win32.virut - проблема!(не юбилейный ли штамм?)

**Роман-zes** · 28.04.2009, 22:43

стоит ДР-веб. базы были свежие, но вирь проник на машину.
при полном скане в безопасном режиме cure-it"ом был обнаружен Virut, downloader, click/ точные модификации не скажу но лог cureita и штатного drweba имеется. при загрузке системы выскакивает ошибка доступа svchost.exe при доступе к памяти по адресу ... процедура "Read". (но это лишь деталь...) при сканировании АВЗ в штатном режиме АВЗ не может создать ЛОГ-файл. после чего тоже выскакивает ошибка чтения из памяти. просканировал в безопасном... лог создан.
reader_s.ехе - создал новый, с атрибутом "только чтение" нулевого размера(как ни странно помогло и вирут перестал размножаться(и это после полной проверки)...но как только вышел в интернет, монитор резидентной защиты сообщил об инфицировании. reader_s.ехе - по прежнему пустой. повторная проверка выявила повторное заражение большинства ехе-шников. сначала думал (хотя быть может это действительно так)скорее всего загрузка с помощью downloaderа, но в вирут распространился когда был в оффлайне. с проблемой маюсь уже неделю. принял самые радикальные меры - формат С: и инсталляция ОСи с нуля(после очередного полного скана). и вот...казалось бы, система девственно чиста, но нет... спустя пару дней блокируется доступ на серверы антивирусников и ваш форум. брэндмауэр заругался на *.sys файлы и svchost. прошу вашей помощи

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Aleksandra** · 28.04.2009, 22:55

>>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных

Пришлите файл avz.exe в архиве с паролем "virus" по красной ссылке вверху темы, у вас файловый вирус...

**Роман-zes** · 28.04.2009, 23:39

отправил

**Aleksandra** · 28.04.2009, 23:47

Возможно это новый вариант файлового вируса Virut. Теперь нужно ждать ответ из вир. лаба.

**Роман-zes** · 29.04.2009, 00:00

в пачке с 56? или просто слабое место вируса, что он детектируется как 56-ой?

**Aleksandra** · 29.04.2009, 00:08

Сообщение от Роман-zes

в пачке с 56?

Возможно. Сейчас лучше выключить компьютер. Вирус может заразить все исполняемые файлы и тогда вытащить машину будет сложнее. Нужно дождаться ответа.

**Aleksandra** · 29.04.2009, 20:51

Здравствуйте!

Сделайте следующее:

1. Скачайте по-новой утилиту AVZ;
2. Замените файл avz.exe на новый;
3. Сделайте заново логи AVZ.

**Роман-zes** · 30.04.2009, 18:34

при сканировании АВЗ в штатном режиме АВЗ не может создать ЛОГ-файл. после чего тоже выскакивает ошибка чтения из памяти.

повторить в безопасном?

**Rene-gad** · 30.04.2009, 18:43

Сообщение от Роман-zes

повторить в безопасном?

Нет, он ничего не покажет. Выполните лечение от файловых вирусов последней версией CureIt.
Потом сделайте логи этим АВЗ: http://rapidshare.com/files/199106177/toto.pif

**Роман-zes** · 30.04.2009, 22:28

а не заразиться ли пиф файл когда я его скачаю?

Добавлено через 23 минуты

и если я скачаю лайв СД - при записи на диск не попадет ли тело вируса на болванку?

**Rene-gad** · 30.04.2009, 22:30

Сообщение от Роман-zes

а не заразиться ли пиф файл когда я его скачаю?
и если я скачаю лайв СД - при записи на диск не попадет ли тело вируса на болванку?

В идеале Вам надо бы скачать это на чистом ПК, но если его нет под рукой - попробуйте на этом.

**Роман-zes** · 01.05.2009, 15:09

сделал.
обратил внимание что на ПК 2 свхоста один из них в папке windir/dhcp

McAfee-GW-Edition6.7.62009.04.30Win32.Malware.gen!90 (suspicious)

тот который dhcp

Добавлено через 36 секунд

единственный антивирь на вирустотал определил

**V_Bond** · 01.05.2009, 15:17

пуск - віполнить - sfc /scannow (понадобится диск с дистрибутивом)

**Роман-zes** · 01.05.2009, 15:31

а с логами что?

Добавлено через 4 минуты

второй свхост который в систем 32 по классификации каспера - Trojan-Downloader.Win32.Agent.bsjn , по классификации nod Win32/Virut.NBP у дрвеба не определился

**Rene-gad** · 01.05.2009, 15:31

Сообщение от Роман-zes

а с логами что?

Сначала - афсянка (c)

**Роман-zes** · 01.05.2009, 15:32

потом снова полный скан и создание логов?

**Rene-gad** · 01.05.2009, 15:34

Сообщение от Роман-zes

потом снова полный скан и создание логов?

correct

**Роман-zes** · 01.05.2009, 15:41

спасибо
"афсянка" - завершила проверку сис файлов. и всё... более ничего не происходит.
разве комп не должен был уйти на перезагрузку?
или сделать это ручками?

**Rene-gad** · 01.05.2009, 15:44

Сообщение от Роман-zes

разве комп не должен был уйти на перезагрузку?

по команде /scanonce - да : http://support.microsoft.com/?scid=k...10747&x=10&y=5

**Роман-zes** · 01.05.2009, 15:50

т.е системные файлы заменяются в реальном времени?!

и вообще должна ли существовать папка DHCP если я не делал никаких манипуляций с сервисом dhcp?

system32/svchost - более не детектируется на вирустотал как инфицированный
dhcp/svchost - http://www.virustotal.com/ru/analisi...2a1c9f7eaf8980

explorer. exe http://www.virustotal.com/ru/analisi...6f04e7446b7770

win32.virut - проблема!(не юбилейный ли штамм?) (заявка № 44745)

Опции темы

win32.virut - проблема!(не юбилейный ли штамм?)

Похожие темы

Вирус поразил все .exe файлы. Virus.Win32.Virut.ce, Win32.Virut.56 + трояны (заявка №111299)

Virut.Win32.Virut.ce (заявка №67376)

Компьютер заражен измененным Virut.Win32.Virut.ce и трояном Blackdoor (заявка №18655)

Проблема с Virus.win32.Virut.ce

Win32.Virut.5 ( Email-Worm.Win32.Warezov.jq, Win32/Virut.10192 )

Ваши права в разделе