Странный вирус.....

Obviouser

Obviouser

эксцентричный нойзз
29 Сен 2008
1.355
254
83
Moldova Republic of.
Принесли компьютер на ремонт, жутко загаженный и сифозный.
Антивируса у клиента не было, и за пару месяцев он нахватал весь "Букет Молдавии".
Нечаянно вставил флэшку, зня заранее о том, что мой проверенный временем антивирус, потом все почистит. Но!
основную часть вирус уничтожил, но осталась какая то байда, папочка с видом как у корзины, названием "SEVERINA", а в ней скрытый экзешник aleluja.exe, который антивирус(Др. Веб 5) не видит, и в корневой еще autorun.inf, который сцуко, не убивается, будто бы уже висит в системе как резидент. Флэшка не форматируется, если ставлю другую, чистую, эта хрень заново генерируется. Понятно одно, что свой комп я заразил. Ни Касперский, ни НОД32, не видят ничего...
У кого-то было что-то подобное?
 

Вложения

  • DB.rar
    DB.rar
    317,4 KB · Просмотры: 124
У меня было тыщу раз)))))

Авторан это маленькая поганая жесть))) скрывающая сис. файлы)))) мощьные антивирусники с ней ниче поделать не могут. попробуй программы antiautorun(последней версии) и/или Flash Desinfector
 
3DStas, О! Про флэш дезинфектор еще не слыхал, ща попробуем, только проблема не в флэшке, а эта срань у меня в компе сидит....
 
есть еще такая штука :

View hidden content is available for registered users!


но я ее не рискнул использовать(судя по описанию))))
 
Obviouser, конкретно про такую хрень не слыхали, а с вирусами, которых пока нет в базе антивирусов - сталкивались. Попробуйте тем же AVZ посмотреть посторонние процессы и лишнее в автозагрузке, если разбираетесь, это поможет Вам вычистить свой комп "руками". Если нет, в течение суток-двух вирус наверняка будет в базах всех известных антивирусов.

И главное, по возможности отключите автостарт носителей в групповых политиках (gpedit.msc - конфигурация компьютера - административные шаблоны - система - отключить автозапуск), чтобы избежать впредь заражения с флэшек.
 
Empires, в процессах не сидит ничего такого что самое интересное, и автозапуск у меня отключен...
 
axis написал(а):
AVZ-шкой еще попробуй просканить как минимум
Нажмите для раскрытия...

Тот же совет!
Вот чувак об этой крохотной бесплатной программке написал совершенно честные слова:
"Великолепная, удивительная, потрясающая программа! Качать всем без исключения! Столько восклицательных знаков в коротеньком резюме... Но вы меня поймёте, когда запустите AVZ. Это уникальный по своим возможностям и совершенно бесплатный (при такой-то функциональности) сканер, который разыскивает в памяти компьютера и в файлах, хранящихся на винчестере (не только на винчестере, на любом накопителе, подключенном к машине, включая и CD), все виды опасной заразы. В программу встроен мощный модуль удаления и исправления заражённых файлов. При этом вирусы, ключи AdWare, шпионские и подозрительные в плане вирусной опасности программы (в том числе и с «весёлых» сайтов) он удаляет, модули HackTool – лечит (или тоже удаляет, в зависимости от выбранных настроек). Рядом с постоянно действующим антивирусом программа, практически, полностью защищает компьютер от поползновений из Сети..."
Присоединяюсь!
И Вы попробуйте............
 
Obviouser, а восстановление системы случайно не включено?
Если в System Volume Information забрались имхо проще Венду переставить...
Можно конешно поплясать с avz и Dr.Web CureIt, но никаких гарантий......
 
Плясать с антивирусниками толку ?
Если она прописывается в тело svchost или в csrss))))

View hidden content is available for registered users!


фкаментах много подробной инфы
 
Да-да autorun.inf тут на прошлой неделе у меня тоже проскакивал. Но кажется Аvast его прихлопнул, потому, как антивирь сейчас ведёт себя спокойно. А на пршлой неделе верещал, как резаный.
 
Michail, восстановление системы канеша же вырублено...
3DStas, пасиба, ща полазию...
 

