Всё по порядку :
В понедельник - по каким то хакерским делам иде то лазил . Не помню што - но што то искал и качнул . Как гаварицца - "на свою голову....." , то бишь компьютер . Далее - повозился с инфой - и залёг спать . Во вторник, придя с работы и включив комп - был удивлён сильно : КАСПЕРСКИЙ включился, но с каким то жёлтым восклицательным знаком ! Типа СЕТЕВАЯ защита не может быть включена ! Подумал - нихрена себе !!! Вот это сюрпризз ! Попытки его включить через меню успехом не увенчались ! Перезагружаю комп . История павторилась ! Типа - каспер не полностью включился ! НО вот што интересно - постоянно показывает какую то активность приложений - каторые сразу же направляюцца в запрещёные . Какое то там "PE_explorer.exe" . Памоему так , или што то около этого . Далее ваще чудеса пашли . Запускаю консоль : пуск - выполнить - ipconfig ...... тут же ipconfig заносицца в заблокированные . Пробую tracert - тоже самое ! Во чудеса !!!!!!
Далее - сматрю .... вся эта "прелесть" осела в каспере в изоляторе. ВОсстанавливаю оттуда , потому што ничего не лечицца .
Выполняю: пуск - выполнить - cmd .... БАЦ - cmd заражено и удалено ! Пипец - думаю вторник тяжёлый день.... оставил попытки разабрацца, лёг спать .
В среду - тоже самое: каспер не работает, ваще перестал загружацца . Раньше хоть с восклицательным знаком был - работал кле как , точнее подавал признаки жизни . А в среду - ваще не загрузился - типа приложение не может быть загружено ! Переустановка - ничего не дала . ВО жесть ! Каспер - отказался устанавливацца .
Далее - прикол в том - што в это время все сайты посвящённые антивирусам -СТАЛИ ЗАБЛОКИРОВАНЫ ! ИНЕТ есть - а доступа на каперского, НОД32,ДрВЭБ - закрыты ! Я ашь афигел !
Беру и делаю: FORMAT c:\ . Вообщем - переустанавливаю систему . Всё прекрасно - винда новая , накатил драйвера, установил первой прогой КАСПЕРА , патом всё остальное . Поначалу всё шло норм . Патом установил приблуду от MSI - она скачивает и обновляет свежие драйвера для метринской платы . Скачалось всё ..... установилось .... перезагрузилось..... И вот тут то пошли опять ЧУДЕСА С ПРОГРАММАМИ - стали заносицца в запрещённые ! Пипец ! Tracert, ping, cmd, explorer.exe .... вообщем - все экхешники .
Я в ахуе кароче ! Проверка КАСПЕРОМ ничего не показывает ! Типа всё замечательно . Через какое то время - и каспер стал померать . И опять доступ на сайты посвящённые защите у меня заблокировались !
Я грешным делом подумал - што типа подцепил эту заразу с сайта MSI, када дрова качул . ПОтому што при установке тех дров - каспер как бы ругался - што идёт глубокое обращение к системе - предлагал либо разрешить либо блокировать . Я разрешал . на этом остановился в среду .
В четверг - придя с работы - сделал format c:\ . Залил систему . Типа наученный - не стал качать дрова с сайта MSI . Всё как бы сделал : система , дрова , КАСПЕРСКИЙ, программы ...... Устанавливаю КОНТРУ, запускаю ДЦ++ - и тут БАЦ....... ВСЁ ПАВТОРЯЕЦЦА !!! Я бля чуть не готов был нахрен всё побить - и монитор, и клаву ..... ЗЛОЙ БЫЛ - пипец ! И главное - Я не мог врубицца - откуда же такая хрень !!!!!!!! Я настолько был уверен в КАСПЕРЕ..... што ума не приложу , откуда эта дрянь лезет !
В пятницу ещё раз сделал format c:\ . Вновь : система, дрова , КАСПЕР, программы ...... через какое то время результат ТОТ ЖЕ !!! Эта дрянь вылезла ! Я в полном АХУЕ !
