Форум не является системой мгновенных сообщений. Для получения оперативного ответа просьба звонить по указанным
на главной странице сайта телефонным номерам.
Вирусы?
- Автор темы пав
- Дата начала
Конфетнаяфабрика
Member
Вирусы рассылаете?
Ваша программа по обмену данными с банком формирует файл, содержащий вирус. Это происходит каждый час системного времени на компьютере.
Тип события: Предупреждение
Источник события: Avira AntiVir
Категория события: Инфицирование
Код события: 4113
Дата: 25.03.2010
Время: 17:00:00
Пользователь: NT AUTHORITY\SYSTEM
Компьютер: BUHGALTER
Описание:
AntiVir обнаружил в файле C:\WINDOWS\system32\mgbyleq.c подозрительный код с обозначением 'WORM/Conficker.Z.41'!
--------------------------------------
В файле 'C:\WINDOWS\system32\mgbyleq.c'
был обнаружен вирус или вредоносная программа 'WORM/Conficker.Z.41' [worm].
Выполняемое действие: Удалить файл
приложение 3.00 29 jul 2009
драйвер 2.00nt5
фильтр 2.00
версия клиента 3.1.0
когда это будет исправлено? просьба срочно ответить.
Ваша программа по обмену данными с банком формирует файл, содержащий вирус. Это происходит каждый час системного времени на компьютере.
Тип события: Предупреждение
Источник события: Avira AntiVir
Категория события: Инфицирование
Код события: 4113
Дата: 25.03.2010
Время: 17:00:00
Пользователь: NT AUTHORITY\SYSTEM
Компьютер: BUHGALTER
Описание:
AntiVir обнаружил в файле C:\WINDOWS\system32\mgbyleq.c подозрительный код с обозначением 'WORM/Conficker.Z.41'!
--------------------------------------
В файле 'C:\WINDOWS\system32\mgbyleq.c'
был обнаружен вирус или вредоносная программа 'WORM/Conficker.Z.41' [worm].
Выполняемое действие: Удалить файл
приложение 3.00 29 jul 2009
драйвер 2.00nt5
фильтр 2.00
версия клиента 3.1.0
когда это будет исправлено? просьба срочно ответить.
Re: Вирусы рассылаете?
<r><QUOTE author="Конфетнаяфабрика"><s>
"Наша программа" не занимается ни передачей файлов, ни формированием файлов. В Вашем сообщении я не вижу никакой связи с нашей программой.
Уточню, что наше приложение называется ip-client.exe и находится в каталоге %program files%\Amicon\Clinent FPSUIP-IP.</r>
<r><QUOTE author="Конфетнаяфабрика"><s>
</e></QUOTE>Конфетнаяфабрика написал(а):
"Наша программа" не занимается ни передачей файлов, ни формированием файлов. В Вашем сообщении я не вижу никакой связи с нашей программой.
Уточню, что наше приложение называется ip-client.exe и находится в каталоге %program files%\Amicon\Clinent FPSUIP-IP.</r>
<r>Конфетнаяфабрика,
прежде чем делать какие-либо заявления, я рекомендовал бы выявить процесс, который генерирует указанный вами файл.
Вы можете воспользоваться утилитой Process Monitor, запустив её с помощью PsExec от имени системы.
<URL url="http://technet.microsoft.com/ru-ru/sysinternals/bb896645.aspx"><LINK_TEXT text="http://technet.microsoft.com/ru-ru/sysi ... 96645.aspx">http://technet.microsoft.com/ru-ru/sysinternals/bb896645.aspx</LINK_TEXT></URL></r>
прежде чем делать какие-либо заявления, я рекомендовал бы выявить процесс, который генерирует указанный вами файл.
Вы можете воспользоваться утилитой Process Monitor, запустив её с помощью PsExec от имени системы.
<URL url="http://technet.microsoft.com/ru-ru/sysinternals/bb896645.aspx"><LINK_TEXT text="http://technet.microsoft.com/ru-ru/sysi ... 96645.aspx">http://technet.microsoft.com/ru-ru/sysinternals/bb896645.aspx</LINK_TEXT></URL></r>
Конфетнаяфабрика
Member
<r><QUOTE author="Deonis"><s>
Я системный администратор и прекрасно знаю как выявить процесс, и именно ваша программа плодит сей файл, что было проверено несколько раз с разных сторон. она запускает RunDLL каждый час в 00 минут.
Дистрибутив тоже с вашего диска и ничем заражен быть не мог. Поставлена ваша программа на чистую систему, "с нуля". ругаться антивирь начал тоже сразу же, как начал плодиться файл.
Может это заражен сбербанк и по вашему супер-пупер секретному каналу передается нам на компьютер, я не знаю, но это не дело, когда лезут всякие гадости-черви через ваши бреши в безопасности.
Да! именно ваш процесс является инициатором, если выгрузить его из памяти, ничего не происходит, никто не плодится.
нет ли новых версий или заплаток...
И вообще, прежде чем посылать всех, кто пишет вам про вирус, не плохо было бы разобраться вам самим. А проверять ломанными каперскими, нодами и прочей пиратской продукцией не имеет никакого смысла.</r>
</e></QUOTE>Deonis написал(а):
Я системный администратор и прекрасно знаю как выявить процесс, и именно ваша программа плодит сей файл, что было проверено несколько раз с разных сторон. она запускает RunDLL каждый час в 00 минут.
Дистрибутив тоже с вашего диска и ничем заражен быть не мог. Поставлена ваша программа на чистую систему, "с нуля". ругаться антивирь начал тоже сразу же, как начал плодиться файл.
Может это заражен сбербанк и по вашему супер-пупер секретному каналу передается нам на компьютер, я не знаю, но это не дело, когда лезут всякие гадости-черви через ваши бреши в безопасности.
Да! именно ваш процесс является инициатором, если выгрузить его из памяти, ничего не происходит, никто не плодится.
нет ли новых версий или заплаток...
И вообще, прежде чем посылать всех, кто пишет вам про вирус, не плохо было бы разобраться вам самим. А проверять ломанными каперскими, нодами и прочей пиратской продукцией не имеет никакого смысла.</r>
<r>1) Честно говоря, Conficker - не такой уж страшный червяк, чтобы из-за него панику поднимать, тем более матерому системному администратору. Он хоть данные не шифрует..
2) "Чистая система" - понятие нечеткое, если диски перед установкой не чистились, и компьютер в зараженной сети - то уже через пару минут после первого запуска на нем может резвиться кучка червей. Апдейтов не установлено, система уязвима - добро пожаловать.
3) Вы у себя остальные компьютеры проверили в сети? Conficker может распространять себя по сети, как вы знаете. Лечить надо комплексно <E>
</E>
4) Версию драйвера можно поставить и свежую, взяв ее тут <URL url="http://amicon.ru/forum/viewtopic.php?t=921">http://amicon.ru/forum/viewtopic.php?t=921</URL>
Но и в предыдущих версиях драйверов вирусов замечено не было ни разу.
5) Если бы была заражена сеть сбера - тут на форуме амиконовцам бы уже выедали мозги клиенты, но пока только вы пожаловались.
6) А за Process Monitor обидно, Марк Руссинович - уважаемый дядька еще со времен winternals.com <E></E>)) Его прогам можно доверять, rootkit revealer - например, вообще полезный инструмент.</r>
2) "Чистая система" - понятие нечеткое, если диски перед установкой не чистились, и компьютер в зараженной сети - то уже через пару минут после первого запуска на нем может резвиться кучка червей. Апдейтов не установлено, система уязвима - добро пожаловать.
3) Вы у себя остальные компьютеры проверили в сети? Conficker может распространять себя по сети, как вы знаете. Лечить надо комплексно <E>
</E>4) Версию драйвера можно поставить и свежую, взяв ее тут <URL url="http://amicon.ru/forum/viewtopic.php?t=921">http://amicon.ru/forum/viewtopic.php?t=921</URL>
Но и в предыдущих версиях драйверов вирусов замечено не было ни разу.
5) Если бы была заражена сеть сбера - тут на форуме амиконовцам бы уже выедали мозги клиенты, но пока только вы пожаловались.
6) А за Process Monitor обидно, Марк Руссинович - уважаемый дядька еще со времен winternals.com <E>
</E>)) Его прогам можно доверять, rootkit revealer - например, вообще полезный инструмент.</r><r><QUOTE author="Конфетнаяфабрика"><s>
Конфетнаяфабрика, я не сотрудник Амикона, но мне приходится поддерживать ФПСУ/IP у своих клиентов.
Уверяю, АВ Касперского не выявил упомянутого вами вируса в дистрибутиве клиента. распространяемого через этот форум.
К сожалению, не могу быть уверен в чистоте рабочих станций техподдержки организации, в которой вам этот диск записали.
<QUOTE author="Конфетнаяфабрика"><s>
Если зараза попадает на ваш ПК из сбербанка через, как Вы говорите "секретный канал", то выходит, что бреш в защите у вашей ОС, но никак не в ФПСУ клиенте, т.к. ФПСУ всего-лишь создает защищенный от прослушивания канал, который мало чем отличается от обычного подключения по локальной сети.
Проверьте работоспособность брандмауэра ОС и установку всех исправлений безопасности вашей ОС.
<QUOTE author="Конфетнаяфабрика"><s>
Какой именно процесс? Как называется?
<QUOTE author="Конфетнаяфабрика"><s>
Есть! YMA привел ссылку.
<QUOTE author="Конфетнаяфабрика"><s>
Использую исключительно лицензионный софт, в т.ч. и KIS2010.
Совет - никогда не работайте в системе с правами Администратора.</r>
</e></QUOTE>Конфетнаяфабрика написал(а):
Конфетнаяфабрика, я не сотрудник Амикона, но мне приходится поддерживать ФПСУ/IP у своих клиентов.
Уверяю, АВ Касперского не выявил упомянутого вами вируса в дистрибутиве клиента. распространяемого через этот форум.
К сожалению, не могу быть уверен в чистоте рабочих станций техподдержки организации, в которой вам этот диск записали.
<QUOTE author="Конфетнаяфабрика"><s>
</e></QUOTE>Конфетнаяфабрика написал(а):
Если зараза попадает на ваш ПК из сбербанка через, как Вы говорите "секретный канал", то выходит, что бреш в защите у вашей ОС, но никак не в ФПСУ клиенте, т.к. ФПСУ всего-лишь создает защищенный от прослушивания канал, который мало чем отличается от обычного подключения по локальной сети.
Проверьте работоспособность брандмауэра ОС и установку всех исправлений безопасности вашей ОС.
<QUOTE author="Конфетнаяфабрика"><s>
</e></QUOTE>Конфетнаяфабрика написал(а):
Какой именно процесс? Как называется?
<QUOTE author="Конфетнаяфабрика"><s>
</e></QUOTE>Конфетнаяфабрика написал(а):
Есть! YMA привел ссылку.
<QUOTE author="Конфетнаяфабрика"><s>
</e></QUOTE>Конфетнаяфабрика написал(а):
Использую исключительно лицензионный софт, в т.ч. и KIS2010.
Совет - никогда не работайте в системе с правами Администратора.</r>
Конфетнаяфабрика
Member
<r>Спасибо, что откликнулись нормальные люди <E></E>
<QUOTE author="YMA"><s>
страшный/не страшный, зачем он вообще нужен...<E></E>
<QUOTE author="YMA"><s>
я сносил всё форматом С: (единственный диск), все документы с сервака. он чистый (по крайней мере я никакой подозрительной активности не обнаружил)
<QUOTE author="YMA"><s>
дык авира не дает ему плодиться, сразу мочит... поверил всех в подсети, чисто...
<QUOTE author="YMA"><s>
Спасибо, попробую, напишу.
<QUOTE author="YMA"><s>
Я тоже так думаю... по этому удивлен... и пишу с единственной целью, чтобы разобраться. никого обвинять в чем-то не собирался. был у меня случай такой, программер писал для меня утилитку и назвал переменную "server". как только собрал авира сразу начала ругаться, что подозрительный код и блокировала процесс. Как только он изменил имя переменной, ругаться перестала.
<QUOTE author="YMA"><s>
Я тоже уважаю эту программу, простая и показывает многое из того, что надо.</r>
</E><QUOTE author="YMA"><s>
</e></QUOTE>YMA написал(а):
страшный/не страшный, зачем он вообще нужен...<E>
</E><QUOTE author="YMA"><s>
</e></QUOTE>YMA написал(а):
я сносил всё форматом С: (единственный диск), все документы с сервака. он чистый (по крайней мере я никакой подозрительной активности не обнаружил)
<QUOTE author="YMA"><s>
</e></QUOTE>YMA написал(а):</s>
3) Вы у себя остальные компьютеры проверили в сети? Conficker может распространять себя по сети, как вы знаете. Лечить надо комплексно <E>
дык авира не дает ему плодиться, сразу мочит... поверил всех в подсети, чисто...
<QUOTE author="YMA"><s>
</e></QUOTE>YMA написал(а):
Спасибо, попробую, напишу.
<QUOTE author="YMA"><s>
</e></QUOTE>YMA написал(а):
Я тоже так думаю... по этому удивлен... и пишу с единственной целью, чтобы разобраться. никого обвинять в чем-то не собирался. был у меня случай такой, программер писал для меня утилитку и назвал переменную "server". как только собрал авира сразу начала ругаться, что подозрительный код и блокировала процесс. Как только он изменил имя переменной, ругаться перестала.
<QUOTE author="YMA"><s>
</e></QUOTE>YMA написал(а):</s>
6) А за Process Monitor обидно, Марк Руссинович - уважаемый дядька еще со времен winternals.com <E>
Я тоже уважаю эту программу, простая и показывает многое из того, что надо.</r>
Конфетнаяфабрика
Member
<r><QUOTE author="Deonis"><s>
удивительно, но сам процесс (котрый в трее сидит, название не перед глазами) тоже при проверке ничего не выдает, никаких вирусов или подозрительных кодов, а файл плодится. вот я и написал сюда. хотел понять, почему так может происходить, может это нормально, а авира с ума сходит и мешает нормальной работе... Но самое для меня удивительное, что именно он плодит. Почему это происходит я не могу пока понять.
<QUOTE author="Deonis"><s>
Хорошо, спасибо, проверю. я устанавливал клиент до автоматического обновления XP может быть и червяк залез раньше заплаток... обязательно проверю.
<QUOTE author="Deonis"><s>
Сейчас не перед глазами, в понедельник посмотрю.
<QUOTE author="Deonis"><s>
спасибо ему большое
<QUOTE author="Deonis"><s>
Это хорошо, а то я постоянно сталкиваюсь по роду своей деятельности с заблуждением, что ломанные антивирусы также действенны, как и лицензионные, но я на собственном опыте убедился, что это величайшая ошибка.
За совет спасибо, с этим тоже согласен. да и меньше работать надо, если юзеров ограничить в правах. <E></E>
А еще замечание не по существу, зачем вообще нужна клиентская часть, почему нельзя передавать по HTTPS через браузер. зачем она ставится в автозагрузку? ведь не нужен этот защищенный канал постоянно, только когда нужна связь с банком... можно, конечно убрать из автозагрузки самостоятельно и службы запускать не автоматом, а по запросу... но для чего это сделано в дистрибутиве для всех, особенно тем, кто пользует банк-клиент... не понимаю
но это так, мысли в слух...</r>
</e></QUOTE>Deonis написал(а):
удивительно, но сам процесс (котрый в трее сидит, название не перед глазами) тоже при проверке ничего не выдает, никаких вирусов или подозрительных кодов, а файл плодится. вот я и написал сюда. хотел понять, почему так может происходить, может это нормально, а авира с ума сходит и мешает нормальной работе... Но самое для меня удивительное, что именно он плодит. Почему это происходит я не могу пока понять.
<QUOTE author="Deonis"><s>
</e></QUOTE>Deonis написал(а):
Хорошо, спасибо, проверю. я устанавливал клиент до автоматического обновления XP может быть и червяк залез раньше заплаток... обязательно проверю.
<QUOTE author="Deonis"><s>
</e></QUOTE>Deonis написал(а):
Сейчас не перед глазами, в понедельник посмотрю.
<QUOTE author="Deonis"><s>
</e></QUOTE>Deonis написал(а):
спасибо ему большое
<QUOTE author="Deonis"><s>
</e></QUOTE>Deonis написал(а):
Это хорошо, а то я постоянно сталкиваюсь по роду своей деятельности с заблуждением, что ломанные антивирусы также действенны, как и лицензионные, но я на собственном опыте убедился, что это величайшая ошибка.
За совет спасибо, с этим тоже согласен. да и меньше работать надо, если юзеров ограничить в правах. <E>
</E>А еще замечание не по существу, зачем вообще нужна клиентская часть, почему нельзя передавать по HTTPS через браузер. зачем она ставится в автозагрузку? ведь не нужен этот защищенный канал постоянно, только когда нужна связь с банком... можно, конечно убрать из автозагрузки самостоятельно и службы запускать не автоматом, а по запросу... но для чего это сделано в дистрибутиве для всех, особенно тем, кто пользует банк-клиент... не понимаю
но это так, мысли в слух...</r>
<r><QUOTE author="Конфетнаяфабрика"><s>
Это обычный VPN (<URL url="http://ru.wikipedia.org/wiki/VPN">http://ru.wikipedia.org/wiki/VPN</URL>), но в отличии от многих других, использует технологию "черный ящик", что позволяет более эффективно защищать крипто ключи от хищения. Применение VPN позволяет получать доступ ко всем сервисам удаленной сети, а не только к web сервисам.
<QUOTE author="Конфетнаяфабрика"><s>
Клиент в трее как раз нужен для того, чтобы создавать или разъединять подключение к банку по требованию.</r>
</e></QUOTE>Конфетнаяфабрика написал(а):
Это обычный VPN (<URL url="http://ru.wikipedia.org/wiki/VPN">http://ru.wikipedia.org/wiki/VPN</URL>), но в отличии от многих других, использует технологию "черный ящик", что позволяет более эффективно защищать крипто ключи от хищения. Применение VPN позволяет получать доступ ко всем сервисам удаленной сети, а не только к web сервисам.
<QUOTE author="Конфетнаяфабрика"><s>
</e></QUOTE>Конфетнаяфабрика написал(а):
Клиент в трее как раз нужен для того, чтобы создавать или разъединять подключение к банку по требованию.</r>
Конфетнаяфабрика
Member
<r><QUOTE author="Deonis"><s>
Процесс называется ip-client.exe. FPSU-IP/Client VPN. версия продукта 3.0.0.0 Amicon FPSU-IP/Client</r>
</e></QUOTE>Deonis написал(а):
Процесс называется ip-client.exe. FPSU-IP/Client VPN. версия продукта 3.0.0.0 Amicon FPSU-IP/Client</r>
Конфетнаяфабрика
Member
Всем спасибо, проблема решилась путем установки обновления. Больше никто не плодится.
Конфетнаяфабрика
Member
<r><QUOTE author="Deonis"><s>
ФПСУ/IP Клиента</r>
</e></QUOTE>Deonis написал(а):
ФПСУ/IP Клиента</r>
<r>антивирус ругается на tdicf.sys - Rootkit
<URL url="http://www.virustotal.com/ru/analisis/6bab639e36b291ee513b98eafe71dc53a051b906de23575641c5a825b0ed094c-1269934079"><LINK_TEXT text="http://www.virustotal.com/ru/analisis/6 ... 1269934079">http://www.virustotal.com/ru/analisis/6bab639e36b291ee513b98eafe71dc53a051b906de23575641c5a825b0ed094c-1269934079</LINK_TEXT></URL>
версия клиента 3.1.0, на 4 версии такого файла не нашел</r>
<URL url="http://www.virustotal.com/ru/analisis/6bab639e36b291ee513b98eafe71dc53a051b906de23575641c5a825b0ed094c-1269934079"><LINK_TEXT text="http://www.virustotal.com/ru/analisis/6 ... 1269934079">http://www.virustotal.com/ru/analisis/6bab639e36b291ee513b98eafe71dc53a051b906de23575641c5a825b0ed094c-1269934079</LINK_TEXT></URL>
версия клиента 3.1.0, на 4 версии такого файла не нашел</r>
<r>Действительно, файл tdicf.sys в четвертой версии клиента отсутствует. Некоторые антивирусы при анализе данного файла на сайте <URL url="http://www.virustotal.com">http://www.virustotal.com</URL> определяют его как потенциально опасное ПО, однако не стоит делать преждевременных выводов о том что файл инфицирован, основываясь на этом анализе.</r>