Показано с 1 по 14 из 14.

Просьба разобраться с RESTORE_rundll.exe (заявка № 51657)

  1. #1
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для spitamen
    Регистрация
    05.07.2005
    Адрес
    Ташкент
    Сообщений
    83
    Вес репутации
    49

    Exclamation Просьба разобраться с RESTORE_rundll.exe

    Столкнулся с очень интересной ситуацией:
    Дело в том что на рабочих компьютерах установлены KIS8 504, все было отлично до вчерашнего дня так как при загрузки комп загружает личные параметры обращаясь C:\RESTORE\k-1-3542-4232123213-7676767-8888886
    после выдает ошибку explorer .. Интересен еще тот факт что антивир обновляется каждый день и базы в актуальном состояние.
    а в корневом папке создалась скрытая папка RESTORE.
    а в папке C:\RESTORE\k-1-3542-4232123213-7676767-8888886
    есть 2 файла:
    RunDll.exe объем которого составляет 47104 и второй Desktop.ini объем 62

    Далее отключив на время запустил AVP Tool .. но он тоже в упор не видит этот вирус..

    После скачал DRWEB CureIT ... этот сразу нашел сказал дайлел вирус потом при перезагрузки удалил удачно...
    Но повседневной работе опять появляется эт вирус... так как интенсивная работа с флешками и есть локал сеть

    НО в моем буке тоже есть КИС8 но он видит этот вирус и убивает так как проверил на флешки..
    Вложения Вложения
    Keep your mind more fresh as possible :good:

  2. Реклама
     

  3. #2
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,677
    Вес репутации
    2918
    Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DelCLSID('{67KLN5J0-4OPM-00WE-AAX5-77EF1D187563}');
     QuarantineFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\RunDll.exe','');
     DeleteFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\RunDll.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Выполнить скрипт
    Код:
    begin
    CreateQurantineArchive('c:\quarantine.zip');
    end.
    Пришлите c:\quarantine.zip согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи с помощью AVZ и HiJack
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  4. #3
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для spitamen
    Регистрация
    05.07.2005
    Адрес
    Ташкент
    Сообщений
    83
    Вес репутации
    49
    Я понял что она удаляется с помощью скрипта но я его с помощью DRWEB CureIT уже удалил в компе сейчас чисто....
    Но меня интересует другое: не лечение этого вируса а проявления пассивности со стороны KIS7/8, почему они в лом не видят этот вирус???
    Keep your mind more fresh as possible :good:

  5. #4
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,677
    Вес репутации
    2918
    Ни один разработчик антивирусных решений не дает 100% гарантии защиты
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Цитата Сообщение от spitamen Посмотреть сообщение
    я его с помощью DRWEB CureIT уже удалил в компе сейчас чисто....

    Цитата Сообщение от thyrex Посмотреть сообщение
    Сделайте новые логи с помощью AVZ и HiJack
    плиз...
    Последний раз редактировалось Rene-gad; 09.08.2009 в 15:14. Причина: Добавлено

  7. #6
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для spitamen
    Регистрация
    05.07.2005
    Адрес
    Ташкент
    Сообщений
    83
    Вес репутации
    49
    Всем Доброго сутка дня , извиняюсь что долго не отвечал срочно уехал в командировку...
    Приехав сел за комп тоже зараженный вышеуказанным вирусом, где установлен каспер КИС9 с новыми базами но не видит вирус по адресу: C:\RESTORE\k-1-3542-4232123213-7676767-8888886
    есть 2 файла:
    RunDll.exe объем которого составляет 47104 и второй Desktop.ini объем 62

    После снес КИС2009 и установил новый КИС 2010, после обновлении до сегодняшний дня проверил опять на наличие вируса и тут точно такая же история и КИС2010 в лом не видит его...

