Евгений Малинин Опубликовано 20 октября, 2008 Опубликовано 20 октября, 2008 В школе было обнаружено поведение похожее на trojan-generic файлами: SCRCS.EXE и DWNABW.EXE. Их я отправил на newvirus<at>kaspersky.com. Жду ответа. Логи прикладываю. Как придёт ответ - напишу. На компьютере поражены: 1. Загрузка с флешки (скрытый файл) 2. Запрещено отображение скрытых файлов 3. В коммандной строке запрещены комманды dir и tree про остальные не знаю 4. Запустить коммандную строку получается только, если ввести command.com Заранее спасибо! hijackthis.rar virusinfo_syscheck.zip virusinfo_syscure.zip
ТроПа Опубликовано 20 октября, 2008 Опубликовано 20 октября, 2008 Поищите при помощи АВЗ--сервис--поиск файлов на диске setuprs1.PIF и 2838.PIF - если найдутся отправьте в вирлаб и напишите нам. 1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('K:\dwnabw.exe',''); QuarantineFile('K:\autorun.inf',''); QuarantineFile('C:\WINDOWS\lsass.exe',''); QuarantineFile('c:\windows\system32\csrcs.exe',''); TerminateProcessByName('c:\windows\system32\csrcs.exe'); DeleteFile('c:\windows\system32\csrcs.exe'); DeleteFile('C:\WINDOWS\lsass.exe'); DeleteFile('K:\autorun.inf'); DeleteFile('K:\dwnabw.exe'); BC_ImportAll; BC_DeleteSvc('kkdc'); ExecuteSysClean; ExecuteRepair(16); ExecuteRepair(8); BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Прислать карантин (файл quarantine.zip из папки AVZ) на адрес newvirus@kaspersky.com В теле письма укажите пароль на архив virus. После того как получите ответ запостите нам. 2.Пофиксить в HijackThis следующие строчки F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe Повторите логи 1
Евгений Малинин Опубликовано 20 октября, 2008 Автор Опубликовано 20 октября, 2008 (изменено) Завтра выполню, когда приду в школу. Пришёл ответ из вирлаба по файлам SCRCS.EXE и DWNABW.EXE: Hello. This file is already detected. Please update your bases. Please quote all when answering. Do not forget to include you registration data. ----------------- Regards, <Вирусный Аналитик> Virus Analyst, Kaspersky Lab. Ph.: +7(095) 797-8700 E-mail: newvirus@kaspersky.com http://www.kaspersky.com http://www.viruslist.com Завтра обновлю базы в школе, проверю... Онлайн-сканер вот что говорит: Проверенный файл: DWNABW.EXE Статистика проверки: Известных вирусов: 1324980 Дата последнего обновления: 20-10-2008 Размер файла (Kb): 412 Тел вирусов: 0 Файлов: 1 Предупреждений: 0 Архивов: 0 Подозрительных: 0 Странно, как он может уже детектиться, если я проверил онлайн-сканером и получил результат, что файл не содержит вредоносов? Изменено 20 октября, 2008 пользователем Евгений Малинин
ROME'D'ROS Опубликовано 20 октября, 2008 Опубликовано 20 октября, 2008 Странно, как он может уже детектиться, если я проверил онлайн-сканером и получил результат, что файл не содержит вредоносов? Хм,интересно...
Евгений Малинин Опубликовано 20 октября, 2008 Автор Опубликовано 20 октября, 2008 Да, действительно... Я отправил им, чтобы они перепроверили архив и уточнили данные.
Гриша Опубликовано 20 октября, 2008 Опубликовано 20 октября, 2008 До он-лайн сканера апдейт мог просто еще не доплыть, дятлы отвечают по факту наличия сигнатуры в базе антивируса, а не на сайте...
Евгений Малинин Опубликовано 20 октября, 2008 Автор Опубликовано 20 октября, 2008 (изменено) Но сообщение от newvirus'а мне пришло ещё в 10:45 (GTM+4 (MSK))... Думаю, за 5 часов до онлайн-сканера обновление должно было дойти... И в базах этой записи нет. Только что обновился, а файлы не определяются Изменено 20 октября, 2008 пользователем Евгений Малинин
ТроПа Опубликовано 20 октября, 2008 Опубликовано 20 октября, 2008 А на вирустотал не проверяли данные файлики?
Гриша Опубликовано 20 октября, 2008 Опубликовано 20 октября, 2008 Плиз архив мне в PM и номер тикета аналитика...
Евгений Малинин Опубликовано 20 октября, 2008 Автор Опубликовано 20 октября, 2008 А на вирустотал не проверяли данные файлики? Проверял. По всем антивирусам - пусто. Плиз архив мне в PM и номер тикета аналитика... Сделал.
Евгений Малинин Опубликовано 27 октября, 2008 Автор Опубликовано 27 октября, 2008 Скрипты выполнил, карантин отправил жду ответа. Новые логи прикладываю. PS Нужной строчки в HJT не было. PPS Файлы setuprs1.PIF и 2838.PIF не обнаружены. hijackthis.rar virusinfo_syscure.zip virusinfo_syscheck.zip
ТроПа Опубликовано 27 октября, 2008 Опубликовано 27 октября, 2008 Какие проблемы наблюдаются? Установлены ли какие-либо Policies у пользователя компьютера?
Евгений Малинин Опубликовано 27 октября, 2008 Автор Опубликовано 27 октября, 2008 Проблем не наблюдается. Всмысле policies? Компьютер без подключения к интернету, без ЛВС, базу на АКWW обновляю я со своего EDGE модема 1-2 раза в неделю. PS У пользователя права администратора.
ТроПа Опубликовано 27 октября, 2008 Опубликовано 27 октября, 2008 Я это спрашивал на тот случай если не видны скрытые и системные файлы, то нужно было думать как лечить если на компе стоят какие-нибудь ограничения через политики, а то стандартным путём АВЗ их сбрасывает.
Евгений Малинин Опубликовано 29 октября, 2008 Автор Опубликовано 29 октября, 2008 Спасибо всем за помощь! Ответа с ньювируса не пришло, но файлы стали детектиться, как Trojan.Win32.Autoit.ez.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти