sandkey 27 Опубликовано 11 апреля, 2011 Share Опубликовано 11 апреля, 2011 Привезли комп с банером. Есно никаких логов сделать нельзя. Делать надо было срочно. КАВ 11.556 обновлен полностью. С winpe загрузился вышиб сам файл и его загрузку с реестра. После перезагрузки опять банер и на том же месте. Помог откат системы. Проверка mbam дала следующее mbam_log_2011_04_11__15_23_48_.txt Жесть конечно и это при рабочем КАВ. Отправил запрос на исследование этого файла. Вирь КАВом с крайними базами сейчас не детектится. virustotal дает http://www.virustotal.com/file-scan/report...ee19-1302537542 Комп отдал так что логи сделать не могу. Админы если не в тему написал, переместите или удалите тему. Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 11 апреля, 2011 Share Опубликовано 11 апреля, 2011 делайте логи. видны следы Stuxnet Удалите в MBAM: Заражённые ключи в реестре: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612} (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612} (Trojan.Agent) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{64KLC5K0-4OPM-00WE-AAX8-17EF1D187263} (Worm.AutoRun) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{67MAD3M8-3MAD-81AD-MAD6-78OP5G1234521} (Backdoor.Bot) -> No action taken. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\MSrtn (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\StimulProfit (Adware.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MRXCLS (Rootkit.TmpHider) -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MRXNET (Rootkit.TmpHider) -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxCls (Rootkit.TmpHider) -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxNet (Rootkit.TmpHider) -> No action taken. Объекты реестра заражены: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken. Заражённые файлы: c:\WINDOWS\inf\mdmcpq3.PNF (Rootkit.TmpHider) -> No action taken. c:\WINDOWS\inf\mdmeric3.PNF (Rootkit.TmpHider) -> No action taken. c:\WINDOWS\inf\oem6C.PNF (Rootkit.TmpHider) -> No action taken. Жесть конечно и это при рабочем КАВ. AV по сравнению с IS изначально "ущербнее"... был бы KIS - вот решение http://support.kaspersky.ru/faq/?qid=208638548 Цитата Ссылка на сообщение Поделиться на другие сайты
sandkey 27 Опубликовано 11 апреля, 2011 Автор Share Опубликовано 11 апреля, 2011 (изменено) делайте логи Комп приехал с СК. С кучей документов, есно делал под контролем. Запустился и сразу отдал(((. AV по сравнению с IS изначально "ущербнее"... Не я ставил КАВ, То что mbam нашел это все один сегодняшний вирь? PS пришел ответ от вирлаба 22CC6C32.exe_ - Trojan.Win32.Menti.gena Детектирование файла будет добавлено в следующее обновление. Изменено 11 апреля, 2011 пользователем sandkey Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 11 апреля, 2011 Share Опубликовано 11 апреля, 2011 То что mbam нашел это все один сегодняшний вирь? нет. Цитата Ссылка на сообщение Поделиться на другие сайты
sandkey 27 Опубликовано 11 апреля, 2011 Автор Share Опубликовано 11 апреля, 2011 (изменено) нет Roman_Five а у вирлаба подобная технология поиска,лечения и удаления такого есть? Допустим я включил полную проверку. Я так понял что в реестре остались ключи от прошлых вирей и КАВ(КИС) в состоянии это вычислить? или же все равно нужно держать mbam и регулярно им проверять? Изменено 11 апреля, 2011 пользователем sandkey Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 11 апреля, 2011 Share Опубликовано 11 апреля, 2011 Я так понял что в реестре остались ключи от прошлых вирей да. КАВ(КИС) в состоянии это вычислить "следы" постфактум - нет. при активном заражении - да. "последствия" (нарушение парметров безопасности системыи браузера) - да. нужно держать mbam и регулярно им проверять не рекомендуется, т.к. они потенциально несовместимы. MBAM даёт много фолсов при сигнатурном детекте. а у вирлаба подобная технология поиска,лечения и удаления такого есть? чего "такого"? если Вы об этом 22CC6C32.exe_ - Trojan.Win32.Menti.gena то благодаря Вам - уже есть. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.