Кстати - у меня в компе 4 жестких диска . Я как бы понимал - што дрянь может сидеть на них . НО систему ставил на С: . Сразу же КАСПЕРА ставил . Тока потом обращался к другим дискам - устанавливая программы . НО в это время мониторинг от КАСПЕРА должен был во всю работать !
Севодня , в субботу - проснувшись в 14,00....... покушав - решил всё таки усомницца в КАСПЕРЕ . загружаюсь с диска проверочного - начинаю диск С антивирусом от Зайцева смотреть . Тишина . Каспер - што то там ругнулся на Type_WIN32 и стал засовывать как всегда в карантин . . ДрВЭБ - тож промолчал . Странно как то .
И вот тут то Я вспомнил про одного моего знакомого админа с ником
с400, каторый с пеной у рта доказывает (и на данный момен тоже) - што есть антивирус
Symantec Endpoint Protection и што это САМОЕ КРУТОЕ ПОДЕЛИЕ АНТИВИРУСНОЕ !
Но у меня к SYMANTEC отвращение ещё с тех времён - када была винда95 и на каждом пиратском диске был этот продукт . Мне он тогда не понравился .
А именно Symantec Endpoint Protection - это типа НОВОЕ решение в мире АНТИВИРУСОВ:
Код:
Symantec Endpoint Protection – самое значительное обновление лидирующего корпоративного антивирусного продукта Symantec за последние годы — объединяет в одном агенте Symantec AntiVirus и усовершенствованное средство предотвращения угроз, обеспечивая беспрецедентную защиту от вредоносных программ для ноутбуков, настольных ПК и серверов.
Чтобы защитить заказчиков, как от сегодняшних, так и от новых, завтрашних угроз, Symantec Endpoint Protection использует превентивные технологии, которые выявляют и активно блокируют атаки, автоматически анализируя поведение приложения и сетевые коммуникации. В одном простом в установке и управлении решении заказчики получают интегрированный комплекс средств антивируса, защиты от шпионского ПО, межсетевого экрана и предотвращения вторжений по сети (intrusion prevention solutions, IPS), а также инструменты управления приложениями и устройствами.
Symantec Endpoint Protection снижает расходы на администрирование, связанные с управлением разными средствами защиты удаленных рабочих мест, объединяя удостоенные многих наград технологии Symantec, Sygate, Whole Security и Veritas. Это гарантирует эффективную работу и обеспечивает заказчиков лучшим в своем классе и в то же время полностью интегрированным решением, которое функционирует на разных платформах и поддерживается одним поставщиком. Его поддерживает также сеть Symantec Global Intelligence Network, в которую входят восемь центров Symantec Security Response, четыре центра Symantec Security Operations, 120 млн систем и свыше 40 тыс. датчиков, развернутых в 180 странах.
Symantec Endpoint Protection представляет собой единственный продукт, который содержит все основные технологии защиты (антивирус, защиту от шпионского ПО, межсетевой экран, систему предотвращения вторжений и средства управления устройствами) в составе одного интегрированного агента с администрированием посредством единой консоли управления. В Symantec Endpoint Protection входит новая, упрощенная консоль Network Access Control (NAC), а также ряд услуг по обучению и технической поддержке для ускорения внедрения системы партнерами и заказчиками.
Вообщем решил Я поставить его . Делаю format c:\ (раз в 10 наверное уже !) . Накатываю драйвера,
Symantec Endpoint Protection, программы.... и вот тут то начинаецца интересное !!!
как тока я выношу ярлык для ДЦ++ на работий стол - ожил Symantec Endpoint Protection ! Типа - АХТУНГ ВИРУС ! Причём смотрю - не удалил , не в карантин.... а именно ВЫЛЕЧИЛ ! ДУмаю - вот это прикооол . ВОт она иде засада то ! Далее - запускаю проверку ВСЕГО КОМПА - ВСЕХ ДИСКОВ ! И вот тут то начинаюцца чудеса !!! У меня столько инфицированных файлов - просто УЖАС !
