|
Вполне вероятно, что вы не удалили все, а удалили лишь его часть.
MVP Consumer Security
Microsoft Security Trusted Advisor
KL DSSE, ACT
Угу,а оболочка,например,осталась...
Вирус состоит из нескольких файлов, каждый из которых по отдельности вирусом не является.
Есть еще такие гадости как реверсивные (инициативные) трояны. Ой сколько гадости есть!
MVP Consumer Security
Microsoft Security Trusted Advisor
KL DSSE, ACT
Если присутствуют все части - обнаруживается. По отдельности - нет. Но по отдельности и нет активности. Т.е. Загружается часть 1 Идет проверка на наличие части 2, если ее нет - подгружается по запросу с сайта какого-то. Далее - вместе несут вредоносную активность. Удалили часть 1 - часть 2 проверяет ее нет - догружает имеем опять активность. И т.д. Т.е. удаляется полностью только при удалении обеих частей. Так удалять умеют не все антивирусы. Вот и все. Известны такие технологии уже несколько лет
MVP Consumer Security
Microsoft Security Trusted Advisor
KL DSSE, ACT
Просмотрел его действия через Фаервол...
Прячется в Temp
висят активные 2 процесса.
через Iexplorer качает 2 файла нужных ему...
потом пытается получить доступ к rcp control\ntsvcs и DNSREsolver(не знаю что это,Но думаю,что что-то важное),
Cybercop
Спасибо за фаервол-видно все пошагово,что он хочет сделать и легко можно заблокировать злобно хихикая)
ЗЫ:затолкал те два процеса в карантин(называются winljiluj.exe и winuxqxv.exe,прятались в Temp)
Зыы:нашел еще несколько еще составных:wintkbyu.exe,Главный файл exhn.exe
Размеры всех файлов 8кб
Последний раз редактировалось DeaDLock; 12.10.2008 в 23:18.
Ап:dxlyo.exe rttri.exe пытаются добавить себя в регистре во вкладке фаервола как доверенные программы.
rttri.exe-эвристический анализ показал,что это почтовый вирус
ЗЫ:несколько из exe файлов хотели подключиться через интернет к удаленному компьютеру.Как ни смешно,но IP является ipом одного из впн моего провайдера...
Ап:еще один кусок=winqqlmbv.exe и hgrhi.exe
Откуда столько ехе файлов?
Последний раз редактировалось DeaDLock; 13.10.2008 в 10:01.
А когда эти файлы были созданы - уже после чистки сиситемы (удалении всех екзешников?)? Можно посмотреть в свойствах файла - врядли вирус будет менять дату.
Если все же после, то нужно серьезно пересмотреть весь испоьзуемый софт, особенно ломаный.
И какие поставил антивирус, файрвол?
На асе можно только сообщения писать)). На ассемблере (асме) пишут.
Не,я не удалял.не могу удалить,этот гад запретил себя удалять.А вот все действия через фаерфол я ему заблокировал.
Ап:еще один екзешник ebaujo.exe
ап:nknir.exe
Ап:winxjek.exe
Ап:winfklx.exe
Ап:winanel.exe
Ап:winljpoqi.exe
Ап:gkrnxw.exe
Ап:winfcohk.exe
Ап:gkrnxw.exe
Ап:rffmno.exe
Ап:idwbth.exe
Ап:winvvtv.exe
Ап:duiyqt.exe
Знаете,я уже запарился им ставить ограничения на действия))
Ап:winsavbpk.exe
Последний раз редактировалось DeaDLock; 13.10.2008 в 19:34.
http://technet.microsoft.com/en-us/sysinternals/bb897556.aspx
Или попробуй любую чистую ОС. Из-под неё всё лишнее удалить.
Симулянт - несуществующий обьект, который прикидывается существующим
Да уже предлагали взять у любого блин знакомого диск спасения из-под антивируса Касперского, загрузиться и удалить, так нет
MVP Consumer Security
Microsoft Security Trusted Advisor
KL DSSE, ACT
Учитывая, что в слове всего 3 буквы, то таки да, 1 буква - это много.Сообщение от rupreht
Боже, трагедия,букву пропустил...
DeaDLock, когда ты уже воспользуешься хоть одним из советов? Есть проблемы с загрузочным диском? Можно еще попробовать бесплатный антивирус с новыми базами (но не обнавляемыми) FREE Dr.Web CureIt!, он не требует интсаляции, поэтому проблем возникнуть не должно. Качать нужно обязательно с сайта новым, чтоб иметь актуальную вирусную базу данных. Качать отсюда.
Дык,мне скучно жить))
Я уже один раз от него избавился,но забыл о PSP который подсоединял, когда компьютер был инфицирован.Теперь при подключении PSP заразил систему.вечером опять все почищу))
Социальные закладки