WaNDeR 0 Опубликовано 20 мая, 2009 Share Опубликовано 20 мая, 2009 доброе время суток. не могу поймать где сидит этот вирус, а систему переставлять не хочеться чую он не на одном компе, ситуация такая ни один антивирус не показывает его в системной памяти, но он постоянно создает вирусный файл на дискете и в этот момент его ловит нод32, модифицированный вирус Win32/Kryptik.DA в созданом файле, может вы мне сможете помочь, зарание благодарен. hijackthis.log virusinfo_syscure.zip virusinfo_syscheck.zip Цитата Ссылка на сообщение Поделиться на другие сайты
shamr 0 Опубликовано 20 мая, 2009 Share Опубликовано 20 мая, 2009 Я думаю, что на компьютере у тебя нет данного вируса. На компьютере у тебя сидит некий зверь по типу Троян Даунлоадера. А их к сожалению не все даже Касп ловит. (Для Е.К. -- Прошу прощения но это так.) А Нод32 вообще считает, что данные вирусы являются чем-то, типа самораспаковывающихся архивов. При этом существует архиватор, забытый во времени, под названием Ha (архиватор Хафмана), его особенность в том, что создав левую таблицу символов, можно "запаковать" файл так, что не поймет ни один Хафман распаковщик. Тем более, что им уже никто не пользуется. По этому на данные самораспаковщики авиры даже не смотрят. Пропускают как обычный файл с хламом. Но данный файл может сидеть где нибудь в автозапуске, и рандомом распаковывать свои вложенные архивы. Так что то что криптика вычислили это хорошо, но надо бы папу его достать. Строгое предупреждение от модератора User Устное предупреждение за некомпитентный совет Цитата Ссылка на сообщение Поделиться на другие сайты
Alexey_I 5 Опубликовано 20 мая, 2009 Share Опубликовано 20 мая, 2009 (изменено) WaNDeR, Здравствуйте. Запустите HiJackThis, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked". O4 - HKLM\..\Run: [runwinlogon] C:\WINNT\winlogon.exe O4 - HKLM\..\Run: [msmsg] reg add "HKCU\software\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_SZ /d http://start.traffer.ru/ /f O4 - HKLM\..\Run: [msn] reg add "HKLM\software\Microsoft\Internet Explorer\Main" /v "First Home Page" /t REG_SZ /d http://start.traffer.ru/first/ /f O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, нажмите кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINNT\winlogon.exe',''); DeleteFile('C:\WINNT\winlogon.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Файл quarantine.zip отправьте на newvirus@kaspersky.com и (т.к. у вас NOD) samples@esetnod32.ru; samples@eset.com или http://www.esetnod32.ru/support/newvirus.php, в письме укажите пароль "virus" Сделайте новые логи virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ) и hijackthis Изменено 20 мая, 2009 пользователем Alexey_I 1 Цитата Ссылка на сообщение Поделиться на другие сайты
WaNDeR 0 Опубликовано 21 мая, 2009 Автор Share Опубликовано 21 мая, 2009 к сожалению я видимо ввел вас в заблуждение и себя тоже, проверив все еще раз обнаружил что файл winlogon отсутствует в каталоге винды, и соответственно ничего в карантин скрипт не копирует, а ввел в заблуждение потому что искал я вирус не на том компьютере оказалось что дискета была расшарена в сеть и по видимому вирус болтаеться где то в сети и копирует себя в открытые шары, начал поиск его на других компьютерах. Цитата Ссылка на сообщение Поделиться на другие сайты
Alexey_I 5 Опубликовано 21 мая, 2009 Share Опубликовано 21 мая, 2009 проверив все еще раз обнаружил что файл winlogon отсутствует в каталоге винды Возможно оставалась только запись в реестре, которая отображалась в логах. дискета была расшарена в сеть и по видимому вирус болтаеться где то в сети и копирует себя в открытые шары, Файл C:\WINNT\System32\DRIVERS\CProCt2k.sys запакуйте в архив с паролем virus и отправьте на newvirus@kaspersky.com Проблема после фикса строчке в HJT должна была исчезнуть, если нет, можно будет использовать другие средства. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.