Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

Вирус с флэшки отрубил Nod32

RSS
 
nazar3
nazar3
Пользователь
Сообщений: 19
Баллов: 9
Регистрация: 05.05.2010
Размещено 05.05.2010 09:05:26
Нужно было перекинуть с 1 флешки на другую файлы. Воткнул в ноутбук флэшки одновременно, нод сработал на avtoran, после этого отрубился.
Не запускался msconfig, отвалился интернет, перестало отображать скрытые файлы, свойства папки не запускались. Скачал cureIt, отсканил с винды, нашол 3 файлика, точное название не помню но чтото вроде Qhost1928 http://www.avira.com/ru/threats/section/fulldetails/id_vir/1928/tr_qhost.n.html похоже он. Удалить или лечить он их не смог, перенес кудато (куда я так и не понял) попросил ребут.
Ребутнул, нод не запустилдся, инета нет, msconfig работает.
При попытке запустить нод вручную пишет " операция отменена вследствии действующих для компонента ограничений. Обратитесь к администратору сети."

Логин я свой незнаю где взять, на бумаге не сохранял а в системе как его узнать если нод не запускается - без понятия.


P.S. http://www.virustotal.com/ru/analisis/b9fec80e6bee7c432b30a789ecac526bddbc51e3e038­eb9d123ca669cad4c665-1271008161
прикрепил, пароль infected
Вот ваш вирь. удалено @ Алексей
Изменено: nazar3 - 05.05.2010 09:35:30

Ответы

Пред. 1 2 3 4 След.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 05.05.2010 13:05:27
пуск - выполнить - cmd
в командном окне выполнить команду: route print >> c:\route.txt
запостить файл c:\route.txt на форум.
Изменено: santy - 05.05.2010 13:06:18
[ Как создать образ автозапуска? ]
 
marshal64
marshal64
Пользователь
Сообщений: 1023
Баллов: 818
Регистрация: 16.03.2010
Размещено 05.05.2010 14:57:46
Во-первых, интересно было бы узнать, какая версия нода установлена и какая версия баз сигнатур была?
Во-вторых, действительно, уже нужен комплексный осмотр всей файловой системы и реестра. Поэтому всем, всем, всем: Отключайте autorun! Кто не может через реестр и/или настройки винды, есть специальная утилита Panda USB Vaccine.
Уже кучу раз говорил о необходимости включения в нод опции включения/отключения авторана, но говорят, что типа это можно сделать через соответствующие настройки винды. Но насколько бы меньше стало обращений по заражению с флешки после введения новой опции.
 
nazar3
nazar3
Пользователь
Сообщений: 19
Баллов: 9
Регистрация: 05.05.2010
Размещено 05.05.2010 15:58:58
Файл прикрепил.

Версия программы: 4.0.476.0
Базы вирусных сигнатур обновлялись каждый день на автомате.
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 05.05.2010 16:32:42
Вирус будет добавлен как
словарь и справочники.scr - Win32/Delf.NQS червь и будет ловиться с версией баз 5088!
 
nazar3
nazar3
Пользователь
Сообщений: 19
Баллов: 9
Регистрация: 05.05.2010
Размещено 05.05.2010 16:34:49
Цитата
zloyDi пишет:
Вирус будет добавлен как
словарь и справочники.scr - Win32/Delf.NQS червь и будет ловиться с версией баз 5088!
Это замечательно. А мне то сейчас что делать?
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 05.05.2010 16:39:26
вот этот ключ проверьте на предмет блокирования запуска программ. (можно ветку удалить, перезагрузиться, проверить возможность запуска egui.)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\­Policies\Explorer\Disallowrun
в этом списке должен быть egui.exe , а так же ряд других программ.
[ Как создать образ автозапуска? ]
 
nazar3
nazar3
Пользователь
Сообщений: 19
Баллов: 9
Регистрация: 05.05.2010
Размещено 05.05.2010 16:43:20
///потерто
Изменено: nazar3 - 05.05.2010 16:44:21
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 05.05.2010 16:48:13
без этой ветки антивир должн запуститься. У меня на виртуалке запустился, так же доступен инет. Там еще один файл должен быть в system32 - default.scr, на него ссылка в реестре. Если не удален - удалите.
Изменено: santy - 05.05.2010 16:48:53
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 05.05.2010 16:53:24
вот такой был список блокирования:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Disallowrun]
"1"="avz.exe"
"2"="autoruns.exe"
"3"="outpost.exe"
"4"="spidernt.exe"
"5"="SpyDerAgent.exe"
"6"="dwengine.exe"
"7"="spiderui.exe"
"8"="acs.exe"
"9"="op_mon.exe"
"10"="klnagent.exe"
"11"="egui.exe"
"12"="sched.exe"
"13"="avgnt.exe"
"14"="avguard.exe"
"15"="guardgui.exe"
"16"="SymIMIns.exe"
[ Как создать образ автозапуска? ]
 
nazar3
nazar3
Пользователь
Сообщений: 19
Баллов: 9
Регистрация: 05.05.2010
Размещено 05.05.2010 16:54:59
Ветку удалил, антивирь запустился на автомате, файла этого в систем32 нет ровно как и выхода в инет. Ни один айпи не пингуется - превышен интервал.
P.S. Этот файлик кстати КурИт ещё удалил сегодня утром.
P.S.S. Вы если виря расковыряли - скажите хоть чего он примерно делает, кроме того что блочит всё что не попадя.
Изменено: nazar3 - 05.05.2010 17:04:22
 
Пред. 1 2 3 4 След.
Читают тему