-
Если такая "подработка" в выходной день станет моей специальностью - обязательно пойду
"Подработкой" конечно, назвать тяжело, но как способ релакса пойдет...
Microsoft Most Valuable Professional in Consumer Security
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
DVi
Максим, мне не доставляет удовольствия комментировать Ваши сообщения. Просто перед написанием старайтесь прочесть то, что написано до Вас.
Вы опять сделали неверный вывод из моих слов. В данной ситуации вообще не было никакой речи о логах AVZ.
Я не заставляю Вас комментировать мои сообщения. Форум создан для свободного общения и каждый вправе делать свои выводы.
-
-
Сообщение от
DVi
Я ограничился Куреитом, АВЗ и КИС.
Полагаете этот набор недостаточным?
Почему же, набор хороший Но, в зависимости от ситуации, можно проверить ещё чем-нибудь. Проходил однажды через мои руки ноут, на котором вирсуни было просто немеряно. Хозяева ОС переставлять отказались. Не помню, кем я проверял первым, но цифра 2000 зараженных объектов (причём файловых вирусов не было) меня поразила. Ноут я чистил долго.
Left home for a few days and look what happens...
-
-
Сообщение от
DVi
borka, логов не сохранял - не до того было, извините.
Жаль...
Сообщение от
DVi
Куреит запускал в только режиме "быстрый скан" - рассчитывал, что он очистит мне плацдарм. Суть в том, как я понял, что он не обнаружил запущенных в памяти Бронтоков. Собственно, до осознания этого факта я дошел лишь на третьем шаге, выкосив их через "Диспетчер процессов" АВЗ.
"Быстрая проверка" - это как: просто запуск КуреИта или выбор соответствующего пункта меню и нажатие на кнопку сканирования? И в том, и в другом режимах проверяются память и стартапы.
Сообщение от
DVi
Вероятно, одного из штаммов Бронтока (на этом компе их оказалось минимум два) просто не было в базе Куреита. Судя по тому, как легко этот зоопарк завелся на компе только что подключенного к Корбине, очень скоро вирусологи ДрВеба получат его в сети АВ-Деска
Странно... Эпидемия Брнтоков давно схлынула, нового давненько не попадалось...
Добавлено через 5 минут
Сообщение от
DVi
А Бронток разбрасывается очень просто: почти в _каждой_ папке на диске он создает свою копию с иконкой "папка" и скрывает расширение "*.exe" - поэтому рука так и тянется щелкнуть на него
Это что, новый вид Бронтока? Как называется по касперу?
Вообще говоря, по симптомам это чистый Rays aka Wukill - в каждой _открываемой_ папке создается файл с именем этой папки и иконкой папки...
Добавлено через 2 минуты
Сообщение от
kps
2) Надо было провести полную проверку (как рекомендуется в правилах), т.к. при быстрой проверке проверяется очень мало. Как Вы написали, Бронтоки были разбросаны по диску.
Кстати, да. После проверки КуреИтом и щелчком по "папке" с вирусом... Да без полной проверки.
Добавлено через 6 минут
Сообщение от
ALEX(XX)
Проходил однажды через мои руки ноут, на котором вирсуни было просто немеряно. Хозяева ОС переставлять отказались. Не помню, кем я проверял первым, но цифра 2000 зараженных объектов (причём файловых вирусов не было) меня поразила. Ноут я чистил долго.
Ноут без антивируса, вероятно.
У меня был похожий случай: ноут запускался минут двадцать. Оказалось, завирусован по самое "небалуйся". Лечил, конечно, Доктором (альфой, даже не бетой) часа четыре - долго оно получалось. В одной только автозагрузке было только два с половиной десятка _наименований_ вирусов при общем числе под четыре десятка.
А уж сколько было всего - даже не считал.
Последний раз редактировалось borka; 12.02.2008 в 13:08.
Причина: Добавлено
---
С уважением,
Borka.
-
Сообщение от
borka
"Быстрая проверка" - это как: просто запуск КуреИта или выбор соответствующего пункта меню и нажатие на кнопку сканирования? И в том, и в другом режимах проверяются память и стартапы.
Верхняя кнопка "Быстрая проверка" на зеленом сплеш-скрине.
Сообщение от
borka
Это что, новый вид Бронтока? Как называется по касперу?
Вообще говоря, по симптомам это чистый Rays aka Wukill - в каждой _открываемой_ папке создается файл с именем этой папки и иконкой папки...
По Касперу называлось "Бронток.блаблабла" (честно - не помню суффикса).
-
-
Сообщение от
DVi
Четыре часа у меня ушло с учетом окончания полного скана диска КИСом - т.е. когда я уже с чистой душой мог констатировать чистоту компа.
Всё ещё верите в сигнатуры ?
Я пока все виды автозагрузки не проверю, не успокоюсь.
Blink 182 = BoxCar Racer + plus 44 + Angels & Airwaves
-
-
Сообщение от
Surfer
Я пока все виды автозагрузки не проверю, не успокоюсь.
Диспетчеры АВЗ рулят
-
-
Сообщение от
DVi
Верхняя кнопка "Быстрая проверка" на зеленом сплеш-скрине.
Если "Быстрая проверка", то это сканер, если "зеленый сплеш-скрин", то это собственно оболочка КуреИта...
Сообщение от
DVi
По Касперу называлось "Бронток.блаблабла" (честно - не помню суффикса).
Ни логов, ни имен...
ЗЫЖ Дальнейшее обсуждение сказок можно переносить в оффтопик.
-
Сообщение от
DVi
Я свою сказку рассказал по поводу размера зоопарка в сети Корбины, в качестве иллюстрации собственного опыта к
сообщению borka, а не для того, чтобы меряться антивирусами.
-
-
Сообщение от
DVi
Но "реклама" КуреИта получилась неплохая...
-
Я бы свою сказку скорее назвал "рекламой Корбины".
Добавлено через 5 минут
Сообщение от
borka
Ни логов, ни имен...
Борис, вот описание одной из модификаций Бронтока. Как видите, отмечена его особенность класть свою копию в одноименном каталоге (приведен пример: "%MyPictures%\Мои рисунки.exe"). Можете мне верить.
Добавлено через 1 минуту
Все найденные адреса сохраняются в каталоге %AppData%\Loc.Mail.Bron.Tok в виде файлов с именем почтового адреса, с расширением .ini и текстом:
Brontok.A
By: HVM31
-- JowoBot #VM Community –
Также создается каталог Ok-SendMail-Bron-tok для хранения адресов отправленных писем.
О! Вот это тоже было мной увидено на компе.
Последний раз редактировалось DVi; 13.02.2008 в 16:43.
Причина: Добавлено
-
-
Сообщение от
DVi
Я бы свою сказку скорее назвал "рекламой Корбины".
"Или так." (с)
Кстати, открылся сайт АВ-Деска, на котором можно посмотреть Статистику Dr.Web AV-Desk за последние сутки. Здесь подробности.
Сообщение от
DVi
Борис, вот
описание одной из модификаций Бронтока. Как видите, отмечена его особенность класть свою копию в одноименном каталоге (приведен пример: "%MyPictures%\Мои рисунки.exe"). Можете мне верить.
Это только пример. За Бронтоком aka BackDoor.Generic.1138 такого не замечал. Воможно, что-то новое... Возможно, гибрид. Жаль, что точных названий нет.
-
Сообщение от
borka
"Или так." (с)
Кстати, открылся
сайт АВ-Деска, на котором можно посмотреть
Статистику Dr.Web AV-Desk за последние сутки.
Что-то мне не удается найти там статистику. Половина ссылок ведет на адрес "javascript:void(0)".
-
-
Сообщение от
DVi
Что-то мне не удается найти там статистику. Половина ссылок ведет на адрес "javascript:void(0)".
Бегущая строка вверху на сайте http://www.av-desk.com/
-
А-а-а. Скрипты-то у меня выключены
Теперь вижу. Если сюда приплести мой опыт, где на одном компе было около 400 зараженных файлов, то зараженными можно считать порядка двух тысяч компов из почти 32 тысяч = около 5,5%.
В принципе, ничего трагичного. Я ожидал увидеть цифру порядка 90%.
Добавлено через 9 минут
borka, Вы можете попросить разработчиков этой статистики обозначить в ней количество зараженных компьютеров? Эта цифра гораздо более интересна, чем "вылечено, перемещено, удалено, переименовано, заблокировано".
Последний раз редактировалось DVi; 13.02.2008 в 17:33.
Причина: Добавлено
-
-
Сообщение от
DVi
borka, Вы можете попросить разработчиков этой статистики обозначить в ней количество зараженных компьютеров? Эта цифра гораздо более интересна, чем "вылечено, перемещено, удалено, переименовано, заблокировано".
Спросить - спрошу.