Код:
Date and Time,Risk,Action,Filename,Risk Type,Original Location,Computer,User,Status,Current Location,Primary Action,Secondary Action,Logged By,Action Description
01.08.2009 20:06:16,W32.Virut.CF,Restart Processing,Unavailable,File,Unavailable,LOGOVO,PadonaK,Infected,Unavailable,Delete,Leave alone (log only),Auto-Protect scan,Performing Post-Reboot Risk Processing.
01.08.2009 20:06:16,W32.Virut.CF,Restart Processing,Unavailable,File,Unavailable,LOGOVO,PadonaK,Infected,Unavailable,Delete,Leave alone (log only),Auto-Protect scan,Performing Post-Reboot Risk Processing.
01.08.2009 20:06:16,W32.Virut.CF,Restart Processing,Unavailable,File,Unavailable,LOGOVO,PadonaK,Infected,Unavailable,Delete,Leave alone (log only),Auto-Protect scan,Performing Post-Reboot Risk Processing.
01.08.2009 20:06:16,W32.Virut.CF,Restart Processing,Unavailable,File,Unavailable,LOGOVO,PadonaK,Infected,Unavailable,Delete,Leave alone (log only),Auto-Protect scan,Performing Post-Reboot Risk Processing.
01.08.2009 20:06:16,W32.Virut.CF,Restart Processing,Unavailable,File,Unavailable,LOGOVO,PadonaK,Infected,Unavailable,Delete,Leave alone (log only),Auto-Protect scan,Performing Post-Reboot Risk Processing.
01.08.2009 20:06:16,W32.Virut.CF,Restart Processing,Unavailable,File,Unavailable,LOGOVO,PadonaK,Infected,Unavailable,Delete,Leave alone (log only),Auto-Protect scan,Performing Post-Reboot Risk Processing.
01.08.2009 20:00:59,W32.Virut.CF,Restart Required - Cleaned,hl2.exe,File,F:\Games\Steam\SteamApps\svetlaya1999\counter-strike source\,LOGOVO,PadonaK,Cleaned,F:\Games\Steam\SteamApps\svetlaya1999\counter-strike source\,Restart Required - Clean security risk,Restart Required - Quarantine,Auto-Protect scan,The file was repaired successfully.
01.08.2009 20:00:23,W32.Virut.CF,Restart Required - Cleaned,hl2.exe,File,F:\Games\Steam\SteamApps\svetlaya1999\age of chivalry\,LOGOVO,PadonaK,Cleaned,F:\Games\Steam\SteamApps\svetlaya1999\age of chivalry\,Restart Required - Clean security risk,Restart Required - Quarantine,Auto-Protect scan,The file was repaired successfully.
01.08.2009 19:56:59,W32.Virut.CF,Restart Required - Cleaned,hl2.exe,File,F:\Games\Steam\SteamApps\awersa\counter-strike source\,LOGOVO,PadonaK,Cleaned,F:\Games\Steam\SteamApps\awersa\counter-strike source\,Restart Required - Clean security risk,Restart Required - Quarantine,Auto-Protect scan,The file was repaired successfully.
01.08.2009 19:54:27,W32.Virut.CF,Restart Required - Cleaned,generals.exe,File,F:\Games\IraqWar\,LOGOVO,PadonaK,Cleaned,F:\Games\IraqWar\,Restart Required - Clean security risk,Restart Required - Quarantine,Auto-Protect scan,The file was repaired successfully.
01.08.2009 19:54:22,W32.IRCBot,Cleaned by deletion,MultiKeygen.exe,File,F:\Games\IraqWar\,LOGOVO,PadonaK,Deleted,Deleted,Clean security risk,Quarantine,Auto-Protect scan,The file was deleted successfully.
