слиьное заражение

**fotorama** · 17.04.2008, 10:11

сново появилось сообщение о модификации ключа проводника

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**fotorama** · 17.04.2008, 10:16

да еще на компе была произведена попытка поставить AVPtool установка закрылась сама по себе без ошибок, но драйверы похоже успели прописаться в системе....
теперь у меня делема как их удалить

**V_Bond** · 17.04.2008, 10:54

D:\autorun.inf - это что ?
авп почистим ....

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('klif');
 SetServiceStart('klif', 4);
 StopService('klif');
 DeleteFile('C:\WINDOWS\system32\drivers\klif.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Мастер поиска и устранения проблем - выбрать все проблемы устранить ...
C:\Program Files\Messenger\msmsgs.exe - пишлите на всякий случай ...

**fotorama** · 17.04.2008, 12:49

понял все сделаю... скорей всего в 17-00 или завтра сейчас уезжаю...

Сообщение от V_Bond

D:\autorun.inf - это что ?

d:\autoran.inf это мой так сказать простенький сигнализатор флешовых вирей.....
внем содержиться только 1 команда

Код:

[autorun]
icon=1nv.ico

он показывает мой значок флешки вместо стандартного..... и если вдруг значок исчезает, то сразу можно сказать что какая та зараза на флеш прописалась и заменила мой ауторан..... за все время использования эта фишка спасала в 90% случаев....... правда в остальных 10% сталкивался с тем что вирь не заменяет мой ауторан а дописывает свои команды в него..... но в этом случае антивирусник помогал заранее предотвратить заражение.....
п/с
если у кого есть альтернатива такого способа обнаружение вируса буду очень признателен..... просто флеш рабочая и ее приходиться сувать в огромное количество компов и только на единицах из них есть Антивирусы...... Просто до того как я стал пользоваться этим аутораном приходилось кучу компов лечить от одного и того же зверя...

Добавлено через 3 минуты

Сообщение от V_Bond

Мастер поиска и устранения проблем - выбрать все проблемы устранить ...

это действие провожу регулярно но после каждой попытки выполнить стандартный скрипт 3 сново появляется сообщение о модификации ключа проводника

**fotorama** · 21.04.2008, 10:03

Ура нашол гадов они сидят в system 32 и как только авз до них доходит они его закрывают=)
удалось закарантинить.... но не уверин что в сех но всеже лутьше чем не чего....
еще после того как нажол зловрелда и в карантин послал снова востановилась ошибка о модификации ключа проводника(мастер поиска и устранение проблем не фиксит

) стандартный скрипт 2 выполнился тоже не скразу а тока с 4 попытки до этого авз закрывалось

чтоб не тинуть время прилагаю в текстовом документе то что на шлось в системе и лог тагже отсылаю карантин...
Файл сохранён как

080421_010215_virus_480c2de73f4cc.zipРазмер файла

2910079MD5

62dc1401750b148593436a0b62410589
п/с msmsgs.exe
не закарантинелся если нужно вышлю познее

**fotorama** · 21.04.2008, 10:08

C:\Program Files\Messenger\msmsgs.exe находиться в папке C:\Program Files\Messenger\bak\msmsgs.exe

**fotorama** · 28.04.2008, 15:13

доброго времени суток я некоторое время не мог заниматься данным компом теперь я снова жду ваших указаний

Добавлено через 32 минуты

народ очень надеюсь на вашу помощь это комп сына главы нашей организации и она сменя уже шкуру немать начинает .....

**V_Bond** · 28.04.2008, 15:16

делайте новые логи + авз - сервис -менеджер расширений проводника ...

**fotorama** · 29.04.2008, 12:19

ууууурааааааааа
удалось написать рабочий скрипт на удоление того что в систем32 сидело......
после скрипта смог зделать норм логи проверьте плиз кого я еще не нашол
п/с
лог HJ
позже прилажу

**V_Bond** · 29.04.2008, 12:22

и где лог расширений проводника...

**fotorama** · 29.04.2008, 12:22

вот теперь все логи наместе

**fotorama** · 29.04.2008, 12:22

сорри щас будет..... просто прочел ваш пост после того как все это зделал

**fotorama** · 29.04.2008, 12:25

вот лог расширений

**V_Bond** · 29.04.2008, 12:33

выполните скрипт ....

Код:

begin
 QuarantineFile('C:\PROGRA~1\PHOTOF~1\Manager\CONTEX~1.DLL','');
 ExecuteRepair(6);
 ExecuteRepair(8);
 RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
 BC_ImportQuarantineList;
 BC_Activate;
 RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ...

**fotorama** · 29.04.2008, 17:01

простите за офтоп но сегодня заразилась машина у сотрудници
так там авз вылетало с ошибкой

Код:

access violation at adress 004FFB43 in module avz.exe read for adress 0D3E2239

подскажите плиз чем вызвана была ошибка вирусом или еще чемто.....
п/с
пишу сюда просто из-за того что не нашол подходящий раздел где можнобыло бы запостить данный вопрос

Добавлено через 4 часа 26 минут

карантин выслал
Файл сохранён как
080429_080044_virus_48171bfc3dc77.zip

Размер файла
596516

MD5
2e44a2f4085328e4245af0c448a14b9d
жду рекомендаций к действию