Кто лечил эту заразу откликнитесь в личку, асю или сюда... 2 суток без сна... советы бывалых по типу Касперский, КуреИТ и даже ливсиди можно придержать при себе... все опробовано - результата - ноль... интересует конкретный путь решения тех кто прошел эту бестию... да еще... винду сносить и ставить по новой не вариант... 30 компов... [Ответ]
з.ы. Но там как раз те же методы...:
"советы бывалых по типу Касперский, КуреИТ и даже ливсиди можно придержать при себе... все опробовано - результата - ноль... интересует конкретный путь решения тех кто прошел эту бестию..." =)
[Ответ]
это не проходит... вообще надеятся на куреайти записанном на сиди при загрузке с зараженной оси - это удел недалеких .... он разваливает архив в темп (в это время сектор в него и цепляется...) и как быстрота перезагрузки компа может отразиться на эффективность лечения? сколько времени нужно что бы телу дописаться к файлу? или поправить реестр? бред это все...
последнее что попробовал грузиться с ливсиди и запустив дрвэба с него же отсканить виря... есть два файла - две инсталяшки аваста - одна зараженная вторая целенькая... показываешь - чистый все ок... показываешь с телом сектора - задумывается на 2-3 секунды и проверив говорит все ок... такое впечатление что вирус попадает в озу при распаковке архива... при этом остальные зараженные файлы акромя антивирусов типа лечит... но уверенности что лечит - нет конечно...
[Ответ]
trox 17:18 26.07.2008
Сообщение от Harry:
это не проходит... вообще надеятся на куреайти записанном на сиди при загрузке с зараженной оси - это удел недалеких .... он разваливает архив в темп (в это время сектор в него и цепляется...
Если вирус настолько умный,можно распаковать CureIt заранее на другом компе-проверил,запускается. Но ты такое уже провернул с ливсиди..
Сообщение от Harry:
есть два файла - две инсталяшки аваста - одна зараженная вторая целенькая... показываешь - чистый все ок... показываешь с телом сектора - задумывается на 2-3 секунды и проверив говорит все ок
Каким образом ты узнал,что вторая инсталляшка -заражена вирусом? Может он действительно чист? По идее,в таких продуктах как Антивирусы,должен проверяться CRC инсталлятора и в случае его изменения каким-либо образом,будь-то вирусом,или файл просто не докачан,инсталлятор должен завопить.Не знаю,есть ли такая проверка в установщике Аваст...
Вирус можно обнаружить допустим в hex-редакторе по какому-то признаку? Например,добавляет секцию к файлу или что-то другое?
з.ы. Можешь выслать на [email protected] самый мелкий зараженный *.exe в запароленном архиве.Пароль virus
Если есть не зараженный оригинальный файл и его- интересно глянуть.
[Ответ]
Part!zan 20:32 26.07.2008
Harry, если ты не можешь вылечить вирь, загрузившись с ливсиди, то тебе уже ничто не поможет...
[Ответ]
MyJIbTuK 02:53 27.07.2008
1)Лайфсиди - пользуюсь вэбером
2) Руками в реестр и всю погань оттуда)
[Ответ]
Harry 09:40 27.07.2008
Сообщение от trox:
Если вирус настолько умный,можно распаковать CureIt заранее на другом компе-проверил,запускается. Но ты такое уже провернул с ливсиди..
да...
Сообщение от trox:
Каким образом ты узнал,что вторая инсталляшка -заражена вирусом? Может он действительно чист? По идее,в таких продуктах как Антивирусы,должен проверяться CRC инсталлятора и в случае его изменения каким-либо образом,будь-то вирусом,или файл просто не докачан,инсталлятор должен завопить.Не знаю,есть ли такая проверка в установщике Аваст...
отличие ровно на 60 кБ... 61440 бит... файло инсталляшки качалось один раз и потом по сети кидалось на остальные компы... тут то сектор и прицепился... аваст не ставится корректно с зараженного...
Сообщение от trox:
Вирус можно обнаружить допустим в hex-редакторе по какому-то признаку? Например,добавляет секцию к файлу или что-то другое?
если я это начну делать то мне прямой путь в лабораторию касперского на работу
Сообщение от trox:
з.ы. Можешь выслать на [email protected] самый мелкий зараженный *.exe в запароленном архиве.Пароль virus
Если есть не зараженный оригинальный файл и его- интересно глянуть.
да, чуть позже...
есть файло 30 килобайтное и эта дура на него цеплялась в 60 кил...
Сообщение от Part!zan:
Harry, если ты не можешь вылечить вирь, загрузившись с ливсиди, то тебе уже ничто не поможет...
не все так просто... но и не все так печально, вроде.... авэзет похоже помог, но выводы делать рано....
Сообщение от MyJIbTuK:
1)Лайфсиди - пользуюсь вэбером
2) Руками в реестр и всю погань оттуда)
ды малодец ты наш... откуда? из рана? так будет тебе известно что не только из сервисов стартовать можно... ты хоть раз пробовал грузиться в сэйфмоде? видел сколько там кала винда помимо сервисов тащит? теперь удаляй то что "не нужно"... запусти AutoRuns.exe и приятно удивись что у тебя запускается на компе в старте и при вызове того же эксплорера
в общем первые признаки работы системы получил...
что было проделано...
1 дал на растерзание авэзету - тот нашел кучу порблем и попытался их поправить...
2 в систем.ини нашлась строка не нужная (описание на др.вэбе) - прибил... поставил ридонли на него... похоже это и была причина бед... похоже вирь собирается из разных кусков , которые антивирусы найти не могут... похоже ищут тело его целиком, а может куски модифицируются от раза к разу...
3 оттестил с ливсиди "alkid.live.cd.usb.2008.06.10" обновив на нем базы вэба и авэзет вчерашним утром... после этого с него вири " увидились" и в инсталяшке аваста...
оставил тестить из под minDrWebLiveCD_4.44.0.0806230... попробую поперегружаться и поработать - посмотрю на развитие событий...
[Ответ]
Part!zan 11:52 27.07.2008
Сообщение от Harry:
откуда? из рана?
Ты о чем вообще говоришь? Какие сервисы, какие автораны? Причем тут ливсиди?
[Ответ]
Harry 17:23 27.07.2008
Сообщение от Harry:
Какие сервисы, какие автораны? Причем тут ливсиди?
Сообщение от MyJIbTuK:
2) Руками в реестр и всю погань оттуда)
trox, не поверишь - обычным регедитом все делается ) Просто загружается хайв нужный и правится.
[Ответ]
iggg 23:17 27.07.2008
[QUOTE=Harry;6449110]дебил или петросян?...
/QUOTE]
Простите, я Вас чем то обидел?
""" 1 дал на растерзание авэзету - тот нашел кучу порблем и попытался их поправить...
2 в систем.ини нашлась строка не нужная (описание на др.вэбе) - прибил... поставил ридонли на него... похоже это и была причина бед... похоже вирь собирается из разных кусков , которые антивирусы найти не могут... похоже ищут тело его целиком, а может куски модифицируются от раза к разу...
3 оттестил с ливсиди "alkid.live.cd.usb.2008.06.10" обновив на нем базы вэба и авэзет вчерашним утром... после этого с него вири " увидились" и в инсталяшке аваста...
оставил тестить из под minDrWebLiveCD_4.44.0.0806230... попробую поперегружаться и поработать - посмотрю на развитие событий..."""
[Ответ]
trox 00:37 28.07.2008
Сообщение от Part!zan:
trox, не поверишь - обычным регедитом все делается ) Просто загружается хайв нужный и правится.
Не проверял честно говоря=) Это импорт->Файлы кустов реестра ??
[Ответ]
Harry 09:07 28.07.2008
рано радовался... проблема осталась...
shuri, у меня несколько другая модификация в отличие от описанного... размерчик другой и куска реестра с <юзернэйм>914 не создает... на счет каталога первый раз слышу...
Сообщение от Part!zan:
Harry, вообще-то, с ливсиди можно легко править реестр основной винды...
спасибо, знаю об этом...
Сообщение от trox:
Не проверял честно говоря=) Это импорт->Файлы кустов реестра ??
нет, это полноценный регэдит....
кинул тебе зверька и чистое файло, пароль в название файла...
куреайти и дрвэб отрезают тело фируса очень корректно... но где он рождается потом так и не понял...
[Ответ]
trox 02:41 29.07.2008
Сообщение от Harry:
нет, это полноценный регэдит....
Я о возможности редактирования чужого реестра например.
Сообщение от Harry:
кинул тебе зверька и чистое файло, пароль в название файла...
Спасибо,поймал=)
Сообщение от Harry:
но где он рождается потом так и не понял...
Чуть поглядел его,но к сожалению без виртуалки не рискнул его запустить-запустил под песочницей.Поэтому поглядеть ветки реестра,куда он обращался не смог. Он цепляется в памяти к ctfmon.exe,csrss.exe,spoolsv.exe и т.д. и далее заражает экзешники.
Кинь для проверки system.ini. Вирус у меня изменил system.ini и гляну на твой,может что соображу. Также сохрани в autoruns sysinternals данные и заархивируй все и пришли.
з.ы. В вирусе встречается интересная строка,что-то типа:"sosite avery...." текст уже подзабыл,но эта фраза наводит на происхождение вируса.
А теперь пора спать,через 4 часа вставать=((
[Ответ]
Harry 03:06 29.07.2008
Сообщение от trox:
Я о возможности редактирования чужого реестра например.
именно так и есть.. при загрузке с сиди можно просмотреть реестр подцепленного винта...
Сообщение от trox:
Вирус у меня изменил system.ini
да, есть такое... вроде писал об этом выше... строку прибил и поставил на него ридонли... больше туда ничего не добавляется
Сообщение от trox:
Также сохрани в autoruns sysinternals данные и заархивируй все и пришли.
завтра.... точнее уже сегодня...
Сообщение от trox:
А теперь пора спать,через 4 часа вставать
Сообщение от Harry:
да, есть такое... вроде писал об этом выше... строку прибил и поставил на него ридонли... больше туда ничего не добавляется
Да,у меня вирус такую же строку добавлял.Тогда не нужен system.ini
А вообще после лечения,ты изолировал комп от локалки или такой возможности нет? Ведь информации нет,заражает ли вирус через локальную сеть.. Хорошо бы было изолировать,почистить cureit,позапускать программы и поглядеть,остался ли вирус в системе,а то -это сизифов труд,чистить и заражаться с другого компа.
И вообще не понятно,каким образом мог заражаться CureIt,если его запуск был произведен с ливсиди,т.к. вирус не может работать в неактивной винде?? Тут я вижу только 2 варианта:
1.CureIt при проверке,инициирует запуск вируса -исключаю такую возможность,иначе грош ему цена=)
2. Случайно запустил вирусный экзешник и вирус начал тусоваться в памяти и заразил антивирус.
Как вариант,если автор вируса проморгал,поискать в windows все *.exe *.dll *.sys файлы,которые были созданы после 2*.07.08(за день,два до заражения). Но перед этим полечить CureIt' ом.
p.s. Скачай http://forum.sysinternals.com/upload...ku37300509.rar
Отключи полностью все антивири,файрволы(иначе может быть bsod) и запусти.Выбери вкладку
SSDT->File->Quick Report->Save (назови ssdt.txt) .И проделай тоже самое с вкладками:Process,CodeHook(здесь нужно нажать кнопку Scan и после сохранять).Имена отчетов называй по имени вкладки.
Пришли все в архиве.
p.p.s. Я не гуру-я только учусь,но раз других идей нет,будем учиться=))
[Ответ]
Harry 11:41 29.07.2008
Сообщение от trox:
Как вариант,если автор вируса проморгал,поискать в windows все *.exe *.dll *.sys файлы,которые были созданы после 2*.07.08(за день,два до заражения). Но перед этим полечить CureIt' ом.
нет... не проморгал...
Сообщение от trox:
Ведь информации нет,заражает ли вирус через локальную сеть..
в описание ДрВэба есть такая инфа... отключал конечно... и включал в локалку только вылеченные по очереди...
скинул координаты в личку...
[Ответ]
trox 18:27 29.07.2008
Сообщение от Harry:
в описание ДрВэба есть такая инфа... отключал конечно.
вот еще, только не пугайтесь, это тоже самое, но в вариации касперского http://aborche.livejournal.com/1300.html
PE_SALITY. корпоративная угроза !!!
Поведаю я Вам принеприятнейшую историю о новых троянах.
Ничто не предвещало беды и только почему-то файловый сервер стал очень медленно откликаться на запросы.
Попытка понять удалённо что-же всё таки произошло с беднягой почти ни к чему не привели, так как антивирусники ничего не находили, и только висящие в памяти процессы с именем win.exe заставили более детально посмотреть ему в душу.
Это был армагеддец(более мягкое слово с таким же окончанием).
На сервере каким-то образом оказался рассадник троянов, бекдоров и спам машин. Приставленный к стенке админ признался, что несколько недель назад он пускал на этот сервер прекрасную девушку которая обновляла правовые базы "Кодекс" со своего переносного харда.
Как оказалось потом, несколько вирусов сидело именно имея процесс "кодекса" в качестве родительского.
Скормили подозрительный файлик касперу, опознался как Sality.y, но не сказал как лечиться. AVZ обнаружил перехватчики функций и маскирующиеся процессы имеющие в таблице процессов PID=0, но ничего сделать не смог.
Попытки заинсталлить антивирус или проверить сервер внешними утилями приводил к падению этих антивирусов и утилит.
Итак что такое Sality ?
Возможно у меня была разновидность этой штуки нового поколения, я не знаю. Разбирался руками долго и в итоге могу коечто рассказать.
Sality это комплекс содержащий в себе набор троянских программ ворующих пароли к ftp сайтам из far, wincmd, tcmd и т.д., набор кейлоггеров которые воруют пароли к системе, спамботов которые рассылают спам и сам модуль который производит заражение компов. В ходе разборок оказалось, что почти вся сеть в количестве 40-50 машин оказалась затроянена по самое небалуйся, и это при наличии каспера и других антивирусников.
Теперь перейду к разбору комплекса.
Корневой блок Sality.M устанавливается в систему в виде драйвера IpFilterDriver и загружается при каждой перезагрузке. У каждого пользователя в реестре создаётся раздел в HKCU\Software\<логин>914
в котором вирус хранит своё тело в зашифрованном виде в виде шестнадцатиричных ключей. В файл system.ini вирус прописывает значения на указатели реестра где находится код тела примерно вот в таком виде.
[MCIDRV_VER]
DEVICEMB=127446824460
[MCI_DPI32]
DRV_VER=0A34224648
Вирус инфицирует запускаемые файлы путём перехвата запуска файла, внедрения в него своего кода, сохранения и повторного запуска этого же файла.
У меня попалась разновидность вируса которая интегрировалась в систему помимо IpFilterDriver как SCSI контроллер у которого вместо драйвера было указано \??\c:\windows\system32\drivers\.sys по моему с именем DPTI3910, уже не помню. Это был основной кусок ядра вируса, мы его чудом сдампали из процессов при помощи avz.
Теперь о внутренностях.
Вирус содержит процедуру самосборки, при запуске вирус лезет по указанным ниже адресам для докачки своих частей якобы в виде картинок.
Далее собирает свой код и устанавливает в систему. После запуска сервиса пытается зарегистрировать DNS имя в локальном домене SOSiTE_AVERI_SOSiTEEE.haha.domainname для дальнейшей раздачи кода внутри локальной сети.
Если имя SOSiTE_AVERI_SOSiTEEE.haha успешно зарегистрировано, вирус приступает к раздаче кода.
От имени текущего пользователя вирус дергает NBSTAT читая имена компьютеров которые видны в локальной сети. Определяет имя компьютера и пытается подключиться к системным шарам для раздачи кода. Если запуск трояна произойдет на машине админа, то вся сеть через некоторое время превратится в один сплошной ботнет. В нашем случае так и произошло, т.к. обновления баз производятся под админским аккаунтом.
Вирус маскирует себя внедряясь в ring0 ядра и убирает любые упоминания о себе из списка процессов подменяя PID и имя на пустоту.
Далее вирус начинает собирать на эту машину троянов и руткиты из интернета хотя по разным адресам. Спамботы поднимают соединение с корневыми спам ботами(p2p сеть) и ожидают команд.
Ядро вируса попавшее в ring0 обеспечивает прикрытие спамботов, подтаскивая новые экземпляры по мере удаления процессов и файлов из системы. при попытке загрузить файлы имеющие в названии окна или имени файла части распространённых антивирусных систем вирус просто напросто пристреливает процессы. Спустя некоторое время вирус начинает заражать системные файлы и утилиты формируя список "доверенных" приложений. Со временем в этот список попадают касперский, cureit, trendmicro которые будучи запущены из-под "доверенного" процесса заражаются и получают обрезанный блок памяти, где успешно блокируются ядром вируса при попытках лечения зараженных файлов.
Первым делом вирус заражает dllcache и system32 файлы logon.scr для того, чтобы обеспечить себе стабильный запуск когда пользователя не будет на месте. Следующие объекты это hkcmd и ctfmon которые стартуют на системном уровне, а также у каждого пользователя при загрузке.
Далее вирус заражает всё что находится в реестре в "Run" разделе, обеспечивая себе распространение по машине и живучесть. После того как основные файлы заражены, вирус приступает к последующему заражению часто запускаемых пользователем приложений.
В общем штука реально страшная. Сравнить по опасности могу только с OneHalf и Win.CIH. Код вируса полиморфный и зашифрованный, коды троянов и спамботов запакованы FSG и UPX. Код спамботов содержит список всех популярных dnsbl списков для проверки ip адреса на блокируемость !!!!
Также содержит адреса релеев yandex.ru, aol.com и еще чьи-то для(предположительно) проведения DDOS атак или для отправки ворованных данных. Если адрес с которого бот проверяет себя в базах не блокируется, то спам бот по udp сообщает корневым спамботам свой входящий порт для трансляции команд. Код ядра самого вируса открывает для спамботов порт ipsec во встроенном firewall windows. Для каждого нового бота он делает исключение в списке разрешенных программ.
Удаление вируса дело довольно трудоёмкое из-за его широких лап во многих программах. Основную инструкцию вы можете найти нагуглив ссылку по Sality.M на сайт трендмикро. Там подробно говорится как удалять. Остановлюсь только на нескольких моментах дополнительно к тому что написано.
Вирус убивает возможность загрузки в safemode, поэтому выполните скрипты для восстановления реестра с сайта трендмикро.
При лечении машины нужно иметь под рукой дистр far(readonly), трендмикро консольный тулкит(readonly), cureit(readonly) и хорошую реакцию(лучше всего для readonly использовать http и ftp сервер локальный в сетке)
Итак. Самое главное !!!
НЕ ЗАХОДИТЬ НА МАШИНУ ПОД ПРАВАМИ ДОМЕННОГО АДМИНА !!! ТОЛЬКО ЛОКАЛЬНОГО !!!
Все операции с проверкой результатов делать только с чистой установки приложений(одноразовой) !!!
Запускаем FAR и идём в список процессов.
Если у процесса имя и расширение в нормальном виде (lower case) значит процесс поднимался ядром системы.
Если расширение написано большими буквами значит процесс поднимался из сервиса. Если имя и расширение написано большими буквами значит процесс поднимался из-под какого-то ранее запущенного процесса.
Это основная палочка выручалочка для нас.
Да ! забыл. Перед этим всем лучше выключить system restore и перегрузить машину, это избавит от двойных действий. Я лечил машины удалённо по RDP, без использования safemode, поэтому буду описывать данную методу.
Заходим под локальным админом.
жмём Win+E, http://server/farmanager170.exe
ставим оттудаже сразу без сохранения и запускаем. Explorer заражается в последнюю очередь поэтому лучше делать всё в его рамках.
F11 -> Process List
сразу убиваем explorer.exe из процессов и переименовываем logon.scr в system32 и dllcache во чтонить другое, вас спросят о изменении файлов, скажите "отмена" потом "да".
Смотрим процессы написанные БОЛЬШИМИ БУКВАМИ и убиваем не задумываясь.
Смотрим процессы начинающиеся с win(трояны) и убиваем всё кроме winlogon.
Если процесс системный, сначала переименовываем файл процесса в dllcache, потом system32 и по сети или с CD в dllcache и system32 заливаем с чистой машины нужный файлик. Если процесс невыгружаемый(аля каспрский) тупо переименовываем его exe файл в любое имя и оставляем его в покое(KAV,EXE,KAVSVC.EXE,KLSWD.EXE)
Берем regedit или reg plugin для far и идём в HKLM\system\currentcontrolset\services\
грохаем оттуда всю ветку IpFilterDriver. Теперь идём HKCU\Software\Administrator914(работаем под локальным админом, не забыли ?) выбираем понравившиеся номерочки(штуки 3-4) и забиваем вместо Dword значений в них мусор типа 1111,1234 и т.д.
Если поменять значения в ключах без убиения IpFilterdriver это ни к чему не приведет.
Идем в нижестоящий блок ключей и в последовательности длинных ключей меняем чтонить в конце(длина должна остаться прежней!!!)
Идем в c:\windows\system.ini и выносим строки которые были описаны выше.
Перегружаем машину. На этапе применения юзерских настроек машина задумается на 30-60 секунд.
Как залогонимся опять http://server/farmanager170.exe и новую установку поверх имеющегося far.
из FAR смотрим опять в процессы и пристреливаем все какие с большими буквами. по ftp сливаем или запускаем M2 от трендмикро на scan и смотрим за списком процессов. при подгрузке вирусных баз трендмикро может вывести сообщение об ошибке "диск недоступен" - это защита вируса от проверок. пропускаем все эти ошибки(до 15 штук) и переключаемся в far.
трендмикро все найденные процессы будет переносить к себе в бекапную папку автоматически, поэтому нам нужно следить чтобы вирус не пристрелил нашего лекаря. Как только вы увидите появление процесса большими буквами, сразу смотрите кто parent и стреляйте обоих немедленно. Если парентом выступает сам FAR откройте из него же самого вторую копию, а лучше открывайте сразу две копии при старте системы. Если пропустить момент инициализации троянца, то он пристрелит трендмикро быстрее чем вы успеете моргнуть, помимо этого он лекаря заразит и сделает разносчиком.
Да! забыл еще. оставьте в firewall только порты 53, 80 и 443 наружу в интернет. остальное должно быть закрыто на замок и tcp и udp.
Дождитесь когда трендмикро закончит свою работу(3 этапа) и надёргает Вам файликов(не отходите от компа, иначе придется начинать сначала)
Когда трендмикро закончит, проверьте отсутствие ipfilterdriver и наличие сделанных вами изменений в administrator914 и перегружайтесь.
если изменения пропали - повторите действия.
после перезагруза опять ставите чистый far, потом M2 запускаете на проверку. В тех местах где M2 ругался теперь ругани быть не должно.
Дождитесь окончания проверки и запустите с сети cureit на проверку всего диска.
Если все пройдёт успешно, то поздравляю, Вы победили. Осталось взять sfc и залить из дистрибутива чистые файлы в system32(ибо некоторые из них были удалены)
Ну вот вроде и всё. по моему ничего не забыл.
