Форум программистов «Весельчак У»
  *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

  • Рекомендуем проверить настройки временной зоны в вашем профиле (страница "Внешний вид форума", пункт "Часовой пояс:").
  • У нас больше нет рассылок. Если вам приходят письма от наших бывших рассылок mail.ru и subscribe.ru, то знайте, что это не мы рассылаем.
   Начало  
Наши сайты
Помощь Поиск Календарь Почта Войти Регистрация  
 
Страниц: [1]   Вниз
  Печать  
Автор Тема: Словил Win32/Sality.NAO  (Прочитано 41748 раз)
0 Пользователей и 1 Гость смотрят эту тему.
Serg79
Команда клуба

ru
Offline Offline
Пол: Мужской

WWW
« : 28-06-2009 19:59 » 

Сегодня пол дня потратил чтобы победить данного зверя. Было время что уже отчаялся и хотел Винду переустанавливать. Но хорошо что не стал переустанавливать а так его победил, зараза по всем дискам располся и все exe-шники позаражал, если бы переустановил все равно с другого диска бы поднялся.

Довольно серьезный зверь, Винду глушит наповал. Диспетчер задач не запускается (ctrl+alt+del), редактор реестра не запускается, безопасный режим не запускается, системные политики не запускаются, антивирь не ставится, даже Лингво не запускается Улыбаюсь , все exe-шники и инсталляшки заражаются, на всех дисках настраивается авторан.

Я первый раз в такую засаду попал.  Быть такого не может
« Последнее редактирование: 29-06-2009 07:02 от Sel » Записан
Finch
Спокойный
Администратор

il
Online Online
Пол: Мужской
Пролетал мимо


« Ответ #1 : 28-06-2009 20:27 » 

И как ты его победил?
Записан

Не будите спашяго дракона.
             Джаффар (Коша)
Serg79
Команда клуба

ru
Offline Offline
Пол: Мужской

WWW
« Ответ #2 : 28-06-2009 21:08 » new

Спасло "Восстановление системы" (люди, никогда не отключайте "Восстановление системы").

Заметил я его тем, что Лингво перестал запускаться, выкидывает Error с сообщением о невозможности загрузить RunTime библиотеку. Я ctrl-alt-del, пишет "администратор запретил диспетчер задач". Ну думаю, Винда сломалась. Откатываюсь на точку восстановления двух дневной давности, перезагружаюсь, "Диспетчер задач" открывается, список процессов чистый, Лингво запускается. Ну все думаю, отремонтировал все.

Запустил Putty, повозился чуть, смотрю обратно Лингво не запускается, ctrl-alt-del тоже не работает. Тут уже стало понятно, что то не ладное.

Откатываюсь на точку трехдневной давности, перезагружаюсь, через Explorer (Firefox боюсь запускать а Explorer-ом никогда не пользуюсь, поэтому думаю что он чистый) скачиваю Nod32-trial, устанавливаю. Ну думаю все хорошо, теперь мне ничего не страшно. Запускаю Putty, nod32 кричит: "28.06.2009 15:38:13   Защита в режиме реального времени   файл   C:\WINDOWS\system32\drivers\mjplip.sys   модифицированный Win32/Sality.NAQ вирус   удален - изолирован   NT AUTHORITY\SYSTEM   Событие произошло в новом файле, созданном следующим приложением: C:\WINDOWS\system32\userinit.exe." Ну все думаю, попался вирус поганный Улыбаюсь . Бах Лингво не запускается, ctrl-alt-del не работает. Открываю nod32, пытаюсь обновить базу, требует ключик, ищу ключик, пытаюсь обновить базу, обновление слетает.

