ВИРУС "Privet! Ya prisel k vam s mirom!"

[quote=skolmykov;367324]Выполнил 4 пункт проблема не ушла. Кстати по поводу сети я нахожусь в сети нашей внутренней и через нее выхожу в инет но эта бяка сидит тока у меня так как я не выхожу по сети на внутренний сервер либо на какой нить комп внутри сети. Мое подозрение втом что если я выйду по локалке на другой комп и запущу какое нить приложение то эта бяка попадет на сервак либо на другой ком или если из сети у меня что нить запустят тогда эта бяка пойдет дальше и т.д. и т.п.
а я сижу с этой ябякой уже с 3,03,09 числа и она пока тока у меня. Я так понимаю что она сама не распространяется по сети она подсаживается на ехе и потом при запуске на другом компе активируется[/quote]
Отлично - тогда попробуйте указанный выше тест, и на тем постановку диагноза закончим, будем лечиться :)

Запустил через AVZGuard все нормально запустилось но при попытке запустить без AVZGuard приложение не запускается а также появляется сообщение в окошке.

[quote=skolmykov;367333]Запустил через AVZGuard все нормально запустилось но при попытке запустить без AVZGuard приложение не запускается а также появляется сообщение в окошке.[/quote]
Отлично ... это я и хотел узнать. Значит так, ситуация полностью прояснилась. Мы имеем дело с инфектором, который в тело EXE внедряет свой код (поэтому в логах не было отдельного процесса или DLL), этот код в свою очередь умеет инжектировать в другие процессы троянские потоки и перехватывать функцию, ответственную за запуск процесса (это перехватчик собственно и матерится). Мои запросы карантинов и т.п. были нацелены на создание подборки семплов исполняемых файлов, которые покорежены этим зверем, что бы было сделано. Семплы сейчас обрабатывает вирлаб, скоро будет "лекарство" (я надеюсь, что зараженные программы можно будет корректно излечить, хотя в такой ситуации проще было бы переставить систему). Например, используемый в данном случае на Вашем ПК ProcessExplorer сам является источником заразы :)

Я бы это сделал это давно еслибы на моем рабочем компе небыло важной информации которую я потом не смогу ни откуда взять а если ее сохранить на другой диск то этя бяка попадет туда с сохраненых файлов.

[quote=skolmykov;367357]Я бы это сделал это давно еслибы на моем рабочем компе небыло важной информации которую я потом не смогу ни откуда взять а если ее сохранить на другой диск то этя бяка попадет туда с сохраненых файлов.[/quote]
Логично ... тогда придется набраться терпения и дождаться появления процедуры лечения зверя. как это произойдет, я напишу в данной теме инструкции, как и что нужно будет сделать.

Доброе утро не появилась еще процедура лечения моего зверя

[quote=skolmykov;369170]Доброе утро не появилась еще процедура лечения моего зверя[/quote]
Еще пока нет ... задетектить то его не проблема, на вот корректную лечилку сделать - нужно время. Но я думаю, скоро все будет

Доброе утро не появилась еще процедура лечения моего зверя!!!!!!!!!!!!!

[quote=skolmykov;370211]Доброе утро не появилась еще процедура лечения моего зверя!!!!!!!!!!!!![/quote]
Пришла информация от вирлаба ЛК - процедура детекта и лечения готова. Зверь будет называться Virus.Win32.Crunk.a, процедура его детекта и лечения попадет в базы в скором времени (AVPTool пересобирается с некоторой периодичностью, поэтому на появление сожержащей нужные базы сборки требуется некоторое время ... я думаю завтра утром таковая уже будет). Рецепт лечения прост - скачать с [URL]http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/[/URL] и пролечить ПК.

Огромное СПАСИБО за помощь в моей беде и лечении моего зверя!!!!!!!!!!

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]30[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files\multi password recovery\mpr.bak - [B]not-a-virus:PSWTool.Win32.MPR.015[/B]( DrWEB: Tool.PassView.25 )[/LIST][/LIST]