-
Junior Member
- Вес репутации
- 63
Неизвестный W32 вирус
Знакомые недавно "удружили" вирусом. У них упала Винда и я, добрейший души человек согласился помочь. После недолгих проверок МБР и фиксов всего что возможно было решено переставить Винду, для этого цепляю винт к своему компу и переписываю доки и прочее. Как тока винда загрузилась (или через пару минут, но точно помню с того винта ничего не запускалось) система попросила вставить диск с Виндой. Прочитав подробности я подумал что возможно дело в дВД приводе, вместо которого и был повешен злосчастный винт. Диск естественно вставлять было некуда... После перезагрузки комп завис после таблицы устройств. В ходе дальнейшего разбирательства было выяснено что залез вирь, который заменял все екзешники, в том числе и системные (на которые и прореагировала система), в журнале событий это чётко прослеживалось. На момент подключения винта стоял антивирусник от ДР Вэба, с базами месячной давности...
В данный момент интересует что за вирь и как его лечить. Проверял на ВирусТотале, результат скромный:
Complete scanning result of "TEMP.rar", received in VirusTotal at 04.25.2007, 15:05:10 (CET).
Antivirus Version Update Result
AhnLab-V3 2007.4.26.0 04.25.2007 no virus found
AntiVir 7.4.0.15 04.25.2007 HEUR/Malware
Authentium 4.93.8 04.24.2007 could be a corrupted executable file
Avast 4.7.981.0 04.25.2007 no virus found
AVG 7.5.0.464 04.24.2007 no virus found
BitDefender 7.2 04.25.2007 no virus found
CAT-QuickHeal 9.00 04.24.2007 W32.Seppuku.2764
ClamAV devel-20070416 04.25.2007 no virus found
DrWeb 4.33 04.25.2007 no virus found
eSafe 7.0.15.0 04.25.2007 no virus found
eTrust-Vet 30.7.3594 04.25.2007 no virus found
Ewido 4.0 04.24.2007 no virus found
FileAdvisor 1 04.25.2007 no virus found
Fortinet 2.85.0.0 04.25.2007 suspicious
F-Prot 4.3.2.48 04.24.2007 W32/Parasitic-Fileinfector-based!Maximus
F-Secure 6.70.13030.0 04.25.2007 Type_Win32
Ikarus T3.1.1.5 04.25.2007 no virus found
Kaspersky 4.0.2.24 04.25.2007 Type_Win32
McAfee 5016 04.24.2007 New Win32.g2
Microsoft 1.2405 04.25.2007 no virus found
NOD32v2 2217 04.25.2007 probably unknown WIN32 virus
Norman 5.80.02 04.24.2007 no virus found
Panda 9.0.0.4 04.25.2007 no virus found
Prevx1 V2 04.25.2007 no virus found
Sophos 4.16.0 04.23.2007 no virus found
Sunbelt 2.2.907.0 04.19.2007 VIPRE.Suspicious
Symantec 10 04.25.2007 no virus found
TheHacker 6.1.6.095 04.15.2007 no virus found
VBA32 3.11.4 04.25.2007 no virus found
VirusBuster 4.3.7:9 04.25.2007 no virus found
Webwasher-Gateway 6.0.1 04.25.2007 Heuristic.Malware
Aditional Information
File size: 121246 bytes
MD5: 79a82294c233ae980c747e70fa84bab7
SHA1: 6e0ab31bfd3ce126b4449a3b712ba49d7ab3b37a
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.
Если не сложно ответьте пожалуйста что за зверюга, если нужен файлик с вирусом милости просим
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Прочитать и выполнить
Зверя в ZIP-архив с паролем virus и прслать согласно Приложения 3 (ссылка Прислать запрошенные файлы).
-
-
Junior Member
- Вес репутации
- 63
Зазипил раренный экзешник, с нужным паролем... жду вестей
-
А логи сделать получилось или система напрочь лежит?
-
-
Junior Member
- Вес репутации
- 63
Система лежала, снёс, да вряд ли бы чего дали логи. Действие таково что вирь тупо лезеть во все доступные экзешники и дописывает себя. Экзешники в большинстве остаются работоспособными, но инфицированными. В принципе есть ещё один инфицированный комп и можно снять логи. Если это как то поможет...
Систему удается запустить, если восстановить системные файлы
-
Раз уже вы во всем разобрались, то хотя бы пришлите пару зараженных файлов по Правилам.
-
-
Junior Member
- Вес репутации
- 63
Так присылал уже.
ОК, повторяю.
Так всётаки есть надежда на лечение?
-
Сообщение от
sem78
Так присылал уже.
ОК, повторяю.
Так всётаки есть надежда на лечение?
Почему тогда не видно логов в данной теме , или их тоже вирусы поели ?
-
-
Логов нет, потому что их не из-под чего делать. Система легла сразу и навсегда. Я это так понял.
-
-
Junior Member
- Вес репутации
- 63
Сообщение от
pig
Логов нет, потому что их не из-под чего делать. Система легла сразу и навсегда. Я это так понял.
всё верно, НО есть возможность снять логи с зараженной системы, которую удалось запустить на другом зараженном компе при помощи восстановления/обновления системных файлов с загрузочного диска...
-
Ответ от Касперского:
Здравствуйте.
В присланном Вами файле обнаружено новое вредоносное программное обеспечение.
Его детектирование будет включено в очередное обновление антивирусных баз под
именем Virus.Win32.Belus.a.
Благодарим за оказанную помощь.
---------
С уважением, Юрий Несмачный
Вирусный аналитик
ЗАО "Лаборатория Касперского"
Тел.: +7 (495) 797-8700
E-mail: [email protected]
http://www.kaspersky.com http://www.viruslist.com
> Attachment: 070427_113107_vir_4631a6bbac241.zip
> VirusInfo Из темы http://virusinfo.info/showthread.php?t=9288
> 070427_113107_vir_4631a6bbac241.zip
>
_______________________________________________
Suspected mailing list
[email protected]
http://mail.virusinfo.info/mailman/l...virusinfo.info
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Логи не нужны, во всяком случае до того, как этот вирус не будет вылечен полностью. А заражает он все exe и scr файлы на дисках с, d, e, f, g.
-
-
Junior Member
- Вес репутации
- 63
Сообщение от
PavelA
Его детектирование будет включено в очередное обновление антивирусных баз под
именем Virus.Win32.Belus.a.
Это радует. Касперский рулит.
Срочно меняю антивирусник
Всем огромнейшее спасибо!
-
Junior Member
- Вес репутации
- 63
Часть файлов действительно вылечено, а часть - после лечения стали битыми. WindowsInstaler`ы лечаться на ура. Как быть с остальными?
-
Какие именно битые? Тоже инсталляторы или обычные приложения? Как ругань выглядит?
-
-
Junior Member
- Вес репутации
- 63
К примеру повреждаются самораспаковывающиеся архивы. Если это поможет могу выслать некоторые инфицированные файлы, которые повреждаются после лечения