    Согласно правилам отправляю новые логи

    В сети 8 компов с одинковой операционной системой и прогами так как в одном настроив комп остальные все через образ акрониса были подняты..И что интересно такая проблема только в этих системах каспер как слепой а в других компах все ок он эт вир видит и при перезагрузке убивает
    Вложения Вложения
    Keep your mind more fresh as possible :good:

  8. #7
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для spitamen
    Регистрация
    05.07.2005
    Адрес
    Ташкент
    Сообщений
    83
    Вес репутации
    49
    Цитата Сообщение от thyrex Посмотреть сообщение
    Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DelCLSID('{67KLN5J0-4OPM-00WE-AAX5-77EF1D187563}');
     QuarantineFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\RunDll.exe','');
     DeleteFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\RunDll.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Выполнить скрипт
    Код:
    begin
    CreateQurantineArchive('c:\quarantine.zip');
    end.
    Пришлите c:\quarantine.zip согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи с помощью AVZ и HiJack

    ОК, уже подготовил и отправил.... нужно ли опять новые логи сделать?
    Последний раз редактировалось spitamen; 16.09.2009 в 22:40. Причина: дополнил
    Keep your mind more fresh as possible :good:

  9. #8
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,677
    Вес репутации
    2918
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DelCLSID('{67KLN5J0-4OPM-00WE-AAX5-77EF1D187563}');
     QuarantineFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\RunDll.exe','');
     DeleteFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\RunDll.exe');
    DeleteFileMask('C:\RESTORE', '*.*', true);
    DeleteDirectory('C:\RESTORE');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  10. #9
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для spitamen
    Регистрация
    05.07.2005
    Адрес
    Ташкент
    Сообщений
    83
    Вес репутации
    49
    Цитата Сообщение от thyrex Посмотреть сообщение
    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
    Но там уже нет этого файла так выше я уже выполнил скрипт, и сделав архив уже отправил тот файл через "Прислать запрошенный карантин"

    Новые логи отправлю как только до работы дойду...

    Вот тот вирь удалился но через какое то время опять заражается через флешки.. меня очень интересует почему его каспер не видит? хотя на других компах прекрасно видит и ловит...
    В чем может быть реальная причина? и как в будущем сделать так чтоб он реагировал на эти вирусы?
    Keep your mind more fresh as possible :good:

  11. #10
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для spitamen
    Регистрация
    05.07.2005
    Адрес
    Ташкент
    Сообщений
    83
    Вес репутации
    49
    Вот новые логи после выполнения скрипта как было указано выше..
    Вложения Вложения
    Keep your mind more fresh as possible :good:

  12. #11
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,677
    Вес репутации
    2918
    Вот теперь следов в логах нет.
    Более ничего подозрительного не увидел.
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  13. #12
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для spitamen
    Регистрация
    05.07.2005
    Адрес
    Ташкент
    Сообщений
    83
    Вес репутации
    49
    Цитата Сообщение от thyrex Посмотреть сообщение
    Вот теперь следов в логах нет.
    Более ничего подозрительного не увидел.


    ) Это радует, но меня интересует другой вопрос... который остается без ответа: Пассивное действие каспера...
    может в реестре что нибудь было изменено что мешало касперу видеть его как вирь?

    Как быть с другими компами? на всех выполнить этот скрипт ? и после не пройдет ли вирь новый такого типа?

    А что на счет отправленного файла??? в подписях файла написано что принадлежит UTOOLS...
    Последний раз редактировалось spitamen; 19.09.2009 в 09:01. Причина: забыл написасть.. т.е спросить
    Keep your mind more fresh as possible :good:

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Цитата Сообщение от spitamen Посмотреть сообщение
    меня интересует другой вопрос... который остается без ответа: Пассивное действие каспера...
    может в реестре что нибудь было изменено что мешало касперу видеть его как вирь?
    В базах его тогда не было вот и не видел. Теперь C:\RESTORE\k-1-3542-4232123213-7676767-8888886\RunDll.exe добавили как Trojan.Win32.Buzus.caah.
    Цитата Сообщение от spitamen Посмотреть сообщение
    Как быть с другими компами?
    Базы автоматически должны обновиться.

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,562
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\restore\k-1-3542-4232123213-7676767-8888886\rundll.exe - Trojan.Win32.Buzus.caah ( DrWEB: Dialer.Siggen.121, BitDefender: Win32.Worm.Slenfbot.CU, NOD32: Win32/Agent.OZI trojan, AVAST4: Win32:Delf-LXZ [Drp] )


  • Уважаемый(ая) spitamen, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Просьба..
      От Adelia в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 16.05.2010, 14:57
    2. Просьба...
      От Adelia в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 16.05.2010, 14:15
    3. ПРОСЬБА
      От rdog в разделе Сетевые атаки
      Ответов: 3
      Последнее сообщение: 24.12.2008, 18:11

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00216 seconds with 23 queries