-
Junior Member
- Вес репутации
- 53
Вирус обнуляет размер файла.
Здравствуйте!!! Столкнулся с такой проблемой. На компьютере установлен Kaspersky Business Space Security(Антивирус Касперского для Windows Workstations) версия 6.0.4.1212, базы постоянно обновляются, настройки выставлены по-максимуму. На компьютере явно вирус, но касперский его не определяет. Вирус проявляет себя следующим образом: через определенные промежутки времени(каждый раз разные) обнуляет размер всех файлов в том числе и системных(на компьютере где один раздел), а на компьютере где два раздела, раздел с системой не трогает, благодаря чему и удалось собрать логи. Пробовал Dr.Web CureIt!, при первом сканировании чего-то нашел подозрительное, но при последующих сканированиях все чисто, а вирус как жил так и живет.
Вложение 202027
Вложение 202028
Вложение 202029
Последний раз редактировалось AlexanderDoktor; 06.01.2010 в 11:30.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксите в HijackThis:
Код:
R3 - URLSearchHook: (no name) - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - (no file)
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=\\.\globalroot\systemroot\system32\userinit.exe,
O9 - Extra button: (no name) - {39AA6D29-4236-4F25-A36A-3410EF5283D9} - (no file)
O20 - Winlogon Notify: rbadzm - C:\WINDOWS\
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Alexander\Local Settings\Application Data\winreg.exe','');
QuarantineFile('C:\Documents and Settings\Alexander\Local Settings\Application Data\regdll.exe','');
QuarantineFile('C:\Documents and Settings\Alexander\Local Settings\Application Data\ntcom.exe','');
BC_ImportALL;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=66078).
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
Все инструкции выполнил, карантин выслал. Что делать дальше? Ситуация не изменилась.
-
Карантин пуст...
Это не антивирус ли его случайно "подчистил"?
Кроме этих трех файлов в скрипте, ничего подозрительного не видно.
Попробуйте собрать их вручную. Если удастся - пришлите в архиве с апролем virus по ссылке для карантина.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
антивирус был отключен, так что, я думаю, "подчистить" ничего не мог, да он и не видит ничего(пробовал "касперский", "доктор веб", "нод 32" с новыми базами и максимальными настройками). сегодня в папке "C:\Documents and Settings\Alexander\Local Settings\Application Data\" находятся три файла(подозрительных) : netcom32.exe, netmon.exe, winnet.exe.
при перезагрузке компьютера имена этих файлов меняются каждый раз
заархивировал эти три файла и загрузил по ссылке http://virusinfo.info/upload_virus.php?tid=66078
Последний раз редактировалось AlexanderDoktor; 11.01.2010 в 09:51.
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask('c:\documents and settings\alexander\local settings\application data', '*.exe',true);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новый лог по п.2 раздела Диагностика.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
Вчера вручную удалил следующие файлы: C:\Documents and Settings\Alexander\Local Settings\*.tmp(имя файла при перезагрузке меняется), C:\Documents and Settings\Alexander\Local Settings\Application Data\*.exe(три файла, их имена также меняются при перезагрузке). Вирус себя перестал проявлять(данные не обнулялись). Сегодня восстанавливал данные с CD-R диска(скорее всего данные на нем заражены), вирус снова себя начал проявлять(обнуляются данные). При первом заражении в папке C:\Documents and Settings\Alexander\Local Settings\ пявился файл с расширением *.tmp, в папке C:\Documents and Settings\Alexander\Local Settings\Application Data\ файлов с расширением *.ехе не было. После перезагрузки в папке C:\Documents and Settings\Alexander\Local Settings\ файл с расширением *.tmp остался,а в папке C:\Documents and Settings\Alexander\Local Settings\Application Data\ появились 3 файла с расширением *.ехе.
Все инструкции выполнил, лог прикладываю.
-
Junior Member
- Вес репутации
- 53
Снова вручную удалил следующие файлы: C:\Documents and Settings\Alexander\Local Settings\*.tmp(имя файла при перезагрузке меняется), C:\Documents and Settings\Alexander\Local Settings\Application Data\*.exe(три файла, их имена также меняются при перезагрузке). Вирус себя перестал проявлять.
Проверил диск CD-R(с резервом) "Avira Premium Security Suite", этот антивирус нашел кое-чего. Результат работы этого антивируса прикладываю.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 9
- В ходе лечения обнаружены вредоносные программы:
- \dllreg.exe - Trojan.Win32.Resetter.a
- \moncom.exe - Trojan.Win32.Resetter.a
- \ntcom.exe - Trojan.Win32.Resetter.a
-