Нужно было перекинуть с 1 флешки на другую файлы. Воткнул в ноутбук флэшки одновременно, нод сработал на avtoran, после этого отрубился. Не запускался msconfig, отвалился интернет, перестало отображать скрытые файлы, свойства папки не запускались. Скачал cureIt, отсканил с винды, нашол 3 файлика, точное название не помню но чтото вроде Qhost1928 http://www.avira.com/ru/threats/section/fulldetails/id_vir/1928/tr_qhost.n.html похоже он. Удалить или лечить он их не смог, перенес кудато (куда я так и не понял) попросил ребут. Ребутнул, нод не запустилдся, инета нет, msconfig работает. При попытке запустить нод вручную пишет " операция отменена вследствии действующих для компонента ограничений. Обратитесь к администратору сети."
Логин я свой незнаю где взять, на бумаге не сохранял а в системе как его узнать если нод не запускается - без понятия.
nazar3 пишет: P.S.S. Вы если виря расковыряли - скажите хоть чего он примерно делает, кроме того что блочит всё что не попадя.
файлы все имеют один хэш, ваш исходник, default.scr , который был записан в system32, lsass.exe , был запущен как процесс из каталога system32\config и файл, что писался на флэшку: 12410.scr. Из них ESET NOD32 удалял тот что писался в паре с autorun.inf на флшку. Какие "полезные" действия выполняет вирус, помимо маскировки и защиты от удаления - не могу сказать. Это задача для аналитиков кода. Если судить по вирустотал, возможно спамбот, видно будет как Есет его отклассифицирует.
Если детектится уже с новыми базами, то наверное, известен его механизм работы? Может уже куча системных файлов инфицировано, и тут уже к инету можно подключиться лишь переустановкой винды. Это, конечно, в худшем случае. Но может можно еще поскидывать разные настройки в дефолтные и все пойдет. Стой. Так у тебя есть второй ноут. Скачай на флешку нодовскую портативную утилиту сканирования, правда дождись пока базы обновятся до версии 5088. И проскань всю систему этой утилитой, можно еще подключить и Malware, и TroyanRemover. А дальше, уже надо смотреть. В крайнем случае, думаю, не проблема форматнуть раздел и переставить винду. Конечно, только в крайнем)
santy пишет: проверьте настройки сети: ип, шлюз, DNS провайдера, все ли на месте.
Давно всё просмотрел, все на месте.
UPD: Нашол. В Comodo было всё отключено. Странно конечно, сам я не помню чтобы отключал или копался в его настройках. При подключении Nod отправил на анализ штук 5 файлов.
Остался 1 вопрос - как вернуть отображение скрытых файлов.
Также вирус может изменить ключ "CheckedValue" в ветке
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 === восстановить указанные значения параметров реестра.
что еще можно добавить: блокирование запуска программ выполнялось с помощью параметров: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "DisallowRun"="1" и ветки [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Disallowrun] "0"="avp.exe" (дополнительно был заблокирован запуск Касперского, эта запись была обнаружена и удалена malwarebytes, другие блокирующие записи не были удалены). вирус (в активном режиме) имеет веселый нрав: обнаружив папку с антивирусными утилитками - скрыл ее, создав соотв. файлик avirus.scr, отображаемый как папку. При входе в папку avirus, при попытке изменить имя avz.exe на что-нибудь другое, выдает фирменный для антивируса Касперского звук, переходящий в хохот. Соответственно avz в любом переименованном виде, за исключением полиморфных версий, (не проверял) не запускается, лишь после удаления активного вируса - помогает переименование для запуска, пока не сняты блокировки. При входе в папку Cureit, так же разрождается веселым смехом, вот только зря. Курит то его и прибивает, и после перезагрузки остается только бороться с блокировками запуска программ, и сокрытием файлов и папок.
да, неизвестно. адреса серверов заблокированы в hosts, сканирование запустить невозможно, из-за блокирования egui, EsetRescue создать невозможно, по той же причине, встроенным SysInspector-ом тоже не воспользоваться, ekrn.exe прибивает вирусы, те что активный червь копирует на флэшку, но эвристика недотягивает, чтобы обнаружить в системе активных червей с таким же хэшем, что файлик копируемый на флэшку, один из которых стартует под системным именем lsass, но из другой папки - system32\config, другой находится в system32 и стартует вместо logon.scr как "Key" = "HKCU\Control Panel\Desktop"; "SCRNSAVE.EXE" = "default.scr"