-
Junior Member
- Вес репутации
- 60
Win32/Fujacks.AL (by NOD32)
Здравствуйте. После проделанных действий согласно правилам все тихо...пока.
Последние 2 недели в моей подсети бродит "страшный" вирус...Вот ссылка на новость от ИСП http://www.freenet.com.ua/news/20071118/
Возникает вопрос: постоянные подмены ай-пи, провозглашение сторонними ай-пи себя самих шлюзами моей подсети это и есть зараза, терроризирующая меня?
Проявления вируса:
1. Каждая папка имеет в себе файл desktop_.ini
2. Браузеры реагируют на клик по ссылке только с 5-10 раза.
3. В корне каждого логического диска присутствует файл GameSetup.exe
...больше ничего не припомню..
Последний раз редактировалось just_blind; 08.02.2010 в 22:30.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксьте
Код:
O4 - Startup: Desktop_.ini
Пришлите по правилам GameSetup.exe и desktop_.ini
-
-
Junior Member
- Вес репутации
- 60
Готово
Добавлено через 13 минут
Появилась новая "фишка".
Время от времени появляться всплывающее окошко в систрее, которое сообщает что есть файлы для записи на диск стандартным средством записи виндоус.
Последний раз редактировалось just_blind; 14.12.2007 в 22:50.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 60
Апаю тему, фикс выполнил, карантин прислал.
-
Появилась новая "фишка".
Время от времени появляться всплывающее окошко в систрее, которое сообщает что есть файлы для записи на диск стандартным средством записи виндоус.
в чем проблема удалите их ... а впредь , если не пользуютесь стандартными средствами записи .... просто остановите службу записи компакт дисков ...
-
-
Junior Member
- Вес репутации
- 60
Ответа от лаборатории нет?
Службу остановил бы, не знаю как она называться.
-
В карантине только C:\Documents and Settings\Юрик\Application Data\Microsoft\Excel\XLSTART\Desktop_.ini Он чист. Какие сейчас жалобы?
-
-
Сообщение от
just_blind
Службу остановил бы, не знаю как она называться.
IMAPI
-
-
Junior Member
- Вес репутации
- 60
GameSetup.exe все так же зверствует.
Добавлено через 56 секунд
Возможно следует повторить все логи и проверки?
Последний раз редактировалось just_blind; 15.12.2007 в 14:14.
Причина: Добавлено
-
Сообщение от
just_blind
GameSetup.exe все так же зверствует.
Добавлено через 56 секунд
Возможно следует повторить все логи и проверки?
Да, повторите и постарайтесь прислать этот GameSetup.exe
-
-
Junior Member
- Вес репутации
- 60
Повторные логи.
GameSetup.exe отправил тоже согласно правил.
Последний раз редактировалось just_blind; 08.02.2010 в 22:30.
-
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\nvsvc32.exe','');
QuarantineFile('C:\Documents and Settings\Юрик\DoctorWeb\Quarantine\GameSetu2.exe','');
QuarantineFile('H:\INSTALL\GMSIPCI.SYS','');
QuarantineFile('G:\Fxdrv.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\lirsgt.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\atksgt.sys','');
QuarantineFile('C:\Program Files\Gene6 FTP Server\G6FTPTray.exe','');
QuarantineFile('C:\Documents and Settings\Юрик\Главное меню\Программы\Автозагрузка\Desktop_.ini','');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы)
Добавлено через 2 минуты
GameSetup.exe не попал и в этот карантин.
Последний раз редактировалось Kuzz; 15.12.2007 в 18:50.
Причина: Добавлено
The worst foe lies within the self...
-
-
Junior Member
- Вес репутации
- 60
Файлы, попавшие в карантин отослал.
...при каждой загрузки системы в систрее появляется окно, сообщающее о файлах, которые ждут записи на диск. Файлов таких на самомо деле нет, я их не добавлял на запись. Служба IMAPI отключена.
Добавлено через 43 минуты
Заметил еще 1 новую шутку, возможно от вируса:
Неро отказывается "дописывать" в неполные р-диски, "продолжать мультисессию", "стирать" рв-диски. Все диски, без исключения, становятся ридонли.
Точно такая же тема на ноутбуке, который контактировал с этой машиной.
Последний раз редактировалось just_blind; 15.12.2007 в 19:48.
Причина: Добавлено
-
щелкните в трее на иконке с цд в появившемся окошке удалите файлы для записи ...
-
-
Junior Member
- Вес репутации
- 60
-
в неро выбран реальный дисковод ? или виртуальный ?
-
-
Junior Member
- Вес репутации
- 60
Реальный. До недавнего времени такой проблемы не было.
-
У меня смутное подозрение на файловый инфектор... проверку CureIt делали?
-
-
Junior Member
- Вес репутации
- 60
Конечно. CureIt излечил приблизительно 1.5к *.htm файлов от Win32.HLLW.Whboy а также поместил в карантин все найденные GameSetup.exe
Добавлено через 1 минуту
http://info.drweb.com/virus_description/134957
Последний раз редактировалось just_blind; 15.12.2007 в 22:35.
Причина: Добавлено
-
Код:
begin
QuarantineFile('GameSetup.exe','');
end.
Карантин пришлите... если в карантин файл не попадет, попробуйте просто вручную его заархивировать и прислать - надо все таки понять что это такое
-