MrakKiller

[mxmus]

Где можно достать данную утилиту?
Мой Mkar не лечится CureIt-ом.
Читал вот эту тему:
http://virusinfo.info/showthread.php?t=3124
Пытался отослать сообщение автору утилиты, но у него ящик переполнен.

[anton_dr]

Если вам нужна помощь в лечении - прочитать и выполнить http://virusinfo.info/showthread.php?t=1235

[mxmus]

Прикрепил.

[Макcим]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\windows\system32\netstart\001\svchost.exe','');
 QuarantineFile('c:\windows\system32\netstart\svchost.exe','');
 QuarantineFile('d:\program files\alltotray\alltotray.exe','');
RebootWindows(false);
end.

После перезагрузки пришлите файлы карантина по правилам раздела "Помогите".

У Вас на компьютере установлен антивирус и файрвол?
Настройки прокси-сервера Вы сами прописывали?
ZNAMEN.OD.UZ.GOV.UA - этот адрес Вам что-нибудь говорит?

[drongo]

Затем ещё выполните один скрипт :

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine();
 QuarantineFile('\??\C:\WINDOWS\System32\Drivers\U3SHLPDR.SYS','');
 RebootWindows(true);
end.

Довольно подозрительный драйвер .Прислать согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=9143........

[mxmus]

После перезагрузки пришлите файлы карантина по правилам раздела "Помогите".

У Вас на компьютере установлен антивирус и файрвол?
Настройки прокси-сервера Вы сами прописывали?
ZNAMEN.OD.UZ.GOV.UA - этот адрес Вам что-нибудь говорит?

Файлы выслал.
svchost не хотел копироваться - его NOD32 не пускал (он не выгружает своё ядро, когда его просят). Скопировался в безопасном режиме.

Антивирус соответственно NOD32. С базами четырехмесячной давности он Mkara в упор не видел.
Настройки прокси прописывал сам.
ZNAMEN.OD.UZ.GOV.UA - это наш домен.

[drongo]

С базами четырехмесячной давности ?

Прочитайте ещё раз правила , пункт номер 1 вам что-нибудь говорит?

[mxmus]

Довольно подозрительный драйвер.

Отослал.

[mxmus]

Прочитайте ещё раз правила , пункт номер 1 вам что-нибудь говорит?

Я же написал "не видел" в прошлом времени. Вирус обнаружился, когда я обновил базы. Утилита CureIt моего Mkara не видит.

[PavelA]

Эти c:\windows\system32\netstart\001\svchost.exe,c:\wi ndows\system32\netstart\svchost.exe
определились как Virus.Win32.Mkar,
а U3SHLPDR.SYS - чистый.

В AVZ выполнить скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('c:\windows\system32\netstart\001\svchost.exe');
 DeleteFile('c:\windows\system32\netstart\svchost.exe');
 BC_ImportDeletedList;
 BC_LogFile(GetAVZDirectory + 'boot_clr.log'); 
 BC_Activate; 
 RebootWindows(True); 
end.

После перезагрузки прислать boot_clr.log

[mxmus]

Эти c:\windows\system32\netstart\001\svchost.exe,c:\wi ndows\system32\netstart\svchost.exe
определились как Virus.Win32.Mkar

Я сам уже это давно выяснил.
Он мне весь инсталл заразил. Их можно вылечить.

После перезагрузки прислать boot_clr.log

Прикрепил.
Там хоть и пишет "failed", но файлы он на самом деле удалил.
После перезагрузки в памяти вируса нету.
Но этого я и сам добивался удаляя папку netstart в безопасном режиме.

Кстати, вирус очень странно себя ведет. Если запустить зараженный файл в безопасном режиме, то он сам обеззараживается (пропадают блоки из начала и конца файла).

[PavelA]

Если удалился, то давай логи заново.

[MOCT]

AVZ уже лечит Mkar?

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 4
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\netstart\\svchost.exe - Virus.Win32.Mkar.g (DrWEB: Win32.HLLP.Mrak.
  2. c:\\windows\\system32\\netstart\\001\\svchost.exe - Virus.Win32.Mkar.g (DrWEB: Win32.HLLP.Mrak.