Member
Статус: Не в сети Регистрация: 01.08.2008 Откуда: Град стольный
Друзья, столкнулся с внештатной ситуацией, а может банальной, просто не в курсе. Позвонили клиенты, говорят словили вирус, вроде как с телефона при перекидывании фоток. Хозяин телефона, отец клиентки, божится, что не разу на смарте тырнет не включал, но не суть. Вообщем симптомы такие. В Винде семерке выскакивает строка «выполнить» и там набираются автоматом символы на кириллице. На фоне ошибки в поле с красным крестом, тоже на кириллице. Ничего делать эта хня не дает. Пытаешься убить эту фигню, начинается по новой. Естественно не о каком запуске антивиря из-под винды речи быть не может. Лады. Действую стандартно. Запилил на одну флеху аварийные диски с Касперским и доктором Вебом. Бутнулся. Прогнал из-под чистой среды, предварительно обновив сигнатуры. Ничего не нашел. Бутнулся с лайф-сиди, там тоже есть программулины (Avz, малварбитцы и пр.). Попытался там подрубиться к сети для обновления баз и вдруг начала вылезать та-же бяка. Ну уже более определенная. В строке набирается регедит и автоматом выбрасывает в ветки реестра. Т.е. уже в моей оси, с флехи. Понял, что поврежден бут-сектор скорее всего или что-то около этого. Естественно ничего сделать не удалось. Лады, комп почти нулевый, нет ценной инфы, предлагаю винду перебить. Клиентка согласна. Вставляю флеху с дистрибутивом, гружусь, а там нифигачки не дает сделать с разделами. Гружу опять флеху с лайф-сиди, грохаю разделы через утилиту, форматирую (не было времени делать низкоуровневый формат), вставляю флешку с установщиком и вообщем накатываю десятку. Весь софт в том числе насущный у меня на флешке с реаниматором. Винда встала, стал ставить софт. Залез на флеху лайфа (подспудно понимал, что опасно, но другого выбора не было), поставил все дрова, весь софт, офис и пр. Ничего не предвещало неприятностей. Перед уходом решил проверит работоспособность кой-каких программулин, предварительно выдернув все флехи. И вот здесь здрасьте. Опять байда началась с регедитом. Вообщем бук забрал с собой. Сейчас форматнул низкоуровнево все флехи. Завтра форматну так же по-полной диск с бука (я его на всякий вытащил и подключу через переходник к своему агрегату, а перед уходом от клиентки поудалял нафиг разделы через партишен мейджик с лайф-сд и форматнул, чтоб домой заразу не принести ). Вот такая длинная история. Может кто знает панацею на будущее, отзовитесь, плз.
_________________ Тот кто не понял с 3-х раз, поймёт с трёх букв!
Последний раз редактировалось Svenson 07.12.2017 0:50, всего редактировалось 2 раз(а).
Member
Статус: Не в сети Регистрация: 01.08.2008 Откуда: Град стольный
HANGRY747 Т.е. с защитой на запись? Кстати да. Зловред зараза пересел на мою флеху, а с нее на новую ось. Сейчас максимум стараюсь себя обезопасить с этими флехами и винчем с ноута. Хрен его знает какие там алгоритмы внедрения вируса
_________________ Тот кто не понял с 3-х раз, поймёт с трёх букв!
Member
Статус: Не в сети Регистрация: 01.08.2008 Откуда: Град стольный
XIMERA123 писал(а):
записываешь винду на чистую флешку. там заходишь в режим восстановление, консоль. прописываешь. diskpart list disk select disk 0 clean ставишь винду.
Ды при чем здесь это? Винду я поставил. Вирус хапанул уже потом с ранее чистой от заразы флешки. Просто ставив с неё софт. При чем из-под уже установленной винды ни разу не запуская стремные экзешники. Вирус барражировал с зараженной оси на загрузочную флешку с реаниматором при чем из под доса, а с неё в уже установленную свежую операционную систему при тривиальной установке ранее неоднократно обкатанного софта. Кроме реаниматора на флеху до этого кинул папку с софтом. Это была фатальная ошибка Флеха с установщиком винды как раз отдельная. Под рукой было, то что было. Не знаю насчет извращения низкоуровнего фармата, но решил перебдеть Собственно вопрос был в чем? Какими средствами при сложившемся раскладе можно было удалить или хотя бы купировать, чтоб не полезла дальше, эту фигню. Хотя: Можно было бы из консоли хренакнуть разделы, раз установщик не позволял. Но не факт, что потом с флешки не хапнул, которая уже по-ходу была товось к моменту установки винды.
_________________ Тот кто не понял с 3-х раз, поймёт с трёх букв!
Member
Статус: Не в сети Регистрация: 12.06.2009 Откуда: хз не помню
Svenson писал(а):
Собственно вопрос был в чем? Какими средствами при сложившемся раскладе можно было удалить или хотя бы купировать, чтоб не полезла дальше, эту фигню.
так я же написал как, перебдеть можно командой clean all когда нулями диск забивается, только зачем когда он и так по сути чист? видишь зараженный комп, лечи его отдельной флешкой после чего также в diskpart clean флешку. винду ставь отдельной флешкой, не пихая её в загруженный компьютер.
Хрен его знает какие там алгоритмы внедрения вируса
Вопрос был бы интересен если бы вирус появился при отключенных автостартах со всех дисков, и отображении всех скрытых файлов. Почему после установки оси и всех драйверов не подымается рука сделать образ раздела для восстановления ?!
Member
Статус: Не в сети Регистрация: 01.08.2008 Откуда: Град стольный
XIMERA123 Да все это так. Но не было времени тянуть софт с тырнета. Там он специфический. Вот и пришлось вставить флешку. Ставил как я и написал с отдельной мультизагрузочной флешки с несколькими осями. Согласен, сам виноват. Проник думается какой-то авторан особо хитрожопый.
Добавлено спустя 4 минуты 21 секунду:
SVG4K писал(а):
Почему после установки оси и всех драйверов не подымается рука сделать образ раздела для восстановления ?!
По той же причине. Ограничение во времени. На счет отключения авостарта -правильная идея.
_________________ Тот кто не понял с 3-х раз, поймёт с трёх букв!
Ты слышал про новые вирусы, которые могут использовать технологии интел, вирус мог прописаться где то, никто его и не увидит. https://xakep.ru/2017/11/21/intel-me-flaws/ Прошивать биос надо, а если не выпущена прошивка списываться с производителем железа. Представители Intel подготовили специальную утилиту для Windows и Linux, при помощи которой пользователи смогут проверить свои компьютеры на предмет уязвимостей. Вот и смотрите, закрыта ли у вас уязвимость, вы можете владельцу это расказать.
Member
Статус: Не в сети Регистрация: 01.08.2008 Откуда: Град стольный
OldRampant писал(а):
У себя в системе, через политики, отключил возможность запуска исполняемых файлов, на всех внешних носителях.
Здравая идея, только что имеется ввиду. Авторан всех исполняемых или вообще запуск? Политики регулируют именно такие тонкости?
Добавлено спустя 2 минуты 13 секунд: 1uz10muz Бук примерно восьмилетней давности, там только система не так давно установлена, не успела разбухнуть. Вряд ли производитель удосужится писать микрокод к древним уже чипсетом.
_________________ Тот кто не понял с 3-х раз, поймёт с трёх букв!
Флэшка с защитой от записи или внешний двд тебе помогут. Фишка тут в другом, вирус мог перескочить на другие устройства хозяев ноутбука, например флэшки телефонов. Однажды имел дело с подобной пакостью, появлялась непонятно откуда и никто мне не удосужился сказать что у них в рутере есть пару юсб и в одном из них стоит флэшка. Ставлю ос бам, вирус, магически появлялся, как с неба падал. Короче убедись что все устройства не инфицированы иначе по кругу все пойдет.
Хорошо закрывает все уязвимости - отключение от интернета, на самый край поднять виртуальную машину с браузером и перехватить сеть/ЮСБ модем. И флешки тоже туда захватить, и там все проверять антивирусом, если очень надо.
Member
Статус: Не в сети Регистрация: 01.08.2008 Откуда: Град стольный
CorniliuS Да уточнял. Не флешки, ничего кроме телефона не подрубали. С телефоном все пучком вроде. Насчет роутера уточню
Добавлено спустя 1 минуту 27 секунд: SVG4K У людей бук просто для серфинга редактора фоток. Не думаю, что им нужна виртуальная машина.
Добавлено спустя 27 минут 4 секунды: Ребята, а что скажете насчет самого вируса. Очень уж подозрительный. Скрипт такой, как-будто в реальном времени на клаве кто-то печатает. И в самой оси первоначально, явно не регедит. Символов было явно больше. И еще два нюанса вспомнил. Когда с флехи из-под чистой среды пытался подрубиться к сети, выскакивало окно с совершенно другим именем сети и как-будто та же невидимая клава начинала набирать пароль. Подрубился к нужной сети с попытки пятой и после этого началась чехарда с регедитом. Не может там к ним подсесть малолетний хакер, живущий по соседству и вот так вот изгалятЬся удаленно? Может и бредовая идея, но не стоит ли им посоветовать сменить ключ шифрования через веб-интерфейс роутера и пароль на вход у правайдера?
_________________ Тот кто не понял с 3-х раз, поймёт с трёх букв!
С телефоном все пучком вроде. Насчет роутера уточню
Телефоны бывают с эмуляцией жесткого диска и видны напрямую, такие же разносчики. Бывало приносят а там "мусорный" вирус который сидит в мусорке на все папки кидает .lnk напоказ. И так по широкому кругу.
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 16
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете добавлять вложения