01.08.2009 19:54:14,W32.Virut.CF,Restart Required - Cleaned,generals.exe,File,F:\Games\C&C Generals - Desert Storm 2\Generals\,LOGOVO,PadonaK,Cleaned,F:\Games\C&C Generals - Desert Storm 2\Generals\,Restart Required - Clean security risk,Restart Required - Quarantine,Auto-Protect scan,The file was repaired successfully.
01.08.2009 19:54:10,W32.IRCBot,Cleaned by deletion,MultiKeygen.exe,File,F:\Games\C&C Generals - Desert Storm 2\Generals\,LOGOVO,PadonaK,Deleted,Deleted,Clean security risk,Quarantine,Auto-Protect scan,The file was deleted successfully.
01.08.2009 19:53:58,W32.Virut.CF,Restart Required - Cleaned,DatGen.exe,File,F:\Games\C&C Generals - Desert Storm 2\Generals\,LOGOVO,PadonaK,Cleaned,F:\Games\C&C Generals - Desert Storm 2\Generals\,Restart Required - Clean security risk,Restart Required - Quarantine,Auto-Protect scan,The file was repaired successfully.
01.08.2009 19:46:06,W32.Virut.CF,Restart Processing,Unavailable,File,Unavailable,LOGOVO,PadonaK,Infected,Unavailable,Delete,Leave alone (log only),Auto-Protect scan,Performing Post-Reboot Risk Processing.
01.08.2009 19:43:42,W32.Virut.CF,Restart Required - Cleaned,DCPlusPlus.exe,File,F:\DC++\,LOGOVO,PadonaK,Cleaned,F:\DC++\,Restart Required - Clean security risk,Restart Required - Quarantine,Auto-Protect scan,The file was repaired successfully.
причём даже : 01.08.2009 19:56:59,W32.Virut.CF,Restart Required - Cleaned,hl2.exe,File, !!!!! Неслабо так ! А ????
Вообщем - Я слил все новые драйвера с MSI , установил все прграммы ..... пока всё норм . Проблем нет . Антивирусником прошёл весть комп . Много чего он вылечил - именно ВЫЛЕЧИЛ а не в карантин положил . ПОка меня этот антивирус радует . Систему не вешает. Ни один файл типа CMD, TRACERT, PING - не удалились или не попали в карантин . Работает всё чётко .
Кстати - када стоял каспер и эта зараза гуляла по компу, Я зашёл в папочку c:\windiws\system32 ..... надо было видеть этот цирк !!!! Как каспер все .EXE оттуда в карантин стал класть ! Жесть !
Вообщем - на данный момен у меня стоит Symantec Endpoint Protection :
Почитать о нём можно тут :
http://www.ixbt.com/soft/symantec-endpo ... n-11.shtmlЕсли кто желает потестировать этот продукт - то скачать его можно
тут >>>Системные требования:
Процессор - 1 Ghz и выше (Pentium IV, семейство Core 2, AMD Athlon/Opteron/Phenom)
Операционная система - Windows 2000 SP3, Windows XP SP1, Windows Server 2003, Windows Vista, Windows Server 2008
Память - 256 MB
Свободное место на жестком диске - 700 MB
P.S. По версии КАСПЕРА - у меня был вирус
Type.Win32 - вылечить его не мог . Тока всё в карантин перегнал и понаудалял много . С блокированием сайтов о защите справицца не смог !
По версии Symantec Endpoint Protection - вирус называецца
W32.Virut.CF. Плюс к этому он нашёл ещё и
W32.IRCBot,
W32.DSS.Trojan - каторых каспер в упор не видел
Код:
05 february, 2009
W32.Virut.CF
Risk Level 1: Very Low
Discovered: February 4, 2009
Updated: February 4, 2009 6:14:14 PM
Type: Virus
Infection Length: 17,044 bytes
Systems Affected: Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000
SUMMARY
W32.Virut.CF is a virus that infects .exe and .scr files on the compromised computer.
