Уважаемые специалисты по безопасности. Очень нужна ваша помощь.
OS - Windows XP SP3 заражённая http://www.virustotal.com/ru/analisis/93a53a92d1c5d13e1a3ac6aa4931ad89e42be44edc424580ec92406351049fb6-1267887241 вирусом (это на вирустотал ссылка, не бойтесь).
Анитивируса в системе нет. Установить не даёт вирус. Процесс вируса локализовать не получается, он присоединяется к какому-то системному.
При подключении к USB флеш накопителя, на нём создаются скрытая папка recycle.{645FF040-5081-101B-9F08-00AA002F954E} и скрытый файл Autorun.inf, а также модифицируются все файлы с расширением *.exe, скомпилированные без шифрования.
Портативный Dr.Web на машине запустить не удаётся, он модифицируется (а может просто блокируется) мгновенно.
Была попытка вылечить систему используя этот самый портативный Dr.Web на флешке, имеющей физический запрет на запись (выключатель такой на ней. Прелесть, а не устройство ). Антивирус запустился со второго раза и нашёл в системе более 40 инфицированных файлов. Отрапортовал о том, что успешно "вылечил" большинство и удалил, несколько dll-ок, которые, видимо, вылечить не смог. Система стала ругаться на модифицированные системные файлы, попросила установочный диск, потом ребутнулась и всё осталось по-прежнему.
В безопасном режиме загрузиться не получается (при нажатии F8 происходит перезагрузка).
Переустанавливать систему нежелательно.
То, что вирус пишет на новые флешки, у меня есть. Могу выслать запароленным архивом.
P.S. Компьютеры, с установленными антивирусами вполне успешно отлавливают эту заразу на флешках, что вы можете наблюдать в отчёте Virustotal.
Для начала: на флешке можно сделать пустой файл Autorun.inf и поставить атрибут readonly
Др.Веб - это не антивирус. Можно поставить триал KAV, и если возможно - сделать это с другой машины подключив винчестер. Надеяться что уже на контролируемой зловредом машине можно поставить антивирь не стоит
gutallin
Пиши на диск _http://www.freedrweb.com/livecd/ проверяй, потом это _http://support.kaspersky.ru/viruses/avptool2010?level=2 в безопесном режиме желательно
gutallin
Я в основном выбираю следующее:
- проверка по сети с другого компа
- перестановка харда в комп с антивирусом
- liveCD с антивирусом
По сети проверить (вылечить) систему невозможно. Комп не подлючен ни к какой сети, и не должен быть подключен, ибо на HDD хранятся данные служебно-секретного характера.
По той же причине отпадает снятие винта и подключение к другой машине. Тем более, что выключать его нельзя, он должен работать круглосуточно. Его можно только иногда перезагружать
Проверка (лечение) с помощью разных антивирусов на LiveCD не помогает - вирус остаётся в системе.
Выходит остаётся только переустановка...
Этот вирус, кстати, заражает все файлы *.exe размером менее 10 Мб на всех локальных дисках.
З.Ы. Ещё раз:
Загрузка в безопасный режим заблокирована.
Ещё имеется такой симптом - во время работы постоянно идёт обращение к флоповоду.
А там какой-то специализированный винонли софт?
Нет там ничего специализированного. Любой десктопный Linux был бы вполне юзабелен.
У начальства "windows мозга" в хронической форме. Если на операторов (будут визжать, что ничего не работает) можно начихать - привыкнут, то с начальством пока так не получается.
gutallin
Тот же др.Вэб добавил этот вирус в базу только 6 марта, скачай его свежий LiveCD и возможно он справится.
gutallin Ваша проблема решается в три этапа.
Первый - загрузка с приличного Лайф-СиДи с последующим прибитием ручками все автостарты в реестре.
Второй этап - на любой машине с резаком ставите триал Каспера, БартПЕ, разворачиваете дистр Винды - и с помощью Каспера создаёте "диск восстановления", с которого и грузитесь на заражённой машине. Откровенную гадость найдёт и вылечит. После этого - ставите на заражённую машину Каспера без активации, обновляете базы офф-лайн (подробные инструкции есть на сайте), затем - "Полная проверка" - и - усё в порядке.
К сожалению, подробных сцылок счас не дам - бо сижу в тьметаракане с очень медленным (100-120 кБит/сек) И-Нетом по сетям сотовой связи .
Орлуше в своё время давал неплохой образ Лайв-СиДи, в котором есть достаточно мощный редактор реестра - спросите, может поделится.
Спасибо за совет. Так я и поступлю.
orlusha Вы, по Вашим словам - попали с траблом на 7-ке - а там немножко другие расклады (связанные с правами доступа к файлам и некоторым веткам реестра).
Тут же речь идёт о ХРени. Хотя - 100% анлиз удалённо просто невозможен.
gutallin,
попробуй avz (http://www.z-oleg.com/secur/avz/download.php)
скачай на домашний или другой комп (заодно и его проверишь)- обнови базы сканера -
потом - флешку и - на работу...
ежели чё - вышли ему свой вирус...
зы. в самом сканере оченна подробно Автор рассказывает о проге
Аноним Абсолютный, огромное спасибо за Ваш образ LiveCD. Проблема решена.
Есть у меня один товарищ, он пользуется Антивирусом Касперского. По моей просьбе, он создал диск восстановления со свежими базами и выслал образ мне.
Делал я следующее:
Загрузился с LiveCD, почистил разделы автозагрузки реестра, затем загрузился с диска восстановления Касперского (кстати, какой там Linux используется? не слакварь, случайно?) и запустил полную проверку. Удалил он больше тысячи файлов (зараженные файлы приложений со всех разделов). Затем запустил Dr.Web CureIt. Тот тоже 17 или 18 длл-ок убил.
Не скажу, что система стала идеально чистой, но прекратились постоянные обращения к флоповоду и флешки она больше не заражает. Спокойно доживёт до уже запланированной переустановки в конце месяца.
Отдельное спасибо, всем кто помогал, передавал дежурный оператор этой машины. Вся операция заняла 1,5 часа.
[/quote]Да, локер был на семёрке у друзей. А на ХРени (уже у меня лично) был gxvx, который так никто толком ловить и не выучился. Тут и касперский не помог. Не представляю, как он ко мне залетел, разве что с закрытого сайта заказчика.
[/quote]
Так вроде выучились ловить gxvx уже сам не сталкивался, знакомый рассказывал по этому поводу. Но проблему он каспером вроде и решил.
Друзья,беда.Завелся вирус,блокирует дистпетчер задач,грузит процессор.Не дает установить антивирус,с флешки сканер тож глушит.Форматнул жестак,не умер,сидит все равно.Что делать?
> На сегодняшний день наверное KIS и из бесплатных - Avira
из бесплатных - AVG
Форум Invision Power Board (http://nulled.cc)
© Invision Power Services (http://nulled.cc)