoRun.bur (TheHacker)
W32/AutoRun.BUR!worm (Fortinet)
W32/Autorun.worm.bn (McAfee)
W32/Smalltroj.CIGU (Norman)
Win32.Packed.NSAnti.r (CAT-QuickHeal)
Win32/Autorun.worm.104863 (AhnLab-V3)
Win32/Frethog.AGS (eTrust-Vet)
Win32/PSW.OnLineGames.NLI (NOD32v2)
Worm/Generic.FHX (AVG)

eaxbit.dll & amvo0.dll
BHO.CYR, PSW.OnlineGames.ABQN (AVG)
Trj/Wow.SE (Panda)
Trojan.Agent.AGPW, Trojan.PWS.OnlineGames.NYX (BitDefender)
Trojan.Legmir.A (Prevx1)
Trojan.Nsanti.Packed, Trojan.PWS.Wsgame.2387 (DrWeb)
Trojan.Small-1780 (ClamAV)
W32.Gammima.AG (Symantec)
W32/Autorun-AQ (Sophos)
W32/AutoRun.AQ!worm (Fortinet)
W32/AutoRun.bur (TheHacker)
W32/Autorun.worm.bn (McAfee)
W32/Smalltroj.CIGR, W32/Smalltroj.CIUP (Norman)
Win-Trojan/OnlineGameHack.54784.F (AhnLab-V3)
Win32/NSAnti, Win32/VMalum.BUVZ (eTrust-Vet)
Win32/PSW.OnLineGames.NLK, Win32/Rootkit.Vanti.NAI (NOD32v2)
Worm.AutoRun.bur (CAT-QuickHeal)

Описание
Червь распространяющийся копированием самого себя на сменные носители. Похищает пароли к различным интернет-играм.

Файлы на диске
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll
juok3st.bat и autorun.inf в корневой папке на всех дисках.
eaxbit.dll во временной папке.

Способ запуска
1. C:\WINDOWS\system32\amvo.exe Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, amva
2. Прописывает запуск через файл AUTORUN.INF в корне основного и съемных дисков.

Внешние проявления (со слов пользователей)
Проводник не показывает скрытые файлы.
--------------------------------------------

Trojan-PSW.Win32.OnLineGames.oob

Алиасы
m1t8ta.com
Trojan.PWS.Wsgame.2387 (DrWeb)
Trojan/PSW.OnLineGames.oob (TheHacker)
TrojanPSW.OnLineGames.oob (CAT-QuickHeal)
W32/AutoInf-H (Sophos)
W32/Lineage.HDR.worm (Panda)
W32/OnLineGames.AIFH (Norman)
W32/OnLineGames.OOB!tr.pws (Fortinet)
Win-Trojan/Autorun.54784 (AhnLab-V3)
Win32/Frethog.AGY (eTrust-Vet)
Win32/PSW.OnLineGames.NLK (NOD32v2)
amvo1.dll
Dropper/Autorun.105525 (AhnLab-V3)
Trojan.MulDrop.6474 (DrWeb)
Trojan.PWS.OnLineGames.OOB (BitDefender)
Trojan/PSW.OnLineGames.oob (TheHacker)
W32/AutoInf-H (Sophos)
W32/Lineage.HDR.worm (Panda)
W32/Smalltroj.CJDR (Norman)
Win32.Packed.NSAnti.r (CAT-QuickHeal)
Win32/Frethog.AGY (eTrust-Vet)
Win32/PSW.OnLineGames.NLI (NOD32v2)
Worm/AutoRun.Y (AVG)

Файлы на диске
C:\m1t8ta.com
C:\autorun.inf
C:\WINDOWS\system32\amvo0.dll
C:\WINDOWS\system32\amvo1.dll
C:\WINDOWS\system32\amvo.exe
autorun.in f и m1t8ta.com - на всех дисках в корневой папке

Способ запуска
1. Ключ реестра HKEY_CURRENT_USER
Software\Microsoft\Windows\CurrentVersion\Run, amva
2. Запуск через файл AUTORUN.INF в корне основного и съемных дисков.

