MrakKiller

Где можно достать данную утилиту?
Мой Mkar не лечится CureIt-ом.
Читал вот эту тему:
[url]http://virusinfo.info/showthread.php?t=3124[/url]
Пытался отослать сообщение автору утилиты, но у него ящик переполнен.

Если вам нужна помощь в лечении - прочитать и выполнить [url]http://virusinfo.info/showthread.php?t=1235[/url]

Прикрепил.

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\netstart\001\svchost.exe','');
QuarantineFile('c:\windows\system32\netstart\svchost.exe','');
QuarantineFile('d:\program files\alltotray\alltotray.exe','');
RebootWindows(false);
end.[/CODE]
После перезагрузки пришлите файлы карантина по правилам раздела "Помогите".

У Вас на компьютере установлен антивирус и файрвол?
Настройки прокси-сервера Вы сами прописывали?
ZNAMEN.OD.UZ.GOV.UA - этот адрес Вам что-нибудь говорит?

Затем ещё выполните один скрипт :
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine();
QuarantineFile('\??\C:\WINDOWS\System32\Drivers\U3SHLPDR.SYS','');
RebootWindows(true);
end.
[/code]
Довольно подозрительный драйвер .Прислать согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=9143[/url]........

[QUOTE=MaXim;104783]После перезагрузки пришлите файлы карантина по правилам раздела "Помогите".

У Вас на компьютере установлен антивирус и файрвол?
Настройки прокси-сервера Вы сами прописывали?
ZNAMEN.OD.UZ.GOV.UA - этот адрес Вам что-нибудь говорит?[/QUOTE]

Файлы выслал.
svchost не хотел копироваться - его NOD32 не пускал (он не выгружает своё ядро, когда его просят). Скопировался в безопасном режиме.

Антивирус соответственно NOD32. С базами четырехмесячной давности он Mkara в упор не видел.
Настройки прокси прописывал сам.
ZNAMEN.OD.UZ.GOV.UA - это наш домен.

[quote]С базами четырехмесячной давности ? [/quote]

Прочитайте ещё раз правила , пункт номер 1 вам что-нибудь говорит?

[QUOTE=drongo;104803]
Довольно подозрительный драйвер.[/QUOTE]
Отослал.

[QUOTE=drongo;104823]Прочитайте ещё раз правила , пункт номер 1 вам что-нибудь говорит?[/QUOTE]
Я же написал "не видел" в прошлом времени. Вирус обнаружился, когда я обновил базы. Утилита CureIt моего Mkara не видит.

Эти c:\windows\system32\netstart\001\svchost.exe,c:\windows\system32\netstart\svchost.exe
определились как Virus.Win32.Mkar,
а U3SHLPDR.SYS - чистый.

В AVZ выполнить скрипт:

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\windows\system32\netstart\001\svchost.exe');
DeleteFile('c:\windows\system32\netstart\svchost.exe');
BC_ImportDeletedList;
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(True);
end.[/CODE]

После перезагрузки прислать boot_clr.log

[QUOTE=PavelA;104833]Эти c:\windows\system32\netstart\001\svchost.exe,c:\windows\system32\netstart\svchost.exe
определились как Virus.Win32.Mkar[/QUOTE]
Я сам уже это давно выяснил.
Он мне весь инсталл заразил. Их можно вылечить.

[QUOTE=PavelA;104833]После перезагрузки прислать boot_clr.log[/QUOTE]
Прикрепил.
Там хоть и пишет "failed", но файлы он на самом деле удалил.
После перезагрузки в памяти вируса нету.
Но этого я и сам добивался удаляя папку netstart в безопасном режиме.

Кстати, вирус очень странно себя ведет. Если запустить зараженный файл в безопасном режиме, то он сам обеззараживается (пропадают блоки из начала и конца файла).

Если удалился, то давай логи заново.

AVZ уже лечит Mkar?

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\netstart\\svchost.exe - [B]Virus.Win32.Mkar.g[/B] (DrWEB: Win32.HLLP.Mrak.8)[*] c:\\windows\\system32\\netstart\\001\\svchost.exe - [B]Virus.Win32.Mkar.g[/B] (DrWEB: Win32.HLLP.Mrak.8)[/LIST][/LIST]