Очередной вирус в нашей сети

Trojan.Win32.LipGame.a,c,i

Диагноз:
Изменяет: адрес сервера в подключении, логин, пароль, параметры безопасности.
В запущенных процессах, имя процесса - "itunesff.exe"

Рекомендации по удалению:

I. Удалить следующий ключ реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"itunesff"="%System%\itunesff.exe"
(строка может иметь другой вид, но содержит - itunesff.exe)

II. Завершить выполнение процесса с именем itunesff.exe.

III.Удалить следующие файлы (если есть):
%System%\itunesff.exe
%System32%\itunesff.exe
%WinDir%\internt.exe

IV. Исправить параметры в подключении Homenet:
1. изменяет адрес сервера: вместо pptp.homenet.kr.ua прописывает свой номер телефона;
2. изменяет сохраненные логин и пароль;
3. изменяет параметры безопасности: вместо - Обычные(рекомендуемые параметры) и
Безопасный пароль прописывает - Дополнительные(выборочные параметры)
4. Снимает параметр - Запрашивать имя, пароль, сертификат и т.д

ОООО-боже ето ужас!!!!!!!!!!!!!!

: (Tadeus @ 19.10.2006 - 16:57 pm) ОООО-боже ето ужас!!!!!!!!!!!!!!

ниче ужасного. Просто сбивает настройки. Ужас это когда сьедает винт и убивает Винду.

Кошмар на улице homnet

я вас умаляю вы тока узнали что в сети этот вирус???очень давно он уже в сети!!!Ставте касперского и не беспокойтесь это мой вам совет!!!

Как показала практика борьбы с вирусами, самые оптимальные антивирусы следующие:

1. Antivir (http://www.free-av.com)
Версия PersonalEdition Classic бесплатная, доступны обновления через Интернет.

2. F-Secure (http://www.f-secure.com)
Этим антвирусом находил практически все вирусы и трояны, которые не находил перед этим 5 другими антивирусами(Antivir, NOD32, AVG, Касперский, Norton)
Также сканирует почту, на spyware, фильтр спама, встроенный firewall, установка ограничений на
посещение определенных сайтов.

Для большинства как правило хватает "Антивира", но для особых маньяков - "F-Secure" оно самое

Также бывали случаи когда помогал TroyanRemover, но как правило на какую-то конкретную заразу..

А вот продукты товарисча Касперского лучше не ставить...
Сильная загрузка системы, "тормоза", пропадание сети, и дикое к-во вирусов

: (apelbmon @ 19.10.2006 - 16:05 pm) я вас умаляю вы тока узнали что в сети этот вирус???очень давно он уже в сети!!!Ставте касперского и не беспокойтесь это мой вам совет!!!

Вопрос не в том что кто-то это знает, а в том кто этого не знает...

Вместо того чтобы флудить лучше написали бы что-то полезное и конкретное здесь...
Ведь кто когда заразу какую поймают, сразу в офис звонит, по крайней мере в половине случаев...

: (Jakill @ 19.10.2006 - 16:09 pm) ... А вот продукты товарисча Касперского лучше не ставить... Сильная загрузка системы, "тормоза", пропадание сети, и дикое к-во вирусов Вопрос не в том что кто-то это знает, а в том кто этого не знает...

Да неужели? Некоторое замедление есть, не спорю-но за три года что пользуюсь Каспером 5 серии у меня на домашнем и рабочем компах не завелось ни одной заразы (а вот поймано у других товарищей и с носителей- немеряно). Настраивайте грамотно свою систему, ставьте связку "нормальный антивирус+фаервол", регулярно обновляйте антивирусные базы и будет вам счастье

ставьет прогу Ad-Aware. Скачать ее можно уже у многих юзеров сети. Регулярно обновляется. Помогает от Троянов, и других мелких вируснячков и "гадящих" програм.

