Virus track
#1
Отправлено 02 Ноябрь 2007 - 22:30
Другие ответы в этой теме
#41
Отправлено 08 Январь 2008 - 18:48
Цитата
...
3. Информация, ресурсы противозаконного характера.
...
#42
Отправлено 11 Январь 2008 - 19:50
Занесен, скорее всего, с ВАЗовского сервака, по крайней мере в цеху все компы заражены. Кто знает, что это за вирус и какие меры предосторожности при подключении и сканировании "больного" дабы и вылечить, и самому не заразиться...
#43
Отправлено 11 Январь 2008 - 19:54
Занесен, скорее всего, с ВАЗовского сервака, по крайней мере в цеху все компы заражены. Кто знает, что это за вирус и какие меры предосторожности при подключении и сканировании "больного" дабы и вылечить, и самому не заразиться...
Если не ошибаюсь - касперский 7 спокойно от них избавляет. Если ошибаюсь - чистить винт. Process Explorer + msconfig + regedit тебе в помощь. Если будут конкретные вопросы - обращайся.
#45
Отправлено 14 Январь 2008 - 19:30
Теперь хозяин спасет личное видео и пойду к нему форматать...
Да здравствует бесплатный софт, коньяк приносящий!
#46
Отправлено 15 Январь 2008 - 03:51
Хе, это уже "коммерческое использование", т.е. нарушение лицензии Home Edition :))) Придется тебе поделиться коньяком с ребятами из Чехии :)
Или просто напиши им письмо с благодарностью. Уверен, что им будет приятно узнать, что их работа оказалась очень полезной.
PS: и не забывай при дезинфекции отключать на время чистки "Восстановление системы". Иначе, кое-что спрятавшееся в папке System Volume Information будет возвращено к жизни при следующем обновлении даты.
#47
Отправлено 15 Январь 2008 - 08:11


Или просто напиши им письмо с благодарностью. Уверен, что им будет приятно узнать, что их работа оказалась очень полезной.
PS: и не забывай при дезинфекции отключать на время чистки "Восстановление системы". Иначе, кое-что спрятавшееся в папке System Volume Information будет возвращено к жизни при следующем обновлении даты.
При полной проверке Avast (да и другие антивирусы) проверяют папку System Volume Information, так что отключение "Восстановления системы"
является хотя и желательным, но необязятельным.
#48
Отправлено 15 Январь 2008 - 10:14
#49
Отправлено 29 Январь 2008 - 17:31
чтобы избавиться выполнил скрипт через avz
begin SearchRootkit(true, true); SetAVZGuardStatus(True); StopService('zxsderfbukjfys'); SetServiceStart('zxsderfbukjfys', 4); QuarantineFile('C:\autorun.inf',''); QuarantineFile('C:\xo8wr9.exe',''); QuarantineFile('C:\WINDOWS\system32\amvo.exe',''); QuarantineFile('C:\WINDOWS\system32\wincab.sys','' ); QuarantineFile('C:\WINDOWS\system32\amvo1.dll',''); DeleteFile('C:\WINDOWS\system32\amvo1.dll'); DeleteFile('C:\WINDOWS\system32\wincab.sys'); DeleteFile('C:\WINDOWS\system32\amvo.exe'); DeleteFile('C:\autorun.inf'); DeleteFile('D:\autorun.inf'); DeleteFile('E:\autorun.inf'); DeleteFile('H:\autorun.inf'); DeleteFile('C:\xo8wr9.exe'); DeleteFile('D:\xo8wr9.exe'); DeleteFile('E:\xo8wr9.exe'); DeleteFile('H:\xo8wr9.exe'); BC_ImportALL; BC_QrSvc('zxsderfbukjfys'); BC_DeleteSvc('zxsderfbukjfys'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После этого вируса нет, но все рано не получается включить отображение скрытых файлов.
Далее в реестре HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Explorer\Advanced\Folder\Hidden\SHOWALL
параметр CheckedValue меняем на 1, пока в системе сидит вирус он постоянно меняет его обратно на 0.
#50
Отправлено 27 Февраль 2008 - 12:20

#51
Отправлено 27 Февраль 2008 - 13:48
#52
Отправлено 11 Март 2008 - 12:20
комп постоянно качает трафик, проверил на вирусы avz, потом поставил нод, avz нашёл только avtorun.inf благополучно его удалил и всё, вирусов больше не обнаруживается. Поставил Аутпост, доступ в сеть просит только svhost и winlogon, и опять же качает трафик. Причём трафик не маленький, пару секунд и уже 500 кило. Не знаю уже чего думать. Подскажет может кто?
#55
Отправлено 11 Март 2008 - 20:30
при проверке AVZ надо обязательно включить драйвер расширенного мониторинга (начнет действовать только после перезагрузки), включить AVZ guard. В параметрах проверки все ставить на максимум. Обязательно посмотреть список автозагрузки, наверняка winlogon загружается из временной папки. Советую так же запустить CureIT (в меню AVZ Guard - запустить приложение, как доверенное). Затем сделать восстановление системы (поставить все галки, кроме настроек рабочего стола и сброса настроек сети)
#56
Отправлено 11 Март 2008 - 20:37
#57
Отправлено 17 Март 2008 - 10:14