Истории столкновений с вирусами

SkeiF
9/27/2008, 2:35:33 AM
Поделитесь своими историями столкновениями с вирусами. Какие были признаки и как они себя вели.
У меня было несколько интересных столкновений с вирусами. Расскажу самое первое и самое яркое. Это было время, когда на смену Windows 3.*. Пришла новая ОС Windows 95. Как-то придя на работу и включив компьютер обнаружил что система не видит загрузочный винчестер. Попытка восстановить систему через Reanimator никакого толку не дала. Пришлось вызывать головастого знакомого который спал, ел и наверное на толчок ходил в обнимку с компьютером. Начались совместные пляски с бубном вокруг компьютера. Полдня провозились и все безрезультатно. В итоге он забрал компьютер обещал к следующем дню разобраться. Встречаю утром я его на работе, он говорит, что я словил вирус и не простой, а под названием «Чернобыль». От этого вируса у нас полгорода пострадало. Повредил он там что-то аппаратное. Для того чтобы установить систему приходилось извращаться с винчестером. Первый запуск установки делать на другом компьютере. После того как инсталляционная программа скопирует установочные файлы и уходит в перезагруз нужно именно в этот момент вырубить комп. Потом вытащить винчестер и поставить его на тот комп. на котором он будет работать и продолжить установку. Вот таким макаром нам приходилось устанавливать систему не раз. Этот вирус «Чернобыль» активировался раз в год. В годовщину чернобыльской аварии. Наш город еще года 3 лихорадило именно в день чернобыльской аварии. Я еще легко отделался а некоторым приходилось выкидывать либо материнку, либо оперативку, либо винчестер. Я частенько вспоминаю это случай и сравниваю с нынешними вирусами. По с равнении с «Чернобылем» это честно говоря, детский сад какой-то.
P.S. Попозже выложу еще несколько историй, если вас заинтересует эта тема.
P.P.S. Извиняюсь за не литературный слог, не литератор я, да еще писал под 1,5 л. пива.
heep25
9/27/2008, 2:12:43 PM
Был тоже случай центральный процессор начал грузится на 100% причем постоянно Каспер и другие антивирусы все видели но поделать ничего не могли. Поставил программу Download Master не знаю что она уж там выловила но эта фигня прекратилась.
Uncle Hips
9/27/2008, 4:21:04 PM
(heep25 @ 27.09.2008 - время: 10:12) Был тоже случай центральный процессор начал грузится на 100% причем постоянно Каспер и другие антивирусы все видели но поделать ничего не могли. Поставил программу Download Master не знаю что она уж там выловила но эта фигня прекратилась.
Это + )

Однажды блокнотом трояна гонял(всё скрипт пытался набросать). Потом проснулся, похмелился и троян исчез сам собой)
DELETED
10/17/2008, 4:45:59 AM
Чернобыль был страшен тем, что убивал не только данные на винчестере, но и прошивал всякий мусор в постоянную память материнки. Тогда как раз только-только вошли в моду материнки, у которых биос можно было менять прямо на компьютере, не вынимая микросхему ПЗУ. Вот этим и воспользовались. Сколько тогда материнок полегло - жуть. Винчестер он тоже губил, но там всё решалось дискэдитором, в худшем случае PQMagic (или описанным шаманизмом с прерванной установкой винды). А вот убитый биос вылечить без программатора было проблематично. У кого таковой был - озолотились тогда. Меня чернобыль не обидел - у меня тогда 486-я была, с однократной ПЗУ, чихала она на этот WinChih. Да, это было время когда железо было дорогое, а данные стоили дёшево (если, конечно, хватало ума их дублировать) и вирус, убивающий железо, пугал своей необратимостью... С "высоты" ставящих иной раз на деньги в разы больше цены компьютеров порнодиалеров и пасс-тифов это выглядит как старая добрая Большая Берта перед СС-20...
doodge
10/18/2008, 1:56:45 PM
Дааа чернобыль... было дело, но расскажу я вам свою историю...
Значится на работе сеть у нас немного не мало ~80 машин, значиццо стоит нот32 корпоративный....

1) началось все с того что у работников начала отваливаться почта, то бишь к нашему почтовому серваку почтовая прога не могла получить доступ, еще интересно что она к нему цеплялась и постоянно требовала ввод пароля почтового и соответсвенно так до бесконечности его требовала..... (при этом у всех пароль сохранялся, т.е. никогда они его не вводли)

2) в процессе "рытья" откуда ноги растут было обнаружено что этот вирь блокирует кнопку "Диспетчер задач" и не дает уже установленному вирю скачать обновления, если комп ребутнуть он вообще блокирует запуск антивиря, в любом случае (ребутить али нет) не дает поставить антивирусное ПО

3) этот хад поражает систему только ту в которой пользователь заходит под админом машины, либо с соответвующими правами (таковые пользователи у нас есть по необходимости их работы)

NOD32 его определяет как Win32.Sality.AE колбасит до той поры пока его вирь сам не заколбасит.... и затыкается

поставил Symantec прошелся по своей машине - вроде вылечил....
Но попытки просканить удаленный комп - успехом не увенчались, эта зараза еще и в мозгах сидит....