Внешние проявления (со слов пользователей)
Проводник не показывает скрытые файлы.
---------------------------------------------------

Trojan.Win32.Inject.sm

Алиасы
BackDoor.Bifrost.526 (DrWeb)
Backdoor.Eterok.C (Symantec)
Generic9.ATJS (AVG)
Mal/Generic-A (Sophos)
TR/Inject.SM (AntiVir)
W32/Inject.SM!tr (Fortinet)
Win32/TrojanProxy.Xorpix.NAE (NOD32v2)

Описание
Внедряется в системный процес Winlogon.
В списке модулей отсутствует.
Запускает процесс iexplore.exe и внедряется в него.
Отрывает BackDoor на случайном порту TCP.
Отправляет этот номер порта на удаленный сервер, ожидает соединения и команды для выполнения.
http://www.symantec.com/security_res...557-99&tabid=2

Файлы на диске
C:\Documents and Settings\All Users\Документы\Settings\abc32.dll
%UserProfile%\Local Settings\Temp\arm????.tmp

Способ запуска
C:\Documents and Settings\All Users\Документы\Settings\abc32.dll
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\abc32reg
-------------------------------------------------------------------

Worm.Win32.AutoRun.bvz

Очередной представитель семейства Worm.Win32.AutoRun, имеющего в последние несколько недель широкое распространение, не смотря на то, что для работы ему требуется установленный .Net Framework.

Алиасы
Trojan.Agent.AGOB (BitDefender)
Trojan.MulDrop.6474 (DrWeb)
W32/AutoRun.bvz (TheHacker)
W32/Lineage.HEF.worm (Panda)
Win32.Packed.NSAnti.r (CAT-QuickHeal)
Win32/Autorun.worm.106174 (AhnLab-V3)
Win32/Frethog.AHE (eTrust-Vet)
Worm/AutoRun.Y (AVG)

Файлы на диске
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll
autorun.inf и xn1i9x.com - на всех дисках в корневой папке

Способ запуска
1. C:\WINDOWS\system32\amvo.exe
Ключ реестра HKEY_CURRENT_USER
Software\Microsoft\Windows\CurrentVersion\Run, amva
2. Запуск через файл AUTORUN.INF в корне основного и съемных дисков.

Внешние проявления (со слов пользователей)
Проводник не показывает скрытые файлы.
--------------------------------------------

Worm.Win32.AutoRun.cas

Алиасы
PWS-LegMir.gen.k (McAfee)
Trj/Downloader.SEW (Panda)
Trojan.Agent.AGOT (BitDefender)
Trojan.MulDrop.6474 (DrWeb)
Trojan.PSW.Win32.GameOL.loc (Rising)
W32.Gammima.AG (Symantec)
W32/AutoRun.cas (TheHacker)
W32/Smalltroj.CKQK (Norman)
Win-Trojan/OnlineGameHack.105942 (AhnLab-V3)
Win32/Frethog.AHJ (eTrust-Vet)
Win32/Pacex.Gen (NOD32v2)
Worm/AutoRun.Y (AVG)

Файлы на диске
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll
%Temp%\9ba4xn.dll
autorun.inf и xn1i9x.com - на всех дисках в корневой папке
autorun.inf детектируется как Trojan-PSW.Win32.OnLineGames.pgs

Способ запуска
1. C:\WINDOWS\system32\amvo.exe
Ключ реестра HKEY_CURRENT_USER
Software\Microsoft\Windows\CurrentVersion\Run, amva
2. Запуск через файл AUTORUN.INF в корне основного и съемных дисков.

Внешние проявления (со слов пользователей)
Проводник не показывает скрытые файлы.

