Сообщений в теме: 76

[Mr-Snow]

Вирус "photo.scr" или " photo.exe". Кто-нибудь сталкивался?
Может он отправлять копию того, что, например, отправляется на принтер, ещё и куда-нибудь в просторы интернета?
У меня на трёх компьютерах аваст с ним справляется, но он всё равно через какое-то время появляется на компьютере в "общих документах" и аваст его удаляет при отправке документа на печать на сетевой принтер.
Если отправляешь на печать документ непосредственно с того компьютера, к которому подсоединён этот принтер, то аваст его обнаруживает и удаляет из папки Windows\System32\, но имя файла там другое, что-то вроде "printers.spl".
При этом сервер заражён, больше сотни компьютеров заражено, установлен лицензионный Доктор Вебер ...
Может это "фээсбэ" в рамках той проверки, про которую здесь писали, изучает "обстановку"? Потому и сервер и другие компьютеры не лечат?
Да и название у него подходящее "Фото" т.е. он "фотографирует" то, что происходит на компьютерах и отсылает...
Персональные данные, в том числе, могут пострадать.

[ГАРИК]

У тебя на компьютере имеется файловый вирус.

Выполни действия

Перед выполнением лечения в любом случае необходимо:

- Отключить восстановление системы

- Если компьютер подключен к локальной сети, то на время лечения отключить его.

1) Скачай на здоровом компьютере утилиту от DrWeb -

CureIT

! Разархивируй и запиши её на CD или DVD (ни в коем случае не записывай на флэшку! активный вирус повредит утилиту ещё до запуска!). Сделай

полную проверку "больного" в режиме Safe Mode, затем в нормальном.

Или:

2. Скачай утилиту

AVPTool

Выполнить все те же действия описанные в пункте 1

[Vik]

ГАРИК (23 Апрель 2013 - 06:54) писал:

У тебя на компьютере имеется файловый вирус.

Выполни действия

Перед выполнением лечения в любом случае необходимо:

- Отключить восстановление системы

- Если компьютер подключен к локальной сети, то на время лечения отключить его.

1) Скачай на здоровом компьютере утилиту от DrWeb -

CureIT

! Разархивируй и запиши её на CD или DVD (ни в коем случае не записывай на флэшку! активный вирус повредит утилиту ещё до запуска!). Сделай

полную проверку "больного" в режиме Safe Mode, затем в нормальном.

Или:

2. Скачай утилиту

AVPTool

Выполнить все те же действия описанные в пункте 1

Немного дополню:

Для лечения активных заражений лучше всего подходит Kaspersky Rescue Disk. Распространяется в виде iso-образа диска. Записываешь на диск (или на флешку с помощью утилиты Kaspersky Rescue2USB). Загружаешься с этого диска или флешки и лечишь.

P.S. У Dr.Web есть подобная утилита на CD и USB.

Сообщение отредактировал Vik: 23 Апрель 2013 - 08:33

[iqmaster]

Mr-Snow (22 Апрель 2013 - 22:26) писал:

Вирус "photo.scr" или " photo.exe". Кто-нибудь сталкивался?
.........

Это вирус семейства Trojan.Win32.Cossta.uqt (по классификации Kaspersky)
Сетевой червь Win32/Tophos.A (по классификации ESET)

Worm: Win32/Tophos.A это червь, который копирует себя на сетевые ресурсы и съемные диски, отображает, ориентированные на взрослых, изображения, и может загружать дополнительные вредоносные программы на компьютер.

Следующие изменения системы может указывать на присутствие данной вредоносной программы:

Наличие файла: <startup folder> search.cmd

Наличие файла в на сетевых и съемных дисках: Photo.scr

Установка

Win32/Tophos.A проверяет, является ли текущий процесс заущенным "search.cmd". Если нет, то Win32/Tophos.A копирует себя с именем "<startup folder> search.cmd ".

<startup folder> относится к переменной, которая определяется с помощью запроса операционной системы. Расположение по умолчанию для установки папка автозагрузки для Windows 2000 , XP , и 2003 является " %USERPROFILE%Start MenuProgramsStartup ". Для Windows Vista, 7 и W8 , расположение по умолчанию "%USERPROFILE%AppDataRoamingMicrosoftWindowsStart MenuProgramsStartup ".

Win32/Tophos.A создает файл с именем "Photo.jpg " в текущей папке и содержит изображение взрослого содержания.

Распространение.

Сетевые ресурсы
Win32/Tophos.A пытается скопировать себя на все записываемые сетевые ресурсы (диски, папки) файл "Photo.scr ". Он может сделать это даже через беспроводное соединение.

Съемные диски
Win32/Tophos.A пытается скопировать себя на все съемные диски как "Photo.scr ".

При подключении к Интернет Win32/Tophos.A подключается к серверу "cadretest.ru" для загрузки и запуска произвольных файлов.

Лечение указано в постах ранее.

[Mr-Snow]

Спасибо всем за помощь.
Только я не совсем о том спрашивал (я же не спрашивал как его вылечить)...
У меня на компьютерах (их три) вирус как только появляется (в общих документах) антивирус его "убивает". А вылечить другие 150 компьютеров не моя забота.
Вопрос был не просто про вирус, а про то каковы могут быть последствия, для чего он в принципе создан, какую пользу получает создатель или распространитель. Может ли этот вирус отправить куда-либо в интернет информацию, принадлежащую пользователям?
Вирус практически на всех компьютерах (и не только этот вирус), в кадрах, в бухгалтерии и других. А там есть, в том числе, и персональные данные, есть ли риск того, что они "уйдут" в интернет?
Поэтому и вопрос задавал в теме про защиту персональных данных.

Сообщение отредактировал Mr-Snow: 23 Апрель 2013 - 23:15

[ГАРИК]

Mr-Snow (23 Апрель 2013 - 23:12) писал:

Спасибо всем за помощь.
Только я не совсем о том спрашивал (я же не спрашивал как его вылечить)...
У меня на компьютерах (их три) вирус как только появляется (в общих документах) антивирус его "убивает". А вылечить другие 150 компьютеров не моя забота.
Вопрос был не просто про вирус, а про то каковы могут быть последствия, для чего он в принципе создан, какую пользу получает создатель или распространитель. Может ли этот вирус отправить куда-либо в интернет информацию, принадлежащую пользователям?
Вирус практически на всех компьютерах (и не только этот вирус), в кадрах, в бухгалтерии и других. А там есть, в том числе, и персональные данные, есть ли риск того, что они "уйдут" в интернет?
Поэтому и вопрос задавал в теме про защиту персональных данных.

Снег, машины с ПД в принципе не должны иметь внешнюю открытую сеть.
Другой вопрос: а эти ПД кому-нибудь вообще интересны? Есть заказ от тёмных сил?

[iqmaster]

Mr-Snow (23 Апрель 2013 - 23:12) писал:

Спасибо всем за помощь.
Только я не совсем о том спрашивал (я же не спрашивал как его вылечить)...
У меня на компьютерах (их три) вирус как только появляется (в общих документах) антивирус его "убивает". А вылечить другие 150 компьютеров не моя забота.
Вопрос был не просто про вирус, а про то каковы могут быть последствия, для чего он в принципе создан, какую пользу получает создатель или распространитель. Может ли этот вирус отправить куда-либо в интернет информацию, принадлежащую пользователям?
Вирус практически на всех компьютерах (и не только этот вирус), в кадрах, в бухгалтерии и других. А там есть, в том числе, и персональные данные, есть ли риск того, что они "уйдут" в интернет?
Поэтому и вопрос задавал в теме про защиту персональных данных.

Я же указал, это червь, троян. Проще говоря, это семейство обычно используется для для загрузки вредоносного программного обеспечения из интернета и передачи ваших данных (как правило пароли к платежным системам, почте, онлайн-играм), а также для замедления работы как компьютера, так и локальной сети в целом.

[ГАРИК]

почему этот hosts распознается как вирус? В чём я накосячил?

[Deadushka]

Тем что он отличается от родного, у тебя случаем не security essential стоит? Просто у меня он тоже ругается на изменённый файл..я добавил его в список исключений..

[iqmaster]

ГАРИК (15 Февраль 2014 - 15:10) писал:

почему этот hosts распознается как вирус? В чём я накосячил?

Наверное не как вирус, а как измененный. У тебя Доктор Веб стоит? Обычно он отслеживает этот файл и начинает бить тревогу при его изменении.Тем более, что есть вирус блокирующий соцсети, а у тебя они как раз вписаны как заблокированные, вот антивирус и считает, что это сделал вирус. Добавь файл в исключения антивируса.

[Baragoz]

После_того,_как_воспользовался_утилитой_AVG_пропал_пробел_и_буква_"я"._Как_исправить,_что_случилось?

[wachmann]

Baragoz (03 Апрель 2014 - 17:41) писал:

После_того,_как_воспользовался_утилитой_AVG_пропал_пробел_и_буква_"я"._Как_исправить,_что_случилось?

Может все таки клава виновата? Как вариант заменить клаву или откатить драйверы.

[Baragoz]

wachmann (03 Апрель 2014 - 18:21) писал:

Может все таки клава виновата? Как вариант заменить клаву или откатить драйверы.

Драйвер_в_обновлении_не_нуждаетсА._Работаю_с_ноутбука,_разбирать_не_рискнул.

[Лесоруб]

Да ерунда это всё, похоже на неработоспособность клавиатуры.

Baragoz (03 Апрель 2014 - 18:24) писал:

Драйвер_в_обновлении_не_нуждаетсА._Работаю_с_ноутбука,_разбирать_не_рискнул.

Обновление драйвера это одно, а откатить это другое...

[Baragoz]

Откат_не_активен.