: (Tack @ 19.10.2006 - 17:28 pm) Да неужели? Некоторое замедление есть, не спорю-но за три года что пользуюсь Каспером 5 серии у меня на домашнем и рабочем компах не завелось ни одной заразы (а вот поймано у других товарищей и с носителей- немеряно). Настраивайте грамотно свою систему, ставьте связку "нормальный антивирус+фаервол", регулярно обновляйте антивирусные базы и будет вам счастье

В наше время говорить что у тебя нет никакой заразы, довольно смелое заявление...
А при грамотно настроенной системе, еще с фаерволом и так 90 процентов всякой фигни отсеивается хорошо... Да и тех кто обновляет регулярно базы и проверяет диски еденицы...
А про Касперского... я сам лечил вирусы как минимум десятку людей в нашей сети с установленным Касперским и обновленными базами...

Я лично всеми руками за касперского, и не нада тут говорить шо он там шото тянет. Мы поодержываем наших русских братьев

: (Jakill @ 19.10.2006 - 17:35 pm) В наше время говорить что у тебя нет никакой заразы, довольно смелое заявление... А при грамотно настроенной системе, еще с фаерволом и так 90 процентов всякой фигни отсеивается хорошо... Да и тех кто обновляет регулярно базы и проверяет диски еденицы... А про Касперского... я сам лечил вирусы как минимум десятку людей в нашей сети с установленным Касперским и обновленными базами...

Хорошо, как говорится "от тюрьмы и от сумы не зарекайся"...
Просто я пробовал в качестве эксперимента ставить многие антивирусы (благо на работе есть под рукой подопытный парк компов с разными системами). Стоял Нортон, AVG, Dr. Web, Avast, Nod 32. В итоге на одной машине оставил Nod32 а на всех остальных Каспер 5. Не последнюю роль в моем выборе сыграло то, что у Касперскиого очень легко обновлять антивирусные базы (методом обновлений из локального каталога). Для тех компов, которые не подключены к инету это весьма удобно. Базы обновляются почти каждый день, поэтому можно рассчитывать на более-менее защищенную работу машины в сети и в инете.

ЗЫ Кстати в ККС есть сервер обновлений антивирусных баз. Может пора сделать такое и у нас-хотя бы для самых распространенных антивирусов (Kaspersky 5, NOD 32, NAV, UNA)?

: (apelbmon @ 19.10.2006 - 17:05 pm) я вас умаляю вы тока узнали что в сети этот вирус???очень давно он уже в сети!!!Ставте касперского и не беспокойтесь это мой вам совет!!!

хехе....насчёт касперского 6.0 почитай здесь http://forum.homenet.kr.ua/index.php?showtopic=4937

: (Gavrik @ 19.10.2006 - 17:02 pm) хехе....насчёт касперского 6.0 почитай здесь http://forum.homenet.kr.ua/index.php?showtopic=4937

Гаврик, устанавливать надо с умом.
у мя Каспер не 6.0, а 5.0.388, но при поставленной одной-единственной галочке в настройках, 2-я локальная сеть слетала намертво...

: (Alexx @ 19.10.2006 - 16:59 pm) ниче ужасного. Просто сбивает настройки. Ужас это когда сьедает винт и убивает Винду.

ну еси незнаеш антевирус упрошает Жызнь

Както в журнальчике CHIP CD проводился такой следствиный эксперемент:
взяли 4 антивира (Bitdefender, Kasperskiy 5.*.*, NOD 32, Avast ) , обновили базу каждого из них,
и кинули на каждий 100 специально разробатаних вирусняков. При этом
Касперский пропустил -12
NOD 32 - 3
Avast - 2
Bitdefender - 0

ДЕлайте выводы, господа, на счет Касперского!!!

: (WinZip @ 19.10.2006 - 18:49 pm) ... ДЕлайте выводы, господа, на счет Касперского!!!

Господа, а давайте сделаем следующим образом- каждый будет пользоваться той программулиной, которая устраивает лично его, без всяких журнальных тестов (которые, кстати, оч-ч-чень часто являются заказными), Ок? Я высказал свое ИМХО, вы свое и уже тот факт, что мы пользуемся антивирусной защитой -это уже хорошо А то сколько уже раз ко мне прибегали и знакомые и студенты с жалобами типа "хелпуменякомпутерглючитнезнаючесним" Начинаешь разбираться- а там целые табуны разной заразы резвяться, начиная от макровирусов и заканчивая всякими червями...

: (Tadeus @ 19.10.2006 - 18:40 pm) ну еси незнаеш антевирус упрошает Жызнь

я для ламеров обьяснял. И антивирус у меня стоит, так что не надо мне тут "упрощать жизнь".

у меня АВАСТ стоит,мне он нравится)) по крайней мере для меня он подходит хорошо)+отлично отбивает какашки что летят на комп и находит другие каки на компах,часто бывает что я у кого то качаю что то,и тут БАЦ -какой то вирус...я говорю проверь своим антивиром(конкретно был на примере нод32 с последним апдейтом),он не нашёл ничего,аваст прохавал)а вообще без антивира у нас уже и не "поживёшь" нормально..

У меня седня ночью аваст нарезал на фтп в папке winrar Trojan.Gen

: (Apocalypse @ 20.10.2006 - 23:12 pm) у меня АВАСТ стоит,мне он нравится)) по крайней мере для меня он подходит хорошо)+отлично отбивает какашки что летят на комп и находит другие каки на компах,часто бывает что я у кого то качаю что то,и тут БАЦ -какой то вирус...я говорю проверь своим антивиром(конкретно был на примере нод32 с последним апдейтом),он не нашёл ничего,аваст прохавал)а вообще без антивира у нас уже и не "поживёшь" нормально..

у мэнэ тэж аваст. Чем мне он нравится - простотой обновления. Буквально неск. сек и база данных обновлена. Отбивает атаки вирусов. Гут.

А есть у кого Bitdefender

: (WinZip @ 19.10.2006 - 17:49 pm) Както в журнальчике CHIP CD проводился такой следствиный эксперемент: взяли 4 антивира (Bitdefender, Kasperskiy 5.*.*, NOD 32, Avast ) , обновили базу каждого из них, и кинули на каждий 100 специально разробатаних вирусняков. При этом Касперский пропустил -12 NOD 32 - 3 Avast - 2 Bitdefender - 0 ДЕлайте выводы, господа, на счет Касперского!!!

Думаю тест был заказан разработчиками Bitdefender'a для его же раскрутки Никогда не слышал про такой антивирь, и вдруг он по тестам оказывается лучше всех Странно.

БитДеффендер есть у мню..., И антивирь 10 плюс и ИСС 10плюс, надо - пиши...

: (drv_CrazySaM @ 22.10.2006 - 22:55 pm) БитДеффендер есть у мню..., И антивирь 10 плюс и ИСС 10плюс, надо - пиши...

Надо Буду признателен, если кинешь на фтп установку... Заранее спасибо.

Аналогично предыдущему. Написал письмо в ПМ, прошли сутки, ответа пока нет.

Ребят, на ФТП кидать не буду... заходите вечером в ДЦ++ - ник Mayday, качайте, серийники прилагаются )

Фух...скачал с инета 10-ю версию, русик и лекарство Если кого заинтересовало - в ДС++!

Сегодня попытался установить Дефендер 10 на машине, работающей под NT4. К сожалению антивирь не запустился (ошибка при запуске системных процессов), удалить его корректно тоже не удалось

ЗЫ Кстати все антивирусы после своего удаления (причем корректного) обязательно оставляют следы своего пребывания в реестре. Причем опять таки удалить их удается не всегда (используя REGEDIT). Интересно было бы узнать мнение знающих людей -как с этим бороться?
Рецепты типа сноса Винды не предлагать

После нода такого не замечал. Во всяком случае, никаких конфликтов, ошибок и т.д., чего не скажешь о долбаном Касперском, который ставят все подряд куда попало...
З.Ы.: Простите за эмоции, тема наболевшая.

ОК, Фаззи, тогда подскажи антивирус, который хорошо ловит заразу, не тормозит машину и может обновляться с локальной папки? Заранее благодарен

2 Tack:
по поводу корректного удаления антивирусов - после установки всех нужных програм и перед установкой антивиря - сделай копию реестра, после инсталь сам антивирь. Когда прийдет пора сносить, сносишь, с LiveCD накатываешь старую копию реестра и все в шоколаде, сам не раз так и поступал, и поступаю..., можно пойти дальше и после установки всего необходимого - кроме антивиря, делать образ системы Norton Ghost'ом, после этого установка винды занимает ровно столько сколькл уходит на копирование образа с LiveCD ...
Что касается БитДеффендера то у меня шоколадно он работал ТОЛЬКО под ХП, под 2000 проф. ругался, на 2003 и 2000 серваки вообще не захотел ставится...
если интересен качественный антивирь попробуй McAfee - последней версии(только не пакет для инэта, сам VirusScan), из локальной папки хорошо обновляется ... Каспер, на Нод и Симентек надо зеркало делать

Подскажите кто-нибудь, что за вирус Win32:Wukill-B[Wrm] и какой антивир или как его реально вылечить?

Каким образом обнаружен вирус? Что стоит в качестве "дезинфектора"? Описалово заразы можно найти на сайте Касперского или по поиску в инете

PS Иногда "и на нашей улице бывает праздник" На днях на работе мне передали системник с железом трехлетней давности но гораздо мощнее чем мой старый комп. Переустанавливать систему "с нуля" сейчас нет времени да и неохота-эта вполне нормально работает, просто настрою под себя. И там стоял Касперский 5 ПРО версии с просроченным рег-ключем. Искать рабочий ключ опять лень и я просто снес его и поставил Касперского 5 Персонал (эти версии конфликтов в системе между собой не создают-как никак родственники ).

Интересно посмотреть, кто каким антивирусом будет пользоваться когда наступит время 100% легального ПО. А так прийдут дяди, например в офис, и
(Д): а у вас вирусы есть ?
(ВЫ): нету, мы лечимся
(Д):а чем вы лечитесь ?
(ВЫ): КАВ (НАВ етц подставить по личному предпочтению) - гордо так отвечаете, он самый самый
(Д):а покажите лицензию на него

А вообще, конечно пользуется каждый тем что полюбил или поставил друг (продавец компа), как минимум до тех пор, пока "дяди" не стали по квартирам ходить.
А еще я настоятельно рекомендую прислушиваться к рекомендациям сотрудников офиса, обычно технология излечения заразы отрабатывается на десятках пользователях, у которых разные виндовс, вирусы, настройки и т.д.





Описание:
http://www.microsoft.com/security/encyclop...=Win32%2fWukill
http://www.viruslist.com/ru/viruses/encycl...a?virusid=22895
Удаление
http://support.microsoft.com/?id=890830 (для тех, у кого правильная виндовс)

"Дяди" по домам не ходят так как на это нужно оч много разрешений, а что бы получится разрешение то надо знать наверняка. Ходят только по фирмам и компьютерным клубам.

Ну так офис может себе позволить лизенцию на антивирус, чтобы дяди не ходили. В отличии от домашних пользователей. Ну а что касается квартир - , это вообще лол, я себе, например, такого не представляю.

Привет всем К сожалению заглядываю к вам в гости на форум все реже и реже- совсем времени нету
По теме:
Пару дней назад заметил странности в работе своего рабочего компа. Он начал откровенно тупить, при попытке запустить Explorer это затягивалось на полминуты, сочетание горячих клавиш WIN+E вообще не работало. Фаервол сообщал о попытках выхода в инет процесса csrss.ехе через 80 порт. При этом НОД 32 ver. 2.5 c cамыми свежими базами молчал как партизан При выключении компа вываливало надпись "завершение процесса..." и тарабарщина из латинских букв. В общем понял, что поймал какую то гадость, хотя лазил только по "своим" сайтам. В итоге просканировал комп программой AdAware c новыми базами и он выловил мне вот такое:

ОПАСНЫЙ компонент-Значение регистра : software\microsoft\windows nt\currentversion\winlogon "Shell"

После удаления его в карантин и перезагрузки компа все пришло в норму
Зараза передается путем переноса на флешках. Только что лечил свою домашнюю машину-были те же симптомы

Не знаю, может вирус, может бока винды:
1) Пропало подключение к интернету
2) Не могу заново его настроить
[attachment=19760:1.png]
3) висит подозрительный процесс JUSCHED.exe
Помогите пожалуйста!!!

Пользуюсь NOD32 + Kerio Firewall + Ad-Aware + Ad-Munch + CureIt (периодически сканирую утилитой). АдМюнх я уже люблю... рекламу на ура блокирует, только есть некоторые нерозберихи (кто шарит в нем- отпишитесь). КурИт юзаю от русской заразы, которую обычно заокеанские антивирусы не ловят)

вместо Ad_Aware --- юзай Spybot - Search & Destroy, а вместо CureIt - утилиту AVZ
скачай, обновись и прогони полный скан

jusched.exe (Sun Java Update Scheduler) – программа для проверки новый версий для Sun JAVA. Программа запускается на вашем компьютере по расписанию. Отключить программу можно в панеле управления во вкладке “java Plug In”, сняв галочку "check for updates automatically".

Программа не влияет на безопасность вашей системы или приватных данных. В настоящее время не известно о существовании злонамеренных программ с именем Jusched.exe.

Спасибо, пора попробывать Зайцева (он же в форме портабельной утилиты?). А вот насчет спайбота не знаю, но всеровно спасибо- заинтриговал, буду пробывать...
ЗЫ. А как я обновлюсь без интернета?


Спасибо, буду знать!


А что собственно с и-нетом делать?

Способ может немного и дубовый, но все-тки:
Если есть странный, неизвестный тебе процесс, возможно вирус, найди где находиться файл и снеси его. Если не сносится - обруби в процессах, убей в реестре и тогда удали. Пару раз меня выручало.

Если научишь, как через диспетчер узнать путь файла, то буду юзать)

через диспетчер не знаю, но Process Killer отлично эту задачу выполняет.

ЗЫ: Нав, я щас скачаю СпайБот, обновлю и зашарю.

В висте есть опция - "Открыть место хранения файла". В ХР этого нет, ищите через поиск.

я практикую так, нашел название процеса потом ишу это название поиском в тотал командере на системном диске, а потом так же в инете, и нахожу что по чем. потмоу что под даже очень причудковатыми названиями прячуться нужные вещи.

Майк, скачал те проги, что ты посоветовал.... С Зацевым допустим я согласен, эвристика помоему хороша (удивила только высокая скорость сканирования)... А вот чем тебе СпайБот нравится? Приведи пожалуйста преймущества перед Ад-Вером (кроме того, что он бесплатный).

ЗЫ. Алекс, спасибо, уже не нада)))

такая проблема ...
поставил сегодня комп на проверку Антивирусником ... , 1 антивирус находит 129 заражонных файлов , другой 23 , третий вообще 6 , у каждого антивира название вируса разное , ну больше всего интересует Backdoor.Win32.Sinowal.a обноруживает 2 антивирусника (Касперский , ДР.веб)
Касперский его не лечит , а при нажатии "решить проблему ПО" комп просто перезагружается .... , щас проверю еще ДР.веб , на данный момент только он лечит этот вирус

BackDoor.MaosBoot


Добавлен в вирусную базу Dr.Web®:
Тип вируса: Загрузочный вирус

Является загрузчиком в MBR секторе, который модифицирует ОС в процессе загрузки и обеспечивает скрытую установку своего драйвера в памяти. Rootkit драйвер записан в последние сектора физического диска и т.о. не существует в виде файла. Он обеспечивает защиту и сокрытие себя на диске. Оригинальный MBR сектор сохраняет непосредственно перед началом первого раздела на диске.

Rootkit устанавливается в систему при помощи Trojan.Packed.278, который пытается инфицировать первые 16 физических дисков. После инсталляции троянская программа инициирует отложенную на час перезагрузку системы.

Trojan.Packed.278

Тип вируса: Специальная запись, позволяющая детектировать широкий спектр вредоносных программ, в которых используется определённый тип упаковщика.

Данный тип вредоносной программы устанавливает MBR Rootkit BackDoor.MaosBoot.


Dr.Web лечит этот вирус ...

http://forum.homenet.kr.ua/index.php?s=&am...st&p=134709

К сожалению вышеописанный способ лечил последствия но не причину- компъютеры продолжали тупить по прежнему.
Радикальным способом стало применение бесплатной утилиты Curelt! от доктора Данилова (www.drweb.com), которая выловила вот такое:
Win32.HLLW.Autoraner.2735 в папке c:... windows/system32/csrss.exe
и этот же зверь прятался на флешке под видом скрытого файла qiaras.exe

Рекомендую всем пользователем НОДа32 версий 2.5...2.7 дополнительно проверить свою машину ибо этот антивирус на данного трояна нереагирует (при помощи утилиты, указанной выше)