Worm.Win32.AutoRun.cag мало чем отличается от Worm.Win32.AutoRun.cas.
Отличия в детекте:
W32/AutoRun.CAG!worm (Fortinet)
W32/Lineage.HEF.worm (Panda)
W32/Smalltroj.CKGL (Norman)
Win32:AutoRun-PC (Avast)
Win32/Frethog.AHG (eTrust-Vet)

Дополнительные алиасы для amvo0.dll
Generic.dx (McAfee)
Trojan.PWS.Wsgame.2387 (DrWeb)
W32/AutoRun.BKD (Norman)
W32/Autorun.MY.worm (Panda)
Win-Trojan/OnlineGameHack.54784.R (AhnLab-V3)
Win32:AutoRun-PD (Avast)
Worm.AutoRun.cag (CAT-QuickHeal)
-----------------------------------------------------

Worm.Win32.AutoRun.cbi
Ползучая эпидемия продолжается.

Алиасы
Trojan.MulDrop.6474 (DrWeb)
Trojan.PSW.Win32.GameOL.lod (Rising)
Trojan.PWS.Onlinegames.NXQ (BitDefender)
W32.Gammima.AG (Symantec)
W32/AutoRun.cbi (TheHacker)
W32/Autorun.MR.worm (Panda)
W32/Smalltroj.CKWC (Norman)
Win32.AutoRun.cbi (eSafe)
Win32/Frethog.AIG (eTrust-Vet)
Win32/PSW.OnLineGames.MUU (NOD32v2)
Worm/AutoRun.Y (AVG)

Файлы на диске
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll
autorun.inf и qd.cmd - на всех дисках в корневой папке

Способ запуска
1. C:\WINDOWS\system32\amvo.exe
Ключ реестра HKEY_CURRENT_USER
Software\Microsoft\Windows\CurrentVersion\Run, amva
2. Запуск через файл AUTORUN.INF в корне основного и съемных дисков.

Внешние проявления (со слов пользователей)
Проводник не показывает скрытые файлы.
------------------------------------------

Trojan-Downloader.Win32.Agent.hnp

Алиасы
Downloader.Agent.AADM (AVG)
Downloader.Agent.hnp (Ewido)
TR/Dldr.Agent.hnp (AntiVir)
Trj/Downloader.SFC (Panda)
Trojan:Win32/Adclicker.AO (Microsoft)
Trojan.Adclicker.GY (BitDefender)
Trojan.BhoSpy (DrWeb)
Trojan.Win32.Undef.cap (Rising)
Trojan/Downloader.Agent.hnp (TheHacker)
TrojanDownloader.Agent.hnp (CAT-QuickHeal)
W32/Agent.EAPT (Norman)
W32/Agent.HNP!tr.dldr (Fortinet)

Файлы на диске
C:\WINDOWS\System32\socksys.dll
или
C:\WINDOWS\system32\socketa.dll
25600 байт

Способ запуска
BHO {FFFFFFFF-F538-4f86-ABAF-E9D94D5C007C}
------------------------------------------------

Trojan-PSW.Win32.OnLineGames.pqm

Алиасы
xo8wr9.exe и amvo.exe
PSW.OnlineGames.ACQL (AVG)
PWS-Mmorpg.gen (McAfee)
Trojan.MulDrop.6474 (DrWeb)
Trojan.PSW.Win32.GameOL.lri (Rising)
Trojan.PWS.OnlineGames.OOV (BitDefender)
Trojan/PSW.OnLineGames.pqm (TheHacker)
W32.Gammima.AG (Symantec)
W32/Lineage.HHP.worm (Panda)
W32/OnLineGames.AJHA (Norman)
Win-Trojan/OnlineGameHack.103781 (AhnLab-V3)
Win32/Frethog.AIK (eTrust-Vet)
Win32/PSW.OnLineGames.NLI (NOD32v2)

amvo1.dll
Trojan.PSW.Win32.GameOL.lri (Rising)
Trojan.PWS.OnlineGames.OOV (BitDefender)
Trojan.PWS.Wsgame.2387 (DrWeb)
VB.BHZ (Prevx1)
W32.Gammima.AG (Symantec)
W32/Lineage.HHP.worm (Panda)
Win32/Frethog.AIK (eTrust-Vet)
Win32/PSW.OnLineGames.NLK (NOD32v2)

Файлы на диске
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll
C:\WINDOWS\system32\amvo1.dll
autorun.inf и xo8wr9.exe - на всех дисках в корневой папке

Способ запуска
1. C:\WINDOWS\system32\amvo.exe
Ключ реестра HKEY_CURRENT_USER
Software\Microsoft\Windows\CurrentVersion\Run, amva
2. Запуск через файл AUTORUN.INF в корне основного и съемных дисков.

