[QUOTE=DeaDLock;3390108]Всем спасибо.Все убил.Но вирус пытается скачать себя из интернета похоже.Только ему плохо это удается))[/QUOTE]
Это как? Ты его убил, а он пытается скачать себя? Полтергейст?
Вид для печати
[QUOTE=DeaDLock;3390108]Всем спасибо.Все убил.Но вирус пытается скачать себя из интернета похоже.Только ему плохо это удается))[/QUOTE]
Это как? Ты его убил, а он пытается скачать себя? Полтергейст?
Вполне вероятно, что вы не удалили все, а удалили лишь его часть.
Угу,а оболочка,например,осталась...
[QUOTE=rupreht;3402248]Угу,а оболочка,например,осталась...[/QUOTE]
Вы никогда не встречались с составными вирусами? Вам повезло!
[QUOTE=Cybercop;3402562]Вы никогда не встречались с составными вирусами? Вам повезло![/QUOTE]
А это что за цаца?
Вирус состоит из нескольких файлов, каждый из которых по отдельности вирусом не является.
Есть еще такие гадости как реверсивные (инициативные) трояны. Ой сколько гадости есть!
[QUOTE=Cybercop;3402937]Вирус состоит из нескольких файлов, каждый из которых по отдельности вирусом не является.
[/QUOTE]
т.е. не обнаруживается антивирусом?
Если присутствуют все части - обнаруживается. По отдельности - нет. Но по отдельности и нет активности. Т.е. Загружается часть 1 Идет проверка на наличие части 2, если ее нет - подгружается по запросу с сайта какого-то. Далее - вместе несут вредоносную активность. Удалили часть 1 - часть 2 проверяет ее нет - догружает имеем опять активность. И т.д. Т.е. удаляется полностью только при удалении обеих частей. Так удалять умеют не все антивирусы. Вот и все. Известны такие технологии уже несколько лет
Ну емаё у мну опять этот вирус=(
Просмотрел его действия через Фаервол...
Прячется в Temp
висят активные 2 процесса.
через Iexplorer качает 2 файла нужных ему...
потом пытается получить доступ к rcp control\ntsvcs и DNSREsolver(не знаю что это,Но думаю,что что-то важное),
[B]Cybercop[/B]
Спасибо за фаервол-видно все пошагово,что он хочет сделать и легко можно заблокировать злобно хихикая)
ЗЫ:затолкал те два процеса в карантин(называются winljiluj.exe и winuxqxv.exe,прятались в Temp)
Зыы:нашел еще несколько еще составных:wintkbyu.exe,Главный файл exhn.exe
Размеры всех файлов 8кб
[QUOTE=Cybercop;3402562]Вы никогда не встречались с составными вирусами? Вам повезло![/QUOTE]
И встречались и,спасибо,баловались):)
[QUOTE=DeaDLock;3414537]
ЗЫ:затолкал те два процеса в карантин(называются winljiluj.exe и winuxqxv.exe,прятались в Temp)
Зыы:нашел еще несколько еще составных:wintkbyu.exe,Главный файл exhn.exe
Размеры всех файлов 8кб[/QUOTE]
Могу ошибацца,но вроде кака на АСЕ написана..?:dry:
Ап:dxlyo.exe rttri.exe пытаются добавить себя в регистре во вкладке фаервола как доверенные программы.
rttri.exe-эвристический анализ показал,что это почтовый вирус
ЗЫ:несколько из exe файлов хотели подключиться через интернет к удаленному компьютеру.Как ни смешно,но IP является ipом одного из впн моего провайдера...
Ап:еще один кусок=winqqlmbv.exe и hgrhi.exe
Откуда столько ехе файлов?
[QUOTE=DeaDLock;3415472]Откуда столько ехе файлов?[/QUOTE]
А когда эти файлы были созданы - уже после чистки сиситемы (удалении всех екзешников?)? Можно посмотреть в свойствах файла - врядли вирус будет менять дату.
Если все же после, то нужно серьезно пересмотреть весь испоьзуемый софт, особенно ломаный.
И какие поставил антивирус, файрвол?
[QUOTE=rupreht;3414813]Могу ошибацца,но вроде кака на АСЕ написана..?:dry:[/QUOTE]
На асе можно только сообщения писать)). На ассемблере (ас[B]м[/B]е) пишут.
Не,я не удалял.не могу удалить,этот гад запретил себя удалять.А вот все действия через фаерфол я ему заблокировал.
Ап:еще один екзешник ebaujo.exe
ап:nknir.exe
Ап:winxjek.exe
Ап:winfklx.exe
Ап:winanel.exe
Ап:winljpoqi.exe
Ап:gkrnxw.exe
Ап:winfcohk.exe
Ап:gkrnxw.exe
Ап:rffmno.exe
Ап:idwbth.exe
Ап:winvvtv.exe
Ап:duiyqt.exe
Знаете,я уже запарился им ставить ограничения на действия))
Ап:winsavbpk.exe
[QUOTE=DeaDLock;3418204]Не,я не удалял.не могу удалить,этот гад запретил себя удалять.[/QUOTE]
[url]http://technet.microsoft.com/en-us/sysinternals/bb897556.aspx[/url]
Или попробуй любую чистую ОС. Из-под неё всё лишнее удалить.
Да уже предлагали взять у любого блин знакомого диск спасения из-под антивируса Касперского, загрузиться и удалить, так нет
[QUOTE=Cybercop;3422762]Да уже предлагали взять у любого блин знакомого диск спасения из-под антивируса Касперского, загрузиться и удалить, так нет[/QUOTE]
Наверное, такой путь слишком скучным показался :)
[QUOTE=Makhno;3417325]
На асе можно только сообщения писать)). На ассемблере (ас[B]м[/B]е) пишут.[/QUOTE]
Боже,:( трагедия,букву пропустил...:D
[QUOTE][SIZE="1"]Сообщение от [B]rupreht[/B]
[I]Боже,:( трагедия,букву пропустил...:D[/I][/SIZE][/QUOTE]
[SIZE="1"]Учитывая, что в слове всего 3 буквы, то таки да, 1 буква - это много.[/SIZE]
[B]DeaDLock[/B], когда ты уже воспользуешься хоть одним из советов? Есть проблемы с загрузочным диском? Можно еще попробовать бесплатный антивирус с новыми базами (но не обнавляемыми) FREE Dr.Web CureIt!, он не требует интсаляции, поэтому проблем возникнуть не должно. Качать нужно обязательно с сайта новым, чтоб иметь актуальную вирусную базу данных. Качать [URL="ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe"]отсюда[/URL].
Дык,мне скучно жить))
Я уже один раз от него избавился,но забыл о PSP который подсоединял, когда компьютер был инфицирован.Теперь при подключении PSP заразил систему.вечером опять все почищу))