Dolli1 Опубликовано 22 июня, 2008 Жалоба Поделиться Опубликовано 22 июня, 2008 (изменено) Ребята, SOS! Много лет борюсь с вирусами, много их на своем веку повидала, но такого "зверя" вижу первый раз в жизни! Расскажите, может быть кто-нибудь сталкивался...? Схватила я эту дрянь с одного из сайтов, на который зашла из поиска Гугля. Сайт какого-то дизайнерского бюро. В общем суть такая... где-то в системе сидит некая кака, которую я никак не могу обнаружить. Она (эта кака) создаёт в TMP файлах (а надо отметить, что у меня на компе для *.tmp и *.temp выделен отдельный локальный диск) 3 екзешника: winjrbcji.exe winqqxeo.exe winspaewf.exe Как я понимаю, один из них отключает безопасный режим. Второй - работу всех антивирусников (и любых приложений, связанных с более или менее известными антивирями, такими как Касперский, DrWeb, avast, NOD32, Panda и т.д.) и любых exe и setup файлов, где в названии есть хоть что-то похожее на буквосочетания "anti", "virus" и им подобные. В т.ч. не работают и утилиты CureIT, AVZ и HijackThis (они включаются, но тут же исчезают). Третий екзешник блокирует все (абсолютно все) связанные с антивирусниками сайты - они просто перестают загружаться, при том что все остальные сайты работают нормально. Получается, что невозможно: поставить антивирусник, снести антивирусник, запустить онлайн сканировние, перегрузиться в безопасный режим (комп тут же уходит в перегрузку), получить обновления антивирусных программ и т.д. Но и это еще не всё... У меня на компе стоит Акронис и лежит образ чистой, с установленными драйверами и нужными программами системы. Ни одного вируса в образе нет. Это на 100% проверено. Мои действия: Я вычищаю диск TMP (удаляю оттуда все файлы), чищу реестр, чищу диск с помощью RegOrganizer, затем сразу перегружаю комп и по F11 вызываю Акронис, указываю ему восстановить чистый раздел С. Он восстанавливается. Дальше происходит вообше непонятная вещь. На вызванной из образа, чистой системе стоит avast. Он сразу начинает орать, что в TMP имеется вирус (откуда, я же удалила все файлы из TMP!!!), а вирус тут же блокирует работу аваста. У меня на экране остается окно антивирусника, с помощью которого я еще могу запланировать сканирование после перегрузки, что собственно и делаю. Комп сканируется авастом, снова удаляет из TMP екзешники (замечу, что на С и других логиках он ни одного вируса не видит), снова загружается ось и всё повторяется сначала. Вот такой круговорот вируса в природе. Самое неприятное, что я даже логов показать не могу. Выключаются утилиты сразу как только их включаешь. А в безопасный режим тоже не могу попасть, чтобы запустить CureIT. Пыталась имена этих екзешников поискать в сети через яндекс и гугль, но ни одного не нашла.Короче, никакой информации... Изменено 22 июня, 2008 пользователем Dolli1 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 22 июня, 2008 Жалоба Поделиться Опубликовано 22 июня, 2008 ОК. качаем эту версию AVZ и делаем логи. Что не получается пропускаем, но надо указать, те действия которые Вы пропустили. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Dolli1 Опубликовано 22 июня, 2008 Автор Жалоба Поделиться Опубликовано 22 июня, 2008 ОК. качаем эту версию AVZ и делаем логи. Что не получается пропускаем, но надо указать, те действия которые Вы пропустили. Спасибо! После непродолжительной борьбы он все-таки скачался, и даже запустился. Пропусков небыло. Вот логи: virusinfo_syscheck.zip virusinfo_syscure.zip virusinfo_syscheck.zip virusinfo_syscure.zip Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 22 июня, 2008 Жалоба Поделиться Опубликовано 22 июня, 2008 (изменено) Посмотрим чего у нас попалось :greedy: AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('d:\WebServers\denwer\Boot.exe','');QuarantineFile('C:\WINDOWS\system32\2ADA~1.SCR','');QuarantineFile('C:\Program Files\Punto Switcher\ps.exe','');QuarantineFile('C:\WINDOWS\system32\drivers\gmnmnl.sys','');QuarantineFile('r:\tmp\winspaewf.exe','');QuarantineFile('r:\tmp\winqgxeo.exe','');QuarantineFile('r:\tmp\winjrbcji.exe','');DeleteFile('r:\tmp\winvjje.exe');DeleteFile('r:\tmp\winjrbcji.exe');DeleteFile('r:\tmp\winqgxeo.exe');DeleteFile('r:\tmp\winspaewf.exe');DeleteFile('R:\TMP\winjrbcji.exe');DeleteFile('R:\TMP\winqgxeo.exe');DeleteFile('R:\TMP\winspaewf.exe');DeleteFile('C:\WINDOWS\system32\drivers\gmnmnl.sys');BC_ImportALL;BC_Activate;ExecuteSysClean;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@) Изменено 22 июня, 2008 пользователем akoK Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Dolli1 Опубликовано 22 июня, 2008 Автор Жалоба Поделиться Опубликовано 22 июня, 2008 (изменено) Спасибо! Вроде письмо ушло... Только теперь стали появляться довольно частые ошибки IE. Изменено 22 июня, 2008 пользователем Dolli1 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 22 июня, 2008 Жалоба Поделиться Опубликовано 22 июня, 2008 Подтвердилиось....у Вас Virus.Win32.Sality.z по касперскому или Win32.Sector.5 по drweb. Это файловый вирус который нужно лечить таким способом. Можно попытаться востановить безопасный режим AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);ExecuteRepair(10);RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. P>S> Этот скрипт необходимо выполнить когда Вы все подготовили и сразу же заходить в безопасный режим. