-
Junior Member (OID)
- Вес репутации
- 40
Набрался...
Похоже новая зараза потому что в полном объеме не распознается и не лечится ничем.
Зараженный компьютер портит любую воткнутую флешку таким образом, что создает в корне каталог с именем, состоящим из одного пробела, все содержимое флешки перекладывает в этот каталог, в корень флешки кладет файлы из вложения. После втыкания зараженной флешки в чистый комп автоматически заражение не происходит. Пользователь открывает флешку и по понятным соображениям тыцает в файл с расширением .lnk.
После этого вирус пошел в комп. Что удалось выяснить. В корне Ц: создается c:\msi\trustedinstaller.exe. Этот trustedinstaller висит некоторое время в процессах, потом пропадает. Эта первая фаза происходит всегда одинаково. И размер и содержимое этого файла одинаковые. И после этого c:\msi\trustedinstaller.exe вирусу уже как бы не нужен. Дальше, в зависимости неизвестно от чего, вирус находится в файлах с разным содержимым и эти файлы находятся в разных местах. Местонахождение бывает ...\local settings\temp..., но не всегда, запуск производится например через ключ реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Policies\Explorer\Run\и потом цифры, но тоже не всегда.
К сожалению, те два компа, которые особо жалко, все испробованные мной антивирусы считают незараженными. Пробовал MSE, MBAM, тулзы от касперского и дрвеба. MSE сегодня начал распознавать зараженную флешку и trustedinstaller.exe, но последнюю стадию заражения не распознает. С целью изучения я заразил пару чистых компов, некоторые варианты последней стадии заражения определяет и лечит MBAM, но не те, которые меня интересуют. Компы, очевидно, заражены, так как заражают вышеописанным способом любую воткнутую флешку. Я не уверен, но мне кажется, что какие - то свои части вирус подтягивает через интернет.
Пишу в надежде, что гуру посоветуют, в каких еще ключах реестра может находится автозапуск вируса.
Заражение через те файлы, что во вложении, воспроизводится 100%.
Последний раз редактировалось Alexey P.; 13.07.2013 в 04:38.
Причина: вирус во вложении удален
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Игорь Жучий, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
файлы с вирусом не надо прикреплять в теме, это запрещено. Отправляйте по ссылке вверху для карантина.
- - - Добавлено - - -
Вы правы, это действительно загрузчик. Что притянет - еще вопрос, сейчас вроде как бэкдор Андромеда.
Пробуйте лечить куреитом, должен побить. И флешку вылечить.
-