) ну вот собственно тема
в одном из офисов кто-то подцепил эту гадость, через пару дней ни одного антивируса нет.
симптомы: выключаються антивирусы, при наборе в браузерах avz, cureit и т д браузер закрывает, переименнованный avz работает, безопастный режим не работает.
в системе регистрируеться сервис dpti930 который подгружает в ядро драйвер jkkkji.sys из папки system32\drivers (имя драйвера мож быть разным).
1. восстановить безопастный режим можно в avz если выполнить восстановление системы\восстановление safe mode
2. при входе в безопасный режим, драйвер(сервис dpti930 не подгружаеться)
3. через скрипты avz, драйвер нельзя добавить в карантин или удалить
4. при загрузке с другой системы(winpe, bartpe, какой нибудь live cd), в папке system32\drivers нет файла jkkkji.sys
4. удаление из безопастного режима веток реестра отвечающего за загрузку сервиса ни к чему не приводит, сервис удаляеться, но после загрузки в нормальном режиме снова появляеться.
возможно надо было сделать дамп памяти процесса но не подумал чет, если нужно будет попробую сделать
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
ледяной мечь не видит этот файлик )
я уже писал его даже под другой системой не видно, видимо тут что-то другое.
поэтому ни карантиниться этот драйвер и не удаляеться.
логи все то же показывают, восстановление отключено, скрипт выполнил не помогло.
логи.
вобщем меня на основной работе ждут )
я отправил дамп процесса в ЛК и т.д
пусть разбираються
просто так этот dpti не удаляеться
я пробовал по всякому, и в безопасном и с liveCD помогла только переустановка всей системы.
если ответят мне из ЛК то отпишусь, не у меня одного же этот dpti появился, а так до встречи ) спасибо за попытку помоч )
)) нашел тело
этот вирус куреитом обнаруживаеться как win32.hllp.sector.s
я думал это два вируса один просто убивает антивирусы а второй это старый добрый сектор, видимо это просто модификация.
авз в карантине.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: