25 ответов в этой теме

[T.Rex]

Собсно - вот такой троян (сабж) изначально поразил адресную книгу аутлук экспреса (хотя им не пользуются). После удаления (лечить не захотело) - потом периодически создается файлик на раб. столе (с незатейливым именем supermario.exe) который тут же удаляется вебом с тем же вирусом. Скан системы ничего не даёт. Описания данного виря нету. В регистах нет ничего что бы напоминало создаваемый файлик либо первый раз зараженную адресную книгу. При востановлении системы - нет результата - такое ощущение чтоубиты файлы либо параметры востановления. Вирь скорее всего пришел по почте - счас уже трудно сказать - поражено 2 компьютера с одинаковыми симптомами.

[DjWeb]

Сделайте логи РкУ Хайджека и лог Cureit или сканера и приатачте их
и отключитесь от сети!
---------------------
С уважением DjWeb

[T.Rex]

Уже разобрался это проделки модификации zapinit теперь пытаемся лечить последствия. Все шары засрал собою.

[v.martyanov]

Ага, zapinit. user32.dll вылечен или не определяется даже?

[mark3100]

У меня также на всех шарах появился supermario.exe и полезли авторанеры.
Файл user32.dll сканером не определяется, supermario.exe определил как троян и грохнул, авторанеры прибил руками. Вроде больше никакая гадость не появляется.
На вирустотале user32.dll детектится только 1 антивирусом http://www.virustotal.com/ru/analisis/dd31...113770bb5161171

[v.martyanov]

Пришлите user32.dll в вирлаб, надо обязательно посмотреть...

[T.Rex]

user32.dll превый раз заблокирован, в сейф моде вылечен, но потом был повторно заражен и снова вылечен (на одном компе удален и веселый синий экран при старте в итоге :)). Странно, автоматическое обновление было отключено, регистр почищен еще в сейф моде. Но тькать в файл надо было именно руками. Веб при скане пробегал мимо. Естечственно не детектит дллку которую вирус засовывает в автостарт через регистр
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows ***init_Dlls = "имя дллки в папке систем 32" для автозапуска этой гадасти.
Обратил на не внимание - сканер не мог ее просканировать - типа занята другим процесом и таким образом собсно и нашел что это zapinit и начал уже руками везде чистить.

[mark3100]

#730015
Ваш запрос был проанализирован Автоматической Системой. Данный файл находится в базе доверенных (чистых) файлов Dr.Web ®

[v.martyanov]

Значит, либо уже был вылечен, либо еще не заразил.

[Alexander Goryachev]

А может быть так, что файл помещен в базу чистых, но на самом деле - это все-таки вирус? :)
--
Freelancer

[Ян]

Нененене, постучите по дереву чтоб не сглазить :D

[v.martyanov]

Дынный файл точно чистый :-)

[MakRos-78]

Извените за отступление от темы, но что это на live за цифра "-37,641"? :)

[Alexander Goryachev]

Ага. :)
А если вцелом, то может так быть?
--
Freelancer

[Eugeny Gladkih]

Извените за отступление от темы, но что это на live за цифра "-37,641"? :)

live в расчетах перешел на версию 5.00 :)

[li0ne]

Завтра релиз?
В пятницу?

[Ян]

Где где? О_о

[Konstantin Yudin]

В пятницу?

пятница табу для релиза! сегодня!!!

http://news.drweb.com/show/?i=191&c=5

Полезные ссылки:

Обратиться в тех. поддержку
Если у вас технический вопрос
Если что-то отключено
Как правильно вылечить компьютер от вирусов
Как скопировать скрытые файлы
Удаление Dr.Web вручную

--
With best regards, Konstantin Yudin
TestLab, Doctor Web, Ltd.

[pig]

пятница табу для релиза! сегодня!!!

Уже почти три часа как тяпница.

[Konstantin Yudin]

Уже почти три часа как тяпница.

неа. релиз вышел в четверг. сайт запаздывает.

Полезные ссылки:

Обратиться в тех. поддержку
Если у вас технический вопрос
Если что-то отключено
Как правильно вылечить компьютер от вирусов
Как скопировать скрытые файлы
Удаление Dr.Web вручную

--
With best regards, Konstantin Yudin
TestLab, Doctor Web, Ltd.