Столкнулся с очень интересной ситуацией:
Дело в том что на рабочих компьютерах установлены KIS8 504, все было отлично до вчерашнего дня так как при загрузки комп загружает личные параметры обращаясь C:\RESTORE\k-1-3542-4232123213-7676767-8888886
после выдает ошибку explorer .. Интересен еще тот факт что антивир обновляется каждый день и базы в актуальном состояние.
а в корневом папке создалась скрытая папка RESTORE.
а в папке C:\RESTORE\k-1-3542-4232123213-7676767-8888886
есть 2 файла:
RunDll.exe объем которого составляет 47104 и второй Desktop.ini объем 62
Далее отключив на время запустил AVP Tool .. но он тоже в упор не видит этот вирус..
После скачал DRWEB CureIT ... этот сразу нашел сказал дайлел вирус потом при перезагрузки удалил удачно...
Но повседневной работе опять появляется эт вирус... так как интенсивная работа с флешками и есть локал сеть
НО в моем буке тоже есть КИС8 но он видит этот вирус и убивает так как проверил на флешки..
Keep your mind more fresh as possible :good:
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Я понял что она удаляется с помощью скрипта но я его с помощью DRWEB CureIT уже удалил в компе сейчас чисто....
Но меня интересует другое: не лечение этого вируса а проявления пассивности со стороны KIS7/8, почему они в лом не видят этот вирус???
Всем Доброго сутка дня , извиняюсь что долго не отвечал срочно уехал в командировку...
Приехав сел за комп тоже зараженный вышеуказанным вирусом, где установлен каспер КИС9 с новыми базами но не видит вирус по адресу: C:\RESTORE\k-1-3542-4232123213-7676767-8888886
есть 2 файла:
RunDll.exe объем которого составляет 47104 и второй Desktop.ini объем 62
После снес КИС2009 и установил новый КИС 2010, после обновлении до сегодняшний дня проверил опять на наличие вируса и тут точно такая же история и КИС2010 в лом не видит его...
Согласно правилам отправляю новые логи
В сети 8 компов с одинковой операционной системой и прогами так как в одном настроив комп остальные все через образ акрониса были подняты..И что интересно такая проблема только в этих системах каспер как слепой а в других компах все ок он эт вир видит и при перезагрузке убивает
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Но там уже нет этого файла так выше я уже выполнил скрипт, и сделав архив уже отправил тот файл через "Прислать запрошенный карантин"
Новые логи отправлю как только до работы дойду...
Вот тот вирь удалился но через какое то время опять заражается через флешки.. меня очень интересует почему его каспер не видит? хотя на других компах прекрасно видит и ловит...
В чем может быть реальная причина? и как в будущем сделать так чтоб он реагировал на эти вирусы?
Вот теперь следов в логах нет.
Более ничего подозрительного не увидел.
) Это радует, но меня интересует другой вопрос... который остается без ответа: Пассивное действие каспера...
может в реестре что нибудь было изменено что мешало касперу видеть его как вирь?
Как быть с другими компами? на всех выполнить этот скрипт ? и после не пройдет ли вирь новый такого типа?
А что на счет отправленного файла??? в подписях файла написано что принадлежит UTOOLS...
Последний раз редактировалось spitamen; 19.09.2009 в 09:01.
Причина: забыл написасть.. т.е спросить
меня интересует другой вопрос... который остается без ответа: Пассивное действие каспера...
может в реестре что нибудь было изменено что мешало касперу видеть его как вирь?
В базах его тогда не было вот и не видел. Теперь C:\RESTORE\k-1-3542-4232123213-7676767-8888886\RunDll.exe добавили как Trojan.Win32.Buzus.caah.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: