gtc 0 Опубликовано 12 октября, 2009 Share Опубликовано 12 октября, 2009 Казалось бы, обычный вирус. Однако AVZ и KAV его не видят. Симптомы: 1. на всех расшареных ресурсах локальной сети появлялись файлы khv (0 байт) nynsck.exe (атрибуты -a--), а если ресурс - корневой каталог, то еще и autorun.inf с указанием на nynsck.exe (open= / action= @ / shell\explore\Command=); 2. при вставке флешки в зараженный компьютер на ней появлялись файлы khv, nynsck.exe и autorun.inf; 3. в WINDOWS\system32\ зараженного компьютера были файлы autorun.i, autorun.in, autorun.inf и csrcs.exe (удаление последнего заблокировано); 4. в реестре зараженного компьютера были записи: - HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe csrcs.exe" - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\csrcs = "C:\WINDOWS\system32\csrcs.exe" 5. после начала лечения (на каком-то этапе) обнаружилось, что теперь на расшаренных ресурсах вместо nynsck.exe появляется myzxme.exe (атрибуты rahs) и соответственно измененный autorun.inf. Вручную описанные файлы локализованы, реестр исправлен, все симптомы исчезли. Софт: KAV 4.0.5.38, базы от 12.10.2009 AVZ 4.32, базы от 11.10.2009 WindowsXP Pro + SP2 + wwdc + KB957097 + KB958644 + KB958687 При сканировании папки со всеми этими вирусными файлами AVZ и KAV не видят НИЧЕГО на 3-х компьютерах: бывшем зараженном, незараженном из этой же локальной сети и на незараженном стороннем копмьютере. Ранее подобные вирусы обнаруживались KAV без проблем. При отправке письма c запароленным архивом с этими файлами получаем "BANNED CONTENTS ALERT BANNED message from you (multipart/mixed | application/octet-stream,.rar,00.rar,UNDECIPHERABLE | csrcs.exe,UNDECIPHERABLE)" от провайдера. Вопрос: Где грабли? Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 12 октября, 2009 Share Опубликовано 12 октября, 2009 Не удивлюсь, если это по причине ооооочень устаревшей версии антивируса KAV 4.0.5.38 Packed.Win32.Clone.bj - типичный авторанер, который распространяется по расшаренным ресурсам и через сменные носители. Что касается блокировки при отправке по почте, то возможно Вы все-таки не установили пароль. Проверьте в реестре в ветке HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced параметры ShowSuperHidden, SuperHidden, Hidden на предмет равенства "1" (это правильное значение). Если потребуется, измените на правильное значение. Цитата Ссылка на сообщение Поделиться на другие сайты
Росляев 318 Опубликовано 12 октября, 2009 Share Опубликовано 12 октября, 2009 KAV 4.0.5.38 Ну ты даешь. Товарищ! Сейчас уже 9.0.0.463 большинство пользуется. Цитата Ссылка на сообщение Поделиться на другие сайты
gtc 0 Опубликовано 12 октября, 2009 Автор Share Опубликовано 12 октября, 2009 2 thyrex Проверьте в реестре в ветке Код HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced параметры ShowSuperHidden, SuperHidden, Hidden на предмет равенства "1" (это правильное значение). Если потребуется, измените на правильное значение. Проверил. ShowSuperHidden=0 SuperHidden=0 Hidden=2 Это на зараженном компе, так? А как быть с незараженными? И что это за параметры, плз? Что касается блокировки при отправке по почте, то возможно Вы все-таки не установили пароль. Это была первая мысль. Сохранил архив из письма и проверил - пароль. Не удивлюсь, если это по причине ооооочень устаревшей версии антивируса М.б., м.б, но - имеем, то что имеем. И еще: неделю назад подобные, на флешках приносимые вещи отлавливались. AVZ опять же... Касательно именно Packed.Win32.Clone.bj - кто может подтвердить, что KAV 4.0.5.38 с базами от 12.10.2009 его видеть не должен? ИМХО, здесь еще что-то... Цитата Ссылка на сообщение Поделиться на другие сайты
SLASH_id 989 Опубликовано 12 октября, 2009 Share Опубликовано 12 октября, 2009 gtc Можно полюбопытствовать, каким образом у вас базы от 12.10.2009, если базы к версии 4.0.5.38, как впрочем и к 5й версии не выпускаются уже давно. И что ж это у вас за тип лицензии такой, что спустя уже наверное 5 лет после окончания продаж у вас установлен и работает этот продукт? 1 Цитата Ссылка на сообщение Поделиться на другие сайты
valet 57 Опубликовано 12 октября, 2009 Share Опубликовано 12 октября, 2009 (изменено) KAV 4.0.5.38, базы от 12.10.2009WindowsXP Pro + SP2 + wwdc + KB957097 + KB958644 + KB958687 Возможно (учитывая не совсем последнюю версию Вашего антивируса), Вам лучше сделать комплект логов по Правилам (ссылки в подписи). После лечения (если оно потребуется) поставить SP3 на XP и KAV 2009 (506) или 2010 (463). @SLASH_id Да, старые версии обновляются, хотя и не поддерживаются. Базы для них продолжают выпускаться (по-крайней мере - для последних в линейке). Изменено 12 октября, 2009 пользователем valet Цитата Ссылка на сообщение Поделиться на другие сайты
gtc 0 Опубликовано 12 октября, 2009 Автор Share Опубликовано 12 октября, 2009 thyrex Поменял HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced ShowSuperHidden, SuperHidden, Hidden на 1, перезагрузился, все равно AVP и AVZ вирусов в указанных файлах не обнаруживают. Попутно выяснилось: 3-й комп раз или два подключался к этой же локалке. Т.о. имеем 3 компьютера, которые были в одной локальной сети. На первом (К1) была активность вируса (рассылка по локалке, запись на флешки, csrcs.exe в system32 и реестре), на 2-х других - только khv и nynsck.exe в расшареных ресурсах. На К1 вирус убит (думаю, что убит - csrcs.exe удален, реестр почищен, активность вируса прекратилась), на К2 и К3 активности не было и нет. НО на всех компьютерах описаное ПО не находит вирус в файлах, где он ИМХО 100% есть. Как можно убедиться, что в системах чисто? (Плз, можно обойтись без замены AVP на свежую версию?) Цитата Ссылка на сообщение Поделиться на другие сайты
SLASH_id 989 Опубликовано 12 октября, 2009 Share Опубликовано 12 октября, 2009 (изменено) gtc Скачайте это: http://devbuilds.kaspersky-labs.com/devbui....2009_20-29.exe запустите и проверьтесь. Обойтись без замены на свежую версию можно. С таким же успехом можно удалить ту которая есть, так как спасти она может от архаичных вирусов, новые ей уже не по плечу. И баз к ней уже несколько лет не выпускают. Изменено 12 октября, 2009 пользователем SLASH_id Цитата Ссылка на сообщение Поделиться на другие сайты
gtc 0 Опубликовано 12 октября, 2009 Автор Share Опубликовано 12 октября, 2009 SLASH_id Можно полюбопытствовать, каким образом у вас базы от 12.10.2009, если базы к версии 4.0.5.38, как впрочем и к 5й версии не выпускаются уже давно. Хм, в трее - "обновить базы" - обновляет ч-з интернет. И что ж это у вас за тип лицензии такой, что спустя уже наверное 5 лет после окончания продаж у вас установлен и работает этот продукт? какой-то персонал с продлением на 3 года, еще пару месяцев действительна. Скажите, а что, от этого зависит кач-во работы программы? Цитата Ссылка на сообщение Поделиться на другие сайты
SLASH_id 989 Опубликовано 12 октября, 2009 Share Опубликовано 12 октября, 2009 (изменено) Зависит! Если действующая лицензия - можете бесплатно перейти на новый продукт последней версии и потом по желанию продлевать лицензию. Можете инсталку куда-нибудь выложить? Хочу поностальгировать) Изменено 12 октября, 2009 пользователем SLASH_id Цитата Ссылка на сообщение Поделиться на другие сайты
