autorun.inf (MS WinXP SP3)

1
RSS
Столкнулся с тем что засел на одной машине вирус, писавший на внешний носители вышеуказанный зараженный файл.
При этом NOD32 Antivirus с успехом лечит флешку, но на самой машине ничего не находит.
В Безопасный режим не загружается вылетает синий экран и информацией о том что заражено+нужно пройти chkdsk /F.
Выявил в процессах подозрительный iexplore.exe, на конце не хватает "r" а так же в темловских файлаха обнаружил exe.
Почистил в ручную реестр, темплы.
Скачал LiveCD ESET NOD32 загрузился, обновил базы, но ничего найдено не было. Хотя я знал что этот гад еще прячется в c:/program files/internet explorer/iexplore.exe. Грохнул вручную вместе с осликом.
Перезагрузился, проверил чисто, в процессах больше нет, скачал и поставил новый IE, прогнал проверку диска+ еще раз проверку антивирусом, все чисто, лишние процессы исчезли. В реестре проверил отключен ли автозапуск, вставил флешку. Потестил, все нормально избавился. Но потратил часа 2.

Печально что антивирус не мог его обнаружить, находил только уже результат на флешке и очищал ее. Технология ThreatSense.NET была включена. Но опять же отправились только файлы с флешки, от которых толку нет, так как то что в них детектируется нормально.
Можно попытаться выловить и ликвидировать источник без антивируса. Есть бесплатная программа от майкрософт Filemon, она мониторит все операции которые происходят с файловой системой. Вставьте флешку, если на нее будет что-то записано, это отобразится в логах программы (она работает в реальном времени). Там будет указан путь к источнику, который можно ликвидировать если не в системе, тогда через консоль в ДОСе.
Цитата
Account пишет:
iexplore.exe
Так это процесс интернет эксплорера, а "проводник" называется explorer. Монитор файлов прикрепил. Думаю там интуитивно все понятно будет.
1.PNG (82.59 КБ)
Изменено: ORION - 18.07.2012 20:13:26
Цитата
ORION пишет:
iexplore.exe
Так это процесс интернет эксплорера, а "проводник" называется explore r . Монитор файлов прикрепил. Думаю там интуитивно все понятно будет.
Да ошибся сравнивая, но суть в том что походу дела был заражен ослик, либо вирус под него косил. Даже не при запущенном IE отображался и отключить его было не возможно. При загрузке с LiveCD ESET NOD32 обнаружилась вторая папка Program Files, в которой так же присуствовал IE.
При этом сам процесс сидел, убить его было не возможно, он заново запускался, антивирус ничего не находил и еще в темпловской папке в LocalSetings создавался экзешник, происходила перезапись реестра, в автозагрузку прописывалось запуск экзешника из темпла и псевдо ослика.
Про упомянутый монитор знаю, даже пользовался как то, запамятовал и не подумал про него)) Но все равно спасибо за него.
Но благо все разрешилось.
Изменено: Account - 18.07.2012 20:59:13
1
Читают тему (гостей: 3)