Внешние проявления (со слов пользователей)
Проводник не показывает скрытые файлы.
------------------------------------------

Worm.Win32.AutoRun.cgi

Алиасы
PWS-LegMir (McAfee)
Trojan.MulDrop.6474 (DrWeb)
W32.Gammima.AG (Symantec)
W32/AutoRun.cgi (TheHacker)
W32/NSAnti.FXO (Norman)
W32/Wow.SI.worm (Panda)
Win32/PSW.OnLineGames.NLI (NOD32v2)
Win32/VMalum.BVDB (eTrust-Vet)

Описание
Червь распространяющийся копированием самого себя на сменные носители. Похищает пароли к различным интернет-играм.

Файлы на диске
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll
C:\WINDOWS\system32\amvo1.dll
%Temp%\fhf.dll
autorun.inf и h.cmd - на всех дисках в корневой папке

Способ запуска
1. C:\WINDOWS\system32\amvo.exe
Ключ реестра HKEY_CURRENT_USER
Software\Microsoft\Windows\CurrentVersion\Run, amva
2. Запуск через файл AUTORUN.INF в корне основного и съемных дисков.

Внешние проявления (со слов пользователей)
Проводник не показывает скрытые файлы.

Вот краткая инструкция по ручному лечению, если не всех, то большинства подобных угроз:
1) В первую очередь избавимся от файла autorun.inf - это можно сделать с помощью программы Total Commander (когда запустим Total Commander, в разделе "Вид" заходим в меню "Расширенные настройки" и жмем на "Показать скрытые/системные файлы" и удаляем autorun.inf со всех дисков;
2) Вторым шагом будет удаление файлов вируса из реестра:
Жмем на кнопку "Пуск" далее "Выполнить" и пишем "regedit" -> ENTER, даем в поиск "amvo", все что находим - удаляем;
3) Находим в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL - Удаляем параметр CheckedValue в правом окне;
ПРИМЕЧАНИЕ:
Если же раздел Hidden\SHOWALL не существует, то создайте его, и добавьте значение, следуя дальше по инструкции;
4) Щелкаем правой кнопкой мыши в этом же окне (справа) и выбираем «создать --> параметр DWORD». Называем его CheckedValue. Cтавим значение «1» (0x00000001) и нажимаем ОК;
5) Заходим в «Сервис» --> «Свойства папки» --> «Вид», находим «Скрытые файлы и папки», отмечаем «Показывать скрытые файлы и папки».

Сообщение отредактировал Serega - 4.3.2008, 18:11
Вернуться к началу страницы
 
+Цитировать сообщение
Hamsterok
сообщение 5.3.2008, 21:39
Сообщение #2





Группа: Teremki@LAN
Сообщений: 603
Регистрация: 10.1.2007
Пользователь №: 1678



Пох шо флуд, падвесить за яйца на ржавых мясных крюках посреди пустыни Гоби чтоб от солнечных ожогов открылись гнойные язвы на теле у тех, кто сию гадость написал...
Вернуться к началу страницы
 
+Цитировать сообщение
CyberD
сообщение 5.3.2008, 21:58
Сообщение #3





Группа: Teremki@LAN
Сообщений: 275
Регистрация: 6.6.2006
Из: КиевВеб (Сотлайн)
Пользователь №: 994



Почему нет ссылки на источник? Уважайте авторов, наконец!

