Казалось бы, обычный вирус. Однако AVZ и KAV его не видят.

[gtc 0]

Казалось бы, обычный вирус. Однако AVZ и KAV его не видят.

 

Симптомы:

 

1. на всех расшареных ресурсах локальной сети появлялись файлы khv (0 байт) nynsck.exe (атрибуты -a--), а если ресурс - корневой каталог, то еще и autorun.inf с указанием на nynsck.exe (open= / action= @ / shell\explore\Command=);

2. при вставке флешки в зараженный компьютер на ней появлялись файлы khv, nynsck.exe и autorun.inf;

3. в WINDOWS\system32\ зараженного компьютера были файлы autorun.i, autorun.in, autorun.inf и csrcs.exe (удаление последнего заблокировано);

4. в реестре зараженного компьютера были записи:

- HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe csrcs.exe"

- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\csrcs = "C:\WINDOWS\system32\csrcs.exe"

5. после начала лечения (на каком-то этапе) обнаружилось, что теперь на расшаренных ресурсах вместо nynsck.exe появляется myzxme.exe (атрибуты rahs) и соответственно измененный autorun.inf.

 

Вручную описанные файлы локализованы, реестр исправлен, все симптомы исчезли.

 

 

Софт:

 

KAV 4.0.5.38, базы от 12.10.2009

AVZ 4.32, базы от 11.10.2009

WindowsXP Pro + SP2 + wwdc + KB957097 + KB958644 + KB958687

 

При сканировании папки со всеми этими вирусными файлами AVZ и KAV не видят НИЧЕГО на 3-х компьютерах: бывшем зараженном, незараженном из этой же локальной сети и на незараженном стороннем копмьютере. Ранее подобные вирусы обнаруживались KAV без проблем.

 

При отправке письма c запароленным архивом с этими файлами получаем

"BANNED CONTENTS ALERT

BANNED message from you (multipart/mixed | application/octet-stream,.rar,00.rar,UNDECIPHERABLE | csrcs.exe,UNDECIPHERABLE)"

от провайдера.

 

 

Вопрос: Где грабли?

[thyrex 1 468]

Не удивлюсь, если это по причине ооооочень устаревшей версии антивируса

KAV 4.0.5.38

 

Packed.Win32.Clone.bj - типичный авторанер, который распространяется по расшаренным ресурсам и через сменные носители.

Что касается блокировки при отправке по почте, то возможно Вы все-таки не установили пароль.

 

Проверьте в реестре в ветке

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

параметры ShowSuperHidden, SuperHidden, Hidden на предмет равенства "1" (это правильное значение). Если потребуется, измените на правильное значение.

[Росляев 318]

KAV 4.0.5.38

Ну ты даешь. Товарищ! Сейчас уже 9.0.0.463 большинство пользуется.

[gtc 0]

2 thyrex

Проверьте в реестре в ветке

Код

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

параметры ShowSuperHidden, SuperHidden, Hidden на предмет равенства "1" (это правильное значение). Если потребуется, измените на правильное значение.

Проверил.

ShowSuperHidden=0

SuperHidden=0

Hidden=2

 

Это на зараженном компе, так? А как быть с незараженными? И что это за параметры, плз?

 

Что касается блокировки при отправке по почте, то возможно Вы все-таки не установили пароль.

Это была первая мысль. Сохранил архив из письма и проверил - пароль.

 

Не удивлюсь, если это по причине ооооочень устаревшей версии антивируса

М.б., м.б, но - имеем, то что имеем. И еще: неделю назад подобные, на флешках приносимые вещи отлавливались. AVZ опять же...

Касательно именно Packed.Win32.Clone.bj - кто может подтвердить, что KAV 4.0.5.38 с базами от 12.10.2009 его видеть не должен?

ИМХО, здесь еще что-то...

[SLASH_id 989]

gtc

 

Можно полюбопытствовать, каким образом у вас базы от 12.10.2009, если базы к версии 4.0.5.38, как впрочем и к 5й версии не выпускаются уже давно.

 

И что ж это у вас за тип лицензии такой, что спустя уже наверное 5 лет после окончания продаж у вас установлен и работает этот продукт?

[valet 57]

KAV 4.0.5.38, базы от 12.10.2009

WindowsXP Pro + SP2 + wwdc + KB957097 + KB958644 + KB958687

Возможно (учитывая не совсем последнюю версию Вашего антивируса), Вам лучше сделать комплект логов по Правилам (ссылки в подписи).

После лечения (если оно потребуется) поставить SP3 на XP и KAV 2009 (506) или 2010 (463).

 

@SLASH_id

Да, старые версии обновляются, хотя и не поддерживаются.

Базы для них продолжают выпускаться (по-крайней мере - для последних в линейке).

Изменено 12 октября, 2009 пользователем valet

[gtc 0]

thyrex

Поменял HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

ShowSuperHidden, SuperHidden, Hidden на 1, перезагрузился, все равно AVP и AVZ вирусов в указанных файлах не обнаруживают.

 

Попутно выяснилось: 3-й комп раз или два подключался к этой же локалке.

Т.о. имеем 3 компьютера, которые были в одной локальной сети. На первом (К1) была активность вируса (рассылка по локалке, запись на флешки, csrcs.exe в system32 и реестре), на 2-х других - только khv и nynsck.exe в расшареных ресурсах. На К1 вирус убит (думаю, что убит - csrcs.exe удален, реестр почищен, активность вируса прекратилась), на К2 и К3 активности не было и нет. НО на всех компьютерах описаное ПО не находит вирус в файлах, где он ИМХО 100% есть. Как можно убедиться, что в системах чисто? (Плз, можно обойтись без замены AVP на свежую версию?)

[SLASH_id 989]

gtc

Скачайте это: http://devbuilds.kaspersky-labs.com/devbui....2009_20-29.exe запустите и проверьтесь.

 

Обойтись без замены на свежую версию можно. С таким же успехом можно удалить ту которая есть, так как спасти она может от архаичных вирусов, новые ей уже не по плечу. И баз к ней уже несколько лет не выпускают.

Изменено 12 октября, 2009 пользователем SLASH_id

[gtc 0]

SLASH_id

Можно полюбопытствовать, каким образом у вас базы от 12.10.2009, если базы к версии 4.0.5.38, как впрочем и к 5й версии не выпускаются уже давно.

Хм, в трее - "обновить базы" - обновляет ч-з интернет.

 

И что ж это у вас за тип лицензии такой, что спустя уже наверное 5 лет после окончания продаж у вас установлен и работает этот продукт?

какой-то персонал с продлением на 3 года, еще пару месяцев действительна.

 

Скажите, а что, от этого зависит кач-во работы программы?

[SLASH_id 989]

Зависит! Если действующая лицензия - можете бесплатно перейти на новый продукт последней версии и потом по желанию продлевать лицензию.

 

Можете инсталку куда-нибудь выложить? Хочу поностальгировать)

Изменено 12 октября, 2009 пользователем SLASH_id

[gtc 0]

valet

Возможно (учитывая не совсем последнюю версию Вашего антивируса), Вам лучше сделать комплект логов по Правилам (ссылки в подписи). После лечения (если оно потребуется)

Уточню - логи на всех 3-х компьютерах? Смущает отсутствие активности, т.е. непонятно что лечить? (т.е. доктор у меня болело, а уже не болит, что лечить?)

 

SLASH_id

уточните, плз, что это

http://devbuilds.kaspersky-labs.com/devbui....2009_20-29.exe

- инсталлятор или программа, к-рая просто запускается, без инсталляции - мне надо, чтоб не инсталлировалась.

 

SLASH_id

Если действующая лицензия - можете бесплатно перейти на новый продукт последней версии и потом по желанию продлевать лицензию.

Не знал, спасибо, подкину идею. Только тут с железными ресурсами ой как туго.

[SLASH_id 989]

gtc

 

Это программа которая "Инсталируется" в соседнюю папку и при выходе автодеинсталируется...

[thyrex 1 468]

Поменял HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

ShowSuperHidden, SuperHidden, Hidden на 1, перезагрузился, все равно AVP и AVZ вирусов в указанных файлах не обнаруживают.

Это всего лишь зачистка следов вируса.

 

SLASH_id, ссылку поправь

[gtc 0]

Я тут по пути к созданию логов зашел на http://www.kaspersky.ru/scanforvirus - онлайн-проверку. ИМХО, очень интересно:

 

----------------

ОК

В проверяемом файле вирусов не обнаружено.

Проверенный файл: 00.zip - подозрение на вирус

 

00.zip/autorun.i - в порядке

00.zip/autorun.in - в порядке

00.zip/autorun.inf - в порядке

 

00.zip/csrcs.exe/script.au3 - в порядке

00.zip/csrcs.exe/7EB38EA4B9216D25.au3.tbl - в порядке

00.zip/csrcs.exe/7EB38EA4B9216D25.au3.tbl.decoded - подозрение на вирус Packed.Win32.Krap.l

00.zip/csrcs.exe - подозрение на вирус Packed.Win32.Krap.l

----------------

 

----------------

ОК

В проверяемом файле вирусов не обнаружено.

Проверенный файл: 01.zip - подозрение на вирус

 

01.zip/myzxme.exe/script.au3 - в порядке

01.zip/myzxme.exe/7EB38EA4B9216D25.au3.tbl - в порядке

01.zip/myzxme.exe/7EB38EA4B9216D25.au3.tbl.decoded - подозрение на вирус Packed.Win32.Krap.l

01.zip/myzxme.exe - подозрение на вирус Packed.Win32.Krap.l

 

01.zip/nynsck.exe/script.au3 - в порядке

01.zip/nynsck.exe/kg5h16F8WTrWV09.au3.tbl - в порядке

01.zip/nynsck.exe/kg5h16F8WTrWV09.au3.tbl.decoded - подозрение на вирус Packed.Win32.Krap.l

01.zip/nynsck.exe - подозрение на вирус Packed.Win32.Krap.l

----------------

 

Чего я паникую?! "Вирусов не обнаружено!" Так, мелкая активность не в счет...

 

Спасибо всем за помощь, по ссылке SLASH_id скачаю, но, ИМХО, результат предсказуем - подожду обновления баз.

 

thyrex,

Это всего лишь зачистка следов вируса.

, плз, можно подробнее об этом (или ссылку) - такие значения (2,0,0) обнаружил и на "чистом" компе.

[valet 57]

Можете инсталку куда-нибудь выложить? Хочу поностальгировать)

Так, по-моему, здесь же, на ФКЛК где-то была тема с инсталляшками разных версий Касперского?!