http://forum.esetnod32.ru Новое в теме Вирус с флэшки отрубил Nod32 форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Thu, 16 Apr 2026 15:11:54 +0300 Вирус с флэшки отрубил Nod32 в форуме Обнаружение вредоносного кода и ложные срабатывания.
да, неизвестно. адреса серверов заблокированы в hosts, сканирование запустить невозможно, из-за блокирования egui, EsetRescue создать невозможно, по той же причине, встроенным SysInspector-ом тоже не воспользоваться, ekrn.exe прибивает вирусы, те что активный червь копирует на флэшку, но эвристика недотягивает, чтобы обнаружить в системе активных червей с таким же хэшем, что файлик копируемый на флэшку, один из которых стартует под системным именем lsass, но из другой папки - system32\config, другой находится в system32 и стартует вместо logon.scr как
"Key" = "HKCU\Control Panel\Desktop";
"SCRNSAVE.EXE" = "default.scr"
07.05.2010 08:51:32, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic266/message1676/ http://forum.esetnod32.ru/messages/forum6/topic266/message1676/ Fri, 07 May 2010 08:51:32 +0400 Обнаружение вредоносного кода и ложные срабатывания Вирус с флэшки отрубил Nod32 в форуме Обнаружение вредоносного кода и ложные срабатывания.
"Процесс" = "ekrn.exe" 1616 ; NT AUTHORITY\SYSTEM ; ( 1: Точно ) ; ESET Service ; ESET ;

Не запускался только процесс egui.exe, антивирус работает и без этого процесса, и ещё неизвестно обновился бы Нод или нет.
06.05.2010 23:05:51, EVE N.]]> http://forum.esetnod32.ru/messages/forum6/topic266/message1665/ http://forum.esetnod32.ru/messages/forum6/topic266/message1665/ Thu, 06 May 2010 23:05:51 +0400 Обнаружение вредоносного кода и ложные срабатывания Вирус с флэшки отрубил Nod32 в форуме Обнаружение вредоносного кода и ложные срабатывания.
что еще можно добавить:
блокирование запуска программ выполнялось с помощью параметров:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\­Policies\Explorer]
"DisallowRun"="1"
и ветки
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Disallowrun]
"0"="avp.exe"
(дополнительно был заблокирован запуск Касперского, эта запись была обнаружена и удалена malwarebytes, другие блокирующие записи не были удалены).
вирус (в активном режиме) имеет веселый нрав: обнаружив папку с антивирусными утилитками - скрыл ее, создав соотв. файлик avirus.scr, отображаемый как папку. При входе в папку avirus, при попытке изменить имя avz.exe на что-нибудь другое, выдает фирменный для антивируса Касперского звук, переходящий в хохот. Соответственно avz в любом переименованном виде, за исключением полиморфных версий, (не проверял) не запускается, лишь после удаления активного вируса - помогает переименование для запуска, пока не сняты блокировки. При входе в папку Cureit, так же разрождается веселым смехом, вот только зря. Курит то его и прибивает, и после перезагрузки остается только бороться с блокировками запуска программ, и сокрытием файлов и папок.
06.05.2010 18:22:08, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic266/message1660/ http://forum.esetnod32.ru/messages/forum6/topic266/message1660/ Thu, 06 May 2010 18:22:08 +0400 Обнаружение вредоносного кода и ложные срабатывания Вирус с флэшки отрубил Nod32 в форуме Обнаружение вредоносного кода и ложные срабатывания.
Если отключено отображение скрытых и системных файлов

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
"HideFileExt"=dword:00000000
"ShowSuperHidden"=dword:00000001

Также вирус может изменить ключ "CheckedValue" в ветке

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
===
восстановить указанные значения параметров реестра.
06.05.2010 08:01:20, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic266/message1648/ http://forum.esetnod32.ru/messages/forum6/topic266/message1648/ Thu, 06 May 2010 08:01:20 +0400 Обнаружение вредоносного кода и ложные срабатывания Вирус с флэшки отрубил Nod32 в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
santy пишет:
проверьте настройки сети: ип, шлюз, DNS провайдера, все ли на месте.
=============
Давно всё просмотрел, все на месте.

UPD:
Нашол. В Comodo было всё отключено. Странно конечно, сам я не помню чтобы отключал или копался в его настройках.
При подключении Nod отправил на анализ штук 5 файлов.

Остался 1 вопрос - как вернуть отображение скрытых файлов.
06.05.2010 04:59:37, nazar3.]]> http://forum.esetnod32.ru/messages/forum6/topic266/message1645/ http://forum.esetnod32.ru/messages/forum6/topic266/message1645/ Thu, 06 May 2010 04:59:37 +0400 Обнаружение вредоносного кода и ложные срабатывания Вирус с флэшки отрубил Nod32 в форуме Обнаружение вредоносного кода и ложные срабатывания.
Если детектится уже с новыми базами, то наверное, известен его механизм работы?
Может уже куча системных файлов инфицировано, и тут уже к инету можно подключиться лишь переустановкой винды. Это, конечно, в худшем случае. Но может можно еще поскидывать разные настройки в дефолтные и все пойдет.
Стой. Так у тебя есть второй ноут. Скачай на флешку нодовскую портативную утилиту сканирования, правда дождись пока базы обновятся до версии 5088. И проскань всю систему этой утилитой, можно еще подключить и Malware, и TroyanRemover. А дальше, уже надо смотреть.
В крайнем случае, думаю, не проблема форматнуть раздел и переставить винду. Конечно, только в крайнем)
05.05.2010 22:36:51, marshal64.]]> http://forum.esetnod32.ru/messages/forum6/topic266/message1639/ http://forum.esetnod32.ru/messages/forum6/topic266/message1639/ Wed, 05 May 2010 22:36:51 +0400 Обнаружение вредоносного кода и ложные срабатывания Вирус с флэшки отрубил Nod32 в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
nazar3 пишет:
Я сейчас на форуме пишу с этого самого провайдера. Шнур просто периодически перекидываю то на зараженный бук то на чистый.
=============
проверьте настройки сети: ип, шлюз, DNS провайдера, все ли на месте.
05.05.2010 18:00:59, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic266/message1633/ http://forum.esetnod32.ru/messages/forum6/topic266/message1633/ Wed, 05 May 2010 18:00:59 +0400 Обнаружение вредоносного кода и ложные срабатывания Вирус с флэшки отрубил Nod32 в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
nazar3 пишет:
P.S.S. Вы если виря расковыряли - скажите хоть чего он примерно делает, кроме того что блочит всё что не попадя.
=============

файлы все имеют один хэш, ваш исходник, default.scr , который был записан в system32, lsass.exe , был запущен как процесс из каталога system32\config и файл, что писался на флэшку: 12410.scr. Из них ESET NOD32 удалял тот что писался в паре с autorun.inf на флшку.
Какие "полезные" действия выполняет вирус, помимо маскировки и защиты от удаления - не могу сказать. Это задача для аналитиков кода. Если судить по вирустотал, возможно спамбот, видно будет как Есет его отклассифицирует.
05.05.2010 17:16:47, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic266/message1630/ http://forum.esetnod32.ru/messages/forum6/topic266/message1630/ Wed, 05 May 2010 17:16:47 +0400 Обнаружение вредоносного кода и ложные срабатывания Вирус с флэшки отрубил Nod32 в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
santy пишет:
уточните у провайдера - может нет доступа в инет не "по вине" вируса.
=============
Я сейчас на форуме пишу с этого самого провайдера. Шнур просто периодически перекидываю то на зараженный бук то на чистый.
05.05.2010 17:06:36, nazar3.]]> http://forum.esetnod32.ru/messages/forum6/topic266/message1627/ http://forum.esetnod32.ru/messages/forum6/topic266/message1627/ Wed, 05 May 2010 17:06:36 +0400 Обнаружение вредоносного кода и ложные срабатывания Вирус с флэшки отрубил Nod32 в форуме Обнаружение вредоносного кода и ложные срабатывания.
уточните у провайдера - может нет доступа в инет не "по вине" вируса.
05.05.2010 17:05:02, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic266/message1626/ http://forum.esetnod32.ru/messages/forum6/topic266/message1626/ Wed, 05 May 2010 17:05:02 +0400 Обнаружение вредоносного кода и ложные срабатывания Вирус с флэшки отрубил Nod32 в форуме Обнаружение вредоносного кода и ложные срабатывания.
Ветку удалил, антивирь запустился на автомате, файла этого в систем32 нет ровно как и выхода в инет. Ни один айпи не пингуется - превышен интервал.
P.S. Этот файлик кстати КурИт ещё удалил сегодня утром.
P.S.S. Вы если виря расковыряли - скажите хоть чего он примерно делает, кроме того что блочит всё что не попадя.
05.05.2010 16:54:59, nazar3.]]> http://forum.esetnod32.ru/messages/forum6/topic266/message1623/ http://forum.esetnod32.ru/messages/forum6/topic266/message1623/ Wed, 05 May 2010 16:54:59 +0400 Обнаружение вредоносного кода и ложные срабатывания Вирус с флэшки отрубил Nod32 в форуме Обнаружение вредоносного кода и ложные срабатывания.
вот такой был список блокирования:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Disallowrun]
"1"="avz.exe"
"2"="autoruns.exe"
"3"="outpost.exe"
"4"="spidernt.exe"
"5"="SpyDerAgent.exe"
"6"="dwengine.exe"
"7"="spiderui.exe"
"8"="acs.exe"
"9"="op_mon.exe"
"10"="klnagent.exe"
"11"="egui.exe"
"12"="sched.exe"
"13"="avgnt.exe"
"14"="avguard.exe"
"15"="guardgui.exe"
"16"="SymIMIns.exe"
05.05.2010 16:53:24, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic266/message1622/ http://forum.esetnod32.ru/messages/forum6/topic266/message1622/ Wed, 05 May 2010 16:53:24 +0400 Обнаружение вредоносного кода и ложные срабатывания Вирус с флэшки отрубил Nod32 в форуме Обнаружение вредоносного кода и ложные срабатывания.
без этой ветки антивир должн запуститься. У меня на виртуалке запустился, так же доступен инет. Там еще один файл должен быть в system32 - default.scr, на него ссылка в реестре. Если не удален - удалите.
05.05.2010 16:48:13, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic266/message1621/ http://forum.esetnod32.ru/messages/forum6/topic266/message1621/ Wed, 05 May 2010 16:48:13 +0400 Обнаружение вредоносного кода и ложные срабатывания Вирус с флэшки отрубил Nod32 в форуме Обнаружение вредоносного кода и ложные срабатывания.
///потерто
05.05.2010 16:43:20, nazar3.]]> http://forum.esetnod32.ru/messages/forum6/topic266/message1620/ http://forum.esetnod32.ru/messages/forum6/topic266/message1620/ Wed, 05 May 2010 16:43:20 +0400 Обнаружение вредоносного кода и ложные срабатывания Вирус с флэшки отрубил Nod32 в форуме Обнаружение вредоносного кода и ложные срабатывания.
вот этот ключ проверьте на предмет блокирования запуска программ. (можно ветку удалить, перезагрузиться, проверить возможность запуска egui.)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\­Policies\Explorer\Disallowrun
в этом списке должен быть egui.exe , а так же ряд других программ.
05.05.2010 16:39:26, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic266/message1618/ http://forum.esetnod32.ru/messages/forum6/topic266/message1618/ Wed, 05 May 2010 16:39:26 +0400 Обнаружение вредоносного кода и ложные срабатывания Вирус с флэшки отрубил Nod32 в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
zloyDi пишет:
Вирус будет добавлен как
словарь и справочники.scr - Win32/Delf.NQS червь и будет ловиться с версией баз 5088!
=============
Это замечательно. А мне то сейчас что делать?
05.05.2010 16:34:49, nazar3.]]> http://forum.esetnod32.ru/messages/forum6/topic266/message1617/ http://forum.esetnod32.ru/messages/forum6/topic266/message1617/ Wed, 05 May 2010 16:34:49 +0400 Обнаружение вредоносного кода и ложные срабатывания Вирус с флэшки отрубил Nod32 в форуме Обнаружение вредоносного кода и ложные срабатывания.
Вирус будет добавлен как
словарь и справочники.scr - Win32/Delf.NQS червь и будет ловиться с версией баз 5088!
05.05.2010 16:32:42, zloyDi.]]> http://forum.esetnod32.ru/messages/forum6/topic266/message1616/ http://forum.esetnod32.ru/messages/forum6/topic266/message1616/ Wed, 05 May 2010 16:32:42 +0400 Обнаружение вредоносного кода и ложные срабатывания Вирус с флэшки отрубил Nod32 в форуме Обнаружение вредоносного кода и ложные срабатывания.
Файл прикрепил.

Версия программы: 4.0.476.0
Базы вирусных сигнатур обновлялись каждый день на автомате.
route.txt
05.05.2010 15:58:58, nazar3.]]> http://forum.esetnod32.ru/messages/forum6/topic266/message1612/ http://forum.esetnod32.ru/messages/forum6/topic266/message1612/ Wed, 05 May 2010 15:58:58 +0400 Обнаружение вредоносного кода и ложные срабатывания Вирус с флэшки отрубил Nod32 в форуме Обнаружение вредоносного кода и ложные срабатывания.
Во-первых, интересно было бы узнать, какая версия нода установлена и какая версия баз сигнатур была?
Во-вторых, действительно, уже нужен комплексный осмотр всей файловой системы и реестра. Поэтому всем, всем, всем: Отключайте autorun! Кто не может через реестр и/или настройки винды, есть специальная утилита Panda USB Vaccine.
Уже кучу раз говорил о необходимости включения в нод опции включения/отключения авторана, но говорят, что типа это можно сделать через соответствующие настройки винды. Но насколько бы меньше стало обращений по заражению с флешки после введения новой опции.
05.05.2010 14:57:46, marshal64.]]> http://forum.esetnod32.ru/messages/forum6/topic266/message1608/ http://forum.esetnod32.ru/messages/forum6/topic266/message1608/ Wed, 05 May 2010 14:57:46 +0400 Обнаружение вредоносного кода и ложные срабатывания Вирус с флэшки отрубил Nod32 в форуме Обнаружение вредоносного кода и ложные срабатывания.
пуск - выполнить - cmd
в командном окне выполнить команду: route print >> c:\route.txt
запостить файл c:\route.txt на форум.
05.05.2010 13:05:27, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic266/message1601/ http://forum.esetnod32.ru/messages/forum6/topic266/message1601/ Wed, 05 May 2010 13:05:27 +0400 Обнаружение вредоносного кода и ложные срабатывания Вирус с флэшки отрубил Nod32 в форуме Обнаружение вредоносного кода и ложные срабатывания.
Не поверите. Все, какие были при открытии темы.

Нод не запускается ни на автомате, ни в ручную. Выхода в сеть нет. Т.е. подключение идёт (через дсл модем) а ни один сайт не открывается, софт (месенджеры и т.п.) не выходят в сеть.
05.05.2010 12:26:10, nazar3.]]> http://forum.esetnod32.ru/messages/forum6/topic266/message1600/ http://forum.esetnod32.ru/messages/forum6/topic266/message1600/ Wed, 05 May 2010 12:26:10 +0400 Обнаружение вредоносного кода и ложные срабатывания Вирус с флэшки отрубил Nod32 в форуме Обнаружение вредоносного кода и ложные срабатывания.
nazar3

Какие проблемы у Вас в данный момент?
05.05.2010 12:20:05, zloyDi.]]> http://forum.esetnod32.ru/messages/forum6/topic266/message1599/ http://forum.esetnod32.ru/messages/forum6/topic266/message1599/ Wed, 05 May 2010 12:20:05 +0400 Обнаружение вредоносного кода и ложные срабатывания Вирус с флэшки отрубил Nod32 в форуме Обнаружение вредоносного кода и ложные срабатывания.
полезное инфо.
http://wiki.drweb.com/index.php/Если_что-то_отключено
05.05.2010 12:17:28, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic266/message1598/ http://forum.esetnod32.ru/messages/forum6/topic266/message1598/ Wed, 05 May 2010 12:17:28 +0400 Обнаружение вредоносного кода и ложные срабатывания Вирус с флэшки отрубил Nod32 в форуме Обнаружение вредоносного кода и ложные срабатывания.
Удалил, ребутнул, сейчас заново сканиться. Ну я как понял 3 из 6 это отключенные уведомления винды об обновлениях, брандмаузере и антивире, их я сам всегда отключаю.
3 файла нод прикрепил

Ничего не нашол малварь
Archive.rar
05.05.2010 12:08:00, nazar3.]]> http://forum.esetnod32.ru/messages/forum6/topic266/message1597/ http://forum.esetnod32.ru/messages/forum6/topic266/message1597/ Wed, 05 May 2010 12:08:00 +0400 Обнаружение вредоносного кода и ложные срабатывания Вирус с флэшки отрубил Nod32 в форуме Обнаружение вредоносного кода и ложные срабатывания.
Удаляйте!
Повторите логи!
Также, к посту прикрепляю файл, запустить его, в корне диска С появиться 2 файла nod1.txt, nod2.txt, nod3.txt! Запукуйте их в архив и прикрепите к посту. Спасибо.
key_help.rar
05.05.2010 12:00:33, zloyDi.]]> http://forum.esetnod32.ru/messages/forum6/topic266/message1595/ http://forum.esetnod32.ru/messages/forum6/topic266/message1595/ Wed, 05 May 2010 12:00:33 +0400 Обнаружение вредоносного кода и ложные срабатывания Вирус с флэшки отрубил Nod32 в форуме Обнаружение вредоносного кода и ложные срабатывания.
Нашло 6 объектов. Удалять?

Файл запустил, ничего не дало.
mbam-log-2010-05-05 (17-37-44).txt
05.05.2010 11:41:05, nazar3.]]> http://forum.esetnod32.ru/messages/forum6/topic266/message1594/ http://forum.esetnod32.ru/messages/forum6/topic266/message1594/ Wed, 05 May 2010 11:41:05 +0400 Обнаружение вредоносного кода и ложные срабатывания Вирус с флэшки отрубил Nod32 в форуме Обнаружение вредоносного кода и ложные срабатывания.
В первом сообщении файл вируса прикрепил, прочитали?
05.05.2010 11:36:43, nazar3.]]> http://forum.esetnod32.ru/messages/forum6/topic266/message1593/ http://forum.esetnod32.ru/messages/forum6/topic266/message1593/ Wed, 05 May 2010 11:36:43 +0400 Обнаружение вредоносного кода и ложные срабатывания Вирус с флэшки отрубил Nod32 в форуме Обнаружение вредоносного кода и ложные срабатывания.
еще..., распакуйте приложенный архив, и выполните vir_del.bat. (удаляет из реестра блокировку запуска антивирусных приложений, которую практикуют некоторые вирусы.)
vir_del.rar
05.05.2010 11:22:47, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic266/message1592/ http://forum.esetnod32.ru/messages/forum6/topic266/message1592/ Wed, 05 May 2010 11:22:47 +0400 Обнаружение вредоносного кода и ложные срабатывания Вирус с флэшки отрубил Nod32 в форуме Обнаружение вредоносного кода и ложные срабатывания.
Готово. Дальше что?
05.05.2010 11:18:38, nazar3.]]> http://forum.esetnod32.ru/messages/forum6/topic266/message1591/ http://forum.esetnod32.ru/messages/forum6/topic266/message1591/ Wed, 05 May 2010 11:18:38 +0400 Обнаружение вредоносного кода и ложные срабатывания Вирус с флэшки отрубил Nod32 в форуме Обнаружение вредоносного кода и ложные срабатывания.
да, так то лучше будет. Скачайте с этой страницы http://www.malwarebytes.org/mbam.php сканер malwarebytes (free version), установите, выполните быстрое сканирование системы, лог запостите на форум.
05.05.2010 11:12:57, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic266/message1590/ http://forum.esetnod32.ru/messages/forum6/topic266/message1590/ Wed, 05 May 2010 11:12:57 +0400 Обнаружение вредоносного кода и ложные срабатывания