sandkey Опубликовано 11 апреля, 2011 Опубликовано 11 апреля, 2011 Привезли комп с банером. Есно никаких логов сделать нельзя. Делать надо было срочно. КАВ 11.556 обновлен полностью. С winpe загрузился вышиб сам файл и его загрузку с реестра. После перезагрузки опять банер и на том же месте. Помог откат системы. Проверка mbam дала следующее mbam_log_2011_04_11__15_23_48_.txt Жесть конечно и это при рабочем КАВ. Отправил запрос на исследование этого файла. Вирь КАВом с крайними базами сейчас не детектится. virustotal дает http://www.virustotal.com/file-scan/report...ee19-1302537542 Комп отдал так что логи сделать не могу. Админы если не в тему написал, переместите или удалите тему.
Roman_Five Опубликовано 11 апреля, 2011 Опубликовано 11 апреля, 2011 делайте логи. видны следы Stuxnet Удалите в MBAM: Заражённые ключи в реестре: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612} (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612} (Trojan.Agent) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{64KLC5K0-4OPM-00WE-AAX8-17EF1D187263} (Worm.AutoRun) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{67MAD3M8-3MAD-81AD-MAD6-78OP5G1234521} (Backdoor.Bot) -> No action taken. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\MSrtn (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\StimulProfit (Adware.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MRXCLS (Rootkit.TmpHider) -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MRXNET (Rootkit.TmpHider) -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxCls (Rootkit.TmpHider) -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxNet (Rootkit.TmpHider) -> No action taken. Объекты реестра заражены: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken. Заражённые файлы: c:\WINDOWS\inf\mdmcpq3.PNF (Rootkit.TmpHider) -> No action taken. c:\WINDOWS\inf\mdmeric3.PNF (Rootkit.TmpHider) -> No action taken. c:\WINDOWS\inf\oem6C.PNF (Rootkit.TmpHider) -> No action taken. Жесть конечно и это при рабочем КАВ. AV по сравнению с IS изначально "ущербнее"... был бы KIS - вот решение http://support.kaspersky.ru/faq/?qid=208638548
sandkey Опубликовано 11 апреля, 2011 Автор Опубликовано 11 апреля, 2011 (изменено) делайте логи Комп приехал с СК. С кучей документов, есно делал под контролем. Запустился и сразу отдал(((. AV по сравнению с IS изначально "ущербнее"... Не я ставил КАВ, То что mbam нашел это все один сегодняшний вирь? PS пришел ответ от вирлаба 22CC6C32.exe_ - Trojan.Win32.Menti.gena Детектирование файла будет добавлено в следующее обновление. Изменено 11 апреля, 2011 пользователем sandkey
Roman_Five Опубликовано 11 апреля, 2011 Опубликовано 11 апреля, 2011 То что mbam нашел это все один сегодняшний вирь? нет.
sandkey Опубликовано 11 апреля, 2011 Автор Опубликовано 11 апреля, 2011 (изменено) нет Roman_Five а у вирлаба подобная технология поиска,лечения и удаления такого есть? Допустим я включил полную проверку. Я так понял что в реестре остались ключи от прошлых вирей и КАВ(КИС) в состоянии это вычислить? или же все равно нужно держать mbam и регулярно им проверять? Изменено 11 апреля, 2011 пользователем sandkey
Roman_Five Опубликовано 11 апреля, 2011 Опубликовано 11 апреля, 2011 Я так понял что в реестре остались ключи от прошлых вирей да. КАВ(КИС) в состоянии это вычислить "следы" постфактум - нет. при активном заражении - да. "последствия" (нарушение парметров безопасности системыи браузера) - да. нужно держать mbam и регулярно им проверять не рекомендуется, т.к. они потенциально несовместимы. MBAM даёт много фолсов при сигнатурном детекте. а у вирлаба подобная технология поиска,лечения и удаления такого есть? чего "такого"? если Вы об этом 22CC6C32.exe_ - Trojan.Win32.Menti.gena то благодаря Вам - уже есть.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти