Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

9 Страницы«<23456>»
Опции
К последнему сообщению К первому непрочитанному
Offline nerbe  
#31 Оставлено : 16 июня 2008 г. 18:07:11(UTC)
nerbe

Статус: Новичок

Группы: Участники
Зарегистрирован: 16.06.2008(UTC)
Сообщений: 1
Мужчина
Откуда: Россия

У нас изначально требует ruToken. Есть какие то различия?
Offline north  
#32 Оставлено : 30 июня 2008 г. 19:11:57(UTC)
north

Статус: Новичок

Группы: Участники
Зарегистрирован: 30.06.2008(UTC)
Сообщений: 4
Мужчина
Откуда: Казань

Уважаемые форумчане! Есть ли подвижки в решении данного вопроса?
Offline Максим Коллегин  
#33 Оставлено : 1 июля 2008 г. 0:11:05(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,391
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 37 раз
Поблагодарили: 715 раз в 620 постах
Образа системы я так и не получил.
Знания в базе знаний, поддержка в техподдержке
Offline dedov  
#34 Оставлено : 1 июля 2008 г. 17:31:47(UTC)
dedov

Статус: Эксперт

Группы: Участники
Зарегистрирован: 03.04.2008(UTC)
Сообщений: 380
Мужчина
Откуда: Россия, г. Белгород

Сказал «Спасибо»: 11 раз
Поблагодарили: 9 раз в 9 постах
совет, пока что один
проверяйте машину ОСНОВАТЕЛЬНО на вирусы
если не знаете, что значит основательно, спросите
Offline north  
#35 Оставлено : 9 июля 2008 г. 21:25:44(UTC)
north

Статус: Новичок

Группы: Участники
Зарегистрирован: 30.06.2008(UTC)
Сообщений: 4
Мужчина
Откуда: Казань

Знать бы этого гада по имени... Кто найдет прошу озвучить, а разработчикам предлагаю выдать нашедшему какой-нибудь милый презент))
Offline Татьяна  
#36 Оставлено : 9 июля 2008 г. 21:31:07(UTC)
Татьяна

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.02.2008(UTC)
Сообщений: 1,491
Откуда: Крипто-Про

Поблагодарили: 40 раз в 37 постах
У нескольких пользователей с подобной проблемой находился ntos.exe. В этой теме тоже:

dedov написал:
Just

1. по процессам сразу настораживают net.exe и net1.exe. это консольные утилиты и они не должны висеть постоянно в процессах
проверь в списке учетных записей наличие лишних или не понятных учеток
2. cmd.exe. если была запущена при создании лога нормально, если нет, то настораживает


F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe
похоже что вирус или следы от него
проверь наличие этого файла C:\WINDOWS\system32\ntos.exe

информация по этому вирусу
http://www.securitylab.ru/processinfo/300021.php

советую более полно и глубоко проверить комп на наличие зловредов!!!
проверку необходимо делать обязательно в безопасном режиме!!!
проверять необходимо бесплатной утилитой CUREIT(свежескачанная)!!!
после того как утилита проведет быструю проверку, рекомендую сделать полную!!!
и обязательно проверить System Volume Information на всех дисках!!!

З.Ы. как совет, поробуйте пользовать другой антивирь!!!

в случае обнаружения в системе зловредов, не поленитесь отписать название сей пакости+где находился


вообще строчка CMD.exe /"Имя пользователя компьютера"/число /число, очень напоминает строчку типа "C:\windows\system32\net.exe user 2345 5423 /add", в результате которой в системе создается пользователь 2345 с паролем 5423(в случае если длина пароля и его сложность удовлетворяют требованиям политики)
а к примеру такой строчкой "C:\windows\system32\net1.exe localgroup Администраторы 2345 /add" мы созданного пользователя из первой строчки, делаем администратором
это размышления на счет висящих процессов net.exe и net1.exe


Было ещё несколько видов вирусов, которые запускались из различных мест -- боюсь что тут универсального рецепта не будет:-(

Татьяна
ООО Крипто-Про
Offline dedov  
#37 Оставлено : 14 июля 2008 г. 21:11:21(UTC)
dedov

Статус: Эксперт

Группы: Участники
Зарегистрирован: 03.04.2008(UTC)
Сообщений: 380
Мужчина
Откуда: Россия, г. Белгород

Сказал «Спасибо»: 11 раз
Поблагодарили: 9 раз в 9 постах
Подтвердилось предположение о вирусной природе проблемы этого топика!!!

Переносная утилита CUREIT от DRWEBa называла его Trojan.DownLoader.63553
KIS 7.0 опознал как Trojan-Downloader.Win32.Mutant.amr

HiJackThis показал строчку:
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll

примечательно, что вирус не проявлял себя (окно встав ключ носителя) с момента заражения компа, до первой работы с ключевым носителем
после первого обращения к кл.носителю, стало появляться окно при каждом запуске любого приложения

могу предположить что зловред имеет множество имен и лиц :)

поэтому не стоит отталкиваться от тех названий зловреда, что выше

вообще интерес к топику остыл, и могу предположить что народ активно борется с вирусами или же просто защита не пропускает заразу

тем же которые имеют сею проблему и не могут избавиться, могу посоветовать сменить антивирус и КАЖДОДНЕВНО обновлять антивирусные базы

P.S. так же могу предположить что сам зловред возможно не имеет к проблеме прямого отношения. А проблема возможно в неправильной прописке зловреда в реестре. Влюбом случае информации о сей заразе в инете не имеется(по этим названиям) и поэтому заострять внимание на названиях не стоит. Просто соблюдайте правила безопасности.

P2.S2. если отталкивать от предыдущего посткриптума, то можно предположить, что виной сей проблемы может быть какая-нибудь безвредная прога, которая неправильно прописывает свои параметры в реестре, а именно в Winlogon или же еще каком-нибудь разделе реестра

так что дерзайте господа
Offline ByM  
#38 Оставлено : 15 июля 2008 г. 20:17:53(UTC)
ByM

Статус: Новичок

Группы: Участники
Зарегистрирован: 15.07.2008(UTC)
Сообщений: 1
Откуда: Saratov

Все дело в вирусе ntos.exe!
На 2 разных ПК в 2 разных организациях была таже проблема. AVZ прекрасно ищет и убивает сию мерзость.
Полезно глянуть еще и в профиле: Documents and Settings\юзер\Application Data\
Переставьте Крипто Про если надо.
З.Ы. При наличии других вирусов - лечитесь и поможет вам великий сервер))))

Отредактировано пользователем 15 июля 2008 г. 21:48:49(UTC)  | Причина: Не указана

Offline dedov  
#39 Оставлено : 16 июля 2008 г. 22:37:04(UTC)
dedov

Статус: Эксперт

Группы: Участники
Зарегистрирован: 03.04.2008(UTC)
Сообщений: 380
Мужчина
Откуда: Россия, г. Белгород

Сказал «Спасибо»: 11 раз
Поблагодарили: 9 раз в 9 постах
Выловил зловреда ntos.exe и протестировал его работу!!!
Да, действительно, вся проблема из-за этого гаденыша!!!
Ктобы мог подумать что такой старый маразматик, может еще как-то пакостить.
А именно, задалбывать диалогом.
Возможно он имеет в себе какой-то механизм, который не выявили.
Он же не просто так обращается к закрытым ключам?

В сообщении выше, где я говорил про трояна, я не упомянул, что на той машине тоже был и ntos!!!
Но я не западозрил его в этой проблеме.

Привожу выдержку из описания ntos:
Процесс, который использует вредоносная программа,
шифрующая файлы пользователя на зараженном компьютере.
Является приложением Windows (PE EXE-файл).
Упакована UPX. Размер в пакованом виде — 58368 байт.

После запуска вирус формирует уникальный ключ,
предназначенный для шифрования файлов, и сохраняет его в системном реестре:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion]
"WinCode" = "<ключ шифрования>"

Также вредоносная программа добавляет себя в ключ автозапуска системного реестра:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"UserInit" = "%System%\userinit.exe, %System%\ntos.exe"

Значение данного ключа периодически проверяется из системных процессов,
в которые внедрился вредоносный код (например, «Winlogon.exe»).
В случае если значение ключа меняется (удаляется «%System%\ntos.exe»),
то оно автоматически восстанавливается из системного процесса.

Кроме того, внедренный код защищает от модификации,
переименования и копирования файл,
инсталлированный в системный каталог — «%System%\ntos.exe».

Далее, если текущая дата находится в диапазоне
с 10 по 15 июля 2007 года включительно,
вирус приступает к шифрованию всех найденных
пользовательских файлов со следующими расширениями:
- в основном это архивы, документы, файлы БД
- системных и программных файлов он не трогает
- всего 233 типа

В каждый каталог, файлы которого были зашифрованы,
вредоносная программа помещает файл read_me.txt,
в котором требует выкуп. :)


Таким образом вирус абсолютно безвреден в наше время и если дата на компе стоит правильно. :)

Примечательно, что файл ntos.exe в папке system32 ни через проводник, ни через far, ни через total НЕ ВИДИТСЯ(хотя системные и скрытые вкл смотреть).

При первом запуске файл еще виден на диске в system32.
После перезагрузки файл не виден.

К томуже если удалить сертификаты из личных, окно перестает появляться. :)

При попытке прописать с дискеты сертификаты еще раз, ничего не получается.
Выводится список контейнеров на носителе и после этого не давая возможности выбрать контейнер и продолжить, криптопро начинает "протирать дырку в дискете", т.е. опять и опять обращаться к носителю.(эксперемент проводился на VMWARE)

Файл увидеть самому получилось только после загрузки BOOT Acronis DD и через ОБЗОР. Достаточно переименовать файл и все, вирус обезврежен.

P.S. Если службе поддержки интересен сам вирус, могу прислать на ВАШ страх и риск, и ВАШУ ответственность.

Отредактировано пользователем 17 июля 2008 г. 14:08:28(UTC)  | Причина: Не указана

Offline mrAnderson  
#40 Оставлено : 17 сентября 2008 г. 16:29:26(UTC)
mrAnderson

Статус: Новичок

Группы: Участники
Зарегистрирован: 16.09.2008(UTC)
Сообщений: 8
Откуда: Krasnodar

У меня такая же проблема была. Проврил свежей утилиткой CureIT! Нашел ntos.exe, а вирус определил как trojan.proxy.3326... почистил, удалил и все в порядке стало!!
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (4)
9 Страницы«<23456>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.