[Macro-Y]

В данной теме отписываемся о неизвестных вирусах, троянов, которые не "палятся" антивирусами, antispy-ями, etc, а также о методах лечения.

[Macro-Y]

musashi (8.1.2008, 16:13):

поучаствовать в написании виря? тема обещает быть интересной =)

Цитата

В разделе запрщещается:
...
3. Информация, ресурсы противозаконного характера.
...

[Fat]

Имеется винт с просьбой о помощи - размножаются папки WINFILE под этим или другими именами, будучи удаленными тут же воскрешаются, исчезают экзешники, дикие траблы с установлением программ. У меня же стоит Ad-Aware и Avast! постоянно обновляемые. Также имеется диск с месячной давности Каспером.
Занесен, скорее всего, с ВАЗовского сервака, по крайней мере в цеху все компы заражены. Кто знает, что это за вирус и какие меры предосторожности при подключении и сканировании "больного" дабы и вылечить, и самому не заразиться...

[Macro-Y]

Fat (11.1.2008, 19:50):

Имеется винт с просьбой о помощи - размножаются папки WINFILE под этим или другими именами, будучи удаленными тут же воскрешаются, исчезают экзешники, дикие траблы с установлением программ. У меня же стоит Ad-Aware и Avast! постоянно обновляемые. Также имеется диск с месячной давности Каспером.
Занесен, скорее всего, с ВАЗовского сервака, по крайней мере в цеху все компы заражены. Кто знает, что это за вирус и какие меры предосторожности при подключении и сканировании "больного" дабы и вылечить, и самому не заразиться...

Если не ошибаюсь - касперский 7 спокойно от них избавляет. Если ошибаюсь - чистить винт. Process Explorer + msconfig + regedit тебе в помощь. Если будут конкретные вопросы - обращайся.

[tap]

Касперский либо 6 версии либо 7 ставь себе и на работу. И никаких проблем не будет, а лучше сразу поставь KIS и защита от вирусов и firewall в одном комплекте.

[Fat]

Всем спасибо! Wukill 1.0.0 сдался максимально обновленному АВАСТу без шума и пыли. Не знаю, какой Каспер стоял на работе, скорее всего 5-й, но эта тварь съела его в первую очередь, а потом принялась за остальное (и то же самое сейчас у всех любителей халявы в цеху вплоть по начальника цеха! Хи-хи-хи...).
Теперь хозяин спасет личное видео и пойду к нему форматать...
Да здравствует бесплатный софт, коньяк приносящий!

[Helis]

Fat (14.1.2008, 19:30):

Да здравствует бесплатный софт, коньяк приносящий!

Хе, это уже "коммерческое использование", т.е. нарушение лицензии Home Edition :))) Придется тебе поделиться коньяком с ребятами из Чехии :)
Или просто напиши им письмо с благодарностью. Уверен, что им будет приятно узнать, что их работа оказалась очень полезной.

PS: и не забывай при дезинфекции отключать на время чистки "Восстановление системы". Иначе, кое-что спрятавшееся в папке System Volume Information будет возвращено к жизни при следующем обновлении даты.

[Rased]

Helis (15.1.2008, 3:51):

Хе, это уже "коммерческое использование", т.е. нарушение лицензии Home Edition )) Придется тебе поделиться коньяком с ребятами из Чехии
Или просто напиши им письмо с благодарностью. Уверен, что им будет приятно узнать, что их работа оказалась очень полезной.

PS: и не забывай при дезинфекции отключать на время чистки "Восстановление системы". Иначе, кое-что спрятавшееся в папке System Volume Information будет возвращено к жизни при следующем обновлении даты.

При полной проверке Avast (да и другие антивирусы) проверяют папку System Volume Information, так что отключение "Восстановления системы"
является хотя и желательным, но необязятельным.

[Helis]

Rased (15.1.2008, 8:11):

отключение "Восстановления системы" является хотя и желательным, но необязятельным.

Согласен. Я полагаю, что отключение этой опции должно помочь в тех нередких случаях, когда новый, неизвестный вирус еще отсутствует в антивирусной базе.

[Blondink0]

Win32/Pacex.Gen вирус
чтобы избавиться выполнил скрипт через avz

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('zxsderfbukjfys');
SetServiceStart('zxsderfbukjfys', 4);
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\xo8wr9.exe','');
QuarantineFile('C:\WINDOWS\system32\amvo.exe','');

QuarantineFile('C:\WINDOWS\system32\wincab.sys',''
);
QuarantineFile('C:\WINDOWS\system32\amvo1.dll','');

DeleteFile('C:\WINDOWS\system32\amvo1.dll');
DeleteFile('C:\WINDOWS\system32\wincab.sys');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFile('E:\autorun.inf');
DeleteFile('H:\autorun.inf');
DeleteFile('C:\xo8wr9.exe');
DeleteFile('D:\xo8wr9.exe');
DeleteFile('E:\xo8wr9.exe');
DeleteFile('H:\xo8wr9.exe');
BC_ImportALL;
BC_QrSvc('zxsderfbukjfys');
BC_DeleteSvc('zxsderfbukjfys');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После этого вируса нет, но все рано не получается включить отображение скрытых файлов.
Далее в реестре HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Explorer\Advanced\Folder\Hidden\SHOWALL
параметр CheckedValue меняем на 1, пока в системе сидит вирус он постоянно меняет его обратно на 0.

[VOROTILOFF]

я тоже чё нить напишу суть косяка вот в чём:вирус гадит тем, что в системном диске не остается места для чего-либо.Например нужно установить какую-то прогу а он пишет что свободного места недостаточно.хотя фактически места дофига.место освобождаешь а он опять - места нет.кароче вирус не нашелся пришлось сносить винду.

[Rased]

Для удаления таких вирусов используйте (настойчиво рекомендую) AVZ (Антивирус Зайцева). Кроме удаления таких вирусов AVZ умеет восстанавливать настройки системы, параметров безопасности, настройки сети и т.д. Всю информацию по работе с AVZ можете найти на сайте Virusinfo.info. Саму программу и базы можно взять здесь

[Van4o]

вчера столкнулся с такой штукой:
комп постоянно качает трафик, проверил на вирусы avz, потом поставил нод, avz нашёл только avtorun.inf благополучно его удалил и всё, вирусов больше не обнаруживается. Поставил Аутпост, доступ в сеть просит только svhost и winlogon, и опять же качает трафик. Причём трафик не маленький, пару секунд и уже 500 кило. Не знаю уже чего думать. Подскажет может кто?

[ErRoR]

Обновления выключены/настроены?

[Van4o]

да!

[Rased]

winlogon не должен иметь доступ в сеть.
при проверке AVZ надо обязательно включить драйвер расширенного мониторинга (начнет действовать только после перезагрузки), включить AVZ guard. В параметрах проверки все ставить на максимум. Обязательно посмотреть список автозагрузки, наверняка winlogon загружается из временной папки. Советую так же запустить CureIT (в меню AVZ Guard - запустить приложение, как доверенное). Затем сделать восстановление системы (поставить все галки, кроме настроек рабочего стола и сброса настроек сети)

[Macro-Y]

И не забудь проверить - тот ли winlogon, а не фейковый, просится в сеть?

[Van4o]

Проблема решена!
всем кому интересно могут почитать тут http://virusinfo.inf...ead.php?t=19872

[Sokol]

ребят извините за нубство) раньше вроде не наблюдал в процессах два explorer.exe ... их должно быть 2? (Win xp sp2) проверял комп нодом,кур итом и AVZ ничего ненайдено...)
пс сорри если не в той теме написал...

[Clamp]

нзвания одинаковые? или один _exploler.exe или чо-нить подобное??

[Sokol]

абсолютно одинаковые explorer.exe