После каждой перезагрузки появляется вирус

Обновлено: 17.04.2024

Привет, GT! Зоопарк всевозможных вирусов растет с каждым годом, благо фантазии их создателям не занимать. Конечно, с рядом самых распространенных зловредов успешно справляются антивирусы, притом даже бесплатные их версии или же встроенные в саму ОС. С популярными шифровальщиками тоже худо-бедно бороться научились (на сайтах известных антивирусных компаний есть раздел с услугами по расшифровке или генерации кода, если вам известен кошелек или email, на который авторы зловреда просят перевести средства).

Обычные вирусы оставляют следы на зараженной машине — какие-нибудь подозрительные исполняемые файлы, файлы библиотек или просто огрызки зловредного кода, которые в состоянии обнаружить антивирус или же правильный админ. Нахождение и выявление таких следов помогают идентифицировать вирус, а значит – удалить его и минимизировать последствия.

Но противостояние меча и щита — штука вечная, и компьютерные зловреды не ограничиваются только теми, что оставляют какие-то следы на накопителях. Ведь если вирус размещается и действует только внутри оперативной памяти, не соприкасаясь с жестким диском или SSD, значит, следов на них он тоже не оставит.




В 2014 году был ряд новостей о так называемых RAM malware, но тогда это относилось к довольно узкой группе поражаемых устройств — к платежным терминалам.

Данные транзакций считаются защищенными, так как хранятся в зашифрованном виде на серверах платежных систем. Но существует очень короткий период времени, в течение которого информация для авторизации платежа хранится в виде plain text. Причем хранится именно в оперативной памяти платежного терминала.

Само собой, хакерам этот кусок показался слишком лакомым, чтобы просто так пройти мимо него, и на свет появились зловреды, собирающие информацию из RAM POS-терминалов — номера карт, адреса, коды безопасности и имена пользователей.

А затем кто-то решил пойти дальше, вспомнив, что у компьютеров тоже есть оперативная память.

RAM-only


Как проходит заражение машины в таком случае:

  • зловред прописывает себя непосредственно в оперативную память, минуя жесткие диски
  • из-за этого при проверке безопасности его не получается обнаружить
  • для прописывания зловреда в память злоумышленники использовали популярные средства администрирования — PowerShell, Mimikatz, Metasploit
  • для передачи данных использовались сайты, созданные на национальных доменах таких стран как Габон, Центральноафриканская Республика и Мали. Их домены характерны тем, что они не сохраняют WHOIS-информацию о том, кому принадлежал конкретный домен, после истечения срока его продления. То есть еще минус одна возможность как-то отследить злоумышленника.

Найти такие вирусы трудно, потому что в привычном виде они на самом деле не оставляют следов. Нет каких-то установленных приложений. Нет отдельных файлов, раскиданных в разных папках, включая системные или скрытые.

Но где-то же они оставляют следы?

Само собой, если вирус не оставляет следов на накопителях, на них нет и особого смысла искать. И что тогда? Правильно — реестр, дампы памяти и сетевая активность. Надо же ему как-то прописать себя в память (причем так, чтобы сохранять работоспособность и после перезагрузки машины), а затем как-то передавать данные на сервер злоумышленника.

Специалисты “Лаборатории Касперского” тщательно проанализировали дампы памяти и записи реестра с машин, подвергшихся заражению, и с помощью Mimikatz и Meterpreter смогли реконструировать атаку.



Фрагмент кода, загруженного с помощью Meterpreter с сайта adobeupdates.sytes[.]net


Скрипт, сгенерированный фреймворком Metasploit.
Выделяет необходимое количество памяти, использует WinAPI и загружает утилиту Meterpreter прямо в оперативную память.

Стоит ли опасаться подобного

С одной стороны – безусловно да. Вирус, каким бы он ни был, направлен не на то, чтобы сделать вашу работу за компьютером более комфортной.

С другой стороны, не так сильно (пока не так сильно), как обычных вирусов и тех же шифровальщиков. Хотя бы потому, что на данный момент главная цель подобных атак — финансовые учреждения, а не обычные пользователи.

Но кто знает, как часто таких зловредов будут создавать и использовать уже в ближайшее время.


