Показано с 1 по 14 из 14.

Вирус, создающий файлы ani.ani и ani.ani.bat (заявка № 28152)

  1. #1
    Junior Member Репутация
    Регистрация
    10.02.2008
    Сообщений
    22
    Вес репутации
    59

    Thumbs up Вирус, создающий файлы ani.ani и ani.ani.bat

    Здравствуйте!
    Вот такой вот вирус у меня обнаружился:
    на компе стоял w2k, решил сменить его на xp. При этом удалил все разделы кроме раздела с документами и дистрибутивами. Разметил по-новой, установил систему. Настроил "под себя", поставил необходимые программы. Когда начал работать обнаружил, что на рабочем столе появились файлы ani.ani и ani.ani.bat Как не трудно догадаться, эти файлы восстанавливаются сами собой. От учетной записи не зависит. Файлы возникают в момент запуска какой-либо программы. Причем среди установленных программ есть и такие, которые не провоцируют появление указанных файлов. Пробовал "закатывать" раздел с системой нулями при помощи dd из-под линуха, попутно перезаписывая mbr. и так несколько раз. Зараза определенно выжила.
    Что можно с ней поделать?
    Вот единственное, что удалось найти в сети: http://forum.kaspersky.com/lofiversi...hp/t54664.html
    Последний раз редактировалось Elephant; 28.11.2008 в 08:41.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное востановление.
    -Пофиксите
    Код:
    O4 - HKLM\..\Run: [TBMonEx] C:\WINDOWS\Fonts\syn00-11-22-33-44\system\smss.exe
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\Fonts\syn00-11-22-33-44\system\smss.exe','');
     QuarantineFile('C:\autorun.inf','');
     QuarantineFile('C:\ntldr.exe','');
     QuarantineFile('D:\autorun.inf','');
     QuarantineFile('D:\ntldr.exe','');
     QuarantineFile('E:\autorun.inf','');
     QuarantineFile('E:\ntldr.exe','');
     DeleteFile('C:\WINDOWS\Fonts\syn00-11-22-33-44\system\smss.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  4. #3
    Junior Member Репутация
    Регистрация
    10.02.2008
    Сообщений
    22
    Вес репутации
    59
    Тут есть один интересный вопрос: я сразу после установки Винды прибил Explorer, Outlook express, etc. в "установка и удаление программ". Вернуть?

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Elephant Посмотреть сообщение
    я сразу после установки Винды прибил Explorer, Outlook express, etc. в "установка и удаление программ".Вернуть?
    Не надо. Запустите стандартный браузер.

  6. #5
    Junior Member Репутация
    Регистрация
    10.02.2008
    Сообщений
    22
    Вес репутации
    59
    Вот что получилось после лечения. Судя по Hijackthis то, что было пофиксено, не вернулось.
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 18.08.2008 в 10:17.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Подождем, что скажет Генштаб... т.е. Вирлаб

  8. #7
    Junior Member Репутация
    Регистрация
    10.02.2008
    Сообщений
    22
    Вес репутации
    59
    А что посоветуете: работать с компом дальше, как ни в чем не бывало, или ждать результатов?

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Можем и не ждать - зловреды даже на Вирустотале известны.

    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное востановление.
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\autorun.inf','');
     DeleteFile('C:\ntldr.exe','');
     DeleteFile('D:\autorun.inf','');
     DeleteFile('D:\ntldr.exe','');
     DeleteFile('E:\autorun.inf','');
     DeleteFile('E:\ntldr.exe',''); 
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Прикрепите логи к новому сообщению.

  10. #9
    Junior Member Репутация
    Регистрация
    10.02.2008
    Сообщений
    22
    Вес репутации
    59
    Вот что получилось. На сей раз чистился при помощи CCleaner свежайшей версии.
    Кстати, где можно почитать про эту заразу (про вирус, всмысле)?
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 18.08.2008 в 11:35.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Elephant Посмотреть сообщение
    Кстати, где можно почитать про эту заразу
    Прочитайте лучше еще раз правила и мои сообщения, как отсылать карантин. Еще раз увижу в топике - получите бан

  12. #11
    Junior Member Репутация
    Регистрация
    10.02.2008
    Сообщений
    22
    Вес репутации
    59

    Упс..

    Прошу прощения, что нарушил правила. Выложил карантин virus.zip, созданный по правилам.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Ничего подозрительного.
    Поставьте Сервис Пак 3 + последующие обновления.
    И нашу священную книгу не забывайте: http://security-advisory.virusinfo.info/
    Насчет информации о вирусах пользуйтесь www.viruslist.com + Гугл.

  14. #13
    Junior Member Репутация
    Регистрация
    10.02.2008
    Сообщений
    22
    Вес репутации
    59
    Спасибо за помошь.
    Вообще я нашел программу, которая вызывает появление файлов, указанных в последнем листинге (*.inf, ntldr.exe и ani.ani ani.ani.bat с ними), снес ее нафиг, убил ее дистрибут, почистил все как в последний раз. Теперь вроде живу спокойно.
    Еще раз спасибо.

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 21
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\autorun.inf - Worm.Win32.AutoRun.dzn (DrWEB: Win32.HLLW.Autoruner.176
      2. c:\\ntldr.exe - Worm.Win32.Anilogo.f (DrWEB: Win32.HLLW.Autoruner.1070)
      3. d:\\autorun.inf - Worm.Win32.AutoRun.dzn (DrWEB: Win32.HLLW.Autoruner.176
      4. d:\\ntldr.exe - Worm.Win32.Anilogo.f (DrWEB: Win32.HLLW.Autoruner.1070)
      5. e:\\autorun.inf - Worm.Win32.AutoRun.dzn (DrWEB: Win32.HLLW.Autoruner.176
      6. e:\\ntldr.exe - Worm.Win32.Anilogo.f (DrWEB: Win32.HLLW.Autoruner.1070)


  • Уважаемый(ая) Elephant, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Вирус создающий файлы 85.exe и так далее.
      От Cloudbase в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 08.12.2010, 22:42
    2. Касперский не видит вирус создающий вредоносные файлы (заявка №22212)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 1
      Последнее сообщение: 09.06.2010, 15:00
    3. Вирус, создающий install_temp_318
      От starbreaker в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2009, 04:07
    4. Ответов: 7
      Последнее сообщение: 31.10.2008, 03:42
    5. Ответов: 7
      Последнее сообщение: 02.10.2008, 22:55

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00755 seconds with 18 queries