Here you have?

Re:

Я так понимаю Outlook.

Re: Re:

он берет из адресной книги Windows. которую использует ну да Outlook тоже. в общем касается всех программ, которые используют эту адресную книгу.

исправлено: Александр Гостев, 10 сен 2010, 15:37

Re: Re: Re:

Да, я не очень точно выразился. Все программы, которые используют MAPI.

Re:

Думаю, там кроме тела гада ничего нет. Если антивирь указывает на конкретный файл, удаляй этот файл смело. Ему уже ничем не поможешь)

Re: Комментарий

Да нет, не в этом дело. Просто лечение предназначено для тех червей, которые внедряют свой код в уже существующие файлы вроде текстовых вордовских и им подобных, заражая или портя документ. Поэтому при лечении антивирус просто вырезает из него часть с вредоносным кодом, оставляя документ в сохранности. Но большая часть вредоносов являют собой exe-файл, который не несёт в себе никаких инструкций кроме вредоносных или как-то связанных с функционалом вируса. Дык зачем его лечить, если там и лечить нечего?
Это всё равно что лечить раковую опухоль. У человека её на какой-то стадии можно вырезать. А как ты будешь раковую опухоль лечить от раковой опухоли?) Вот и получается, что адекватным действием будет только удаление всего файла.

Re: Re: Комментарий SetupNick

Маленькое замечание: если придерживаться строгой антивирусной терминологии (которая разделает Вредоносное ПО на вирусы, червей, троянов, и прочее Zловредство). То, заражают файлы ТОЛЬКО вирусы, а черви этим не занимаются (они просто переползают с компа на комп создавая свою копию).
Классические вирусы это чудо вредоносной мысли, ведь заразить файл другой программы чтобы она при этом осталось рабочей да ещё и сама запускала вредоносный код вируса, это ГОРАЗДО более сложный метод распространения чем у червей и троянов.

Re: Re: Re: Комментарий SetupNick

Целиком согласен с вами, извиняюсь.

Ну и опять же...Чего нам про лечене-то говорить?)

Re: Комментарий Sisadmin 322

При лечении зараженного файла (будь то программа или документ) антивирус вырезает код вируса из зараженного файла, и ели надо восстанавливает первоначальную структуру НЕ зараженного файла (например: точки входа и заголовки EXE-файлов).
Кстати, Касперский лучше всех антивирусов справляется с лечением, так как большинство других антивирусов, либо вообще не лечат файл, либо после "лечения" он перестает работать. В интернете можно даже найти тесты на "корректность лечения зараженных вирусами файлов".
Так что лечить можно и даже нужно, если антивирус предлагает лечить то лечите, иначе удаляйте.

Re: Комментарий

Современный антивирус вроде и не даёт лечить, если нет смысла. Просто отсутствует такая возможность.

Про авторан не в курсе. Это во многом зависит от самого вируса. Они ж все разные, каждый по-своему действует.

Re: Re: Комментарий

Если смысла нет - то да. Но если убрать лечение как таковое - любая инфекция Sality/Virut, либо шифровка КОРРЕКТОРом приведёт к печальным последствиям.

Хотя почтовые черви редко содержат механизм хотя бы джойнера - скорее всего достаточно удалить исполняемый файл и его распакованные/скачанные библиотеки.

Re: Re: Re: Комментарий

Ну дык я про то и говорю, что лечение становится возможным только тогда, когда это целесообразно.
Ты же не будешь лечить 4-килобайтовый эксешник, который кроме вреда, ни для чего и не предназначен)

Re: Комментарий

У меня нет слов, комментируете остальных, а сами каую-то пургу несёте!!! Антивирус лечил [autorun.inf], но флеш память не запускается из-за не корректного кода [autorun.inf], да это так. Но разве на съёмных дисках должен быть он!!! А вы ещё её форматируете, смешно думать.

Re: Комментарий про бесполезность лечения

Цитата "exe файлы действительн онадо удалять именно я так и делаю никогда нечего не вылечиваю другими словами я ещё не разу нечего не лечил.".

Это ты зря. Лечение - это очень хорошая технология, которая помогает спасти твои данные и избежать (или свести к минимуму) негативные последствия заражения.

Например, нашумевший вирус SALITY (про одну из его модификаций читай здесь - http://www.securelist.com/ru/descriptions/190481/Virus.Win32.Sality.t) заражает все EXE файлы на флешке и жестком диске.

Вот представь: он попал на твой компьютер (или на флешку - которую ты воткнул в зараженный комп приятеля). И все exe-файлы программ оказались заражены.
А там было (ужас) столько критически нужных тебе программ.
Что делать?
Скажешь - удалять и плакать, потом заново качать десятки, сотни программ и переустанавливать их?
НЕТ - ЛЕЧИ. Касперский прекрасно с этим справляется.
Проверено лично - большинство программ на флешке и жестком диске пораженных SALITY были вылечены на ура(!) и полностью вернули свою работоспособность.

Если антивирус предлагает лечение - пользуйся этим - лечи, и только если лечение невозможно (об этом тебе скажет сам антивирус) - удаляй.

Re: Комментарий

Ни разу не сталкивался с вирусами которые (как Вы говорите) "повреждают загрузочный сектор" флешки, пожалуйста дайте ссылку на описание такого злобного вируса :-).

Вирусы которые повреждают загрузочный сектор (вернее заменяют его на свой - вредоносный) называются "загрузочными", причем распространены они были очень давно во времена ДОСа, а сейчас уже почти не встречаются (исключения: буткит и TDL-4). Причем эти (загрузочные) вирусы заражают жесткие диски и флоппи-накопители, а про заражение флешек я никогда не слышал.

Загрузочный сектор - это первый Физический сектор носителя который как правило содержит специальную программу-загрузчик (boot manager) и предназначен для запуска ОПЕРАЦИОННОЙ СИСТЕМЫ, и загрузку с него обеспечивает BIOS (вернее POST BIOS).
То есть это "железная" загрузка, запускаемая ДО запуска операционной системы.

В современных вредоносах распространяющихся через флеш-накопители используется совсем другая технология: файлы Autorun.inf. Файл autorun.inf - это простой текстовый файл содержащий СТРОКУ указывающую на exe-файл (бывают исключения, когда бинарный код вируса содержится в самом autorun.inf, а не в виде отдельного файла).
Запуск программ указанных в файле autorun.inf обеспечивает ОС Windows, а не BIOS компьютера. Собственно говоря autorun.inf были придуманы корпорацией Microsoft, и поддерживаются только её операционными системами начиная с Windows 95.
То есть это программная загрузка из под ОС.

Заражение загрузочного сектора - это сложная технология, так как вредонос запускается до старта ОС, и должен самостоятельно обеспечить старт всего ПК, а затем и запуск ОС. Использование autorun.inf - это простая (примитивная) техника, поэтому она и используется большинством вирусов.

Если ваша флешка была заражена вирусом - достаточно просто удалить файл autorun.inf, ФОРМАТИРОВАТЬ ДИСК НЕНУЖНО!

Re: люди помогите ,это может к этому относиться ..очень боюсь..пришло а я с дуру на ссылку нажала...

С первого взгляда - примитивный вирус. Пожат UPX. При запуске создаёт во временной папке пустой файл с расширением tmp, после чего в песочнице выдал Unknown Error и выгрузился. Распакованный вариант показывает сразу и многое: http://img530.imageshack.us/img530/2499/7088599.jpg

То есть явно будет внесена переадресация в хосте с популярных сайтов на фишинговый.

Исходя из примитивного пожатия создаётся впечатление о слабом уровне вирусмэйкера. Исходя из некоторой запутанности кода и детекта песочницы - может не всё так и просто. Кстати, скан файла КИСом 2010 занял около трёх минут - и так и не нашёл ничего.

Файлик полетел в вирлаб. Вам же я бы рекомендовал обратиться сюда за помощью: http://virusinfo.info/forumdisplay.php?f=46

Re: Re: люди помогите ,это может к этому относиться ..очень боюсь..пришло а я с дуру на ссылку...

Если в песочнице выдаёт ошибку, то это ошибка в программном коде вируса, или механизм противостояния песочнице?

Что он ещё делает кроме переписи хостов?

Re: Re: Re: люди помогите ,это может к этому относиться ..очень боюсь..пришло а я с дуру на...

Скорее, противостояние. Что ещё делает - не знаю, уже удалил :) Поставьте виртуалку, потестите и нам всем расскажете :)

Re: Комментарий

Энциклопедию и я читать умею))

Интересно другое. На данном сайте спешат поселиться боты? Это конечно признак популярности, но и как-то странно-неуместно что-ли...

Re: Комментарий

Извиняюсь, неправильно понял суть сообщения девушки.

Но в целом, тут всё вполне типично.