Вложения

  • untitled.JPG
    untitled.JPG
    31,2 KB · Просмотры: 174
Obviouser, я упустил один момент))) не факт кстати, что у тебя авторан-вирус какой то новой версии)))) если самый первый маскировался под csrss.ехе как csrсs.ехе(по-китайски))) то его можно было легко прибить тем же анлокером или antiautorun1. Но тот, с кот. я недавно столкнулся уже каким то образом влазил в сами файлы процессов)))) убился флеш дезинфектором)))ни нод ни др.веб с каспером с ним не справились(видно это была авторан версия 2))))но вот это настораживает:
Obviouser написал(а):
папочка с видом как у корзины, названием "SEVERINA", а в ней скрытый экзешник aleluja.exe
Нажмите для раскрытия...
мож это авторан версия 3)) Прогрессирует сцуко :laugh1:
 
Freddy Kruger написал(а):
autorun.inf тут на прошлой неделе у меня тоже проскакивал.
Нажмите для раскрытия...

Поставте бесплатную защиту USB-Protect 1.0: она прописывает autorun.inf с изменённым кодом на флехах так, что внешнее воздействие практически невозможно. Кроме того, ставит защиту на всю систему...

Скачать http://forum.rmmedia.ru/showthread.php?t=13654&page=12 - топик #338.
 
CakeWorker, да мне не нужно защищать флэшку, мне надо комп почистить от этой дряни, и кстати, это что то новое, ни одно средство не помогло.
Так что, друзья, ждите, будьте готовы....
 
нда... сносить систему тогда, х.з. можно как вариант конечно подрубить зараженный винт к незараженному компу и почистить его на предмет странных файлов и папок и т.п. Но это стрёмно)))

Obviouser написал(а):
это что то новое, ни одно средство не помогло.
Так что, друзья, ждите, будьте готовы....
Нажмите для раскрытия...
всё, ждём народную версию 3.0 :rofl:
 
на работе лицензионный касперский прекрасно справляется с этой напастью.
 
S.Panin, пресекать - пресекает, как и нод и веб, но вот если уже поймал, не изгонит)))

S.Panin написал(а):
на работе лицензионный касперский прекрасно справляется с этой напастью.
Нажмите для раскрытия...
наверно помог великий и могучий Джеки Чан !:girl_crazy:
 
S.Panin, и у меня олицензированный касперский 2010 сроком на 1 месяц, и не справляется.

3DStas, Стас, тут новые симптомы, нужен дифференциальный диагноз:):)
Касперский ругается на такую вот ссылку типо http://94.35.68.84/*******.exe, блочит сифню сразу, но браузер сам открывает какуюто хрень рекламную.....
ВАТ ЗЕ ХЭЛЛ ИЗ ИТ????:focus:
 
P00H, во-во, что-то такое, пасиба....
The filename ALELUJA.EXE was first seen on Sep 18 2009 in the following geographical region of the Prevx community:
надо же, как быстро.....
 
Obviouser, посмотри в диспетчере устройств
вид-> показать скрытые устройства
выруби там все лишнее.
скачай ProcessExplorer 8.0 или выше, проверь процессы, там можно по имени экзэшника пошукать, скорее всего отЫщется.
угу,
значитсо стартует оно через
'HKEY_LOCAL_MACHINE\'Software\Microsoft\Windows NT\CurrentVersion\Winlogon'
 
Я в таких случаях поступаю так:

1) Ставлю винду с предварительным форматированием системного диска (партиции)
2) Не подключаясь к сети, ставлю все драйвера + Акронис
3) Делаю образ партиции Акронисом
4) Ставлю все программы, скачиваю обновления, твики (напр. запрет авторана), проверяю все остальные диски несколькими сканерами
5) Делаю еще один образ
6) По ходу работы полезно делать инкрементные образы системного диска
7) Все флешки - отформатировать и иммунизировать как написал выше CakeWorker

При такой системе всегда легко откатиться на 100% рабочую конфигурацию. А ручное удаление вирусов - дело хлопотное, требует высокой квалификации и обычно не гарантирует полного выздоровления
 
Remy написал(а):
Некоторые "умные вирусы" не отображаются в процессах...
Нажмите для раскрытия...
мало того они и не отображаются и на винте хотя они точно там есть.

Нужно загружаться с какого нибудь LiveCD и от туда же его антивирусниками пробовать убивать или вручную.
 
Войдите или зарегистрируйтесь для ответа.

Сейчас просматривают

Всего: 1 (пользователей: 0, гостей: 1)
Сверху Снизу