Евгений Малинин Опубликовано 20 октября, 2008 Поделиться Опубликовано 20 октября, 2008 В школе было обнаружено поведение похожее на trojan-generic файлами: SCRCS.EXE и DWNABW.EXE. Их я отправил на newvirus<at>kaspersky.com. Жду ответа. Логи прикладываю. Как придёт ответ - напишу. На компьютере поражены: 1. Загрузка с флешки (скрытый файл) 2. Запрещено отображение скрытых файлов 3. В коммандной строке запрещены комманды dir и tree про остальные не знаю 4. Запустить коммандную строку получается только, если ввести command.com Заранее спасибо! hijackthis.rar virusinfo_syscheck.zip virusinfo_syscure.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
ТроПа Опубликовано 20 октября, 2008 Поделиться Опубликовано 20 октября, 2008 Поищите при помощи АВЗ--сервис--поиск файлов на диске setuprs1.PIF и 2838.PIF - если найдутся отправьте в вирлаб и напишите нам. 1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('K:\dwnabw.exe',''); QuarantineFile('K:\autorun.inf',''); QuarantineFile('C:\WINDOWS\lsass.exe',''); QuarantineFile('c:\windows\system32\csrcs.exe',''); TerminateProcessByName('c:\windows\system32\csrcs.exe'); DeleteFile('c:\windows\system32\csrcs.exe'); DeleteFile('C:\WINDOWS\lsass.exe'); DeleteFile('K:\autorun.inf'); DeleteFile('K:\dwnabw.exe'); BC_ImportAll; BC_DeleteSvc('kkdc'); ExecuteSysClean; ExecuteRepair(16); ExecuteRepair(8); BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Прислать карантин (файл quarantine.zip из папки AVZ) на адрес newvirus@kaspersky.com В теле письма укажите пароль на архив virus. После того как получите ответ запостите нам. 2.Пофиксить в HijackThis следующие строчки F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe Повторите логи 1 Ссылка на комментарий Поделиться на другие сайты Поделиться
Евгений Малинин Опубликовано 20 октября, 2008 Автор Поделиться Опубликовано 20 октября, 2008 (изменено) Завтра выполню, когда приду в школу. Пришёл ответ из вирлаба по файлам SCRCS.EXE и DWNABW.EXE: Hello. This file is already detected. Please update your bases. Please quote all when answering. Do not forget to include you registration data. ----------------- Regards, <Вирусный Аналитик> Virus Analyst, Kaspersky Lab. Ph.: +7(095) 797-8700 E-mail: newvirus@kaspersky.com http://www.kaspersky.com http://www.viruslist.com Завтра обновлю базы в школе, проверю... Онлайн-сканер вот что говорит: Проверенный файл: DWNABW.EXE Статистика проверки: Известных вирусов: 1324980 Дата последнего обновления: 20-10-2008 Размер файла (Kb): 412 Тел вирусов: 0 Файлов: 1 Предупреждений: 0 Архивов: 0 Подозрительных: 0 Странно, как он может уже детектиться, если я проверил онлайн-сканером и получил результат, что файл не содержит вредоносов? Изменено 20 октября, 2008 пользователем Евгений Малинин Ссылка на комментарий Поделиться на другие сайты Поделиться
ROME'D'ROS Опубликовано 20 октября, 2008 Поделиться Опубликовано 20 октября, 2008 Странно, как он может уже детектиться, если я проверил онлайн-сканером и получил результат, что файл не содержит вредоносов? Хм,интересно... Ссылка на комментарий Поделиться на другие сайты Поделиться
Евгений Малинин Опубликовано 20 октября, 2008 Автор Поделиться Опубликовано 20 октября, 2008 Да, действительно... Я отправил им, чтобы они перепроверили архив и уточнили данные. Ссылка на комментарий Поделиться на другие сайты Поделиться
Гриша Опубликовано 20 октября, 2008 Поделиться Опубликовано 20 октября, 2008 До он-лайн сканера апдейт мог просто еще не доплыть, дятлы отвечают по факту наличия сигнатуры в базе антивируса, а не на сайте... Ссылка на комментарий Поделиться на другие сайты Поделиться
Евгений Малинин Опубликовано 20 октября, 2008 Автор Поделиться Опубликовано 20 октября, 2008 (изменено) Но сообщение от newvirus'а мне пришло ещё в 10:45 (GTM+4 (MSK))... Думаю, за 5 часов до онлайн-сканера обновление должно было дойти... И в базах этой записи нет. Только что обновился, а файлы не определяются Изменено 20 октября, 2008 пользователем Евгений Малинин Ссылка на комментарий Поделиться на другие сайты Поделиться
ТроПа Опубликовано 20 октября, 2008 Поделиться Опубликовано 20 октября, 2008 А на вирустотал не проверяли данные файлики? Ссылка на комментарий Поделиться на другие сайты Поделиться
Гриша Опубликовано 20 октября, 2008 Поделиться Опубликовано 20 октября, 2008 Плиз архив мне в PM и номер тикета аналитика... Ссылка на комментарий Поделиться на другие сайты Поделиться
Евгений Малинин Опубликовано 20 октября, 2008 Автор Поделиться Опубликовано 20 октября, 2008 А на вирустотал не проверяли данные файлики? Проверял. По всем антивирусам - пусто. Плиз архив мне в PM и номер тикета аналитика... Сделал. Ссылка на комментарий Поделиться на другие сайты Поделиться
Евгений Малинин Опубликовано 27 октября, 2008 Автор Поделиться Опубликовано 27 октября, 2008 Скрипты выполнил, карантин отправил жду ответа. Новые логи прикладываю. PS Нужной строчки в HJT не было. PPS Файлы setuprs1.PIF и 2838.PIF не обнаружены. hijackthis.rar virusinfo_syscure.zip virusinfo_syscheck.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
ТроПа Опубликовано 27 октября, 2008 Поделиться Опубликовано 27 октября, 2008 Какие проблемы наблюдаются? Установлены ли какие-либо Policies у пользователя компьютера? Ссылка на комментарий Поделиться на другие сайты Поделиться
Евгений Малинин Опубликовано 27 октября, 2008 Автор Поделиться Опубликовано 27 октября, 2008 Проблем не наблюдается. Всмысле policies? Компьютер без подключения к интернету, без ЛВС, базу на АКWW обновляю я со своего EDGE модема 1-2 раза в неделю. PS У пользователя права администратора. Ссылка на комментарий Поделиться на другие сайты Поделиться
ТроПа Опубликовано 27 октября, 2008 Поделиться Опубликовано 27 октября, 2008 Я это спрашивал на тот случай если не видны скрытые и системные файлы, то нужно было думать как лечить если на компе стоят какие-нибудь ограничения через политики, а то стандартным путём АВЗ их сбрасывает. Ссылка на комментарий Поделиться на другие сайты Поделиться
Евгений Малинин Опубликовано 29 октября, 2008 Автор Поделиться Опубликовано 29 октября, 2008 Спасибо всем за помощь! Ответа с ньювируса не пришло, но файлы стали детектиться, как Trojan.Win32.Autoit.ez. Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти