16 ответов в этой теме

[WinJ]

В реестре прописался как Taskmon в Winlogon. Сразу после удаления из реестра восстанавливает запись. Живёт в корзине. Если удалить запись из реестра и папку Recycler из-под второй ОСи или из-под LiveCD, после загрузки больной системы возрождается.
 drw-results.cab   29,63К   1 Скачано раз
 gmer.rar   7,36К   1 Скачано раз
 hijackthis.rar   3,5К   3 Скачано раз
 RKU.rar   9,25К   1 Скачано раз
 SUPER_Sims_221011_192823.zip   1,67Мб   5 Скачано раз

[mrbelyash]

в вирлаб C:\Documents and Settings\Sims\Application Data\Zpzizh.exe

[WinJ]

Не надо в вирлаб. Это тот же BackDoor.Ddoser.131
Сейчас из-под второй Оси его увидел и проверил доктором. Из-под заражённой смотрел - нет его при запущенной системе! Сейчас проверю, всё ли в порядке.

[mrbelyash]

Я лог сканера нормальный так и не увидел...или старые логи или малоинформативный лог нового сканера.

Я б уже все погрохал хуетрам и забыл...force kill and delete (при физ отключенной сети)

Сообщение было изменено mrbelyash: 22 Октябрь 2011 - 20:53

[WinJ]

Вроде теперь всё нормально, только сайт VT по-прежнему не открывается.

Лог нового сканера. Я удивился - за пару секунд без открытия окна сканера.

Сообщение было изменено WinJ: 22 Октябрь 2011 - 21:32

[mrbelyash]

http://virusscan.jotti.org/ru

vt лежит

[WinJ]

Gate что-то поймал. Две штуки.
Вот фрагмент лога:
 Gate.rar   271байт   4 Скачано раз

[mrbelyash]

http://vms.drweb.com/virus/?i=766824

Сделайте быстрый скан с помощью свежего куреита с отключенной сетью

[WinJ]

http://vms.drweb.com/virus/?i=766824

Имя файла отличалось.

Сделайте быстрый скан с помощью свежего куреита с отключенной сетью

Сейчас сделаю.
Уже Guard двоих поймал в C:\windows\system32\
"Нумерованные" exe, все BackDoor.Ddoser.131

[WinJ]

Сделал быструю проверку сканером, обезвредил ещё 6 "нумерованных" exe-шников в C:\windows\system32\
Gate опять ловит...
Качаю CureIt

[WinJ]

http://vms.drweb.com/virus/?i=766824

 virus.reg.rar   343байт   3 Скачано раз

[WinJ]

 cureit-results.cab   98,09К   1 Скачано раз

[mrbelyash]

Dr.Web Shield doesn't load

НЕ под админом чтоли?

[WinJ]

Под админом. Из безопасного режима.
Грохнул в кэше эксплорера последний экземпляр. Больше ничего не ловят ни Gate, ни Guard. Вроде чисто.

[mrbelyash]

Аааа..в безопасном.

[WinJ]

Это было ещё не всё.
Из-под второй, чистой, оси сделал полную проверку раздела с заражённой системой. Больше ничего не нашлось. Но, после выхода из неё в Интернет, троян вновь объявился. Проявил себя, заразив флэшку. Вычистил несколько его экземпляров из кэша IE (хотя IE не пользовались) и из system32.
С флэшки заразу сархивировал, могу кинуть в личку.
Вот лог CureIt:
 cureit-results.cab   112,35К   0 Скачано раз

Сообщение было изменено WinJ: 24 Октябрь 2011 - 23:58

[mrbelyash]

С логами в суппорт