vicnaum (![[info]](http://l-stat.livejournal.com/img/userinfo.gif){kind=small} vicnaum) wrote,@ 2007-08-26 19:24:00 |
|
сказ о вирусе...
Вот он я!
Не ждали?... а я вернулся!
последние 24 часа боролся с вирусом. не на жизнь, а на смерть.
В 22:30 вчера пришел домой, смотрю - скачался крек из осла к одной софтине. Круто, думаю. Проверил антивирем (касперыч, базы свежие, все дела) - всё ок. Запустил и...
..экран потух, комп ушел в ресет..
Всё, думаю. Приехали... Сразу в сейф-мод - хрен, не работает сейфмод. Ну, решил-таки загрузится в винду - смотрю, касперыча нету - удален. Ну, думаю, точно вирус, собака, пролез. Ставлю касперыча с диска - хер там! не ставится! Не может создать файлы kav.exe, kavsvc.exe и т.п. как будто веник read-only. Но все остальные файлы создает... Avast, Antivir, Drweb, .... - один хер - не может создать запускные файлы этих антивирусов... Ну, думаю, неплохо я попал. Достал Dr.Web CureIt - благо, можно было скопировать его под другим именем, но и он (10 дневной давности) - ничего не нашел...
В инет, конечно же не полез. Отправил по внутренней сетке крек через жабберdecilу, чтобы он залил на какойнибудь мультичек сайт, где этот файл проверили бы всеми возможными антивирусами... В итоге - опять, как вы уже догадались, - хер, да еще и с редькой. Dr.Web и какойто BitDefender обнаружили там какой-то старый вирус, который только вырубает SafeMode, удаляя из реестра все ключи в ветке SafeBoot - это мы восстановили - в сейфмод я загрузится уже смог, но толку то - ни один антивирус его не лечит... Вообщем, пришлось товарищу decilу послать этот файлик прямиком в лабораторию касперского (за что ему отдельное спасибо!). Ему там ответили:
Вообщем, "неизвестный науке зверь" оказался!... Он конечно же спросил, где он селится и че делать - бо ни каспера ни поставить, нифига... Ему ответили банальное "обновите антивирусные базы"... да уж... обновлю... без каспера...
На этом решили, что утро вечера мудренее (1:30) и пошли спать...
С утра денег на инете у меня уже не было, пошел к другу с веником, по дороге кинул денег. Касперский у него ставится отказался (из-за ХР-х64), ну скачали последний CureIt (вчерашний) - он там нашел hidr.exe - Win32.Bagle, я уж было обрадовался, но прийдя домой понял, что нифига мы так и не вылечили... рискнул и полез в инет, по дороге поймав кучу вирусов, трояной и прочей лабуды... Зато нашел форум, где человеку с похожей проблемой посоветовали простенькую программку ComboFix. Сохраняешь её на рабочий стол (имеено туда!), закрываешь всё, запускаешь - и она там чето в дос-окне пытается искать... Вообщем после перезагрузки выдало мне пару ключей m_hook в реестре и файлик в windows/system32/drivers/srosa.sys - который они видать и запускали...
Представляете до чего техника зашла... вирусы уже в дровах и сервисах прячутся... кошмар... короче, после удаления этого всего говна я наконец смог установить касперыча, скачать свежие базы (в который кстати уже появился "мой" новоиспеченный вирус Email-Worm.Win32.Bagle.jc) - и просканить весь комп...
Вот с такими трудами я еле выбрался сюда опять. Проблема осложнялась еще тем, что постоянно кончались копейки на инете, а налички у меня и так перед зарплатой нету... Теперь перед 19:00 пришлось с мобилы вылезти, чтобы по вебмани кинуть полбакса на инет и ура! Теперь у меня 1/10ая цента на счету (2 белорусских рубля) :-) Зато я снова тут, и снова работоспособен.
Вот. Так что, господа - отсюль сделаем вывод - обновляйте базы каждый день, не качайте всякую херню из осла, и не запускайте, даже если все антивирусники показывают там "Чисто", а у вас есть хоть малейшее подозрение...
Вот
P.S. прога очень редкая - для сканнера, и для каждой модели сканнеров - своя копия программы со своим ключем - хер сломаешь короче - мороки много... поэтому я и не питал надежды найти крек, но когда нашел - так обрадовался, что потерял голову и бдительность... вот. не повторяйте моих ошибок. Но про это - пожже, отдельным постом про "как я купил очередной сканнер"
Вот он я!
Не ждали?... а я вернулся!
последние 24 часа боролся с вирусом. не на жизнь, а на смерть.
В 22:30 вчера пришел домой, смотрю - скачался крек из осла к одной софтине. Круто, думаю. Проверил антивирем (касперыч, базы свежие, все дела) - всё ок. Запустил и...
..экран потух, комп ушел в ресет..
Всё, думаю. Приехали... Сразу в сейф-мод - хрен, не работает сейфмод. Ну, решил-таки загрузится в винду - смотрю, касперыча нету - удален. Ну, думаю, точно вирус, собака, пролез. Ставлю касперыча с диска - хер там! не ставится! Не может создать файлы kav.exe, kavsvc.exe и т.п. как будто веник read-only. Но все остальные файлы создает... Avast, Antivir, Drweb, .... - один хер - не может создать запускные файлы этих антивирусов... Ну, думаю, неплохо я попал. Достал Dr.Web CureIt - благо, можно было скопировать его под другим именем, но и он (10 дневной давности) - ничего не нашел...
В инет, конечно же не полез. Отправил по внутренней сетке крек через жаббер
decilу, чтобы он залил на какойнибудь мультичек сайт, где этот файл проверили бы всеми возможными антивирусами... В итоге - опять, как вы уже догадались, - хер, да еще и с редькой. Dr.Web и какойто BitDefender обнаружили там какой-то старый вирус, который только вырубает SafeMode, удаляя из реестра все ключи в ветке SafeBoot - это мы восстановили - в сейфмод я загрузится уже смог, но толку то - ни один антивирус его не лечит... Вообщем, пришлось товарищу decilу послать этот файлик прямиком в лабораторию касперского (за что ему отдельное спасибо!). Ему там ответили:Здравствуйте,
vir.exe_ - Email-Worm.Win32.Bagle.jc
Детектирование файла будет добавлено в следующее обновление.
Пожалуйста, при ответе включайте переписку целиком.
--
С уважением, Александр Романенко
Вирусный аналитик Лаборатории Касперского.
e-mail: newvirus@kaspersky.com
http://www.kaspersky.com/
Вообщем, "неизвестный науке зверь" оказался!... Он конечно же спросил, где он селится и че делать - бо ни каспера ни поставить, нифига... Ему ответили банальное "обновите антивирусные базы"... да уж... обновлю... без каспера...
На этом решили, что утро вечера мудренее (1:30) и пошли спать...
С утра денег на инете у меня уже не было, пошел к другу с веником, по дороге кинул денег. Касперский у него ставится отказался (из-за ХР-х64), ну скачали последний CureIt (вчерашний) - он там нашел hidr.exe - Win32.Bagle, я уж было обрадовался, но прийдя домой понял, что нифига мы так и не вылечили... рискнул и полез в инет, по дороге поймав кучу вирусов, трояной и прочей лабуды... Зато нашел форум, где человеку с похожей проблемой посоветовали простенькую программку ComboFix. Сохраняешь её на рабочий стол (имеено туда!), закрываешь всё, запускаешь - и она там чето в дос-окне пытается искать... Вообщем после перезагрузки выдало мне пару ключей m_hook в реестре и файлик в windows/system32/drivers/srosa.sys - который они видать и запускали...
Представляете до чего техника зашла... вирусы уже в дровах и сервисах прячутся... кошмар... короче, после удаления этого всего говна я наконец смог установить касперыча, скачать свежие базы (в который кстати уже появился "мой" новоиспеченный вирус Email-Worm.Win32.Bagle.jc) - и просканить весь комп...
Вот с такими трудами я еле выбрался сюда опять. Проблема осложнялась еще тем, что постоянно кончались копейки на инете, а налички у меня и так перед зарплатой нету... Теперь перед 19:00 пришлось с мобилы вылезти, чтобы по вебмани кинуть полбакса на инет и ура! Теперь у меня 1/10ая цента на счету (2 белорусских рубля) :-) Зато я снова тут, и снова работоспособен.
Вот. Так что, господа - отсюль сделаем вывод - обновляйте базы каждый день, не качайте всякую херню из осла, и не запускайте, даже если все антивирусники показывают там "Чисто", а у вас есть хоть малейшее подозрение...
Вот
P.S. прога очень редкая - для сканнера, и для каждой модели сканнеров - своя копия программы со своим ключем - хер сломаешь короче - мороки много... поэтому я и не питал надежды найти крек, но когда нашел - так обрадовался, что потерял голову и бдительность... вот. не повторяйте моих ошибок. Но про это - пожже, отдельным постом про "как я купил очередной сканнер"
