Вход
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

Вирус с флэшки отрубил Nod32

RSS
 
nazar3
nazar3
Пользователь
Сообщений: 19
Баллов: 9
Регистрация: 05.05.2010
Размещено 05.05.2010 09:05:26
Нужно было перекинуть с 1 флешки на другую файлы. Воткнул в ноутбук флэшки одновременно, нод сработал на avtoran, после этого отрубился.
Не запускался msconfig, отвалился интернет, перестало отображать скрытые файлы, свойства папки не запускались. Скачал cureIt, отсканил с винды, нашол 3 файлика, точное название не помню но чтото вроде Qhost1928 http://www.avira.com/ru/threats/section/fulldetails/id_vir/1928/tr_qhost.n.html похоже он. Удалить или лечить он их не смог, перенес кудато (куда я так и не понял) попросил ребут.
Ребутнул, нод не запустилдся, инета нет, msconfig работает.
При попытке запустить нод вручную пишет " операция отменена вследствии действующих для компонента ограничений. Обратитесь к администратору сети."

Логин я свой незнаю где взять, на бумаге не сохранял а в системе как его узнать если нод не запускается - без понятия.


P.S. http://www.virustotal.com/ru/analisis/b9fec80e6bee7c432b30a789ecac526bddbc51e3e038­eb9d123ca669cad4c665-1271008161
прикрепил, пароль infected
Вот ваш вирь. удалено @ Алексей
Изменено: nazar3 - 05.05.2010 09:35:30

Ответы

Пред. 1 2 3 4
 
santy
santy
Администратор
Сообщений: 17635
Баллов: 14108
Регистрация: 16.03.2010
Размещено 05.05.2010 17:05:02
уточните у провайдера - может нет доступа в инет не "по вине" вируса.
[ Как создать образ автозапуска? ]
 
nazar3
nazar3
Пользователь
Сообщений: 19
Баллов: 9
Регистрация: 05.05.2010
Размещено 05.05.2010 17:06:36
Цитата
santy пишет:
уточните у провайдера - может нет доступа в инет не "по вине" вируса.
Я сейчас на форуме пишу с этого самого провайдера. Шнур просто периодически перекидываю то на зараженный бук то на чистый.
 
santy
santy
Администратор
Сообщений: 17635
Баллов: 14108
Регистрация: 16.03.2010
Размещено 05.05.2010 17:16:47
Цитата
nazar3 пишет:
P.S.S. Вы если виря расковыряли - скажите хоть чего он примерно делает, кроме того что блочит всё что не попадя.

файлы все имеют один хэш, ваш исходник, default.scr , который был записан в system32, lsass.exe , был запущен как процесс из каталога system32\config и файл, что писался на флэшку: 12410.scr. Из них ESET NOD32 удалял тот что писался в паре с autorun.inf на флшку.
Какие "полезные" действия выполняет вирус, помимо маскировки и защиты от удаления - не могу сказать. Это задача для аналитиков кода. Если судить по вирустотал, возможно спамбот, видно будет как Есет его отклассифицирует.
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17635
Баллов: 14108
Регистрация: 16.03.2010
Размещено 05.05.2010 18:00:59
Цитата
nazar3 пишет:
Я сейчас на форуме пишу с этого самого провайдера. Шнур просто периодически перекидываю то на зараженный бук то на чистый.
проверьте настройки сети: ип, шлюз, DNS провайдера, все ли на месте.
[ Как создать образ автозапуска? ]
 
marshal64
marshal64
Пользователь
Сообщений: 1023
Баллов: 818
Регистрация: 16.03.2010
Размещено 05.05.2010 22:36:51
Если детектится уже с новыми базами, то наверное, известен его механизм работы?
Может уже куча системных файлов инфицировано, и тут уже к инету можно подключиться лишь переустановкой винды. Это, конечно, в худшем случае. Но может можно еще поскидывать разные настройки в дефолтные и все пойдет.
Стой. Так у тебя есть второй ноут. Скачай на флешку нодовскую портативную утилиту сканирования, правда дождись пока базы обновятся до версии 5088. И проскань всю систему этой утилитой, можно еще подключить и Malware, и TroyanRemover. А дальше, уже надо смотреть.
В крайнем случае, думаю, не проблема форматнуть раздел и переставить винду. Конечно, только в крайнем)
 
nazar3
nazar3
Пользователь
Сообщений: 19
Баллов: 9
Регистрация: 05.05.2010
Размещено 06.05.2010 04:59:37
Цитата
santy пишет:
проверьте настройки сети: ип, шлюз, DNS провайдера, все ли на месте.
Давно всё просмотрел, все на месте.

UPD:
Нашол. В Comodo было всё отключено. Странно конечно, сам я не помню чтобы отключал или копался в его настройках.
При подключении Nod отправил на анализ штук 5 файлов.

Остался 1 вопрос - как вернуть отображение скрытых файлов.
Изменено: nazar3 - 06.05.2010 05:37:46
 
santy
santy
Администратор
Сообщений: 17635
Баллов: 14108
Регистрация: 16.03.2010
Размещено 06.05.2010 08:01:20
Если отключено отображение скрытых и системных файлов

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
"HideFileExt"=dword:00000000
"ShowSuperHidden"=dword:00000001

Также вирус может изменить ключ "CheckedValue" в ветке

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
===
восстановить указанные значения параметров реестра.
Изменено: santy - 06.05.2010 08:02:33
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17635
Баллов: 14108
Регистрация: 16.03.2010
Размещено 06.05.2010 18:22:08
что еще можно добавить:
блокирование запуска программ выполнялось с помощью параметров:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\­Policies\Explorer]
"DisallowRun"="1"
и ветки
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Disallowrun]
"0"="avp.exe"
(дополнительно был заблокирован запуск Касперского, эта запись была обнаружена и удалена malwarebytes, другие блокирующие записи не были удалены).
вирус (в активном режиме) имеет веселый нрав: обнаружив папку с антивирусными утилитками - скрыл ее, создав соотв. файлик avirus.scr, отображаемый как папку. При входе в папку avirus, при попытке изменить имя avz.exe на что-нибудь другое, выдает фирменный для антивируса Касперского звук, переходящий в хохот. Соответственно avz в любом переименованном виде, за исключением полиморфных версий, (не проверял) не запускается, лишь после удаления активного вируса - помогает переименование для запуска, пока не сняты блокировки. При входе в папку Cureit, так же разрождается веселым смехом, вот только зря. Курит то его и прибивает, и после перезагрузки остается только бороться с блокировками запуска программ, и сокрытием файлов и папок.
Изменено: santy - 06.05.2010 20:12:36
[ Как создать образ автозапуска? ]
 
EVE N
EVE N
Пользователь
Сообщений: 317
Баллов: 253
Регистрация: 16.03.2010
Размещено 06.05.2010 23:05:51
"Процесс" = "ekrn.exe" 1616 ; NT AUTHORITY\SYSTEM ; ( 1: Точно ) ; ESET Service ; ESET ;

Не запускался только процесс egui.exe, антивирус работает и без этого процесса, и ещё неизвестно обновился бы Нод или нет.
Изменено: EVE N - 06.05.2010 23:07:10
ESET Smart Security 7 - The next generation of NOD32 Technology. ESET - Essential Security against Evolving Threats
 
santy
santy
Администратор
Сообщений: 17635
Баллов: 14108
Регистрация: 16.03.2010
Размещено 07.05.2010 08:51:32
да, неизвестно. адреса серверов заблокированы в hosts, сканирование запустить невозможно, из-за блокирования egui, EsetRescue создать невозможно, по той же причине, встроенным SysInspector-ом тоже не воспользоваться, ekrn.exe прибивает вирусы, те что активный червь копирует на флэшку, но эвристика недотягивает, чтобы обнаружить в системе активных червей с таким же хэшем, что файлик копируемый на флэшку, один из которых стартует под системным именем lsass, но из другой папки - system32\config, другой находится в system32 и стартует вместо logon.scr как
"Key" = "HKCU\Control Panel\Desktop";
"SCRNSAVE.EXE" = "default.scr"
[ Как создать образ автозапуска? ]
 
Пред. 1 2 3 4
Читают тему (гостей: 1)