gtc 0 Опубликовано 12 октября, 2009 Автор Share Опубликовано 12 октября, 2009 valet Возможно (учитывая не совсем последнюю версию Вашего антивируса), Вам лучше сделать комплект логов по Правилам (ссылки в подписи). После лечения (если оно потребуется) Уточню - логи на всех 3-х компьютерах? Смущает отсутствие активности, т.е. непонятно что лечить? (т.е. доктор у меня болело, а уже не болит, что лечить?) SLASH_id уточните, плз, что это http://devbuilds.kaspersky-labs.com/devbui....2009_20-29.exe - инсталлятор или программа, к-рая просто запускается, без инсталляции - мне надо, чтоб не инсталлировалась. SLASH_id Если действующая лицензия - можете бесплатно перейти на новый продукт последней версии и потом по желанию продлевать лицензию. Не знал, спасибо, подкину идею. Только тут с железными ресурсами ой как туго. Цитата Ссылка на сообщение Поделиться на другие сайты
SLASH_id 989 Опубликовано 12 октября, 2009 Share Опубликовано 12 октября, 2009 gtc Это программа которая "Инсталируется" в соседнюю папку и при выходе автодеинсталируется... Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 12 октября, 2009 Share Опубликовано 12 октября, 2009 Поменял HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\AdvancedShowSuperHidden, SuperHidden, Hidden на 1, перезагрузился, все равно AVP и AVZ вирусов в указанных файлах не обнаруживают. Это всего лишь зачистка следов вируса. SLASH_id, ссылку поправь Цитата Ссылка на сообщение Поделиться на другие сайты
gtc 0 Опубликовано 12 октября, 2009 Автор Share Опубликовано 12 октября, 2009 Я тут по пути к созданию логов зашел на http://www.kaspersky.ru/scanforvirus - онлайн-проверку. ИМХО, очень интересно: ---------------- ОК В проверяемом файле вирусов не обнаружено. Проверенный файл: 00.zip - подозрение на вирус 00.zip/autorun.i - в порядке 00.zip/autorun.in - в порядке 00.zip/autorun.inf - в порядке 00.zip/csrcs.exe/script.au3 - в порядке 00.zip/csrcs.exe/7EB38EA4B9216D25.au3.tbl - в порядке 00.zip/csrcs.exe/7EB38EA4B9216D25.au3.tbl.decoded - подозрение на вирус Packed.Win32.Krap.l 00.zip/csrcs.exe - подозрение на вирус Packed.Win32.Krap.l ---------------- ---------------- ОК В проверяемом файле вирусов не обнаружено. Проверенный файл: 01.zip - подозрение на вирус 01.zip/myzxme.exe/script.au3 - в порядке 01.zip/myzxme.exe/7EB38EA4B9216D25.au3.tbl - в порядке 01.zip/myzxme.exe/7EB38EA4B9216D25.au3.tbl.decoded - подозрение на вирус Packed.Win32.Krap.l 01.zip/myzxme.exe - подозрение на вирус Packed.Win32.Krap.l 01.zip/nynsck.exe/script.au3 - в порядке 01.zip/nynsck.exe/kg5h16F8WTrWV09.au3.tbl - в порядке 01.zip/nynsck.exe/kg5h16F8WTrWV09.au3.tbl.decoded - подозрение на вирус Packed.Win32.Krap.l 01.zip/nynsck.exe - подозрение на вирус Packed.Win32.Krap.l ---------------- Чего я паникую?! "Вирусов не обнаружено!" Так, мелкая активность не в счет... Спасибо всем за помощь, по ссылке SLASH_id скачаю, но, ИМХО, результат предсказуем - подожду обновления баз. thyrex, Это всего лишь зачистка следов вируса., плз, можно подробнее об этом (или ссылку) - такие значения (2,0,0) обнаружил и на "чистом" компе. Цитата Ссылка на сообщение Поделиться на другие сайты
valet 57 Опубликовано 12 октября, 2009 Share Опубликовано 12 октября, 2009 Можете инсталку куда-нибудь выложить? Хочу поностальгировать) Так, по-моему, здесь же, на ФКЛК где-то была тема с инсталляшками разных версий Касперского?! Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.