08.07.2020, 02:38 [+3 UTC]
в нашей команде: 4 662 чел. | участники онлайн: 1 (рекорд: 21)

:: РЕГИСТРАЦИЯ

задать вопрос

все разделы

правила

новости

участники

доска почёта

форум

блоги

поиск

статистика

наш журнал

наши встречи

наша галерея

отзывы о нас

поддержка

руководство

Версия системы:
7.89 (25.04.2020)
JS-v.1.45 | CSS-v.3.39

Общие новости:
13.04.2020, 00:02

Форум:
07.07.2020, 19:11

Последний вопрос:
07.07.2020, 13:03
Всего: 152720

Последний ответ:
07.07.2020, 15:43
Всего: 260322

Последняя рассылка:
07.07.2020, 20:15

Писем в очереди:
0

Мы в соцсетях:

Наша кнопка:

RFpro.ru - здесь вам помогут!

Отзывы о нас:
23.02.2012, 11:27 »
Дебелов Владимир Валентинович
Владислав, Спасибо вам большое за помощ!!! [вопрос № 185466, ответ № 270021]

РАЗДЕЛ • Антивирусная защита

Установка, настройка и выбор антивирусов, советы по лечению компьютеров.

[администратор рассылки: Сергей Фрост (Управляющий)]

Лучшие эксперты в этом разделе

Коцюрбенко Алексей Владимирович
Статус: Старший модератор
Рейтинг: 1050
Зенченко Константин Николаевич
Статус: Старший модератор
Рейтинг: 303
SAW
Статус: 10-й класс
Рейтинг: 105

Перейти к консультации №:
 

Консультация онлайн # 144422
Автор вопроса: Макс Коваленко Юрьевич
Отправлена: 19.09.2008, 20:28
Поступило ответов: 0

Добрый день уважаемые эксперты.
У меня возник следующий вопрос к вам:
на рабочем компьютере появился вирус, который создаёт пустые папки с не приличным названием и видимо блокирует передачу данных на остальные компютеры сети. Так вышло что мой компьютер - сервер, и доступ в интернет с других машин в офисе после появления стал не возможен. Вот собственно почему меня этот вирус и тревожит. NOD его видит но удалить не может. Зараженные Файлы в папке System32 востонавливаются после удаления. ЧТО ДЕЛАТЬ?
Очень наднюсь на ваши ответы!!!

Состояние: Консультация закрыта

Oтветов пока не поступило.

Мини-форум консультации № 144422

Зенченко Константин Николаевич
Старший модератор

ID: 31795

# 1

= общий = | 19.09.2008, 20:38 | цитировать цитировать  | профиль профиль  |  отправить письмо в личную почту пейджер

Как NOD его называет?

=====
Мне безразлично, что Вы думаете о обо мне, но я рад за Вас - Вы начали думать.
smile

Макс Коваленко Юрьевич

# 2

= общий = | 19.09.2008, 20:44

Trojan ...точное название не помню но создаёт папку "ПОРНО ВИДЕО"
И В System32 заражает 3 файла. Все после удаления сразу востанавливаются

=====
Мне безразлично, что Вы думаете о обо мне, но я рад за Вас - Вы начали думать.
smile

Зенченко Константин Николаевич
Старший модератор

ID: 31795

# 3

= общий = | 19.09.2008, 21:56 | цитировать цитировать  | профиль профиль  |  отправить письмо в личную почту пейджер

Ну раз Вы точно не помните название, начнем постаринке.
Process Monitor v1.37. Вы можете скачать и записать на CD(на здоровой машине, а потом запустить на своей), либо запустить с сайта:

© Цитата:
Download Process Monitor (1.1 MB)
Run Process Monitor now from Live.Sysinternals.com

Выдаваемая информация разнообразная: все процессы в системе, работа с файлами и реестром. см. рисунок
Запускаете программу, удаляете эти 3-и файла и смотрите какая сволочь их востанавливает. Также вы сможете проследить и реестр какая ветка запускает востанавливающую заразу.
Так же можно проследить кто создает эту папку.

=====
Мне безразлично, что Вы думаете о обо мне, но я рад за Вас - Вы начали думать.
smile

Макс Коваленко Юрьевич

# 4

= общий = | 19.09.2008, 22:54

Спасибо. у меня появилась идея ипользовать Process Explorer и я даже нашел эту заразу. но удалятся в ручную она не захотелась . unlocker тоже не помог.
Одустим я удал 3 файла. где в Process Monitor я смогу увидеть кто их востонавливает? И тем более как увидеть эту ветку которая запускает востонал. заразу?
Если не трудно. опишите последовательность выполнения этих двух действий.

=====
Мне безразлично, что Вы думаете о обо мне, но я рад за Вас - Вы начали думать.
smile

Зенченко Константин Николаевич
Старший модератор

ID: 31795

# 5

= общий = | 20.09.2008, 01:11 | цитировать цитировать  | профиль профиль  |  отправить письмо в личную почту пейджер

Смотрите на рисунке дерево процесов(procces tree) там видно кто кого запускал(у меня smss.exe(580) ->csrss.ехе(652) и .тд.)
Как только Вы удали файлы, какой-то процесс ххх.ехе(после Вашей записи"delete file", на рисунке запись №18467 = кто : close file) нужно искать кто : copy file)по path вы найтете кто, это будет та сволочь которая их востонавливает.Это будет монитор вируса- в топку его. теперь нужно понять как он попадает в память.
Нужно проверить реестр на наличие этого имени в записях RUN | RUNONCE | RUNSERVICE | RUNSERVICEONCE (это только основные пути попадания вируса в память, есть ещё и другие(всего 29 штук(осталые очень трудоёмкие для вируса))) и если он там есть, то нужно понять кто его туда записывает:
- WinLogon = проверяется просто, нужно заменить(переименовать) на CMD.exe(сразу оговорюсь все изменения должны копироватся) Вы попадаете в командную строку
- WinLogoff = привыходе из системы записывает себя в любую ветку с ONCE , можно и это отследить, но проще выдернуть шнур питания(не рекомедуется, т.к. может HDD сломатся, хотя один раз можно), но тогда при стандартном выходе он не сможет себя происать в реестр на загрузку. Можно прописать и командную стоку.
- ещё могут быть плагины для IE, но это слишком сложно, хотя и возможно
Ну это пока всё. попробуйте узнать имя зверя(по NOD"у), тогда Вам можно будет подсказать более детально.
Удачи!

=====
Мне безразлично, что Вы думаете о обо мне, но я рад за Вас - Вы начали думать.
smile

Макс Коваленко Юрьевич

# 6

= общий = | 20.09.2008, 13:48

Большое вам спасибо

=====
Мне безразлично, что Вы думаете о обо мне, но я рад за Вас - Вы начали думать.
smile

 

Возможность оставлять сообщения в мини-форумах консультаций доступна только после входа в систему.
Воспользуйтесь кнопкой входа вверху страницы, если Вы зарегистрированы или пройдите простую процедуру регистрации на Портале.

Rambler's Top100

главная страница | поддержка | задать вопрос

Время генерирования страницы: 0.14945 сек.

© 2001-2020, Портал RFPRO.RU, Россия
Калашников О.А.  |  Гладенюк А.Г.
Версия системы: 7.89 от 25.04.2020
Версия JS: 1.45 | Версия CSS: 3.39