Ладно думаю, откатываюсь на точку восстановления четырех дневной давности. Через Explorer обратно скачиваю Nod32-trial (диски кроме "С" боюсь открывать, т.к. так как линк с рабочего стола на Putty ведет на диск "D" а восстановление системы у меня включено только для диска "С"), ввожу ключик для "нода", обновляю базу, проверяю диск "С", чистый. Запускаю Total Commander, иду на диск "D" посмотреть на Putty, открываю папку с Putty, nod32 кричит: "28.06.2009 19:00:03   Защита в режиме реального времени   файл   D:\transfer\read\PuTTY\putty\PUTTY.EXE   модифицированный Win32/Sality вирус   удален - изолирован   NT AUTHORITY\SYSTEM   Событие произошло при попытке доступа к файлу следующим приложением: C:\Program Files\totalcmd\TOTALCMD.EXE."

Запускаю сканирование по диска "D,E,G", все экзешники и инсталящки на диске "D,E,G" оказались заражены, даже те которые мной написаны. Но благо, nod32 с последним обновлением базы, всех полечил и были архивные копии всех инсталяшек и документов на CD-диске.

На все про все ушло пол дня.

Выводы которые я сделал для себя:
1 - "восстановление системы" это сила.
2 - Антивирь должен быть установлен всегда.
3 - Делать всегда резервные копии как документов, так и необходимого софта.
« Последнее редактирование: 28-06-2009 21:11 от Serg79 » Записан
zubr
Гость
« Ответ #3 : 29-06-2009 03:47 » 

Я б добавил:
4. Файрволл.
5. Должна быть установлена резервная система, желательно на отдельном примари-разделе, который не виден из основной системы.
Записан
Антон (LogRus)
Глобальный модератор

ru
Offline Offline
Пол: Мужской
Внимание! Люблю сахар в кубиках!


WWW
« Ответ #4 : 29-06-2009 04:43 » 

а документы нужно заливать на svn сервер Улыбаюсь
Записан

Странно всё это....
RXL
Технический
Администратор

ru
Offline Offline
Пол: Мужской

WWW
« Ответ #5 : 29-06-2009 06:58 » 

LogRus, вместе с вирусами Ага

Стоит ли все документы в SVN запихивать? Чай нетекстовые будут просто копиями - не diff.
Да и потом, где сервер держать? На своей же машине? (я так и делаю, за неимением лишнего сервера с лишним дисковым пространством).
Записан

... мы преодолеваем эту трудность без синтеза распределенных прототипов. (с) Жуков М.С.
x77
Команда клуба

ro
Offline Offline
Пол: Мужской
меняю стакан шмали на обратный билет с Марса.


« Ответ #6 : 19-07-2009 13:16 » 

всё это ерунда, под линуксом надо жить, и будет щастье Улыбаюсь

я винду юзаю только там, где без неё не обойтись (т.е. игры или работа). гибель игр меня волнует мало, а по работе - после установки нужных программ делается загрузочный образ диска и заливается на dvd. никаких антивирей и файерволлов сроду не стояло. при любых проблемах (не обязательно вирусных) тупо  перезаливается образ с двд при загрузке. прог для этого - валом.

а восстановление системы - это зло вдвойне. мало того, что жрёт кучу ресурсов, оно ещё и работает некорректно. например, винда имеет дебильнейшую привычку делать быкапы файлов, которые ей взбрело в голову считать системными. (в частности, "системными" она считает файлы с расширением *.gdb - базы данный Interbase/Firebird). периодически она замечает, что файлы изменились и, ничего не сообщая пользователю, восстанавливает их из архива. это - реальный случай из практики, когда в одной из контор постоянно терялись данный за 1-3 дня, хотя в остальном система работала безупречно.

за такое "восстановление" надо рвать даже не руки, а сразу яйца, чтобы писавший его идиот не вздумал размножаться.

короче, Линух - рулит Улыбаюсь
Записан

Джон
просто
Администратор

de
Offline Offline
Пол: Мужской

« Ответ #7 : 19-07-2009 15:16 » 

Всё это ерунда. Ага Под любой системой хватает своих заморочек. Я ТОЛЬКО винду юзаю, и никакихи антивирей или файеров сроду не ставил и не буду ставить.

Знание системы и грамотное пользование рулит. Ага
Записан

Я вам что? Дурак? По выходным и праздникам на работе работать. По выходным и праздникам я работаю дома.
"Just because the language allows you to do something does not mean that it’s the correct thing to do." Trey Nash
"Physics is like sex: sure, it may give some practical results, but that's not why we do it." Richard P. Feynman
"All science is either physics or stamp collecting." Ernest Rutherford
"Wer will, findet Wege, wer nicht will, findet Gründe."
Finch
Спокойный
Администратор

il
Online Online
Пол: Мужской
Пролетал мимо


« Ответ #8 : 19-07-2009 19:40 » 

Джон, Не всегда верно такое рассуждение. Правильно настроенный файрвол, это великая вешь. Года четыре назад, у моих друзей случилась беда. Девочки стали по рабочему столу развлекаться. Чтоб жена не просекла такое. Решили мы переустановить полностью винду. Выковыривать весь зоопарк вирусов, мне что то не хотелось.
Поставили систему с нуля. С форматированием диска C: Все как положено. У него стояла карточка ATI. Не знаю почему, но у ATI какие то кривые руки. Сколько их продукции видел. Всегда какие то приветы. Так вот в данном случае. Драйвера на диске в поставке были очень не стабильны. Нужно было скачивать с нета новые драйвера. Тогда винда работала стабильно.
Настраиваем и залазием в нет. И тут же ловим MyDOOM. Причем, мы даже еше не успели открыть IE. Чтоб не так обидно было.
Записан

Не будите спашяго дракона.
             Джаффар (Коша)
Джон
просто
Администратор

de
Offline Offline
Пол: Мужской

« Ответ #9 : 19-07-2009 20:38 » 

Вить, при наличии соблюдения условия:

Знание системы и грамотное пользование рулит. Ага

Такое

Девочки стали по рабочему столу развлекаться.

не удовлетворяет условию. Я всегда привожу такю аналогию: "ходить в публичный дом без презерватива". Тому кто туда ходит, без него не обойтись. Ага

ps "На дурака не нужен нож" (с) И файере можно порты открыть из "благих" намерений, так что он станет дырявым как решето, а можно наоборот, позакрывать их и саботирвать работу двух программеров в течении четырёх часов.
« Последнее редактирование: 19-07-2009 20:41 от Джон » Записан

Я вам что? Дурак? По выходным и праздникам на работе работать. По выходным и праздникам я работаю дома.
"Just because the language allows you to do something does not mean that it’s the correct thing to do." Trey Nash
"Physics is like sex: sure, it may give some practical results, but that's not why we do it." Richard P. Feynman
"All science is either physics or stamp collecting." Ernest Rutherford
"Wer will, findet Wege, wer nicht will, findet Gründe."
Finch
Спокойный
Администратор

il
Online Online
Пол: Мужской
Пролетал мимо


« Ответ #10 : 19-07-2009 20:45 » 

Ну а какие условия мы нарушили, следуя твоим рассуждениям, когда на абсолютно девственную систему, на которой из сторонего только стоит драйвера на материнку и драйвер на ADSL модем. Включаемся в нет. И тут же ловим. Тогда кстати самый пик был Прошиб сразу, даже IE не успели запустить. Насколько я помню, эксплуатировал дырку в svhost,
« Последнее редактирование: 19-07-2009 20:47 от Finch » Записан

Не будите спашяго дракона.
             Джаффар (Коша)
Джон
просто
Администратор

de
Offline Offline
Пол: Мужской

« Ответ #11 : 19-07-2009 21:12 » 

Нууууу дык. Чтобы ответить на этот вопрос мне как минимум нужен точный протокол ваших действий, параметры железа и софта, инсталлируемой системы. Ибо одного "залазим в инет" для подцепляния вирусов недостаточно. Схема классическая, проделаная сотни раз на разных стадиях развития винды и её сёрвис паков. И ниразу ещё на этой стадии не "ловил". За всю свою жизнь я лично подцепил вирусы только два раза, по причине собственной глупости. Причём по одинаковому сценарию. Больше такого не повторяю. Так кого ж теперь винить? Признаю, что наличие файера и/или следящего антивиря меня бы спасло, но я лично глубоко убеждён в том, что это только расхолаживает и усыпляет бдительность, а посему не является панацеей. А потраченые трое суток на восстановление очень хорошо дисциплинируют. Запоминаешь надолго, как нииизя делать. И никаких файеров и антивирей.
Записан