з.ы. кстате блокирует только учетку - т.е. если зайти под второй учеткой админа например - у меня получилось установить антивирь
do-do
10/18/2008, 5:21:14 PM
Вчерась :) Ставил принтер на бухгалтерский комп. ПРинтер USB. Дрова встают, но криво, какие то компоненты не идут.
Пральна - Руткит (троян) любящий Флэшки заражать сидит в системе. LiveCD и он умер - принтер встал :)
DELETED
10/18/2008, 7:16:06 PM
(doodge @ 18.10.2008 - время: 09:56) Дааа чернобыль... было дело, но расскажу я вам свою историю...
Значится на работе сеть у нас немного не мало ~80 машин, значиццо стоит нот32 корпоративный....

1) началось все с того что у работников начала отваливаться почта, то бишь к нашему почтовому серваку почтовая прога не могла получить доступ, еще интересно что она к нему цеплялась и постоянно требовала ввод пароля почтового и соответсвенно так до бесконечности его требовала..... (при этом у всех пароль сохранялся, т.е. никогда они его не вводли)

2) в процессе "рытья" откуда ноги растут было обнаружено что этот вирь блокирует кнопку "Диспетчер задач" и не дает уже установленному вирю скачать обновления, если комп ребутнуть он вообще блокирует запуск антивиря, в любом случае (ребутить али нет) не дает поставить антивирусное ПО

3) этот хад поражает систему только ту в которой пользователь заходит под админом машины, либо с соответвующими правами (таковые пользователи у нас есть по необходимости их работы)

NOD32 его определяет как Win32.Sality.AE колбасит до той поры пока его вирь сам не заколбасит.... и затыкается

поставил Symantec прошелся по своей машине - вроде вылечил....
Но попытки просканить удаленный комп - успехом не увенчались, эта зараза еще и в мозгах сидит....

з.ы. кстате блокирует только учетку - т.е. если зайти под второй учеткой админа например - у меня получилось установить антивирь
В таких случаях просто свирепо рулит Антивирус Зайцева (AVZ). Как антивирь он никакой, хотя какие-то антивирусные базы имеет. Но он предоставляет мощный инструмент анализа системы и блокирования разных странных процессов. Первый признак заразы - если avz.exe не запускается. Переименовываю его в pkzip.exe и начинаю смотреть - кто в памяти живёт. Вири любят делать имя процесса совпадающего с системным. AVZ таких редисок сразу определяет. Ну а дальше дело техники. Даже если убить напрямую не получается (попадаются такие "крепкие орешки") - уже ясно где оно живёт. Цепляешь пассивным хардом и убиваешь его сонного.
NOBODY9999999999
10/20/2008, 7:52:12 PM
Монтажка. Четвертый год. Антивирей нет. Три вируса, все с флешек, все три запускал сам, то по дурости (Winfile), то от скуки (Brontok), то просто у мышки оптика была сбита. Все удалял вручную, от безопасного режима до загрузки с BartPE.
Последнего подцепил "Пенетратора", с месяц назад. Хвала Аллаху, всемилостивейшему и всемилосердному, что у меня хватило ума комп тут же жосско вырубить и перегрузиться в Bart'овскую портативную XP'ю. Потом, после удаления исполняемых файлов виря, вошел в безопасный режим уже на поврежденной системе и навел порядок в реестре. Да, документы, видеофайлы и графику он порезать не успел. Но дяденька Кондратий уже стоял рядышком...
JohnSmyth
10/25/2008, 11:51:46 PM
Был у меня один знакомый. У него была мать на 810. Он панически боялся этого Чернобыля. Но тревога всегда оказывалась ложной. Только нимду три раза ловил за месяц, а все потому, что антивирус был в выключенном состоянии.
KOJLbT
10/29/2008, 4:53:53 AM
Как-то Norton Antivirus выдал сообщение о найденном вирусе. Предложил вылечить. Я согласился, а вирус отказался. Вирус победил и в наказание за мою наглость попортил файловую систему. Пришлось восстанавливать все файлы.
Gorjie
11/11/2008, 12:34:04 PM
Недавно лечил прикольную вирусню. После пяти минут диагностики понял, что это великая вещь, забрал системник на базу и оставшуюся часть дня экспериментировал с удалением и восстановлением системы. Научился лечить разными способами, получил кучу удовольствия :)

Итак, вирус sality.aa.
Имеем: Операцинная система LonerXP, то есть сборка.
Симптомы (указываю только явные, полный список можно найти в описании вируса в вируслисте у Касперят):
- Логические диски не открываются двойным нажатием клавиши мыши.
- Отключает или не дает запустить все антивирусные программы и брендмауэры. Впример Касперский в процессе установки пару десятков раз спрашивает "Вы точно хотите выйти из программы установки?", потом тупо вырубается :) Пардон, все кроме Nod'a. ESET SmartSecurity 3.0.667 оставался запущенным, но толку от него абсолютно никакого.
- Запрещает доступ к реестру и диспетчеру задач.
- Заражает все исполняемые файлы, в т.ч. и антивирусов :) Некоторые зараженные файлы прекращают работать... например HiJacKThis, AVZ и ещё куча программ и компонентов системы типа диспетчера устройств. После лечения KIS 7.0.125 работоспособность не восстанавливается.
- Делает невозможной загрузку в безопасном режиме.
- При подключении к инету создает бешеный траффик, из-за отключенных сетевых экранчиков контролю не поддающийся.
- Запрещает доступ к управлению пользователями и паролями. После создания всеми правдами и неправдами нового пользователя вешает систему.

Найденные способы лечения вируса :)
1. Ламерский
Форматнуть все нафиг, для верности пофиксить загрузочную запись. Равнозначен лечению импотенции ампутацией.
2. Продвинутый ламерский.
Воткнуть зараженный винт в компьютер с нормальным антивирусом и почистить. Способ универсальный, действенный и простой как устройство чугунного лома :)
3. LiveCD
Собсно способ описан в названии. Грузимся с Лайва и лечим. Тут основная сложность - найти таки тот Лайв, который сможет это всё вылечить. Ну и ещё скорость работы системы с LiveCD как правило низкая даже на хороших машинах...
В качестве полезного в этом плане Лайва я видел разве что линуксовую сборку от ДрВеба. Правда она есть бета...
4. Извращенно-мозголомный.
Заливаем на болванку Антивирус Зайцева и Хайджека. Запускаемся в системе, хайджечим всё подозрительное, проверяемся Зайцевым, восстанавливаем загрузку в безопасном режиме, перезагружаемся в указанном режиме.
Далее запускаем залитый на эту же СД Portable-версию Каспера, если найдете рабочую :) Обновляем базы с этой же сидюшки и лечим.
Если Зайцев с Джеком не запускаются, переименовываем avz.exe и HijackThis.exe в какую-нить бНОПНЮ.exe и пробуем снова :)
Недостатки - сложность, заморочность и вообще этот способ напоминает работу сапера. Пропустил процесс или ткнул куда-нить не туда - начинай всю пляску заново.
5. Нормальный
Качаем утилиту Sality Cleaner от неизвестного автора или Sality_off от Касперского, ими выгоняем вирус. Ставим нормальный антивирь, делаем полную проверку и радуемся жизни :)

Хотя нет... жизни радоваться слегка преждевременно. Сначала надо отменить все изменения в системе.
Изменения в реестре лечатся либо Антивирусом Зайцева, либо reg-файлами от того же Касперского.
А вот кучу битых ехе-файлов операционной системы и установленных программ, увы, рационально лечить только переустановкой или мелкомягковским процессом восстановления.
Можно канешн замудриться с заменой файлов на рабочие и переустановкой нерабочих программ... но постоянно жить в осаде, ежеминутно ожидая очередного вылета очередного обнаруженного дохлого файла чессно говоря не охота.

Надеюсь кому-нить пригодится :)
levin91
12/19/2008, 11:42:59 PM
Как-то попала ко мне гадость. Выскакивает сообщение, что найдена шпионская программа. Необходимо срочно установить (и естественно зарегистрировать платно) специальную антишпионскую программу, которая быстро ее ликвидирует. Авастом весь компик просканировал, а он показывает, что эта программа и есть шпион. Только удалить ее Аваст может лишь визуально. Позже на форуме показали, установил спец.программы (3шт.) одна из них и справилась. А больше и проблем не было. За десять лет ни одной.
arakula
12/20/2008, 2:03:20 PM
я ловец редких вирусов) так уж получилось если windows юзаю. Год назад чернобаля на лицензионом диске с игрой поймала. А на днях Цигу успела заразить больше 1000 файлов симптомы зразу незаметила.
В итоге винды у меня больше нету))Ток Линуксу юзаю
Танрида
12/23/2008, 2:54:53 AM
У меня был весьма добрый вирус. Он не делал пакости, но когда печатаешь тект и хочешь что-то перекопировать жмешь- Выделить, затем тыкаешь на Копировать, после нажимаешь Вставить и тут вирус выдает просто " Hello" вместо нужного текста. wink.gif
Пивован
12/25/2008, 11:45:17 PM
Ja Star! Я очень Стар! Я просто суперстар! Шутка, конечно. (С) Б.Сумкин.
Самых гадостей я натерпелся еще от DOS/Win95 вирусов. Первые стелсы - Dir, One Half. Курочили инфу напрочь - шифровали, Инета не было по определению, авири таскались энтузиастами из столицы... Ох! сколько всего было потеряно!
Но были и победы. Уж не знаю где подцепил я урода, лезущего в com-файлы. Был сделан коряво - заражал COM повторно при каждом запуске. Клизма для него не нашлась, пришлось сесть за дебаггер. Нашел точку перехвата, тело. Написал прогу для выкусывания. Блин! На некоторых файлах приходилось по 100 раз шаманить, пока не сдох. Лозинский отреагировал через 6 недель...
DELETED
1/2/2009, 4:55:06 AM
(arakula @ 20.12.2008 - время: 11:03) я ловец редких вирусов) так уж получилось если windows юзаю. Год назад чернобаля на лицензионом диске с игрой поймала. А на днях Цигу успела заразить больше 1000 файлов симптомы зразу незаметила.
В итоге винды у меня больше нету))Ток Линуксу юзаю
Если я не ошибаюсь, то чернобыль (он же ВинЧих) работает только на файловых системах типа ФАТ. Сейчас почти все винды - ХР, которые очень хорошо работают с NTFS, на которых Чих не живет.

Вот тут кое-что:
https://www.antivirus.ru/WinCIH.html
Vertigo
1/2/2009, 6:08:16 AM
Сейчас трояна подцепил. Ну и отловил сразу.
Удивительное детектирование:
https://www.virustotal.com/ru/analisis/28db...6c3285c9defa7f6
Только 6 антивирусов из 38 определили его как троян. Никакого вредоносного действия я за ним не заметил, но тем не менее. Жаль, в eset нельзя на ознакомление послать)
Правда
1/2/2009, 8:45:41 AM
(Vertigo @ 02.01.2009 - время: 02:08) Сейчас трояна подцепил. Ну и отловил сразу.

На Касперского.значит,переходи...Или на DrWeb. biggrin.gif
do-do
1/27/2009, 12:23:49 AM
Поплакаюсь - после этих выходных локалка кишит червяком :)
Conficker.ab
Блин, завтра придется рукоблудить - юзера не накатывали обновлений сколь времени.... Ну и искать достойный инструментарий :) для мочилова...

Зоопарк у меня еще тот 2000,Vista 32/64, Xp 32/64... ну и линухи (но они святое :) )
necron
2/1/2009, 1:38:47 AM
У меня была история, такая: В начале 90-х на горбушке (тогда она еще в парке была, а не как сейчас на бывшем заводе "Рубин") купил диск с играми, ну и довольный установил игру и брату дал чтобы он тоже поиграл. Ну так вот играл все дни на пролет иногда задерживался за машиной до часа ночи, а потом в один прекрасный момент засиделся совсем круто и бац все в игре подвисло. Ну думаю ладно раз машина подвисла, просто выключил питание и пошел спать.
А на утро комп просто отказался загружаться, ну так вот отвез его в магазин где покупал, гарантия была 2 года, а прошел год, ну а там говорят у вас "Чернобыльский вирус", а поскольку биос не защищенный был - он весь биос и переписал, короче пришлось на прошивку деньги давать (не гарантийный случай типа). У брата такая же фигня была- машина отказалась запускаться, с одной только разницей прошивку вирусу у него не удалось переписать до конца- она была защищена от перепрошивки, поэтому он просто переустановил виндос предварительно затерев HD.
Вот такая история и себе испортил и брату помог chair.gif

Сейчас стоит Outpost Antivirus Pro (уже полгода), пока еще ни одну заразу не пропустил на комп, один раз было (в самом начале когда купил только это антивирус всего за 450руб.), но тогда я сам виноват установки были по умолчанию посталены т.е. на минимум. Сейчас загнал их на максимум, любое стороннее приложение внутри компьютера и его изменение фиксирует и мне сообщает я ему подтверждаю что в следующий раз не обращал на это если я не в интернете и все. Зато тьфу-тьфу-тьфу пока ничего не схватил, пару сайтов он забанил там в оболочку вирусы встроены были.