27 ответов в этой теме

[fedelio]

у меня такая же проблема, вот вам логи

Прикрепленные файлы:

•  logs.rar   2,31К   51 Скачано раз
•  RKU.rar   4,49К   77 Скачано раз

Сообщение было изменено fedelio: 01 Июль 2009 - 11:14

[YVS]

fedelio
Проверьте на VirusTotal
C:\WINNT\TEMP\yK7dU55z.sys
C:\WINNT\system\dllcache.exe

Нужно остальные логи: RkU (в архиве он нулевой длины) и CureIt! по правилам.

[userr]

fedelio
У Вас что за антивирус сейчас на машине? Видны перехваты от драйвера Касперского, но не очень видно сам антивирус Касперского.

[fedelio]

Касперский 7, с последним кумулятивным обновлением.
Ничего не видит подозрительного. В данный момент делаю репорт Cureit'ом

[v.martyanov]

Касперский 7, с последним кумулятивным обновлением.
Ничего не видит подозрительного. В данный момент делаю репорт Cureit'ом

Если там каспер, толку от RKU и GMER мало будет...

[YVS]

Инфа по dllcache.exe тут

Нужна ссылка на отчет VirusTotal

[fedelio]

инфо по файлу dllcache.exe тут



второй файл удалил, когда чистил папку temp



YVS поправил. извинямс меня, я первый раз это делаю, путаюсь

[YVS]

Отправьте его в вирлаб ("Прислать вирус" вверху страницы)
И номер тикета здесь опубликуйте

[fedelio]

Отправьте его в вирлаб ("Прислать вирус" вверху страницы)
И номер тикета здесь опубликуйте

отправил. идентификатор [drweb.com #928807]

[YVS]

отправил. ток номер тикета мне не выдали, обрабатывают ишо видимо...

От придет в письме на ящик, который был указан при отправке

[fedelio]

а распространяется видимо через флэшки, с помощью autorun'a и файла strongkey-rc1.3-build-208.zip



вот он  в вирустотале

[fedelio]

пришел ответ на запрос.

Угроза: Win32.HLLW.Druck.5

только почему новый cureit его не находит?...

[YVS]

только почему новый cureit его не находит?

CureIt! качали уже после прихода ответа из вирлаба?

[fedelio]

неть) бегу проверять

upd. никакой реакции нет, специально тыкнул в энтот файлик дабы проверил...

[sleb]

upd. никакой реакции нет, специально тыкнул в энтот файлик дабы проверил...

Значит, обновления с записью об этой заразе ещё не вышли... Надо попозже проверить.

[fedelio]

upd. никакой реакции нет, специально тыкнул в энтот файлик дабы проверил...

Значит, обновления с записью об этой заразе ещё не вышли... Надо попозже проверить.

не знаю, яндекс говорит что у людей находит cureit этот вирус. у меня вот только не может

[userr]

fedelio
http://online.drweb.com/ - когда будет детект, через некоторое время скачайте свежий cureit

[YVS]

ifix
Для нового запроса нужно создавать отдельную тему в этом разделе.
Ваш запрос выделен.

[fedelio]

в общем сейчас антивирь ловит эту заразу. но она постоянно снова вылазит откуда то... все компьютеры в сети проверены на 10 раз, каспером и последним Кьюрит'ом. причем ошибка вылазит именно на машинах с W2000 SP4. не подскажете чем дырку эту закрыть можно?

[azkaifat]

Мммм, зарание прошу прощения у модераторского состава за то, что пишу сейчас тут и не прислал отчеты в тот раз - не представлялось возможным ибо поступил приказ вырубить все компы из сети и этим делом занялся отдел ГТУ.

Но.
Опытным путем стало понятно, что:
На комп садятся 2 файла(иногда 1): dllcache.exe 2)sysmgr(если не путаю). Они создают эти самые scr'ы в кол-ве примерно 50 штук.
Удалять их стало возможным после нахождения в реестре и изменения имени и последующей перезагрузки.
Далее. Даже последний курит не лечит(сегодня пробовал), он ловит, но ловить будет до бесконечности, пока ПК в сети. Без сети все впорядке, т.е. вирус лезет по сети. Исходя из логических соображений - пока вирус есть где угодно в сети - опасность заражения есть.
Заражению подвержены все 2000 окна, XP ниже sp3. На sp3 проблем нету.
2000 server заражается. 2003 по словам ГТУ - не подвержен заражению с последними заплатками.

В общем это just полезная информация, быть может пригодится.

Еще раз прошу прощения, форс мажор случился. Против выше стоящих инстанций не попрешь..