Показано с 1 по 15 из 15.

Поймал нового виря. (заявка № 62103)

  1. #1
    Junior Member Репутация
    Регистрация
    02.12.2009
    Сообщений
    16
    Вес репутации
    30

    Question Поймал нового виря.

    Поймал виря.На зараженной машине запускается ,но при заходе в реестр или запуске авз перегружает систему. shutdown -a не помогает.В защищённом режиме тоже самое.Хард прицепил к чистой системе ,авз и нод32 4.0 его не видят ,подозрительные файлы отослал и в авз и нод.Скрипты выполнять не стал ,т.к моя система чистая а другой хард заражен и авз там проблем не видит.Зашёл на хард удалённым реестром,загрузил нужные кусты ,ссылки в реестре в разделе run на подозрительные файлы просмотрел.Файлы отправил (как уже говорил).
    В сервисах обнаружил подозрительный сервис -его отключил , в разделе svchost чисто.Где ещё можно покопать?Идеи?После всех манипуляций с реестром ,ситуация таже-система запускается на зараженном компе,но при заходе в реестр или procexp моментом перегружается. Шатдаун -а непомогает.На всякий случай начал делать скрипт в авз,вот если бы запустить авз как процесс с включеным гуардом,что бы вирь не перехватил потоки и просканировал систему на зараженной машине хотя бы,но с другой стороны тоже тогда ни реестр запустить ни процессы посмотреть...Базы свежие от вчерашнего дня.Засада короче.))
    Последний раз редактировалось BlackCedric; 02.12.2009 в 11:12.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    270
    Сделайте логи по правилам, посмотрим

  4. #3
    Junior Member Репутация
    Регистрация
    02.12.2009
    Сообщений
    16
    Вес репутации
    30
    virusinfo_syscheck.zip куда кинуть .что-то ненайду..

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    270
    присоединить сюда к сообщению

  6. #5
    Junior Member Репутация
    Регистрация
    02.12.2009
    Сообщений
    16
    Вес репутации
    30
    Цитата Сообщение от DefesT Посмотреть сообщение
    присоединить сюда к сообщению
    сделал.
    и ещё закачал подозрительные файлы архивом с паролем вирус ,туда куда просили...в кучу..
    архив 3.зип
    зараженная система стоит на диске е: ......если что
    Последний раз редактировалось BlackCedric; 02.12.2009 в 12:28.

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    270
    В какую кучу??? Кто Вам сказал, что надо загружать что-то по вверхней ссылки (Прислать карантин)!!!
    Перечитайте внимательно правила - Диагностика пункт 4

  8. #7
    Junior Member Репутация
    Регистрация
    02.12.2009
    Сообщений
    16
    Вес репутации
    30

    Передо мной лежат правила.

    Цитата Сообщение от DefesT Посмотреть сообщение
    В какую кучу??? Кто Вам сказал, что надо загружать что-то по вверхней ссылки (Прислать карантин)!!!
    Перечитайте внимательно правила - Диагностика пункт 4
    Передо мной лежат правила.
    Авз проверила чистый комп ,хотя я галочкой указал проверить и диск е:.
    на зараженной системе авз запустить не могу-комп перегружается.Что делать?

    р.s сделал ещё скрипт сбора неопознаных и подозрительных файлов ,нужно кинуть? 30 метров незараренный весит.
    Последний раз редактировалось BlackCedric; 02.12.2009 в 12:42.

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    270
    От Вас нужно следующее:
    1) Сделать логи AVZ - virusinfo_syscure.zip, virusinfo_syscheck.zip на зараженной системе + лог hijackthis.log. Подробности тут
    2) Вложите в сообщение файлы логов (Расширенный режим - Вложения - загрузить файлы)
    3) Ничего другого отправлять не надо, если Вас об этом не просят.

  10. #9
    Junior Member Репутация
    Регистрация
    02.12.2009
    Сообщений
    16
    Вес репутации
    30
    Смог принт-скрин сделать...там просит SMS на номер прислать )) сейчас пришлю..
    Скрипты делаются.

  11. #10
    Junior Member Репутация
    Регистрация
    02.12.2009
    Сообщений
    16
    Вес репутации
    30
    Готово.Извините за задержку-покурить выходил.Напоминаю ,что система стоит на диске е: ,авз почему-то её не сканирует, а запустить его на зараженной машине неполучается ,он сразу перегружается.Удалось запустить мсконфиг -отключил все сервисы и службы,результат пока О.
    Зайду пока сейчас с диска в командную консоль восстановления через листсвц, буду сервисы там отключать подозрительные.
    Последний раз редактировалось BlackCedric; 03.12.2009 в 06:36.

  12. #11
    Junior Member Репутация
    Регистрация
    02.12.2009
    Сообщений
    16
    Вес репутации
    30
    Отлючил ненужные сервисы,обнаружил постоянно восстанавливающийся сервис вида DLAIFS_M их уже на компе 11 штук они постоянно изменяют последние пять букв DLA -первые так и остаётся.

    Добавлено через 4 минуты

    Ура!! Зловред локализован.Делаю скрипты на зараженной машине.Скоро вышлю.
    Последний раз редактировалось BlackCedric; 03.12.2009 в 08:17. Причина: Добавлено

  13. #12
    Junior Member Репутация
    Регистрация
    02.12.2009
    Сообщений
    16
    Вес репутации
    30
    Про hijackthis.log забыл -сейчас сделаю.
    Что было сделано.
    Все файлы в систем32 (кроме папок)были вырезаны в папку 111,туда-же.
    в систем32\драйверс папка дал была вырезана и заархивирована
    все файлы в папке драйверс были вырезаны и помещены в папку 11,
    потом всё залито было с чистой системы,так же было сделано с корневой папкой виндовс т.е все файлы были вырезаны и помещены в папку 111 этом-же каталоге.Подозреваю что файл реестр экзэ был тоже заражен.
    100% вирусы были помещены и зарарены в папку драйверз.рар.В кратце вот так в общем...
    Вири прислать в архиве?
    Вложения Вложения
    Последний раз редактировалось BlackCedric; 03.12.2009 в 10:29.

  14. #13
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    >> Блокировка редактора реестра
    >> Блокировка диспетчера задач
    >> Заблокированы настройки системы System Restore
    Исправьте через AVZ - Файл - Мастер поиска и устранения проблем - Все проблемы - отметить указанное - Исправить

    Пофиксите в HiJack
    Код:
    O20 - AppInit_DLLs: C:\WINDOWS\system32\CWkrk.dll
    Сделайте новые логи в нормальном режиме
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  15. #14
    Junior Member Репутация
    Регистрация
    02.12.2009
    Сообщений
    16
    Вес репутации
    30
    В номальном всё работает, проблема что зараженную машину уже забрали. ((
    C:\WINDOWS\system32\CWkrk.dll это я тоже удалил (логи я читать умею).
    реестр зазблокирован ,спасибо
    begin
    ExecuteRepair(1);
    ExecuteRepair(6);
    ExecuteRepair(;
    ExecuteRepair(9);
    ExecuteRepair(16);
    RebootWindows(true);
    end.
    Один вирус начал обнаруживаться нодом назвали kryptik.bhu
    жду пока ещё один внесут в базу.
    Вот с есета на второй пришёл ответ Присланный Вами вирус deklv3bqwr2j определяется с версией базы данных сигнатур вирусов № 4661
    Назвали его Trojanclicker.Delf.Nio
    Всем спасибо за помощь.Вопрос исчерпан.
    Последний раз редактировалось BlackCedric; 04.12.2009 в 20:37. Причина: Дополение

  16. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 20
    • В ходе лечения обнаружены вредоносные программы:
      1. \cf1aujowyfxz\cf1aujowyfxz.exe - Packed.Win32.Krap.ae ( DrWEB: Trojan.MulDrop.49011 )
      2. \cf1aujowyfxz\deklv3bqwr2j.exe.exe - Trojan-Dropper.Win32.Delf.efm ( DrWEB: Trojan.Click.34323, BitDefender: Gen:Trojan.Heur.dmGfI93706c, NOD32: Win32/TrojanClicker.Delf.NIO trojan, AVAST4: Win32:Malware-gen )
      3. \1\rp146\a0008340.exe - Packed.Win32.Krap.ae ( DrWEB: Trojan.MulDrop.49011 )
      4. \1\rp146\a0008342.exe - Trojan-Dropper.Win32.Delf.efm ( DrWEB: Trojan.Click.34323, BitDefender: Gen:Trojan.Heur.dmGfI93706c, NOD32: Win32/TrojanClicker.Delf.NIO trojan, AVAST4: Win32:Malware-gen )


  • Уважаемый(ая) BlackCedric, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Поиск виря, зоопарк на пк
      От Grimich_ в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 05.02.2011, 15:32
    2. после sms виря
      От proshka в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 21.07.2009, 16:32
    3. 3 виря
      От djkuf в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 23.02.2009, 15:20
    4. HElp me! помогите убить виря
      От Timocha в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 01:56
    5. поймал виря, не прибиваеться
      От Shadow Master в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 12.11.2008, 00:42

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00598 seconds with 17 queries