Показано с 1 по 9 из 9.

После ноутбука заболел и настольный ПК (заявка № 16193)

  1. #1
    Junior Member Репутация
    Регистрация
    05.01.2008
    Сообщений
    33
    Вес репутации
    37

    Thumbs up После ноутбука заболел и настольный ПК

    Вчера проверялся KAVtool и она мне сдала выдавать отчет о вирусе....все началась буквально в 2-3 ночи,до этого проверял все было отлично
    Обычного касперского установить не удалось
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,341
    Вес репутации
    53
    Virus.Win32.Hidrag.g
    Безобидный резидентный Win32-вирус. Заражает приложения Win32 (PE EXE-файлы). При заражении шифрует часть заражаемого файла.

    При запуске зараженного файла инсталлирует себя в систему: создаёт свою копию с именем "svchost.exe" (размером около 36K) в каталоге Windows и регистрирует этот файл в ключе автозапуска системного реестра:

    HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services
    PowerManager = %WindowsDir%\SVCHOST.EXE
    Затем вирус остаётся в памяти Windows, рекурсивно ищет и заражает PE EXE-файлы на всех доступных дисках, начиная с диска C:.

    Вирус никак не проявляет своего присутствия в системе.

    Вирус содержит зашифрованные строки:

    Hidden Dragon virus. Born in a tropical swamp.
    PowerManagerMutant
    Microsoft Most Valuable Professional in Consumer Security

  4. #3
    Junior Member Репутация
    Регистрация
    05.01.2008
    Сообщений
    33
    Вес репутации
    37
    Ну да я вчера в нете про это тоже нашел....Но средств борьбы я незнаю....

  5. #4
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,341
    Вес репутации
    53
    Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
     O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    И еще раз пройтись AVPTool и посмотреть насколько широко прошло заражение

    Добавлено через 9 минут

    AVZ удалила вирусный процесс %WindowsDir%\SVCHOST.EXE
    По поводу лечения

    На момент создания данного описания антивирусные программы обнаруживают вирус под следующими номенклатурными названиями:

    Антивирус Kaspersky AntiVirus: Virus.Win32.Hidrag.a (лечит зараженные файлы)

    Антивирус BitDefender Professional: Win32.Jeefo.A (лечит зараженные файлы)

    Антивирус DrWeb: Win32.HLLP.Jeefo.36352 (лечит зараженные файлы)

    Следует отметить, что некоторое количество вирусных копий может присутствовать в файлах с расширениями "CHK" (последние являются файлами, резервируемыми некоторыми версиями ОС Windows в случаях обнаружения сбойных кластеров на жестком диске системным приложением Scandisk).
    Поскольку для рядового пользователя осуществить процесс лечения вируса будет непросто, т.к. в процессе лечения под активной Windows вирус может поточно заражать уже вылеченные файлы (не говоря уже о том, что сам антивирусный сканер может оказаться инфицированным), самым оптимальным решением вирусной проблемы, на мой взгляд, является перенос винчестера на др. неинфицированную машину, его подключение к ней, как второстепенного, с последующим пролечиванием всей находящейся на нем информации. В процессе лечения файл svchost.exe вируса необходимо удалить (равно, как и прочий файл с активной копией вируса, если таковой имеет место).
    Добавлено через 1 минуту

    Да если карантин в AVPTool Ваш смените пароли они могли уйти на "лево"
    Последний раз редактировалось akoK; 10.01.2008 в 13:36. Причина: Добавлено
    Microsoft Most Valuable Professional in Consumer Security

  6. #5
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Желательно все проверки для начала делать в защищ. режиме.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  7. #6
    Junior Member Репутация
    Регистрация
    05.01.2008
    Сообщений
    33
    Вес репутации
    37
    Так спасибо,доктор веб помог=))))
    Удалось остановить все с помощью изменения маски поиска...Только ехе и в итоге довольно быстро все харды сканировались)
    Вот логи,и еще если не сложно подскажите что сделать со службами...Домашний комп,запуск с сиди ненужен
    Вложения Вложения

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    активного заражения нет ....
    если у вас нет локальной сети .... выполните такой скрипт ...
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
    SetServiceStart('RDSessMgr', 4);
    SetServiceStart('mnmsrvc', 4);
    SetServiceStart('Schedule', 4);
    SetServiceStart('SSDPSRV', 4);
    SetServiceStart('TermService', 4);
    SetServiceStart('RemoteRegistry', 4);
    RebootWindows(true);
    end.

  9. #8
    Junior Member Репутация
    Регистрация
    05.01.2008
    Сообщений
    33
    Вес репутации
    37
    Хммм ну я подключен к сети и все=)
    И еще локальная сеть между моим компом и ноутбуком

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    тогда уберите в скрипте эти строки ....
    Код:
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);

  • Уважаемый(ая) no_cash, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. 1 После разблокировки ноутбука.
      От Gorski в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 23.08.2010, 09:30
    2. Ответов: 1
      Последнее сообщение: 09.02.2010, 16:27
    3. Ответов: 6
      Последнее сообщение: 24.12.2009, 20:17
    4. Ответов: 8
      Последнее сообщение: 09.10.2009, 08:31
    5. Ответов: 5
      Последнее сообщение: 26.11.2008, 12:11

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00265 seconds with 17 queries