Я вам что? Дурак? По выходным и праздникам на работе работать. По выходным и праздникам я работаю дома.
"Just because the language allows you to do something does not mean that it’s the correct thing to do." Trey Nash
"Physics is like sex: sure, it may give some practical results, but that's not why we do it." Richard P. Feynman
"All science is either physics or stamp collecting." Ernest Rutherford
"Wer will, findet Wege, wer nicht will, findet Gründe."
Serg79
Команда клуба

ru
Offline Offline
Пол: Мужской

WWW
« Ответ #12 : 23-07-2009 04:40 » 

короче, Линух - рулит Улыбаюсь
Linux в кривых руках еще та мишень для атак. Особенно с акаутом root:123 .

Особенно радую пользователи научившиеся резать ICMP-echo запросы с помощью iptables, после этого они считают, что их Linux не обрушим как ацки огромная гора. Улыбаюсь
Записан
x77
Команда клуба

ro
Offline Offline
Пол: Мужской
меняю стакан шмали на обратный билет с Марса.


« Ответ #13 : 23-07-2009 04:45 » 

Serg79,  просто не надо вестить на провокации, типа "помогите отладить перловский скрипт" Улыбаюсь тем более, под рутом.
Записан

kok
Интересующийся

ru
Offline Offline

« Ответ #14 : 08-01-2010 16:54 » 

Абсолютно согласна с х77...Линукс, это вещь...юзать в ней одно удовольствие....и проблем с ней гораздо ментше!! Класс!
Записан
Алексей++
глобальный и пушистый
Глобальный модератор

ru
Offline Offline
Сообщений: 13


« Ответ #15 : 08-01-2010 17:07 » 

X-krol-X, ну, к примеру, у меня с виндой нет никаких проблем Улыбаюсь Так что, всё дело вкуса и кривизны рук.
Записан

Sel
Злобный
Администратор

ru
Offline Offline

« Ответ #16 : 08-01-2010 17:27 » 

И что это вылезло???
Записан

Слово не воробей. Всё не воробей, кроме воробья.
Serg79
Команда клуба

ru
Offline Offline
Пол: Мужской

WWW
« Ответ #17 : 08-01-2010 17:31 » 

X-krol-X, с Linux-ом работаю очень давно. В качестве сервера *NIX системы дадут фору любому Windows (только в этом направлении я и работаю с Linux), но в качестве десктопа не то.

Тут недавно ноутбук купил поставил на него Windows 7, никогда не думал что буду такой щенячий восторг испытывать, ну вот всем хороша. Улыбаюсь
Записан
Namad999
Новенький

ru
Offline Offline

« Ответ #18 : 24-07-2012 07:29 » 

пожалуйста помогите!!! я не знаю точно тот ли это вирус но когда я включаю камп вместо ЗАПУСК WINDOWS написано яяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяяя-красным шрифтом . помогите.

да и еше если поскорее нажать  esc+f11 то все запускается
Записан
RXL
Технический
Администратор

ru
Offline Offline
Пол: Мужской

WWW
« Ответ #19 : 24-07-2012 07:48 » 

Namad999, проверь уровень электролита в аккумуляторах упсы. Проблемы с зарядкой приводят к красному смещению. И еще важно давление надува в кулере проца: если оно повышенное, то esc жать не нужно и наоборот.
Записан

... мы преодолеваем эту трудность без синтеза распределенных прототипов. (с) Жуков М.С.
Страниц: [1]   Вверх
  Печать  
 

Powered by SMF 1.1.21 | SMF © 2015, Simple Machines