Protection
* Initial Rapid Release version February 2, 2009 revision 036
* Latest Rapid Release version February 4, 2009 revision 008
* Initial Daily Certified version February 2, 2009 revision 064
* Latest Daily Certified version February 4, 2009 revision 021
* Initial Weekly Certified release date February 4, 2009
Threat Assessment
Wild
* Wild Level: Low
* Number of Infections: 0 - 49
* Number of Sites: 0 - 2
* Geographical Distribution: Low
* Threat Containment: Easy
* Removal: Easy
Damage
* Damage Level: Medium
* Payload: Infects .exe and .scr files on the compromised computer. May also download files.
Distribution
* Distribution Level: Low
TECHNICAL DETAILS
When the virus executes, it attempts to infect any file accessed with the following extensions:
* .exe
* .scr
The threat does not infect files starting with the following strings:
* OTSP
* WC32
* WCUN
* WINC
The virus also attempts to infect files with the following extensions by injecting an iframe in to the body of each file:
* .htm
* .html
* .php
* .asp
The above iframe redirects the browser on the computer to the following location:
[http://]ZieF.pl/r[REMOVED]
It creates the following event so that only one instance of the threat is running on the compromised computer:
Vx_5
The virus then modifies the hosts file by prepending the following strings to its body:
127.0.0.1 ZieF.pl
#
It then opens a back door by joining a channel controlled by a remote attacker on one of the following IRC servers:
* irc.zief.pl on TCP port 80
* proxim.ircgalaxy.pl on TCP port 80
The remote attacker may use the following nick name:
[EIGHT RANDOM CHARACTERS]
It may use the following registry entry in binary format in order to decode an unknown server name and port number:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\"UpdateHost" = "[BINARY VALUE]"
The threat disables Windows File Protection in order to infect files on the computer.
It also modifies the following registry subkey in order to add a firewall exception:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List
The virus also attempts to download files on the compromised computer.
Recommendations
Symantec Security Response encourages all users and administrators to adhere to the following basic security "best practices":
* Use a firewall to block all incoming connections from the Internet to services that should not be publicly available. By default, you should deny all incoming connections and only allow services you explicitly want to offer to the outside world.
* Enforce a password policy. Complex passwords make it difficult to crack password files on compromised computers. This helps to prevent or limit damage when a computer is compromised.
* Ensure that programs and users of the computer use the lowest level of privileges necessary to complete a task. When prompted for a root or UAC password, ensure that the program asking for administration-level access is a legitimate application.
* Disable AutoPlay to prevent the automatic launching of executable files on network and removable drives, and disconnect the drives when not required. If write access is not required, enable read-only mode if the option is available.
* Turn off file sharing if not needed. If file sharing is required, use ACLs and password protection to limit access. Disable anonymous access to shared folders. Grant access only to user accounts with strong passwords to folders that must be shared.
* Turn off and remove unnecessary services. By default, many operating systems install auxiliary services that are not critical. These services are avenues of attack. If they are removed, threats have less avenues of attack.
* If a threat exploits one or more network services, disable, or block access to, those services until a patch is applied.
* Always keep your patch levels up-to-date, especially on computers that host public services and are accessible through the firewall, such as HTTP, FTP, mail, and DNS services.
* Configure your email server to block or remove email that contains file attachments that are commonly used to spread threats, such as .vbs, .bat, .exe, .pif and .scr files.
* Isolate compromised computers quickly to prevent threats from spreading further. Perform a forensic analysis and restore the computers using trusted media.
* Train employees not to open attachments unless they are expecting them. Also, do not execute software that is downloaded from the Internet unless it has been scanned for viruses. Simply visiting a compromised Web site can cause infection if certain browser vulnerabilities are not patched.
* If Bluetooth is not required for mobile devices, it should be turned off. If you require its use, ensure that the device's visibility is set to "Hidden" so that it cannot be scanned by other Bluetooth devices. If device pairing must be used, ensure that all devices are set to "Unauthorized", requiring authorization for each connection request. Do not accept applications that are unsigned or sent from unknown sources.
* For further information on the terms used in this document, please refer to the Security Response glossary.