будут вопросы пишите.
[Ответ]
trox 21:27 29.07.2008
shuri, спасибо! Я поставил virtual pc и запустил там вирус,подождал пока он заразит файлы.Перезагрузился,запустил drweb -полечил.Перезагрузился и не нашел вирус. Теперь понятно,почему все оказалось так легко. Комп надо было оставить в покое,чтобы запустился скринсэйвер.Плюс нужно открыть вирусу доступ к сайтам для подкачки... Да...видимо это пришествие обновленного рустока=((
to Harry: Скорее всего файлы из поста №20 не понадобятся,т.к. по удаленке что-то сделать с таким вирусом сложно,да и инфу shuri дал неплохую..
[Ответ]
Harry 22:43 29.07.2008
shuri,спасибо.... утешил....
trox, понял... похоже проще все переустановить...
ну а что такое?
Сообщение от :
трендмикро консольный тулкит
на их сайте такого продукта не нашел... что имелось ввиду?
[Ответ]
trox 18:18 30.07.2008
Сообщение от Harry:
trox, понял... похоже проще все переустановить...
Ну если есть время,присылай все,что в посте 20 просил=))
Я у себя ничего таким образом не нашел,наверное потому,что вирус полностью не установился у меня и не качал свои ядреные части из сети.
Сообщение от Harry:
на их сайте такого продукта не нашел... что имелось ввиду?
Возможно антивирь в консольном исполнении.Фиг поймешь что подразумевалось под этим.
[Ответ]
Harry 20:21 30.07.2008
Сообщение от trox:
Ну если есть время,присылай все,что в посте 20 просил=))
времени нет и нервы сдали... буду ставить все по новой...
Сообщение от trox:
Возможно антивирь в консольном исполнении.
у них этого добра много....
Сообщение от trox:
Фиг поймешь что подразумевалось под этим.
может это очередное бла бла бла - мы победили сектора.... я тут сеть почитал - сказочники все у них на ура лечится.... кстати, вчера глянул на процессы - они все в нижнем регистре написаны... а при этом антивирь не находит в тестовом файлике злыдня.... замкнутый круг.... мозги лопаются...
[Ответ]
trox 20:32 30.07.2008
Сообщение от Harry:
времени нет и нервы сдали... буду ставить все по новой...
Оставь на одной тачке вирусы=))) Будем потихоньку пробовать. А то закриптуют по новой вирус(напр. ExeCryptor'ом) и антивирусник пропустит. Опять будешь переставлять?
Сообщение от Harry:
у них этого добра много....
ну может Internet Security
Сообщение от Harry:
вчера глянул на процессы - они все в нижнем регистре написаны...
Сообщение от trox:
Оставь на одной тачке вирусы=)))
с учетом того что они все в сети - это не смешно...
Сообщение от trox:
А то закриптуют по новой вирус(напр. ExeCryptor'ом) и антивирусник пропустит.
ну от этого никто не застрахован....
Сообщение от trox:
Опять будешь переставлять?
после полной установки софта на машинах буду делать бэкап системного раздела....[Ответ]
trox 21:04 30.07.2008
Сообщение от Harry:
с учетом того что они все в сети - это не смешно...
Видимо,правда нервы уже сдают.Ищи положительную сторону этой свистопляски.
Сообщение от Harry:
после полной установки софта на машинах буду делать бэкап системного раздела....
Не сильно поможет.Достаточно,запустить что-то с другого раздела и опять все с начала. Можно попробовать поставить Comodo Firewall, отключить в нем файерволл и оставить режим защиты(defence). Но не знаю,поможет ли это борьбе конкретно с этим вирусом=(
з.ы. Мне не совсем понятно,почему вирус полностью не уничтожается с ливсиди. Наверное CureIt не находит какой-нибудь дроппер,который заново подгружает вирус или просто заражает все заново. Может после лечения CureIt,попробовать пройтись еще Avira и Каспером...
з.з.ы. Скорее всего нужно искать его в System32/Driver
[Ответ]
