| Подозрение на вирус |
| pushkin42 | Дата: Понедельник, 24-Сен-2007, 11:27:53 | Сообщение # 16 |
Куровод, садист-укладчик
Группа: Администраторы
Сообщений: 1969
Награды: 9
Репутация: 36
Сеть: Гибридная
Количество машин:: 226
Cтрана: Российская Федерация
Город: Самара
Статус: Offline
| Magnum50, продавцы считают себя богами. Зря... По теме. Продолжаем?
Работаю за плюсики в репутацию и за пиво. Ремонт компьютеров в Самаре
|
| |
| | |
| Шизюк | Дата: Четверг, 04-Окт-2007, 14:39:22 | Сообщение # 17 |
|
Краевед
Группа: Проверенные
Сообщений: 36
Награды: 0
Репутация: 2
Замечания: 0%
Статус: Offline
| Хм... Если Тотал фсе показывает, я бы даже заморачиваться не стал. А тут - форматировать! Жоско. А нахрена?
|
| |
| | |
| nick_name | Дата: Пятница, 05-Окт-2007, 07:33:48 | Сообщение # 18 |
Пэстапол
Группа: Проверенные
Сообщений: 523
Награды: 3
Репутация: 14
Замечания: 0%
Сеть: каменная
Количество машин:: 78
Город: НСК
Статус: Offline
| а чтоб неповадна была
Ну и хер свами!!!! Напишу свою freeBSD с блекджеком и шлюхами!!
|
| |
| | |
| zavor | Дата: Понедельник, 08-Окт-2007, 15:58:30 | Сообщение # 19 |
Титулярный советник
Группа: Проверенные
Сообщений: 27
Награды: 0
Репутация: 2
Замечания: 0%
Статус: Offline
| Знаю этот вирус (или похожий). Приносили манагеры на флешке.
SAV его отловил. После этого дал ссылку на свой сайт с шагами правки.
Короче тот вирь, который был у меня, в реестре правит разрешение на просмотр скрытых файлов и записывает себя в автозагрузку всех папок, к которым обращаешся. Соответственно проверить он или нет можно, заглянув в реестр.
В общем — лечится, форматировать не надо.  К сожалению, давно это было, запись в журнале ушла, сказать название и дать ссылку не могу. 
Осторожно, двери закрываются.
Следующей станции не будет! © "След"
|
| |
| | |
| pushkin42 | Дата: Вторник, 09-Окт-2007, 07:28:56 | Сообщение # 20 |
|
Куровод, садист-укладчик
Группа: Администраторы
Сообщений: 1969
Награды: 9
Репутация: 36
Сеть: Гибридная
Количество машин:: 226
Cтрана: Российская Федерация
Город: Самара
Статус: Offline
| zavor, о! мысль. Может это файлы content.htt которые в папках прячутся? В таком случае автору надо всего лишь сделать del C:\*.htt /s и будет ему щастье 
Работаю за плюсики в репутацию и за пиво. Ремонт компьютеров в Самаре
|
| |
| | |
| zavor | Дата: Вторник, 09-Окт-2007, 10:45:57 | Сообщение # 21 |
|
Титулярный советник
Группа: Проверенные
Сообщений: 27
Награды: 0
Репутация: 2
Замечания: 0%
Статус: Offline
| Не совсем.
У меня был vbs-скрипт, и файлов там было много. Надо бы подключить диск к другому компу и проверить антивирем, или вручную удалить все лишние файлы из всех папок, тем более, что Total Commander позволяет их видеть.
Осторожно, двери закрываются.
Следующей станции не будет! © "След"
|
| |
| | |
| trucker | Дата: Четверг, 01-Ноя-2007, 22:41:47 | Сообщение # 22 |
Телефотодальнобойщик
Группа: Администраторы
Сообщений: 152
Награды: 0
Репутация: 5
Статус: Offline
| Нечто подобное мой друг подхватил на флешку. Два компа нормально открывают ее, а на третьем пишет - "нет доступа" Через ТС нормально все нормально отображается, а через виндовый проводник нет никакой возможности . SAV с последними базами молчит ...
Есть какие мысли где что можно покопать ?
Флешка 16 гигов FAT 32, до недавнего времени нормально работала, да и сейчас на двух машинах нормально , а на рабочей, на которую антивирусные базы ежедневно заливаются, - "нет доступа" вообще, а не только к скрытым папкам и файлам.
