Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей.
Здесь обсуждаются безопасность, программирование, технологии и многое другое.
Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
 |
|
1 января 2070 год.... Вирус или реальность? ) |
26.02.2009, 20:01
|
|
Новичок
Регистрация: 17.09.2005
Сообщений: 12
Провел на форуме:
106776
Репутация:
1
|
|
1 января 2070 год.... Вирус или реальность? )
На работе WinXP SP2 + NOD32v3 завелась зараза которая:
1. Как я понял распростроняется на съемных носителях информации (autorun.inf), или через сеть ms08_67.
2. Скидывает дату на 1 января 2070 год что бы антивирь "поседел".
3. Что-то творит, что приводит к сообщению "system.exe приложение будет закрыто"
4. прописывается в автозагрузку как "mwau" в реестре HKCU\Softwear\Microsoft\Windows\CurrentVersion\Run
После удаления из автозагрузки + удаления mwau.ехе из папки RECYCLER и Locals~1\Temp при загрузки с лайф сиди, возобновляется и там и там.
При всем при этом NOD регистрирует и скидывает в карантин вирус Win32\Agent.NVL - постоянно...
Если кто сталкивался подскажите как с этим бороться?
|
|
|
26.02.2009, 20:16
|
|
Banned
Регистрация: 24.02.2009
Сообщений: 121
Провел на форуме:
256406
Репутация:
120
|
|
Если кто сталкивался подскажите как с этим бороться?
Лично я не сталкивался, но по описанию мне кажется лучше всего формат
|
|
|
|
26.02.2009, 20:18
|
|
Постоянный
Регистрация: 22.04.2006
Сообщений: 566
Провел на форуме:
1325772
Репутация:
517
|
|
выложи тут тело - под виртуалкой погонять людям.
как вариант - берешь чистый комп, дампишь его винт, потом заражаешь винт, еще раз дампишь, и сравниваешь с бекапом до заражения
|
|
|
|
26.02.2009, 20:18
|
|
Постоянный
Регистрация: 22.04.2006
Сообщений: 566
Провел на форуме:
1325772
Репутация:
517
|
|
не-не-не. не формать. как правило мелкая зараза лечится и без этого. иногда достаточно деактивировать механизм запуска при старте (если на заражает исполняемые файлы)
|
|
|
|
26.02.2009, 21:59
|
|
Новичок
Регистрация: 17.09.2005
Сообщений: 12
Провел на форуме:
106776
Репутация:
1
|
|
Сообщение от Talisman
выложи тут тело - под виртуалкой погонять людям.
Завтро выложу... А так бы хотелось вылечиться именно вручную, на вирус инфо есть инфа связанная с данным вирем... Но как говорится вручную надежнее!
|
|
|
|
27.02.2009, 09:26
|
|
Новичок
Регистрация: 17.09.2005
Сообщений: 12
Провел на форуме:
106776
Репутация:
1
|
|
Сообщение от MaZaHaKer
http://virusinfo.info/showthread.php?t=1235 , прочитай , выполни и создай тему в том же разделе .
школьнеги блин =/
До того как создовать тему, я начитался уже на вирус инфо.... Я повторюсь что мне надо удалить все вручную без утилит avz и тп.
|
|
|
|
27.02.2009, 11:02
|
|
Крёстный отец :)
Регистрация: 22.06.2005
Сообщений: 1,330
Провел на форуме:
5302668
Репутация:
2054
|
|
для начала скачай http://esetnod32.ru/download/sysinspector.php и http://www.ccleaner.com/download
первым проанализируеш систему, ибо мне кажется что вирь зарегистрировал dll из которой востанавливается в системе. вторым посмотриш афтозагрузку и почистиш реестр. я уже сталкивался с этой заразой, удалял вот так вручную, так же поидее есть Антивирус Касперского 6.0 SOS - может быть установлен на одном компьютере с полнофункциональным антивирусным ПО другого производителя - отсутствие компонентов постоянной защиты/проверки в Антивирусе Касперского 6.0 SOS позволяет избежать конфликтов в их совместной работе. подробно на http://www.kaspersky.ru/support/sos6?level=2
__________________
Лучший способ защиты - это нападение!!!
|
|
|
|
27.02.2009, 14:23
|
|
Новичок
Регистрация: 17.09.2005
Сообщений: 12
Провел на форуме:
106776
Репутация:
1
|
|
Зараза регистрирует себя по следующим адресам:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell NoRoam\MUICache
"C:\RECYCLER\S-1-5-21-5151050744-6534145795-177386695-3900\mwau.exe"="mwau"
"C:\RECYCLER\S-1-5-21-6044136473-1187478682-175657104-4689\mwau.exe"="mwau"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MsConfig\startupreg\Microsoft Windows Automatic Update
"command"="C:\RECYCLER\S-1-5-21-0114444470-0002098367-228570597-8955\mwau.exe"
"hkey"="HKCU"
"inimapping"="0"
"item"="mwau"
"key"="SOFTWARE\Microsoft\Windows\CurrentVersion\R un"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
"Microsoft Windows Automatic Update"="C:\RECYCLER\S-1-5-21-8575858697-4780426435-050333250-1480\mwau.exe"
Распростроняется на съемных носителях в виде двух файлов:
autorun.inf
explorer.exe
И по видимому через сетевые ресурсы или уязвимости в рпс
Что примечательно авторан нод блокирует, а на експлорера молчит...
В системе сидит в папках:
C:\RECYCLER\........\mwau.exe
C:\Documents and settings\%Username%\Local settings\Temp\<randomname>.sys
так же внедряется с процесс system.exe и скидывает дату на 1 января 2070 года 4:00
Боролся с вирем загружаясь с Live CD
И после чего вручную почистил папки RECYCLER и Temp и все стало на свои места!
Но возникла еще одна проблемма! Неизвесто из-за чего после смены времени в прежнее состояние на некоторых компьютерах не выполняется вход локального пользователя... Читал по этому поводу и узнал что нужно отредактировать userinit.exe в реестре... но так и ненашел где (
Последний раз редактировалось N1G; 27.02.2009 в 14:49..
|
|
|
|
27.02.2009, 14:50
|
|
Крёстный отец :)
Регистрация: 22.06.2005
Сообщений: 1,330
Провел на форуме:
5302668
Репутация:
2054
|
|
посмотри HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
__________________
Лучший способ защиты - это нападение!!!
|
|
|
|
27.02.2009, 15:30
|
|
Познавший АНТИЧАТ
Регистрация: 04.08.2008
Сообщений: 1,359
Провел на форуме:
8220635
Репутация:
1593
|
|
есть прога antiautorun, удаляющая ентот вирус
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
