Показано с 1 по 14 из 14.

MrakKiller (заявка № 9143)

  1. #1
    Junior Member Репутация
    Регистрация
    20.04.2007
    Сообщений
    6
    Вес репутации
    36

    Exclamation MrakKiller

    Где можно достать данную утилиту?
    Мой Mkar не лечится CureIt-ом.
    Читал вот эту тему:
    http://virusinfo.info/showthread.php?t=3124
    Пытался отослать сообщение автору утилиты, но у него ящик переполнен.

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.04.2005
    Адрес
    Perm, Russia
    Сообщений
    5,794
    Вес репутации
    2265
    Если вам нужна помощь в лечении - прочитать и выполнить http://virusinfo.info/showthread.php?t=1235

  4. #3
    Junior Member Репутация
    Регистрация
    20.04.2007
    Сообщений
    6
    Вес репутации
    36
    Прикрепил.
    Вложения Вложения

  5. #4
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('c:\windows\system32\netstart\001\svchost.exe','');
     QuarantineFile('c:\windows\system32\netstart\svchost.exe','');
     QuarantineFile('d:\program files\alltotray\alltotray.exe','');
    RebootWindows(false);
    end.
    После перезагрузки пришлите файлы карантина по правилам раздела "Помогите".

    У Вас на компьютере установлен антивирус и файрвол?
    Настройки прокси-сервера Вы сами прописывали?
    ZNAMEN.OD.UZ.GOV.UA - этот адрес Вам что-нибудь говорит?

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    Затем ещё выполните один скрипт :
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ClearQuarantine();
     QuarantineFile('\??\C:\WINDOWS\System32\Drivers\U3SHLPDR.SYS','');
     RebootWindows(true);
    end.
    Довольно подозрительный драйвер .Прислать согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=9143........

  7. #6
    Junior Member Репутация
    Регистрация
    20.04.2007
    Сообщений
    6
    Вес репутации
    36
    Цитата Сообщение от MaXim Посмотреть сообщение
    После перезагрузки пришлите файлы карантина по правилам раздела "Помогите".

    У Вас на компьютере установлен антивирус и файрвол?
    Настройки прокси-сервера Вы сами прописывали?
    ZNAMEN.OD.UZ.GOV.UA - этот адрес Вам что-нибудь говорит?
    Файлы выслал.
    svchost не хотел копироваться - его NOD32 не пускал (он не выгружает своё ядро, когда его просят). Скопировался в безопасном режиме.

    Антивирус соответственно NOD32. С базами четырехмесячной давности он Mkara в упор не видел.
    Настройки прокси прописывал сам.
    ZNAMEN.OD.UZ.GOV.UA - это наш домен.
    Последний раз редактировалось Макcим; 02.05.2007 в 15:09.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    С базами четырехмесячной давности ?
    Прочитайте ещё раз правила , пункт номер 1 вам что-нибудь говорит?

  9. #8
    Junior Member Репутация
    Регистрация
    20.04.2007
    Сообщений
    6
    Вес репутации
    36
    Цитата Сообщение от drongo Посмотреть сообщение
    Довольно подозрительный драйвер.
    Отослал.

  10. #9
    Junior Member Репутация
    Регистрация
    20.04.2007
    Сообщений
    6
    Вес репутации
    36
    Цитата Сообщение от drongo Посмотреть сообщение
    Прочитайте ещё раз правила , пункт номер 1 вам что-нибудь говорит?
    Я же написал "не видел" в прошлом времени. Вирус обнаружился, когда я обновил базы. Утилита CureIt моего Mkara не видит.

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Эти c:\windows\system32\netstart\001\svchost.exe,c:\wi ndows\system32\netstart\svchost.exe
    определились как Virus.Win32.Mkar,
    а U3SHLPDR.SYS - чистый.

    В AVZ выполнить скрипт:

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('c:\windows\system32\netstart\001\svchost.exe');
     DeleteFile('c:\windows\system32\netstart\svchost.exe');
     BC_ImportDeletedList;
     BC_LogFile(GetAVZDirectory + 'boot_clr.log'); 
     BC_Activate; 
     RebootWindows(True); 
    end.
    После перезагрузки прислать boot_clr.log
    Последний раз редактировалось PavelA; 20.04.2007 в 17:12.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  12. #11
    Junior Member Репутация
    Регистрация
    20.04.2007
    Сообщений
    6
    Вес репутации
    36
    Цитата Сообщение от PavelA Посмотреть сообщение
    Эти c:\windows\system32\netstart\001\svchost.exe,c:\wi ndows\system32\netstart\svchost.exe
    определились как Virus.Win32.Mkar
    Я сам уже это давно выяснил.
    Он мне весь инсталл заразил. Их можно вылечить.

    Цитата Сообщение от PavelA Посмотреть сообщение
    После перезагрузки прислать boot_clr.log
    Прикрепил.
    Там хоть и пишет "failed", но файлы он на самом деле удалил.
    После перезагрузки в памяти вируса нету.
    Но этого я и сам добивался удаляя папку netstart в безопасном режиме.

    Кстати, вирус очень странно себя ведет. Если запустить зараженный файл в безопасном режиме, то он сам обеззараживается (пропадают блоки из начала и конца файла).
    Вложения Вложения
    Последний раз редактировалось mxmus; 20.04.2007 в 18:14. Причина: поправил QUOTE

  13. #12
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Если удалился, то давай логи заново.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    132
    AVZ уже лечит Mkar?

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,508
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 4
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\netstart\\svchost.exe - Virus.Win32.Mkar.g (DrWEB: Win32.HLLP.Mrak.
      2. c:\\windows\\system32\\netstart\\001\\svchost.exe - Virus.Win32.Mkar.g (DrWEB: Win32.HLLP.Mrak.


  • Уважаемый(ая) mxmus, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00946 seconds with 24 queries