Если не знаешь что делать - делай шаг вперед . 
|
| |
| | |
| pushkin42 | Дата: Пятница, 02-Ноя-2007, 06:38:47 | Сообщение # 23 |
|
Куровод, садист-укладчик
Группа: Администраторы
Сообщений: 1969
Награды: 9
Репутация: 36
Сеть: Гибридная
Количество машин:: 226
Cтрана: Российская Федерация
Город: Самара
Статус: Offline
| trucker, а во всплывающем меню флешки никаких лишних пунктов типа Open(0) не появилось?.. У меня лично похожая ситуация была с Wrm.Win32.Brontok.ar, когда он пытался автозапуском загрузить программу из X:\Recycled\ctfmon.exe, которую убило втихую антивирусом... Вот
Работаю за плюсики в репутацию и за пиво. Ремонт компьютеров в Самаре
|
| |
| | |
| Malcom | Дата: Пятница, 02-Ноя-2007, 09:16:04 | Сообщение # 24 |
аксакал сайта
Группа: Проверенные
Сообщений: 303
Награды: 0
Репутация: 3
Замечания: 0%
Сеть: Петри-Маркова
Количество машин:: 400-500
Cтрана: Российская Федерация
Город: Нижний Новгород
Статус: Offline
| У меня тоже хрень на флэшку забралась. Симантек опознал её как Infostealer.Jianghu. Вела себя, как описывал trucker.
Буду иметь, введу!
Я не рябина, чтоб настаивать на коньяке - наливайте, что осталось!
Не надо меня грузить - я не сухогруз! Я - танкер, налейте мне!
|
| |
| | |
| ish | Дата: Пятница, 02-Ноя-2007, 09:41:52 | Сообщение # 25 |
Титулярный советник
Группа: Пользователи
Сообщений: 24
Награды: 0
Репутация: -1
Замечания: 0%
Статус: Offline
| поставьте отображение защищенных системных фалов, найди все лишние файлы на системных дисках и удали... я так вылечил... если это тот вирус с которым столкнулся ты... удачи
|
| |
| | |
| Magnum50 | Дата: Пятница, 02-Ноя-2007, 10:31:49 | Сообщение # 26 |
Свой-в-доску-МедвеД
Группа: Проверенные
Сообщений: 594
Награды: 0
Репутация: 8
Замечания: 0%
Сеть: Windows -->> Linux RHEL
Количество машин:: 666
Cтрана: Российская Федерация
Город: Хабаровск
Статус: Offline
| а я давно заметил что все такие мелкие вирусяки косят под системные файлы 
чтоб експлорер их не отображал
www.enforta.com
|
| |
| | |
| Malcom | Дата: Пятница, 02-Ноя-2007, 16:01:14 | Сообщение # 27 |
|
аксакал сайта
Группа: Проверенные
Сообщений: 303
Награды: 0
Репутация: 3
Замечания: 0%
Сеть: Петри-Маркова
Количество машин:: 400-500
Cтрана: Российская Федерация
Город: Нижний Новгород
Статус: Offline
| Magnum50, точно-точно! У меня на флэшке сидел затененный autorun.inf и запускал RavMonE.exe, который через некоторое время переходил в режим невидимости. Симантек проверял флэшку и в каждом файле на флэшке находил частичку, а в конце отстреливал невидимку.
Буду иметь, введу!
Я не рябина, чтоб настаивать на коньяке - наливайте, что осталось!
Не надо меня грузить - я не сухогруз! Я - танкер, налейте мне!
|
| |
| | |
| trucker | Дата: Воскресенье, 04-Ноя-2007, 22:43:08 | Сообщение # 28 |
|
Телефотодальнобойщик
Группа: Администраторы
Сообщений: 152
Награды: 0
Репутация: 5
Статус: Offline
| С "левыми" autorun.inf и Open(0) приходилось сталкиваться, Симантек их определял и на взлете отстреливал. Тут нечто другое... либо этого пока в базе Симантек еще нет, либо одно из двух....
Буду разбираться. Сорри что долго не мог отписаться - три дня был в рейсе .
Если не знаешь что делать - делай шаг вперед .
|
| |
| | |
| pushkin42 | Дата: Понедельник, 05-Ноя-2007, 08:41:39 | Сообщение # 29 |
|
Куровод, садист-укладчик
Группа: Администраторы
Сообщений: 1969
Награды: 9
Репутация: 36
Сеть: Гибридная
Количество машин:: 226
Cтрана: Российская Федерация
Город: Самара
Статус: Offline
| trucker, а какие-то лишние файлы на флешке присутствуют в режиме cmd /c dir X:\*.* /a > C:\dir.txt ?
Работаю за плюсики в репутацию и за пиво. Ремонт компьютеров в Самаре
|
| |
| | |
| Magnum50 | Дата: Вторник, 06-Ноя-2007, 05:16:30 | Сообщение # 30 |
|
Свой-в-доску-МедвеД
Группа: Проверенные
Сообщений: 594
Награды: 0
Репутация: 8
Замечания: 0%
Сеть: Windows -->> Linux RHEL
Количество машин:: 666
Cтрана: Российская Федерация
Город: Хабаровск
Статус: Offline
| RavMonE.exe, известная тема, я с ней боролся на предыдущей работе, грамотный троян который пароли тырил и в нет сливал!
www.enforta.com
|
| |
| |
|
