Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Разное Флудилка обо всем

autorun.inf (MS WinXP SP3)

1
RSS
 
Account
Account
Пользователь
Сообщений: 12
Баллов: 6
Регистрация: 10.07.2012
Размещено 18.07.2012 17:55:53
Столкнулся с тем что засел на одной машине вирус, писавший на внешний носители вышеуказанный зараженный файл.
При этом NOD32 Antivirus с успехом лечит флешку, но на самой машине ничего не находит.
В Безопасный режим не загружается вылетает синий экран и информацией о том что заражено+нужно пройти chkdsk /F.
Выявил в процессах подозрительный iexplore.exe, на конце не хватает "r" а так же в темловских файлаха обнаружил exe.
Почистил в ручную реестр, темплы.
Скачал LiveCD ESET NOD32 загрузился, обновил базы, но ничего найдено не было. Хотя я знал что этот гад еще прячется в c:/program files/internet explorer/iexplore.exe. Грохнул вручную вместе с осликом.
Перезагрузился, проверил чисто, в процессах больше нет, скачал и поставил новый IE, прогнал проверку диска+ еще раз проверку антивирусом, все чисто, лишние процессы исчезли. В реестре проверил отключен ли автозапуск, вставил флешку. Потестил, все нормально избавился. Но потратил часа 2.

Печально что антивирус не мог его обнаружить, находил только уже результат на флешке и очищал ее. Технология ThreatSense.NET была включена. Но опять же отправились только файлы с флешки, от которых толку нет, так как то что в них детектируется нормально.
 
ORION
ORION
Пользователь
Сообщений: 264
Баллов: 211
Регистрация: 02.04.2010
Размещено 18.07.2012 20:07:49
Можно попытаться выловить и ликвидировать источник без антивируса. Есть бесплатная программа от майкрософт Filemon, она мониторит все операции которые происходят с файловой системой. Вставьте флешку, если на нее будет что-то записано, это отобразится в логах программы (она работает в реальном времени). Там будет указан путь к источнику, который можно ликвидировать если не в системе, тогда через консоль в ДОСе.
Цитата
Account пишет:
iexplore.exe
Так это процесс интернет эксплорера, а "проводник" называется explorer. Монитор файлов прикрепил. Думаю там интуитивно все понятно будет.
1.PNG (82.59 КБ)
Изменено: ORION - 18.07.2012 20:13:26
 
Account
Account
Пользователь
Сообщений: 12
Баллов: 6
Регистрация: 10.07.2012
Размещено 18.07.2012 20:52:27
Цитата
ORION пишет:
iexplore.exe
Так это процесс интернет эксплорера, а "проводник" называется explore r . Монитор файлов прикрепил. Думаю там интуитивно все понятно будет.
Да ошибся сравнивая, но суть в том что походу дела был заражен ослик, либо вирус под него косил. Даже не при запущенном IE отображался и отключить его было не возможно. При загрузке с LiveCD ESET NOD32 обнаружилась вторая папка Program Files, в которой так же присуствовал IE.
При этом сам процесс сидел, убить его было не возможно, он заново запускался, антивирус ничего не находил и еще в темпловской папке в LocalSetings создавался экзешник, происходила перезапись реестра, в автозагрузку прописывалось запуск экзешника из темпла и псевдо ослика.
Про упомянутый монитор знаю, даже пользовался как то, запамятовал и не подумал про него)) Но все равно спасибо за него.
Но благо все разрешилось.
Изменено: Account - 18.07.2012 20:59:13
 
1
Читают тему