-
Junior Member
- Вес репутации
- 52
Есть вирус, но не определяется
Заблокирован диспечер задач, реестр, безопасный режим. Сетевая активность... При форматировании флешки появляються файлы... (fctf в отчете)?
Drweb? Kav? не определяют ничего...
AVZ разблокирует диспечер задач на 1-2 секунды... Потом все повторяется! Помогите.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\virus\fctf.exe','');
DeleteFile('C:\virus\fctf.exe');
ExecuteRepair(17);
ExecuteRepair(11);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
повторите логи
-
-
Junior Member
- Вес репутации
- 52
карантин выслан
Добавлено через 1 минуту
Файл 'C:\virus\fctf.exe' был записан специально с флешки для определения вируса. DrWeb и KAV его не определяют.
Добавлено через 1 минуту
взят из http://virusinfo.info/showthread.php?t=74852
Добавлено через 4 минуты
Очень интересное поведение вируса.
AVZ.exe не запускается. Запускается если переменовать avz.exe в копию.exe . Любое упоминание AVZ или не запускатся или полностью подвешивает систему (ждали 10 минут и больше). Видно вирус очень любит AVZ.
Копирование файла карантина также приводит к завешиванию.
Удалось только сделать архив с другим именем всего каталога и потом уже переписать...
файл fctf конечно же удален с помощью скрипта.
Добавлено через 1 минуту
логи к сожаленью очень долго делаются....
обновление не скачать - интернет на машине заблокирован...
Последний раз редактировалось PlotnikovVN; 30.03.2010 в 14:41.
Причина: Добавлено
-
Замените файл C:\WINDOWS\system32\ctfmon.exe на чистый из дистрибутива. Как заменить [можно посмотретьURL="http://virusinfo.info/showthread.php?t=51654"]тут[/URL]
Сообщение от
PlotnikovVN
логи к сожаленью очень долго делаются....
Их все же надо сделать!!!
-
-
+ к polword
Поймали новую модификацию Sality
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
файл заменяю...
логи делаются
а как лечить?
кстати такая ситуация уже больше чем 20 ком...
хотя мой компьютер изначально был отключен от сети
на всех 20-30 делать логи?
Добавлено через 6 минут
размер файла отличался в 6 раз
Последний раз редактировалось PlotnikovVN; 30.03.2010 в 16:38.
Причина: Добавлено
-
Сообщение от
PlotnikovVN
файл заменяю...
Скорее всего это ненадолго, потому что
Сообщение от
thyrex
Поймали новую модификацию Sality
Это типичный представитель файловых вирусов. И лечить нужно всю систему после того как будет добавлен детект основными вендорами
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Dr.Web добавил лечение этого вируса: Win32.Sector.21
-
-
Junior Member
- Вес репутации
- 52
Да. Drweb добавил эту сигнатуру после нашего официального обращения в службу техподдержки...
Дата / время 30.03 17:21:15
Кто Дмитрий Цхяев
Действие, Статус запроса Доп. информация, Ожидание ответа пользователя
Информация
Добавлен в базы с сигнатурой Win32.Sector.21
В течении ближайших нескольких часов обновленные базы с этой сигнатурой станут доступны.
--
С уважением,
Дмитрий Цхяев.
Cлужба технической поддержки компании "Доктор Веб".
Но к сожленью, до сих пор они не могут найти лекарство от этого.
Пораженные машины не лечатся, но хорошо то что на чистых машинах данный вирус убивается. Распространение остановлено.
Пораженные машины - только полная переустановка!!!
-
Сообщение от
PlotnikovVN
Пораженные машины не лечатся
Сами по себе они не вылечатся. Надо запускать полное сканирование. Как лечить файловый вируc: http://virusinfo.info/showthread.php?t=15927
-
-
Junior Member
- Вес репутации
- 52
Симптомы пораженных машин: заблокированы Диспечер задач, реестр, безопасный режим. Сетевая активность (ПО Трафик инспектор блокирует выход в интернет с этих машин). После лечения с новыми сигнатурами от Drweb больше половины exe-ков не работает (полностью поражен офис...). При восстановлении блокировок с помощью AVZ все работает относительно нормально. Но при попытке запустить "вылеченный" exe - DrWeb cрабатывает, но тут же поражается сам.
И опять "сетевая активность" и логи в консоле управления.
Пытались посылать данные файла на анализ - ответ, что это уже "вылеченные" и опасности не представляют.
При перезагрузке активности вируса не наблюдается. Но нормальной работы нет. При запуске "пораженного" ехе - все повторяется. При попытке переустановить ПО - также... Часть дистрибутивов в сети поражено - тупо не запускаются (и имеют дату от 30.03 до 01-02.04. - попытки лечения. Похоже Drweb лечит Sector.21 как проявление другого вируса.
Часть машин уже переустановили, но пару оставили на эксперементы (сами ищем проявление и общение с тех. поддержкой DrWeb). Надо все-таки найти заразу.
Добавлено через 4 минуты
Сообщение от
AndreyKa
Лечились и запуском с чистого CD (nht-team LiveCD и и LiveCD Drweb).
Специально для нас формировали CureNet, но к сожаленью без успешно.
Последнн сообщение Drweb:
Дата / время10:05:33КтоДмитрий ЦхяевДействие, Статус запросаИзменение статуса, Ожидание ответа разработчиковИнформацияДа. runxmlpl.exe - явно вредоносный. Файлы переданы в службу вирусного мониторинга. Ожидаем резюме.
--
С уважением,
Дмитрий Цхяев.
Cлужба технической поддержки компании "Доктор Веб".
Последний раз редактировалось PlotnikovVN; 03.04.2010 в 20:05.
Причина: Добавлено
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- c:\virus\fctf.exe - Virus.Win32.Sality.ag ( DrWEB: Win32.Sector.21, BitDefender: Win32.Sality.3, NOD32: Win32/Sality.NBA virus, AVAST4: Win32:Sality )
- c:\windows\system32\ctfmon.exe - Trojan.Win32.Vilsel.aael ( DrWEB: Win32.Sector.21, BitDefender: Win32.Sality.3, NOD32: Win32/Sality.NBA virus, AVAST4: Win32:Sality )
-