| Предыдущая тема :: Следующая тема |
| Автор |
Сообщение |
PolAR
Зарегистрирован: 01.11.2004
Сообщения: 133
|
 Добавлено: Пн Апр 04 2005 13:24 Заголовок сообщения: Вирус updateXPSP2 |
 |
|
Если кто сталкивался - подскажите че-нить!
Вирусяга создает процесс updateXPSP.exe который устанавливает немерено соединений + печатает белиберду на сетевых принтерах. По-видимому его прописывает в автозапуск в реестре какая-то другая прога ( не могу поймать какая), потому что он упорно там появляется.
Также он запускается в процессе работы ( значит к чему-нить причепился, но в реестре об этом ничего нет => причепился через посредника наверно)
Я даже не знаю как он называется! Только симптомы 
Буду рад любой помощи!
_________________
Come Together!! Right Now.... |
|
| Вернуться к началу |
|
 |
oleg_poruchikov
Зарегистрирован: 09.09.2004
Сообщения: 567
Откуда: http://tor.clan.su
|
| Добавлено: Пн Апр 04 2005 14:46 Заголовок сообщения: |
|
|
На эту тему было куча постов : Это SpyWare (так называемые программы-шпионы)!!!!
Уже можно книгу писать по этой теме или дисертацию 
Есть куча прог в инете и платных и бесплатных и условно-бесплатных (Trial), поищите по слову SpyWare. Могу посоветовать проверенную прогу SpyWare Removal (Условно-бесплатная 30 дней, потом плати)...
_________________
Вот такая картина маслом! (c) |
|
| Вернуться к началу |
|
|
PolAR
Зарегистрирован: 01.11.2004
Сообщения: 133
|
| Добавлено: Пн Апр 04 2005 14:56 Заголовок сообщения: |
|
|
Да я бы не сказал что куча ( если вообще про spyware то может быть ) я нашел тока googl-ом 2 поста некого hologram5, датой 21 марта сего года ( тобиш вирус наверно новый) То как этот парень описывает его поведение полностью совпадает с тем что у меня!
Насчет проверок: я проверил следующими прогами:
1. SpyBot Search & Destroy
2. Ad-Aware
3. Avz ( какой-то антивирус Зайцева )
Они нашли : Alex Related & что-то про интернетовский кэш.. не помню точно
_________________
Come Together!! Right Now.... |
|
| Вернуться к началу |
|
|
NewFork
Зарегистрирован: 28.02.2005
Сообщения: 73
|
| Добавлено: Вт Апр 05 2005 03:34 Заголовок сообщения: Re: Вирус updateXPSP2 |
|
|
| PolAR писал(а): | Если кто сталкивался - подскажите че-нить!
Вирусяга создает процесс updateXPSP.exe который устанавливает немерено соединений + печатает белиберду на сетевых принтерах. По-видимому его прописывает в автозапуск в реестре какая-то другая прога ( не могу поймать какая), потому что он упорно там появляется.
Также он запускается в процессе работы ( значит к чему-нить причепился, но в реестре об этом ничего нет => причепился через посредника наверно)
Я даже не знаю как он называется! Только симптомы
Буду рад любой помощи! |
Более чем наверняка, эта прога прописалась в реестре по ключу
| Код: | | HKEY_CLASSES_ROOT\exefile\shell\open\command |
значение параметра должно быть
Если это не так, то 100% у тебя вирус.
Для того, чтобы избавиться от него я использую фар, он хорошо и одновременно убивает процессы. И так запускаешь редактор реестра, потом убиваешь все процессы которые имеют левые имена, восстанавливаешь выше приведенный ключ в политиках реестра запрещаешь все кроме чтения для всех, в том числе и системе. Ставишь антивирь и лечишься |
|
| Вернуться к началу |
|
|
PolAR
Зарегистрирован: 01.11.2004
Сообщения: 133
|
| Добавлено: Вт Апр 05 2005 11:20 Заголовок сообщения: |
|
|
По указанному пути значение параметра правильное! Но вирусяга все свирепствует
_________________
Come Together!! Right Now.... |
|
| Вернуться к началу |
|
|
PolAR
Зарегистрирован: 01.11.2004
Сообщения: 133
|
| Добавлено: Вт Апр 05 2005 11:28 Заголовок сообщения: |
|
|
А Фаром я тоже пользусь Но пока не очень видать грамотно!
У меня 2 варианта работы этого вируса:
1. Либо есть прога, которая прицепилась к какому-то системному файлу и запускает етот самый updateXPSP2.exe, а потом сама убивается ( в Фаре Parent PID не присутствует в списке уже запущенных процессов!)
2. Какой-то комп закидывает вирус по сети. Потому что на 2-х компах я просто тупо удалил его и из автозапуска выкосил - и тишина ( правда надолго ли ?? )
Самое для меня идеальное - найти описание этого гада, дальше дело техники, НО - не могу найти и все тут
ХЭЛП!! Как пели в свое время 4 англичанина 
_________________
Come Together!! Right Now.... |
|
| Вернуться к началу |
|
|
PolAR
Зарегистрирован: 01.11.2004
Сообщения: 133
|
| Добавлено: Вт Апр 05 2005 18:45 Заголовок сообщения: |
|
|
Вирус называется Gaobot (Panda) or Agobot ( Symantec)
Но про него ( конкретно мой ) пишут маловато! А Семантек с последними обновлениями его не замети ваще!! ( я компы пролечил в безопасном режиме, без сети)
_________________
Come Together!! Right Now.... |
|
| Вернуться к началу |
|
|
NewFork
Зарегистрирован: 28.02.2005
Сообщения: 73
|
| Добавлено: Ср Апр 06 2005 02:41 Заголовок сообщения: |
|
|
| Кстати, есть 100% способ запретить запуск виря, после его нахождения(ну допустим эта сволочь так зашибенно прописалась, что хрен убъешь) но фишка только для нтфс берем файлу ставим в атрибутах безопасности для группы ВСЕ галку на полный контроль-запретить-все и после перезагрузки вирь обломится, в том числе пролетают и адвары, которые имеют фиксированный файл запуска, потом, после перезагрузки, восстановив политики, файло можно удалить. Дешево и сердито. |
|
| Вернуться к началу |
|
|
PolAR
Зарегистрирован: 01.11.2004
Сообщения: 133
|
| Добавлено: Ср Апр 06 2005 04:11 Заголовок сообщения: |
|
|
Хороший вариант!
Я делал по-другому: запрещал в реестре всем писать в автозвпуски,
НО вирус появлялся ( запускался ) в течении работы, и я не знаю: толи еще что-то заражено на компе, толи из сети влезал!
Не в курсе, можно ли это посмотреть как-то?
НО, когда перезапускаешь комп - опять тишина ( в атозапуск то облом )
Думаю в будущем на всех компах автозапуски запретить ( на крайняк при установке менять
_________________
Come Together!! Right Now.... |
|
| Вернуться к началу |
|
|
|
FAQ 
Поиск 
Пользователи 
Группы
Регистрация
Профиль 
Войти и проверить личные сообщения 
Вход 