А теперь по теме.
Да, гадость еще та, при чем вылечить это крайне трудно, особенно если работа в офисе не терпит ждать.

От себя рекомендую:
1. Отключить авторан
2. Юзать Тотал с включенными скрытыми файлами
3. Раз в неделю запускать AVZ (дома можно реже)
Вернуться к началу страницы
 
+Цитировать сообщение
Hamsterok
сообщение 5.3.2008, 22:31
Сообщение #4





Группа: Teremki@LAN
Сообщений: 603
Регистрация: 10.1.2007
Пользователь №: 1678



вопросы


3. А это равносильно тому, что я нодом постоянно обновляющимся делаю тщательную проверку??

И правда ли что на висту все эти гадости не цепляються?
Вернуться к началу страницы
 
+Цитировать сообщение
Dim.On
сообщение 6.3.2008, 0:10
Сообщение #5





Группа: Teremki@LAN
Сообщений: 439
Регистрация: 28.8.2006
Пользователь №: 1142



Насчет висты - полный выгон. "Что один человек сделал, другой всегда сломать сможет" (С) (Формула любви)

С ув Dim.On
Вернуться к началу страницы
 
+Цитировать сообщение
PizzaHunter
сообщение 12.3.2008, 23:08
Сообщение #6





Группа: Teremki@LAN
Сообщений: 703
Регистрация: 29.3.2006
Из: Т2
Пользователь №: 874



вечно такая хня когда приношу флеху из универа. помогает копирование данных и форматирование. нод замечает изначально вирус и удаляет авторан вообще. и тогда флеху можно открыть только через всплывающее окошко действий над носителем - но она не открываеться через мой компьютер. короче форматнуть и все норм...но постоянно такое делать задалбывает.
Вернуться к началу страницы
 
+Цитировать сообщение
Dim.On
сообщение 12.3.2008, 23:23
Сообщение #7





Группа: Teremki@LAN
Сообщений: 439
Регистрация: 28.8.2006
Пользователь №: 1142



Пользуй тотал, фар накрайняк). А НОД прально делает, нечего тыкать всякую туфту в комп.

С ув Dim.On
Вернуться к началу страницы
 
+Цитировать сообщение
Morfeus
сообщение 13.3.2008, 16:37
Сообщение #8





Группа: Teremki@LAN
Сообщений: 2036
Регистрация: 5.2.2005
Из: Teremki@LAN
Пользователь №: 244



(IMG:http://board.teremki.net.ua/style_emoticons/default/icon_arrow.gif) PizzaHunter

Авторана на флехе по умолчанию не должно быть, если туда не установлена какая нибудь программа с функцией автозапуска. Этот файл и есть вирус. Проверь комп может твой комп туда его копирует. Есть вирусы которые плодятся только при помощи флех и переносных устройств.
Вернуться к началу страницы
 
+Цитировать сообщение
Stitch
сообщение 13.3.2008, 22:14
Сообщение #9





Группа: Teremki@LAN
Сообщений: 3063
Регистрация: 28.2.2004
Из: kieff
Пользователь №: 15



Кстати да. Второе дыхание "дискетных вирусов" )) Флешки убьют этот мир ))
Вернуться к началу страницы
 
+Цитировать сообщение
Lapochka
сообщение 19.3.2008, 22:03
Сообщение #10





Группа: Teremki@LAN
Сообщений: 29
Регистрация: 19.11.2006
Из: Киев
Пользователь №: 1388



Уря!!!!! Заработало!!!
Спасибо, Сергей, за советы по борьбе с гадостями разными. (IMG:http://board.teremki.net.ua/style_emoticons/default/icon_smile.gif)
Вернуться к началу страницы
 
+Цитировать сообщение

ОтветитьСоздать новую тему
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0

 

Текстовая версия Сейчас: 28.3.2024, 18:40
Ошибка работы драйвера БД

Ошибка при работе с базой данных

Возникла проблема при работе с базой данных.
Вы можете попробовать обновить эту страницу, нажав сюда