Samur Опубликовано 3 августа, 2009 Поделиться Опубликовано 3 августа, 2009 Человек принёс ноутбук говорит что всё стало зависать после копирования к нему на ноут инструкции. Касперский на ноуте всё нормально показывает. но в карантине файлик "sys.exe". Человек до своего ноута не допускает всё что удалось это запустить GetSystemInfo : http://www.getsysteminfo.com/read.php?file...e607a39ccd9e477 Можно что-то по этой информации сказать ? Ссылка на комментарий Поделиться на другие сайты Поделиться
Falcon Опубликовано 3 августа, 2009 Поделиться Опубликовано 3 августа, 2009 Там куча экзешников в папке Темп, логи нужны. Ссылка на комментарий Поделиться на другие сайты Поделиться
Samur Опубликовано 5 августа, 2009 Автор Поделиться Опубликовано 5 августа, 2009 Несколько позже запустил утилитку GetSystemInfo ещё раз ситуация чуть изменилась : http://www.getsysteminfo.com/read.php?file...553931167b9f951 Сообщение от модератора Falcon virusinfo_cure цеплять не нужно! virusinfo_syscheck.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
Falcon Опубликовано 5 августа, 2009 Поделиться Опубликовано 5 августа, 2009 Выпоолните в AVZ: begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('F:\storage\sys.exe',''); QuarantineFile('F:\autorun.inf',''); QuarantineFile('C:\RECYCLER\S-1-5-21-8079397969-2572720812-470385687-0761\sysdate.exe',''); DeleteFile('C:\RECYCLER\S-1-5-21-8079397969-2572720812-470385687-0761\sysdate.exe'); DeleteFile('F:\autorun.inf'); DeleteFile('F:\storage\sys.exe'); DeleteFileMask('%Tmp%', '*.*', true); BC_ImportDeletedList; ExecuteSysclean; BC_Activate; RebootWindows(true); end. ПК перезагрузится. Делайте новые логи (3 лога прикрепить - SYScheck, SYScure, лог от HjT) Дополнительно: - Скачайте GMER по одной из указанных ссылок: Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку) - Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши). Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No. После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов: Sections IAT/EAT Show all Из всех дисков оставьте отмеченным только системный диск (обычно C:\) - Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. Ссылка на комментарий Поделиться на другие сайты Поделиться
Samur Опубликовано 5 августа, 2009 Автор Поделиться Опубликовано 5 августа, 2009 При экспресс проверке GMER комп посему-то завис. Лог HjT постараюсь завтра выложить. Сообщение от модератора Falcon убрал карантин virusinfo_syscheck.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
Falcon Опубликовано 5 августа, 2009 Поделиться Опубликовано 5 августа, 2009 Samur, использовали гмер в архиве или со случайным именем? Ссылка на комментарий Поделиться на другие сайты Поделиться
Samur Опубликовано 6 августа, 2009 Автор Поделиться Опубликовано 6 августа, 2009 Со случайным именем. Ссылка на комментарий Поделиться на другие сайты Поделиться
Samur Опубликовано 7 августа, 2009 Автор Поделиться Опубликовано 7 августа, 2009 После применения Gmer появился "Синий экран" и комп перезагрузился. Сделал логи HijackThis GMER.rar синий_экран.rar hijackthis.rar Ссылка на комментарий Поделиться на другие сайты Поделиться
Samur Опубликовано 10 августа, 2009 Автор Поделиться Опубликовано 10 августа, 2009 Что мне предпринять по данному вопросу ? Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 10 августа, 2009 Поделиться Опубликовано 10 августа, 2009 (изменено) Попробуйте сделать лог gmer в безопасном режиме Изменено 10 августа, 2009 пользователем thyrex Ссылка на комментарий Поделиться на другие сайты Поделиться
Samur Опубликовано 12 августа, 2009 Автор Поделиться Опубликовано 12 августа, 2009 (изменено) Логи в безопасном режиме сегодня попробую сделать. P.S. Этот чел ещё и x-connect поймал. Что это за зверь и как с ним бороться ? На ноуте KIS 8 установлен и базы постоянно обновляются - почему он этот x-connect пропустил( это ведь не совсем новый вирус) ? P.P.S. Проверил флешку на ней sys.exe, но если это вирус то почему KIS говорит что всё нормально ? Изменено 12 августа, 2009 пользователем Samur Ссылка на комментарий Поделиться на другие сайты Поделиться
Falcon Опубликовано 12 августа, 2009 Поделиться Опубликовано 12 августа, 2009 Samur, отошлите его в архиве на newvirus@kaspersky.com, пусть глянут. Ссылка на комментарий Поделиться на другие сайты Поделиться
Samur Опубликовано 17 августа, 2009 Автор Поделиться Опубликовано 17 августа, 2009 Сделал лог gmer в безопасном режиме. Во вложении "autorun" текстовый файл который появляется на флешках (в нём прописан запуск sys.exe но указанная там папка всегда пустая) - может этого вируса уже нет и это только то что от него остаётся ? gmer.rar autorun.rar Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 17 августа, 2009 Поделиться Опубликовано 17 августа, 2009 Показ скрытых и системных файлов включен? Проверьте в реестре ключи (указаны верные значения) Если отключено отображение скрытых и системных файлов [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 "HideFileExt"=dword:00000000 "ShowSuperHidden"=dword:00000001 "SuperHidden"=dword:00000001 Также вирус может изменить ключ "CheckedValue" в ветке [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 Ссылка на комментарий Поделиться на другие сайты Поделиться
Samur Опубликовано 17 августа, 2009 Автор Поделиться Опубликовано 17 августа, 2009 Показ скрытых и системных файлов был включен. Отключил. В реестре всё совпало с теми значениями что выложены вами, за исключением : "HideFileExt"=dword:00000000 "ShowSuperHidden"=dword:00000001 у меня было : "HideFileExt"=dword:00000001 "ShowSuperHidden"=dword:00000000 Ссылка на комментарий Поделиться на другие сайты Поделиться
Автор Anix
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти