Перейти к содержанию

Recommended Posts

kamerton

Доброе время суток.

В последние несколько дней появилась проблема.

Семантек постоянно находит в папке c:\temp файлы с именем "DWH3C40.tmp"и подобными по штук 12 за раз, делает назначенно действие, типа удаляет. Затем примерно через час или два снова находит в той же папке штук 12 таких вирусов и снова удаляет их. и так ежедневно происходит такая котовасия.

Посмотрел по ссылке предлагаемой о лечении сего чуда. Написано поставить последние базы, отключить востановление системы и сделать полный скан.

Сделал, он ничего не нашёл.

Черех время снова вылазит эта хрень..

как с ней бороться?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Семантек постоянно находит в папке c:\temp файлы

Какой продукт от Symantec и какого года используете?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kamerton

SEP 11.0.6000.550

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kamerton

Есть предложения по лечению этой шушары?

А то ежедневно по 30-40 штук находит за раз.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DaTa

скорее всего что у вас руткит пересоздает тельце известного Симантеку вредоноса. Поначалу нужно убить скрытые службы и только потом удалять файлы

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kamerton

Чем порекомендуете найти эту сволочь?

Я прогнал АВЗ, он ничего не нашёл, посмотрел службы через него же, ничего подозрительного не вижу.

Но сволочь эта подолжает лезть....

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kamerton

Он меня уже достал!!

Помогите от этой сволочи избавиться, он с каждым днём их всё больше и больше ловит.. уже до 200 дошло буквально каждый час..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Помогите от этой сволочи избавиться, он с каждым днём их всё больше и больше ловит.. уже до 200 дошло буквально каждый час..

Попробуйте на одном из инфицированных ПК прогнать в агрессивном режиме Norton Power Eraser, только не спешите удалять то что он предложит - он может фолсить, так как это эвристический компонент

  • Upvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.

О, у меня тоже самое.

Только система чистая. Смотрел через лог АВЗ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kamerton

Прогнал этоой утилитой. В агресиввном режиме. Она мне нашла одну софтину и один файлик иконо, ну я удалил их на всякий случай. ну и на кучу длл файлов к клиенту МИРАНДА обругалась..

В результате ничего не изменилось..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kamerton

AVZ на Win7 при сканировании вообще вываливается постоянно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DaTa
AVZ на Win7 при сканировании вообще вываливается постоянно.

Отключите проверку кейлогеров.

Доброе время суток.

В последние несколько дней появилась проблема.

Семантек постоянно находит в папке c:\temp файлы с именем "DWH3C40.tmp"и подобными по штук 12 за раз, делает назначенно действие, типа удаляет. Затем примерно через час или два снова находит в той же папке штук 12 таких вирусов и снова удаляет их. и так ежедневно происходит такая котовасия.

Посмотрел по ссылке предлагаемой о лечении сего чуда. Написано поставить последние базы, отключить востановление системы и сделать полный скан.

Сделал, он ничего не нашёл.

Черех время снова вылазит эта хрень..

как с ней бороться?

Вполне возможно что у вас руткит или хорошо прятающийся троян за легитимными файлами. Для начала зделайте лог GMER'a.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kamerton

Вот лог прикрепил. может чего интересного там увидите, за ранее благодарю..

Gmer.txt

Gmer.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DaTa
Вот лог прикрепил. может чего интересного там увидите, за ранее благодарю..

Не совсем уверен, но множественные копии MBR выглядят как то странновато. Возможно Вы используете утилиту которая "страхует" MBR или у Вас появился Backdoor.Win32.Sinowal, или очередная модификация TDSS(Backdoor.Tidserv - Symantec;Win32/Alureon - Microsoft;Win32/Olmarik - Eset;Rootkit.Win32.Tdss - Kaspersky) - она тоже может и умеет работать с MBR.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

kamerton

http://avptool.ru/forum/ рекомендую для начала воспользоваться этим сервисом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kamerton

Честно сказать я голову слома что бы вылечиться, каким то волшебным образом он как то исчез в неизвестном направлении. При это сканировал разными утилитам и от касперского в том числе. ни одна ничего не нашла. После касперского мой профиль вообще заблокировался. Благо был друой пользователь и тоже админ, как оказалось в реестре нужно было сменить одно значение и профиль ожил. после этого и сообщения больше не выскакивало об обнаружении сей заразы.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

kamerton

И тем не менее я повторно рекомендую воспользоваться сервисом KL 911. Хотя бы для успокоения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
      Добавить в меню команды: Блокировать запуск файла по: [MinimumStackCommitInBytes] Снять блокировку [MinimumStackCommitInBytes] установленную uVS - [1077777777] Полностью снять блокировку [MinimumStackCommitInBytes] -  [?ХХХХХХХХ?] ---------- Пример: Блокировать запуск файла по: [MinimumStackCommitInBytes] IFEO\mediaget.exe: [MinimumStackCommitInBytes] 1077777777 IFEO\PowwerTool.exe: [MinimumStackCommitInBytes] 1077777777 -------- Команда: Проверить реестр и доступные копии реестра ( с возможностью указать копию ) на IFEO -  [MinimumStackCommitInBytes] Команда: Проверить реестр и доступные копии реестра ( а тут можно подумать, на что ещё можно проверить копию )
    • PR55.RP55
      В том году была статья : по поводу MinimumStackCommitInBytes https://www.trendmicro.com/en_in/research/23/e/attack-on-security-titans-earth-longzhi-returns-with-new-tricks.html Похоже и у нас начали активно это применять. https://forum.kasperskyclub.ru/topic/465310-slovil-majner-kogda-skachival-obhod-blokirovki-diskorda/ https://www.cyberforum.ru/viruses/thread3189071.html?ysclid=m4x30zzs6v421256067  
    • demkd
      И не должен работать, такое удалять разрешено только вручную.
    • PR55.RP55
      Ошибка получения XML описания задачи: \Microsoft\Windows\SoftwareProtectionPlatform\SvcRestartTask  [Error: 0x80041321 - Образ задачи поврежден или изменен. ] Соответственно на такие случаи команда: (Alt+Delete) не работает. https://vms.drweb.ru/virus/?i=27169926
    • PR55.RP55
      Предлагаю добавить в settings.ini - настройку: Передавать статистику удаляемых файлов. Для чего ? Когда статистика будет накоплена ( и проанализирована ) то можно будет применить команду: 1) Обнаружить угрозы - исходя из данных статистики 2) Создать автоскипт на базе общей операционной статистки 3) Создать автоскипт на базе моей статистики. Файл\ы данных доступны - как при обращении к серверу - так и локально. ----- % 70 скрипта - Это всё одно и тоже... Так чего мучить Оператора, если минимум % 70 скрипта можно генерировать автоматически,  а стальное он сам допишет. А то автоскрипт есть - а пользуется этим три человека. ------- Кроме того - та же история и с FRST - можно создать автоматический _помощник который будет например в Notepad++ помечать ( на базе статистики ) закладкой все типичные удаляемые объекты. Ведь не единым uVS жив человек ?  
×