Часовой пояс: UTC + 3 часа




Начать новую тему Новая тема / Ответить на тему Ответить  Сообщений: 19 
  Версия для печати (полностью) Пред. тема | След. тема 
Автор Сообщение
 

Member
Предупреждение Предупреждение 
Статус: Не в сети
Регистрация: 01.08.2008
Откуда: Град стольный
Друзья, столкнулся с внештатной ситуацией, а может банальной, просто не в курсе. Позвонили клиенты, говорят словили вирус, вроде как с телефона при перекидывании фоток. Хозяин телефона, отец клиентки, божится, что не разу на смарте тырнет не включал, но не суть. Вообщем симптомы такие. В Винде семерке выскакивает строка «выполнить» и там набираются автоматом символы на кириллице. На фоне ошибки в поле с красным крестом, тоже на кириллице. Ничего делать эта хня не дает. Пытаешься убить эту фигню, начинается по новой. Естественно не о каком запуске антивиря из-под винды речи быть не может. Лады. Действую стандартно. Запилил на одну флеху аварийные диски с Касперским и доктором Вебом. Бутнулся. Прогнал из-под чистой среды, предварительно обновив сигнатуры. Ничего не нашел. Бутнулся с лайф-сиди, там тоже есть программулины (Avz, малварбитцы и пр.). Попытался там подрубиться к сети для обновления баз и вдруг начала вылезать та-же бяка. Ну уже более определенная. В строке набирается регедит и автоматом выбрасывает в ветки реестра. Т.е. уже в моей оси, с флехи. Понял, что поврежден бут-сектор скорее всего или что-то около этого. Естественно ничего сделать не удалось. Лады, комп почти нулевый, нет ценной инфы, предлагаю винду перебить. Клиентка согласна. Вставляю флеху с дистрибутивом, гружусь, а там нифигачки не дает сделать с разделами. Гружу опять флеху с лайф-сиди, грохаю разделы через утилиту, форматирую (не было времени делать низкоуровневый формат), вставляю флешку с установщиком и вообщем накатываю десятку. Весь софт в том числе насущный у меня на флешке с реаниматором. Винда встала, стал ставить софт. Залез на флеху лайфа (подспудно понимал, что опасно, но другого выбора не было), поставил все дрова, весь софт, офис и пр. Ничего не предвещало неприятностей. Перед уходом решил проверит работоспособность кой-каких программулин, предварительно выдернув все флехи. И вот здесь здрасьте. Опять байда началась с регедитом.
Вообщем бук забрал с собой. Сейчас форматнул низкоуровнево все флехи. Завтра форматну так же по-полной диск с бука (я его на всякий вытащил и подключу через переходник к своему агрегату, а перед уходом от клиентки поудалял нафиг разделы через партишен мейджик с лайф-сд и форматнул, чтоб домой заразу не принести :-) ).
Вот такая длинная история. Может кто знает панацею на будущее, отзовитесь, плз.

_________________
Тот кто не понял с 3-х раз, поймёт с трёх букв!


Последний раз редактировалось Svenson 07.12.2017 0:50, всего редактировалось 2 раз(а).


Партнер
 

Member
Статус: Не в сети
Регистрация: 21.10.2005
Откуда: и куда?
Фото: 0
Жаль что флеха с рубильником записи сейчас огромная редкость,я вот смотрел 2года назад так и не нашел.

_________________
3570k@4.4/Asrock_Z77_extreme4/2*8 CORSAIR 2133/ Vertex 4 128gb\CrossOver 2755amg/vega56


 

Member
Предупреждение Предупреждение 
Статус: Не в сети
Регистрация: 01.08.2008
Откуда: Град стольный
HANGRY747 Т.е. с защитой на запись? Кстати да. Зловред зараза пересел на мою флеху, а с нее на новую ось. Сейчас максимум стараюсь себя обезопасить с этими флехами и винчем с ноута. Хрен его знает какие там алгоритмы внедрения вируса :-)

_________________
Тот кто не понял с 3-х раз, поймёт с трёх букв!


 

Member
Статус: В сети
Регистрация: 12.06.2009
Откуда: хз не помню
записываешь винду на чистую флешку.
там заходишь в режим восстановление, консоль.
прописываешь.
diskpart
list disk
select disk 0
clean

ставишь винду.

низкоуровневый формат это конечно извращение :lol:


 

Member
Предупреждение Предупреждение 
Статус: Не в сети
Регистрация: 01.08.2008
Откуда: Град стольный
XIMERA123 писал(а):
записываешь винду на чистую флешку.
там заходишь в режим восстановление, консоль.
прописываешь.
diskpart
list disk
select disk 0
clean

ставишь винду.

Ды при чем здесь это? Винду я поставил. Вирус хапанул уже потом с ранее чистой от заразы флешки. Просто ставив с неё софт. При чем из-под уже установленной винды ни разу не запуская стремные экзешники. Вирус барражировал с зараженной оси на загрузочную флешку с реаниматором при чем из под доса, а с неё в уже установленную свежую операционную систему при тривиальной установке ранее неоднократно обкатанного софта. Кроме реаниматора на флеху до этого кинул папку с софтом. Это была фатальная ошибка :-) Флеха с установщиком винды как раз отдельная.
Под рукой было, то что было.
Не знаю насчет извращения низкоуровнего фармата, но решил перебдеть :-)
Собственно вопрос был в чем? Какими средствами при сложившемся раскладе можно было удалить или хотя бы купировать, чтоб не полезла дальше, эту фигню.
Хотя: Можно было бы из консоли хренакнуть разделы, раз установщик не позволял. Но не факт, что потом с флешки не хапнул, которая уже по-ходу была товось к моменту установки винды.

_________________
Тот кто не понял с 3-х раз, поймёт с трёх букв!


 

Member
Статус: В сети
Регистрация: 12.06.2009
Откуда: хз не помню
Svenson писал(а):
Собственно вопрос был в чем? Какими средствами при сложившемся раскладе можно было удалить или хотя бы купировать, чтоб не полезла дальше, эту фигню.

так я же написал как, перебдеть можно командой clean all когда нулями диск забивается, только зачем когда он и так по сути чист?
видишь зараженный комп, лечи его отдельной флешкой после чего также в diskpart clean флешку.
винду ставь отдельной флешкой, не пихая её в загруженный компьютер.


 

Member
Статус: Не в сети
Регистрация: 21.05.2016
Откуда: г. Хабаровск
Цитата:
Хрен его знает какие там алгоритмы внедрения вируса

Вопрос был бы интересен если бы вирус появился при отключенных автостартах со всех дисков,
и отображении всех скрытых файлов.
Почему после установки оси и всех драйверов не подымается рука сделать образ раздела для восстановления ?!


 

Member
Предупреждение Предупреждение 
Статус: Не в сети
Регистрация: 01.08.2008
Откуда: Град стольный
XIMERA123 Да все это так. Но не было времени тянуть софт с тырнета. Там он специфический. Вот и пришлось вставить флешку. Ставил как я и написал с отдельной мультизагрузочной флешки с несколькими осями. Согласен, сам виноват. Проник думается какой-то авторан особо хитрожопый.

Добавлено спустя 4 минуты 21 секунду:
SVG4K писал(а):
Почему после установки оси и всех драйверов не подымается рука сделать образ раздела для восстановления ?!

По той же причине. Ограничение во времени. На счет отключения авостарта -правильная идея.

_________________
Тот кто не понял с 3-х раз, поймёт с трёх букв!


 

Member
Статус: Не в сети
Регистрация: 13.08.2010
Откуда: Новосибирск
У себя в системе, через политики, отключил возможность запуска исполняемых файлов, на всех внешних носителях.


 

Заблокирован
Заблокирован
Статус: Не в сети
Регистрация: 03.12.2017
Ты слышал про новые вирусы, которые могут использовать технологии интел, вирус мог прописаться где то, никто его и не увидит.
https://xakep.ru/2017/11/21/intel-me-flaws/
Прошивать биос надо, а если не выпущена прошивка списываться с производителем железа.
Представители Intel подготовили специальную утилиту для Windows и Linux, при помощи которой пользователи смогут проверить свои компьютеры на предмет уязвимостей.
Вот и смотрите, закрыта ли у вас уязвимость, вы можете владельцу это расказать.


 

Member
Предупреждение Предупреждение 
Статус: Не в сети
Регистрация: 01.08.2008
Откуда: Град стольный
OldRampant писал(а):
У себя в системе, через политики, отключил возможность запуска исполняемых файлов, на всех внешних носителях.

Здравая идея, только что имеется ввиду. Авторан всех исполняемых или вообще запуск? Политики регулируют именно такие тонкости?

Добавлено спустя 2 минуты 13 секунд:
1uz10muz Бук примерно восьмилетней давности, там только система не так давно установлена, не успела разбухнуть. Вряд ли производитель удосужится писать микрокод к древним уже чипсетом.

_________________
Тот кто не понял с 3-х раз, поймёт с трёх букв!


 

Member
Статус: Не в сети
Регистрация: 12.09.2006
Флэшка с защитой от записи или внешний двд тебе помогут. Фишка тут в другом, вирус мог перескочить на другие устройства хозяев ноутбука, например флэшки телефонов. Однажды имел дело с подобной пакостью, появлялась непонятно откуда и никто мне не удосужился сказать что у них в рутере есть пару юсб и в одном из них стоит флэшка. Ставлю ос бам, вирус, магически появлялся, как с неба падал. Короче убедись что все устройства не инфицированы иначе по кругу все пойдет.

_________________
FX6300\4500\7950 + 6600k\4500\GTX970


 

Member
Статус: Не в сети
Регистрация: 21.05.2016
Откуда: г. Хабаровск
Цитата:
Вот и смотрите, закрыта ли у вас уязвимость

Хорошо закрывает все уязвимости - отключение от интернета,
на самый край поднять виртуальную машину с браузером и перехватить сеть/ЮСБ модем.
И флешки тоже туда захватить, и там все проверять антивирусом, если очень надо.


 

Member
Предупреждение Предупреждение 
Статус: Не в сети
Регистрация: 01.08.2008
Откуда: Град стольный
CorniliuS Да уточнял. Не флешки, ничего кроме телефона не подрубали. С телефоном все пучком вроде. Насчет роутера уточню

Добавлено спустя 1 минуту 27 секунд:
SVG4K У людей бук просто для серфинга редактора фоток. Не думаю, что им нужна виртуальная машина.

Добавлено спустя 27 минут 4 секунды:
Ребята, а что скажете насчет самого вируса. Очень уж подозрительный. Скрипт такой, как-будто в реальном времени на клаве кто-то печатает. И в самой оси первоначально, явно не регедит. Символов было явно больше. И еще два нюанса вспомнил. Когда с флехи из-под чистой среды пытался подрубиться к сети, выскакивало окно с совершенно другим именем сети и как-будто та же невидимая клава начинала набирать пароль. Подрубился к нужной сети с попытки пятой и после этого началась чехарда с регедитом. Не может там к ним подсесть малолетний хакер, живущий по соседству и вот так вот изгалятЬся удаленно? Может и бредовая идея, но не стоит ли им посоветовать сменить ключ шифрования через веб-интерфейс роутера и пароль на вход у правайдера?

_________________
Тот кто не понял с 3-х раз, поймёт с трёх букв!


 

Member
Статус: Не в сети
Регистрация: 13.08.2010
Откуда: Новосибирск
Svenson писал(а):
вообще запуск?

Да, запуск любых исполняемых.

#77


 

Member
Статус: Не в сети
Регистрация: 21.05.2016
Откуда: г. Хабаровск
Цитата:
С телефоном все пучком вроде. Насчет роутера уточню

Телефоны бывают с эмуляцией жесткого диска и видны напрямую, такие же разносчики.
Бывало приносят а там "мусорный" вирус который сидит в мусорке на все папки кидает .lnk напоказ. И так по широкому кругу.


 

Member
Статус: Не в сети
Регистрация: 27.06.2009
Откуда: Ефремовка.
Фото: 2
Интересный вирь.


 

Member
Предупреждение 
Статус: Не в сети
Регистрация: 22.05.2017
Откуда: Москва
а видео будет интересно посмотреть. скайнет начало :shock:

_________________
i7-3820 4.6 Mgz | Asus P9X79LE | Kingston 4x4 1666 | aorus 1080ti ee | cooler master predator x3 | DeepCool NEPTWIN V2 | benq EX3200R | Hiper K900


 

Member
Статус: Не в сети
Регистрация: 02.06.2012
Откуда: Україна
Svenson писал(а):
сменить ключ шифрования через веб-интерфейс роутера и пароль на вход у правайдера

Б, а воткнуть кабель напрямую в сетевуху ноута никак?
Svenson писал(а):
Вирус барражировал с зараженной оси на загрузочную флешку с реаниматором при чем из под доса

Да прямо :D

_________________
4-ех фаз хватает, что бы разогнать !!!8-ми ядерный!!! райзен до 3.8-3.9
(c) Lopos, 13.10.2017


Показать сообщения за:  Поле сортировки  
Начать новую тему Новая тема / Ответить на тему Ответить  Сообщений: 19 

Часовой пояс: UTC + 3 часа


Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 4


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Перейти:  





Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB | Kolobok smiles © Aiwan


Яндекс.Метрика