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Dolli1 Опубликовано 22 июня, 2008 Автор Жалоба Поделиться Опубликовано 22 июня, 2008 Подтвердилиось....у Вас Virus.Win32.Sality.z по касперскому или Win32.Sector.5 по drweb. Это файловый вирус который нужно лечить таким способом. Можно попытаться востановить безопасный режим AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);ExecuteRepair(10);RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. P>S> Этот скрипт необходимо выполнить когда Вы все подготовили и сразу же заходить в безопасный режим. Благодарю! Попробую. Как всё сделаю - отпишусь что получилось. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Форматцевт Опубликовано 22 июня, 2008 Жалоба Поделиться Опубликовано 22 июня, 2008 Общий вопрос, а почему такой примитивный (мнение моё) вирус вызывает такой креш? Я на одну из своих машин кинул заражённый такой файл и сразу сработало две вещи: - обнаружен и удалён руткит; - модуль целостности ОС затормозил выполнение (предположительно опасных)задач. Итог: вирус исчез, те был удалён системой защиты. Я что то недопонимаю? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 22 июня, 2008 Жалоба Поделиться Опубликовано 22 июня, 2008 Общий вопрос, а почему такой примитивный (мнение моё) вирус вызывает такой креш? Не такой он и примитивный. Я на одну из своих машин кинул заражённый такой файл и сразу сработало две вещи:- обнаружен и удалён руткит; - модуль целостности ОС затормозил выполнение (предположительно опасных)задач. Касперский? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Форматцевт Опубликовано 22 июня, 2008 Жалоба Поделиться Опубликовано 22 июня, 2008 akoK: нет не каспер, а F-Secure последней редакции. А примитивность, так раньше.... давно ...давно когда и инета почти не было были такие вот вирусы, а защиты не было и боролись в основном "ручками" :greedy: Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 22 июня, 2008 Жалоба Поделиться Опубликовано 22 июня, 2008 (изменено) Тоже вещь хорошая....антивирус не дал полностью развернуться вирусу.....и как следствие излечил довольно быстро. Ну незнаю еще один способ борьбы с файловым вирусом это полное уничтожение данных на HDD, он тогда уходил с проблемами и сейчас лечится не так легко как хотелось. Изменено 20 августа, 2008 пользователем akoK Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Форматцевт Опубликовано 22 июня, 2008 Жалоба Поделиться Опубликовано 22 июня, 2008 akoK: Кстати я вспомнил как раньше лечил, такой халявы ка резидентный сканер не было :greedy: А был флопи с антивирусом (не вспомню уж каким), а на флопи в режим R ставили - вот и всё :D И как что либо кто то новое приносил - сразу проверяли этим диском)))) Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Dolli1 Опубликовано 22 июня, 2008 Автор Жалоба Поделиться Опубликовано 22 июня, 2008 (изменено) akoK: Спасибо большое! Всё вылечила, установила NOD и теперь радуюсь жизни. Indomito: У мня стоял avast-4 с последними обновлениями, но он не словил этого зверя, а только заверещал что он уже есть и надо его удалить, вылечить не пожелал, а удалять половину файлов с компа, как-то знаете ли не очень хочется. К тому же, тут видимо была всё же совокупность причин. Сам-то вирус может быть и примитивный, но судя по логам Dr.Web, эти екзешники создавал не Win32.Sector.5 а трояны Trojan.HtmlChange.1, Trojan.Spambot.3378 и Trojan.Spambot.3364 видимо они же и блокировали все антивирусные сайты. Тогда же файловый вирус занимался тем, что портил файлы на компе. А поскольку они зашли ко мне как-то очень одновременно, я решила поначалу, что всё это делает один вирус. Отсюда и иллюзия "красоты" исполнения. В любом случае, я бы без akoKне разобралась, потому как всё что могла перепробовала, а догадаться сделать из AVZ досовское приложение - мозга не хватило. Да и со скриптами я не очень дружу. Так что, akoK, ОГРОМНЫЙ МЕРСИ! Изменено 22 июня, 2008 пользователем Dolli1 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 22 июня, 2008 Жалоба Поделиться Опубликовано 22 июня, 2008 :) Это один вирус, но он может подкачаивать себе подмогу, за счет абонента. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Dolli1 Опубликовано 23 июня, 2008 Автор Жалоба Поделиться Опубликовано 23 июня, 2008 :) Это один вирус, но он может подкачаивать себе подмогу, за счет абонента. Тогда и правда красив зверюга! :) Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Форматцевт Опубликовано 23 июня, 2008 Жалоба Поделиться Опубликовано 23 июня, 2008 (изменено) Dolli1: могу предложить тебе ещё один из лидирующих AVP - McAfee VirusScan Enterprise 8.5i (пробная версия), хотя лучше комплексное решение те AVP&FW&AS&CP всё в одной упаковке, как пример это F-Secure Internet Security 2008 EXT Изменено 23 июня, 2008 пользователем Indomito Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Dolli1 Опубликовано 13 июля, 2008 Автор Жалоба Поделиться Опубликовано 13 июля, 2008 Indomito: спасибо ) У меня всё получилось. Кроме того, благодаря akoK я вполне научилась и с другими вирусами справляться с помощью AVZ и CureIT, даже никого не напрягая )) Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.