Напоминаем, что весна — отличный повод обновляться не только листочкам на деревьях, но и системным блокам у вас под столом. Специально для этого у Kingston действуют акции в магазинах-партнерах. Например, в сети DNS до 15 апреля можно со скидкой купить оперативную память Kingston SO-DIMM, подробности — здесь. В Юлмарте до 18 апреля проходит акция и действуют специальные цены на модули памяти Kingston и HyperX для компьютеров и ноутбуков по промокоду KINGMEM. А в магазинах Ситилинк до 7 апреля скидки распространяются сразу на несколько видов оперативки, и там также важно не забывать вводить промокод — DDR3HX. Так что есть смысл поспешить за новой памятью и выгодно обновиться.

Для получения дополнительной информации о продукции Kingston и HyperX обращайтесь на официальный сайт компании.

Добрый день. Подхватил вирус, установлен старый ESET smart security, который вроде бы удаляет пару десятков вирусов из папки RunDLL. Но при перезагрузке ESET находит те же вирусы на том же месте. Причём если отключить интернет они не появляются, похоже подгружаются по сети, а не только сидят на компе. Чистка с загрузочной флешки с cure.it нашла те же вирусы, но при перезагрузке они снова восстановились. Из симптомов - блокируются сайты с антивирусами и средствами лечения - браузер просто закрывается, и постоянно закрываются виджеты рабочего стола
CollectionLog приложил

Вирусы сами восстанавливаются после проверки антивирусниками
win 10 pro. вообщем недавно начал глючить гугл хром, на одном сайте есть звук а на другом.


Переустановка Windows при каждой перезагрузке
Добрый день, форумчане. Надоели студенты, раз в неделю после них приходится чистить компьютеры.

Решение

  • Обратите внимание: будет выполнена перезагрузка компьютера.
  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Прикрепляю отчеты
Я похоже выяснил, откуда конкретно взялись вирусы. Ребенок скачал с какого-то сомнительного трекера игру(

  • Обратите внимание: будет выполнена перезагрузка компьютера.

Слетает драйвер Blutooth при каждой перезагрузке
установил недавно windows 10. Слетает драйвер blutooth при каждой перезагрузки ПК. Что делать?

Система сбрасывается при каждой перезагрузке, не дает восстановиться
Оставлял этот вопрос в разделе по лечению компьютерных вирусов, но меня направили сюда. Копирую.

Система сбрасывается при каждой перезагрузке, не даёт восстановиться
Добрый день! С неделю назад появилась такая проблема: после полного выключения ноутбука, при.

При каждой перезагрузке требует пройти проверку диска и памяти
Прошло несколько лет - каждый день я при перезапуске вынужден сбрасывать проверку диска. А.

Файлы TMP копируются при каждой перезагрузке системы на основной диск в корень
Доброго времени суток! Помогите пожалуйста, файлы cdt7C00cdt.tmp копируются в большом количестве.

svgaryaev

Воспользуйся AutoRuns, он покажет все возможные типы автозагрузки и задачи планировщика, а подозрительные даже выделит красным. И Process Monitor, как советовал Stalker_RED (как работать с ним хорошо показаноздесь).

Добавлю отсебятины:
1.Удалите не известный софт, который может установиться в комплекте с другим софтом.
2.Загрузитесь с какого-либо live носителя, с него почистите каталоги %TEMP% всех пользователей, удалите подозрительные исполняемые файлы/каталоги в профилях пользователей и в системном каталоге.
3.Загрузитесь в нормальном режиме и воспользуйтесь autoruns, там удалите из автозагрузки все то что вы не сможете опознать.
4.Работайте на компе с правами пользователя, администратору и пользователю дайте нормальный пароль, включите контроль учетных записей (если выключен).

res2001, к папкам %TEMP% я бы добавил папки System Volume Information, $RECYCLE.BIN и RECYCLER (Корзина) на всех разделах всех дисков. Не всё содержимое удастся удалить (то, что используется в данный момент, система не позволит), но что удастся - надо удалить.

NeiroNx

Сноси систему, ставь чистую проверенную с закрытыми критичными дырами. Ты его не найдешь, раз пришол спросить здесь. Хотя если очень хочется можно попытаться, avz4, SysinternalsSuite в помощь. А еще может антивирус "шалить" - сам находит, сам лечит, показывает полезность.

Утилита называется Process Monitor, она же и обращения в реестр умеет отслеживать.

Настоятельно рекомендую воспользоваться AVZ.

ArteMoon

Попробуйте проверить компьютер сканером Zemana Anti-malware. Обычно она находит и удаляет подробные угрозы.

SLYzhuk

athacker

В данном случае, антивирус у вас лечит последствия -- бинарник с рабочей нагрузкой. А дроппер либо висит в памяти и не оставляет следов, либо проламывается сквозь непропатченную дыру в системе с какой-либо другой машины в сети (или в интернете). Выводите сервак в оффлайн, грузитесь с какого-нибудь liveCD и проверяйте диски, желательно несколькими инструментами -- AVZ, DrWeb CureIT, ещё что-нибудь.

Затем надо запустить сервер в изолированном сегменте и проставить все обновления, причёмкрайне желательно выпускать в интернет не напрямую, а через прокси, с логированием всех запросов с сервера. После этого наблюдать.

В планировщике может задача висеть. AVZ может прочитать.
Раз в день задача запускается и качает мусор.

Я бы также все лишние модули в профиле поудалял и почистил все временные папки.
Программы инсталлируется в Program Files, но у некоторого полезного софта типа дропбокса может быть инсталляция в профиль. Во всяком случае не думаю, что их много и их можно вручную проанализировать (для поиска файлов юзаю фар)


Как уже говорилось в предыдущей части — вирусы это неотъемлемая часть мира компьютерных технологий и Интернета. Они бывают разные: забавные и безвредные, большие и сложные, быстрые и разрушительные, шпионские и даже диверсионные. Создатели этих программ явно обладают светлым умом, но не всегда чистой совестью. Сегодня мы познакомимся с вирусами, которые не вошли в подборку предыдущей части. Поехали.



Возможно первая программа, которая может именоваться интернет червем. Была обнаружена в начале 70-ых, а распространялась через ARPANET (предшественник современного Интернета).

История создания и даже самого существования Creeper окутана тайнами, теориями и неточностями. Кто-то говорит, что программа вышла в мир в начале 70-ых, а кто-то считает, что еще в конце 1960-ых. Известно, что Creeper была написана Бобом Томасом. Он также был автором подсистемы RSEXEC ОС Tenex, на базе которой Creeper и действовал.

Далее Рэй Томлинсон, коллега Боба Томаса, написал программу REAPER, задачей которой был поиск и уничтожение Creeper. Таким образом появилась первая программа-нематода — простыми словами, вирус, который уничтожает другой вирус.

Еще один представитель ранних форм вирусов. Был написан Ричардом Скрента, парнем 15 лет, специально под Apple II.

Elk Cloner: The program with a personality

It will get on all your disks
It will infiltrate your chips
Yes it's Cloner!

It will stick to you like glue
It will modify ram too
Send in the Cloner!



If you install [this] on a microcomputer…
then under terms of this license you agree to pay PC Cyborg Corporation in full for the cost of leasing these programs…

In the case of your breach of this license agreement, PC Cyborg reserves the right to take legal action necessary to recover any outstanding debts payable to PC Cyborg Corporation and to use program mechanisms to ensure termination of your use…

These program mechanisms will adversely affect other program applications…

You are hereby advised of the most serious consequences of your failure to abide by the terms of this license agreement; your conscience may haunt you for the rest of your life… and your [PC] will stop functioning normally…

You are strictly prohibited from sharing [this product] with others…

ATTENTION I have been elected to inform you that throughout your process of :collecting and executing files, you have accdientally (sic) ¶HÜ¢KΣ► [PHUCKED] :yourself over: again, that's PHUCKED yourself over. No, it cannot be; YES, it CAN be, :a √ìτûs [virus] has infected your system. Now what do you have to say about that? :HAHAHAHAHA. Have ¶HÜÑ [PHUN] with this one and remember, there is NO cure for

AIDS (огромным шрифтом).

CIH фактически имел два варианта исхода своей деятельности, оба активировались 26 апреля. В первом случае вирус перезаписывал жесткий диск, начиная с сектора 0, используя бесконечную петлю, пока система полностью не упадет. Второй вариант — атака на Flash BIOS и попытка повреждения хранимых там данных, что приводило к тому, что ничего не отображалось, когда компьютер запускался. Жертвами вируса были машины под ОС Windows 95, 98 и ME.

Жертвами вируса CIH стало огромное число компьютеров и компаний. В Корее пострадало около 1 миллиона ПК, а ущерб составил $250 миллионов. Также пострадали и Бостонский Университет (данные учащихся были удалены прямо перед экзаменами), 200 компьютеров в Сингапуре, 100 в Гонг Конге, 10 крупных компаний в Индии и другие.

CIH так сильно распространился, что даже некоторые программы, поставляемые на рынок, были им заражены, включая игру Wing Commander, обновления драйверов для CD-R400 от компании Yamaha, и даже компьютеры Aptiva от компании IBM вышли на рынок с пре-установленным вирусом.


Один из самых распространенных вирусов середины 90-ых. После заражения вирус устанавливал себя в Master boot record загрузочного диска. Инфицировал память компьютера при загрузке ОС, после чего перехватывал прерывание INT 21h. При каждом запуске ПК, вирус шифровал 2 дорожки на жестком диске.

Зашифрованные части диска не могли больше быть использованы системой, потому даже удаление вируса не ликвидировало проблему полностью.

OneHalf является представителем стелс-вирусов, поскольку использовал полиморфные методы распространения, что не давало возможности большинству антивирусов его обнаружить.

Когда в свет вышла ОС Windows 95 и более новые версии, вирус OneHalf практически вымер.

Morris worm



Роберт Таппан Моррис

Скандально известный сетевой червь. Был зафиксирован первый раз 2 ноября 1988 года, за что получил свое альтернативное название — Internet worm of November 2, 1988. Наделал немало шума в период своего существования.

Творцом червя стал Роберт Таппан Моррис, аспирант Корнеллского университета. Роберт не собирался заражать весь ARPANET, он думал, что его творение будет инфицировать только VAX-компьютеры с операционными системами 4BSD и Sun 3. Но у червя был портируемый Си-код, что дало ему возможность распространяться и на других машинах.

Как действовал червь. Для начала он проводил сканирование компьютера, пытаясь выяснить заражен ли он уже или нет. Потом случайным образом перезаписывал себя для того, чтобы обеспечить свою незаметность. Основой деятельности червя была уязвимость в почтовом сервере Sendmail, сервисах Finger, rsh/rexec с подбором паролей по словарю. Данный словарь состоял из 400 ключевых слов, всего лишь. А учитывая, что в те времена мало кто уделял должное внимание безопасности, логин и пароль частенько совпадали. Чтобы скрыть свой след Morris worm удалял свои исполняемые файлы, переименовывал свой процесс в sh.

Ирония заключается в том, что отцом Роберта, автора червя, был компьютерный эксперт АНБ. Он посоветовал сыну сдаться властям, что последний и сделал. Так случилось первое в истории судебное дело по статье Computer Fraud and Abuse Act (1986). Роберту грозило 5 лет тюрьмы и 250 000 долларов штрафа. Но за счет того, что он сам себя сдал, ему присудили 3 года условно, 10 000 штрафа и 400 часов общественных работ.

Red October


Любители фильмов про Джеймса Бонда и все шпионское, этот пункт для вас. В октябре 2012 года антивирусная компания Kaspersky Lab обнаружила шпионскую вредоносную программу.

Исследователи данного вируса заявили, что он активно функционировал по всему миру в течении 5 лет, прежде чем его обнаружили. Вирус собирал и передавал своим создателям информацию различного характера (секретную, дипломатическую, государственную, персональную и т.д.). Вирус распространялся через электронное письмо с зараженным файлом, и использовал для своего дальнейшего распространения уязвимости в Microsoft Word и Excel. Позднее была обнаружена веб-страничка, которая использовала уязвимость плагина Java.

После разоблачения, доменные регистраторы и хостинг-компании по всему миру прикрыли порядка 60 доменных имен, которые использовались вирусом Red October. Сами же злоумышленники после такого поворота событий прекратили распространение Red October.

До сих пор неизвестно кто является автором Red October и какие именно цели он (или они) преследовали.

Cookie Monster

Конечно же, Cookie Monster нельзя назвать вирусом (хотя многие источники именно так его и называют), поскольку у него нет механизма репликации и распространения. Но, все же, Cookie Monster можно отнести с программам вредоносного характера, хоть и вреда особо не было.


Не просто один вирус, а целое семейство вирусов под названием Ontario, первый представитель которого был обнаружен еще в июле 1990 года — Ontario.512.

Также вирус содержал зашифрованный текст:

С появлением ОС Windows распространение вирусов Ontario начало уменьшатся. И уже к 2006 году они фактически вымерли.


В одной из версий вируса (их было две: a и b) присутствовало послание автора следующего содержания:

Delphi-the best. Fuck off all the rest. Neshta 1.0. Made in Belarus. Прывiтанне ўсiм ~цiкавым~ беларус_кiм дзяўчатам. Аляксандр Рыгоравiч, вам таксама. Восень — кепская пара… Алiварыя — лепшае пiва! Best regards 2 Tommy Salo. [Nov-2005] yours [Dziadulja Apanas]

Вирус Neshta так сильно подпортил всем нервы, что правоохранительные органы Белоруссии обьявили охоту на его автора, но, как известно, безрезультатно.

Один из самых примечательных червей. Стал первым червем способным запускаться без необходимости открытия зараженного электронного письма. Первым начал модифицировать сайты, дабы предлагать пользователю скачать файл (содержащий червя, естественно).

Для своего распространения Nimda использовал не один метод, а целых 5:

  • Электронная почта;
  • Открытые общие сетевые ресурсы;
  • Зараженные веб-сайты;
  • Уязвимости в IIS;
  • Бэкдоры, оставленные в системах червями-предшественниками Code Red II и sadmind/IIS

Зараженные сайты

На зараженном червем сайте имеется код JavaScript, который заставляет браузер скачивать файл README.EML, содержащий червя:

Файл README.EML откроется в уменьшенном окне, если пользователь использует браузер Explorer 5.5 с Service Pack 1 (или более ранние версии пакетов обновлений). Есть вероятность, что таким методом червь не может заразить системы Windows NT или Windows 2000.

Электронная почта

Локальные сети

В случае подключения к локальной сети с зараженным ПК, машина-жертва получит файл RICHED20.DLL, размещенный в любой из папок с файлами расширения .doc или .eml. Эти файлы будут скрыты.

Червь Nimda (admin задом наперед) заражал персональные компьютеры на системах Windows 95, 98, NT, 2000 или XP и серверы на Windows NT и Windows 2000.

CryptoLocker


Тут пойдет речь не просто о вредоносном ПО, а о целой кибератаке, произведенной с его помощью. В период с 5 сентября 2013 года по май 2014 многие пользователи ОС Windows стали жертвами вымогателей.

В ноябре 2013 года творцы CryptoLocker пошли еще дальше в своей наглости и уверенности в безнаказанности. Они открыли онлайн-центр, где жертвы могли выплатить выкуп за свои данные, даже если прошел дедлайн (в таком случае цена увеличивалась до 10 биткойнов).

2 июня 2014 года было официально заявлено о проведении ранее операции Tovar, в результате которой был ликвидирован ботнет Gameover Zeu, использованный для распространения CryptoLocker. Одним из обвиняемых стал российский хакер по имени Евгений Богачёв. По данным, собранным исследователями атаки, хакеры-вымогатели обогатились на 3 миллиона долларов.


Червь года 2004, если можно так выразиться.

Текст письма содержал следующее:

You were successful in the auction.

(где **** **** **** — набор случайных цифр)

A detailed description about the product and the bill
are attached to this mail.
Please contact the seller immediately.

prod_info_04155.bat
prod_info_04650.bat
prod_info_33462.cmd
prod_info_33967.cmd
prod_info_42313.pif
prod_info_42314.pif
prod_info_42818.pif
prod_info_49146.exe
prod_info_49541.exe
prod_info_54234.scr
prod_info_54235.scr
prod_info_54739.scr
prod_info_33325.txt.exe.zip
prod_info_33543.rtf.scr.zip
prod_info_34157.htm.exe.zip
prod_info_43631.doc.exe.zip
prod_info_43859.htm.scr.zip
prod_info_47532.doc.scr.zip
prod_info_54433.doc.exe.zip
prod_info_55761.rtf.exe.zip
prod_info_56474.txt.exe.zip
prod_info_56780.doc.exe.zip
prod_info_65642.rtf.scr.zip
prod_info_77256.txt.scr.zip
prod_info_87968.htm.scr.zip

При открытии зараженного файла вирус создавал мьютекс, предотвращающий запуск более чем одной копии червя, который копировал себя в папку Windows под именем Services.exe. Далее Netsky добавлял в реестр специальную запись, позволяющую ему запускаться при включении компьютера. Еще одной, весьма забавной, особенностью червя было удаление им записей Taskmon и Explorer из реестра ключей, которые были там оставлены другим червем Mydoom.

doom2.doc.pif
sex sex sex sex.doc.exe
rfc compilation.doc.exe
dictionary.doc.exe
win longhorn.doc.exe
e.book.doc.exe
programming basics.doc.exe
how to hack.doc.exe
max payne 2.crack.exe
e-book.archive.doc.exe
virii.scr
nero.7.exe
eminem — lick my pussy.mp3.pif
cool screensaver.scr
serial.txt.exe
office_crack.exe
hardcore porn.jpg.exe
angels.pif
porno.scr
matrix.scr
photoshop 9 crack.exe
strippoker.exe
dolly_buster.jpg.pif
winxp_crack.exe

Результатом деятельности червя было сильное замедление, а порой и падение, работы компьютеров, что, в свою очередь, привело к колоссальным финансовым потерям. Они составили примерно от 25,6 до 31,3 миллиардов долларов по всему миру.

Автором сего творения считается Свен Яшан (Sven Jaschan), студен из Германии. Он также является автором червя Sasser (о нем в следующем блоке). Свен был пойман и осужден к 21 месяцу условно и 30 часам общественных работ.

Еще одно творение Свена Яшана. Датируется 2004 годом. Наделал немало шума и вреда в финансовом эквиваленте, хотя изначально не имел такой цели.

Червь распространялся, используя уязвимость в службе LSASS Microsoft Windows, при этом не требовал никаких действий со стороны пользователя-жертвы для активации.

Sasser создавал FTP сервер на порту 5554 для своего распространения. На диске С червь создавал файл под рутом с именем win.log, который содержал IP адрес компьютера, который червь пытался заразить в последнее время. Также червь использовал Windows API для проверки IP адреса системы, чтобы в дальнейшем на его основе сгенерировать новый адрес. в 25% случаев первые 2 цифры сгенерированного адреса совпадают с хостом, когда последние 2 случайны. Есть вероятность в 23%, что только первая цифра будет совпадать, и вероятность в 52%, что сгенерированный IP будет абсолютно случаен. Процесс выбора случайного адреса использует 128 потоков, что может значительно ухудшить производительность зараженной машины.

Исходом работы червя была постоянная перезагрузка компьютера с выводом на экран ошибок процесса lsass.exe. Однако этого хватило, чтобы многие компании понесли огромные потери. В общей сложности ущерб от Sasser составил примерно 18 миллиардов долларов. Всего заражено было около 250 000 машин.

Как упоминалось ранее, Свен был, в последствии, наказан за свое творение. Если бы в его действиях выявили корыстные намерения, то наказание было бы гораздо суровее.

Anna Kournikova

В 2001 году датский программист Ян де Вит создал червь Anna Kournikova. Пользователь-жертва получал письмо с якобы фотографией известной теннисистки Анны Курниковой. Фотки там естественно не было, но был червь, который заражал компьютер, если файл его содержащий открывался. Имя фала было таковым AnnaKournikova.jpg.vbs. Причина, по которой пользователь мог не задумываясь открыть файл в стандартных настройках Windows, которые скрывали расширение файла. Таким образом пользователь видел следующее — AnnaKournikova.jpg. Далее червь сканировал базу адресов почты в Microsoft Outlook и рассылал себя всем контактам.

В полицию Ян де Вит пришел сам. Адвокаты настаивали на том, что де Вит не желал никому зла и создал червя без оглядки на последствия. Однако ФБР предоставили доказательства того, что вред все же был, и не маленький, больше 166000 долларов. В итоге, Ян был осужден к 150 часам общественных работ или 75 дням лишения свободы.


Компьютерный червь, поставивший на уши Пентагон. В 2008 году флешка, зараженная червем agent.btz, была вставлена в ноутбук на военной базе США в Среднем Востоке. Компьютер был подключен к Центральному командованию вооружённых сил США (USCENTCOM). Червь распространился по всем системам, включая секретные. Он делал это путем создания файла AUTORUN.INF в руте каждого из дисков. Также мог сканировать компьютер на наличие бэкдоров, которые использовал для дальнейшего распространения.

Пентагон потратил около 14 месяцев на то, чтобы очистить свои системы от червя. Они даже запретили использовать флешки или другие переносные носители информации.

Вокруг этого червя было много спекуляций и теорий заговора. Кто-то считал, что его разработал хакер-одиночка. А Пентагон стал лишь случайной жертвой в числе многих. Другие же заверяли, что червь — продукт диверсионной деятельности России или Китая.


Троян, ставший оружием в руках мошенников. Впервые был обнаружен в 2007 году.

Некоторые версии Zeus маскировались, используя цифровую подпись Kaspersky Lab, которая в следствии изучения была признана поддельной. Также большей распространенности служило то, что троян мог инфицировать не только компьютеры под управлением Windows, но и мобильные устройства с ОС BlackBerry или Android.

В 2010 году, 1 октября, ФБР заявило о проведении одной из самых масштабных операций по поимке преступников, которые были причастны к краже порядка 70 миллионов долларов со счетов жертв трояна Zeus. Было арестовано около 100 человек: 90 в США, остальные в Великобритании и Украине.


Вирусы опять как живые после перезагрузки

Пробовал удалять Куритом и Касперским, но после перезагрузки все вирусы восстанавливаются. Проявляются очень сильным торможением интернет-браузеров, иногда вовсе ничего в и-нете открывается, даже стартовая страница. Однако если что-то качаю - скорость загрузки файлов максимальная. Вся надежда на вас, помогите, люди добрые вытравить тараканов

Простите за тупость, вначале не так загрузил логи, сейчас вроде правильно

Anti-Malware Telegram

Внимание . База поcледний раз обновлялась 21.08.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

Антивирусная помощь

Карантин отправил, вот новые логи
В корне диска С сидит файл со странным именем m6u6o6o4w1w2.exe, пробовал его снести - после перезагрузки он опять нарисовался.

Антивирусная помощь

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Антивирусная помощь

Все сделал, но почему-то ComboFix завис на этапе формирования отчета. Подождал полчаса, потом всю процедуру повторил - теперь все прошло удачно.

Больше плохого не видно

Запакуйте, пожалуйста, папку C:\Qoobox с паролем virus и пришлите на thyrex2002tut.by ([email protected]) с указанной ссылкой на тему.

Установите Internet Explorer 8 (даже если им не пользуетесь)

Антивирусная помощь

Все по старому

После чистки ComboFix интернет заработал нормально, но потом браузер завис вообще. Перезагрузился - опять все по старому : интернет тормозит, файл m6u6o6o4w1w2.exe опять в корне С, в процессах выполняется Instmiv.exe и может еще какая гадость. Сейчас вот пишу - вдруг нижняя панель WinXP вдруг на пару секунд стала серой, потом восстановила синий цвет

Попробовал вручную остановить процесс Instmiv.exe - интернет залетал как обычно.


Запакуйте, пожалуйста, папку C:\Qoobox с паролем virus и пришлите на thyrex2002tut.by ([email protected]) с указанной ссылкой на тему.

Письмо с отправленным архивом от Вас вернулось потому как Our system detected an illegal attachment on your message

Обновления, вышедшие после SP3, все установлены?

Давайте еще раз логи + лог ComboFix

Антивирусная помощь

Сегодня вот загрузилась куча обновлений +IE8 (до этого ничего не обновлял, как купил комп полгода назад (с SP3).
Вот свежие логи

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Сделайте новые логи

Антивирусная помощь

Файл сохранён как 100503_152929_Карантин2010-05-03_4bdeb399afa03.zip
Размер файла 669504
MD5 74fd425b539d428a74b033c875269026

Ну что там, доктор, показывают анализы?

Антивирусная помощь

Тьфу-тьфу-тьфу, вроде все симптомы пропали!
Проверился Касперским - вычистил из корзины и System Volume Information целую кучу вирусов.
Несколько раз перезагрузился и еще раз проверился антивирусом - все чисто! Спасибо Вам огроменное!

Запакуйте, пожалуйста, папку C:\Qoobox с паролем virus и пришлите на thyrex2002tut.by ([email protected]) с указанной ссылкой на тему.

Антивирусная помощь

Письмо с Qoobox отправляю Вам, но возвращается:
This message was created automatically by mail delivery software.

A message that you sent could not be delivered to one or more of its
recipients. This is a permanent error. The following address(es) failed:

Еще вопрос можно: у меня пропала языковая панель (ну где пишется, какой текущий язык ввода). До заражения она была на месте. В настройках панели управления/язык и рег.стандарты включить ее не могу - кнопка языковая панель затемнена и неактивна. Что делать?

Читайте также: