█ 11.02.2010 16:35
реакция каспера:
Известных вирусов: 3478086 Дата последнего обновления: 11-02-2010
Размер файла (Kb): 171 Тел вирусов: 0
Файлов: 1 Предупреждений: 0
Архивов: 0 Подозрительных: 0
Известных вирусов: 3478086 Дата последнего обновления: 11-02-2010
Размер файла (Kb): 171 Тел вирусов: 0
Файлов: 1 Предупреждений: 0
Архивов: 0 Подозрительных: 0
█ 11.02.2010 20:59
после запуска исходный файл удаляется
в автозагрузке создается запись C:\WINDOWS\Temp\userwvnk.exe
блокирует запуск диспетчера процессов из-под avz
c:\WINDOWS\Temp\ausllpvwvnk.dat
c:\WINDOWS\Temp\hGu8YnFX.dll
c:\WINDOWS\Temp\Perflib_Perfdata_5ec.dat
c:\WINDOWS\Temp\udrimry.ddx
c:\WINDOWS\Temp\userwvnk.exe
*****
Понял необходимость модуля Program Guard в Online Armor - активировал его, после этого в диспетчере задач убил одну копию врага.
Online Armor после моего ответа не дает запуститься первой копии и я свободно киляю вторую. дальше - чищу виндовый темп/
***
И еще - как обычно, такая хрень вносит изменения в реестр, блокируя запуск диспетчера задач и блокирует возможность завершения сеанса
в автозагрузке создается запись C:\WINDOWS\Temp\userwvnk.exe
блокирует запуск диспетчера процессов из-под avz
c:\WINDOWS\Temp\ausllpvwvnk.dat
c:\WINDOWS\Temp\hGu8YnFX.dll
c:\WINDOWS\Temp\Perflib_Perfdata_5ec.dat
c:\WINDOWS\Temp\udrimry.ddx
c:\WINDOWS\Temp\userwvnk.exe
*****
Понял необходимость модуля Program Guard в Online Armor - активировал его, после этого в диспетчере задач убил одну копию врага.
Online Armor после моего ответа не дает запуститься первой копии и я свободно киляю вторую. дальше - чищу виндовый темп/
***
И еще - как обычно, такая хрень вносит изменения в реестр, блокируя запуск диспетчера задач и блокирует возможность завершения сеанса
█ 12.02.2010 09:26
Avast! 5 Free с сегодняшними сигнатурами угрозы не обнаружил. )8
чорд! светко в опасносте!1111адин
чорд! светко в опасносте!1111адин
█ 12.02.2010 14:51
Спустя ровно сутки, сигнатуры бяки так и не попали в антивирусные базы каспера. Печально 
Видимо, там считают, что бяка не является опасной для рядовых пользователей. Возможно, опасаются каких-то юридических заморочек. Ведь у бяки хитро написано лицензионное соглашение. По нему она и не бяка вовсе 
Видимо, там считают, что бяка не является опасной для рядовых пользователей. Возможно, опасаются каких-то юридических заморочек. Ведь у бяки хитро написано лицензионное соглашение. По нему она и не бяка вовсе █ 12.02.2010 15:05
она блокирует работу пользователя с другими приложениями - так что бяка
Я сегодня отослал в макафи
Посмотрим, когда они сработают
Я сегодня отослал в макафи
Посмотрим, когда они сработают
█ 12.02.2010 15:09
сейчас лечу компутер, который заражен Win32.Sector.16 (по версии Dr.Web)
ничего особенного, в принципе. никаких окошек с просьбой отправить СМС или еще чего-то. виря просто отключает реестр, диспетчер задач, сетевые соединения (!) и убивает антивирусники: установленный каспер был убит ножом в спину, а вновь прибывшие нод, аваст и курящий доктор вэб просто не успевали развернуть свои инструменты.
упомянутый свежескачанный вэб не смог запуститься ни под одним из моих лайвсиди - болтался в списке процессов, отъедая ровно два метра памяти, но при этом ничего не делал.
в очередной раз помогла убунта: загрузился с лайвсиди, добавил репозитарий с вайном, и, пока он ставился, выкачал курилку. на данный момент процесс проверки системного раздела завершен примерно на половину, обнаружено 134 инфицированных файла, один из которых целиком оказался вирусом.
ничего особенного, в принципе. никаких окошек с просьбой отправить СМС или еще чего-то. виря просто отключает реестр, диспетчер задач, сетевые соединения (!) и убивает антивирусники: установленный каспер был убит ножом в спину, а вновь прибывшие нод, аваст и курящий доктор вэб просто не успевали развернуть свои инструменты.
упомянутый свежескачанный вэб не смог запуститься ни под одним из моих лайвсиди - болтался в списке процессов, отъедая ровно два метра памяти, но при этом ничего не делал.
в очередной раз помогла убунта: загрузился с лайвсиди, добавил репозитарий с вайном, и, пока он ставился, выкачал курилку. на данный момент процесс проверки системного раздела завершен примерно на половину, обнаружено 134 инфицированных файла, один из которых целиком оказался вирусом.
█ 12.02.2010 15:12
А Nod я думаю не по сигнатурам отловил, а эвристикой.
Т.к. название выдал "модифицированный Win32/Kryptik.CIJ троян".
Т.к. название выдал "модифицированный Win32/Kryptik.CIJ троян".
█ 12.02.2010 15:34
Через 5 часов после отправки файла в макафи-центр пришел ответ с экстра-дат файлом
Обозвали эту бяку Tra!490f9c356830
Проверил, удаляет
Вот это понимаю, оперативность
Макафи рулит!
Обозвали эту бяку Tra!490f9c356830
Проверил, удаляет
Вот это понимаю, оперативность
Макафи рулит!
█ 14.02.2010 01:37
короче, забил каспер на отправленную мной бяку видимо, жрёт водку с очередным политиком, пиаря свой антивирус. прислали только одно письмо, что файл принят к обработке и всё, тишина.. наверное, выходной у них.
видимо, жрёт водку с очередным политиком, пиаря свой антивирус. прислали только одно письмо, что файл принят к обработке и всё, тишина.. наверное, выходной у них. Часовой пояс GMT +3, время: 14:55.
Форум на базе vBulletin®
Copyright © Jelsoft Enterprises Ltd.
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.
Copyright © Jelsoft Enterprises Ltd.
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.