Поймал виря.На зараженной машине запускается ,но при заходе в реестр или запуске авз перегружает систему. shutdown -a не помогает.В защищённом режиме тоже самое.Хард прицепил к чистой системе ,авз и нод32 4.0 его не видят ,подозрительные файлы отослал и в авз и нод.Скрипты выполнять не стал ,т.к моя система чистая а другой хард заражен и авз там проблем не видит.Зашёл на хард удалённым реестром,загрузил нужные кусты ,ссылки в реестре в разделе run на подозрительные файлы просмотрел.Файлы отправил (как уже говорил).
В сервисах обнаружил подозрительный сервис -его отключил , в разделе svchost чисто.Где ещё можно покопать?Идеи?После всех манипуляций с реестром ,ситуация таже-система запускается на зараженном компе,но при заходе в реестр или procexp моментом перегружается. Шатдаун -а непомогает.На всякий случай начал делать скрипт в авз,вот если бы запустить авз как процесс с включеным гуардом,что бы вирь не перехватил потоки и просканировал систему на зараженной машине хотя бы,но с другой стороны тоже тогда ни реестр запустить ни процессы посмотреть...Базы свежие от вчерашнего дня.Засада короче.))
Последний раз редактировалось BlackCedric; 02.12.2009 в 11:12.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
сделал.
и ещё закачал подозрительные файлы архивом с паролем вирус ,туда куда просили...в кучу..
архив 3.зип
зараженная система стоит на диске е: ......если что
Последний раз редактировалось BlackCedric; 02.12.2009 в 12:28.
В какую кучу??? Кто Вам сказал, что надо загружать что-то по вверхней ссылки (Прислать карантин)!!!
Перечитайте внимательно правила - Диагностика пункт 4
В какую кучу??? Кто Вам сказал, что надо загружать что-то по вверхней ссылки (Прислать карантин)!!!
Перечитайте внимательно правила - Диагностика пункт 4
Передо мной лежат правила.
Авз проверила чистый комп ,хотя я галочкой указал проверить и диск е:.
на зараженной системе авз запустить не могу-комп перегружается.Что делать?
р.s сделал ещё скрипт сбора неопознаных и подозрительных файлов ,нужно кинуть? 30 метров незараренный весит.
Последний раз редактировалось BlackCedric; 02.12.2009 в 12:42.
От Вас нужно следующее:
1) Сделать логи AVZ - virusinfo_syscure.zip, virusinfo_syscheck.zip на зараженной системе + лог hijackthis.log. Подробности тут
2) Вложите в сообщение файлы логов (Расширенный режим - Вложения - загрузить файлы)
3) Ничего другого отправлять не надо, если Вас об этом не просят.
Готово.Извините за задержку-покурить выходил.Напоминаю ,что система стоит на диске е: ,авз почему-то её не сканирует, а запустить его на зараженной машине неполучается ,он сразу перегружается.Удалось запустить мсконфиг -отключил все сервисы и службы,результат пока О.
Зайду пока сейчас с диска в командную консоль восстановления через листсвц, буду сервисы там отключать подозрительные.
Последний раз редактировалось BlackCedric; 03.12.2009 в 06:36.
Отлючил ненужные сервисы,обнаружил постоянно восстанавливающийся сервис вида DLAIFS_M их уже на компе 11 штук они постоянно изменяют последние пять букв DLA -первые так и остаётся.
Добавлено через 4 минуты
Ура!! Зловред локализован.Делаю скрипты на зараженной машине.Скоро вышлю.
Последний раз редактировалось BlackCedric; 03.12.2009 в 08:17.
Причина: Добавлено
Про hijackthis.log забыл -сейчас сделаю.
Что было сделано.
Все файлы в систем32 (кроме папок)были вырезаны в папку 111,туда-же.
в систем32\драйверс папка дал была вырезана и заархивирована
все файлы в папке драйверс были вырезаны и помещены в папку 11,
потом всё залито было с чистой системы,так же было сделано с корневой папкой виндовс т.е все файлы были вырезаны и помещены в папку 111 этом-же каталоге.Подозреваю что файл реестр экзэ был тоже заражен.
100% вирусы были помещены и зарарены в папку драйверз.рар.В кратце вот так в общем...
Вири прислать в архиве?
Последний раз редактировалось BlackCedric; 03.12.2009 в 10:29.
В номальном всё работает, проблема что зараженную машину уже забрали. ((
C:\WINDOWS\system32\CWkrk.dll это я тоже удалил (логи я читать умею).
реестр зазблокирован ,спасибо
begin
ExecuteRepair(1);
ExecuteRepair(6);
ExecuteRepair(;
ExecuteRepair(9);
ExecuteRepair(16);
RebootWindows(true);
end.
Один вирус начал обнаруживаться нодом назвали kryptik.bhu
жду пока ещё один внесут в базу.
Вот с есета на второй пришёл ответ Присланный Вами вирус deklv3bqwr2j определяется с версией базы данных сигнатур вирусов № 4661
Назвали его Trojanclicker.Delf.Nio
Всем спасибо за помощь.Вопрос исчерпан.
Последний раз редактировалось BlackCedric; 04.12.2009 в 20:37.
Причина: Дополение
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: