23.11.2019, 02:21 [+3 UTC]
в нашей команде: 3 986 чел. | участники онлайн: 0 (рекорд: 21)

:: РЕГИСТРАЦИЯ

задать вопрос

все разделы

правила

новости

участники

доска почёта

форум

блоги

поиск

статистика

наш журнал

наши встречи

наша галерея

отзывы о нас

поддержка

руководство

Версия системы:
7.78 (18.11.2019)
JS-v.1.34 | CSS-v.3.35

Общие новости:
28.04.2019, 09:13

Форум:
22.11.2019, 18:00

Последний вопрос:
23.11.2019, 00:52
Всего: 151032

Последний ответ:
22.11.2019, 21:37
Всего: 259443

Последняя рассылка:
22.11.2019, 22:15

Писем в очереди:
0

Мы в соцсетях:

Наша кнопка:

RFpro.ru - здесь вам помогут!

Отзывы о нас:
23.01.2010, 02:38 »
Lybares
отличное объяснение! Все подробно и понятно. Спасибо огромное эксперту. [вопрос № 176220, ответ № 258856]
24.11.2009, 14:39 »
AnarHist
Полезный познавательный ресурс. Пожалуй, зарегистрируюсь.
10.10.2012, 19:00 »
Екатерина
Большое спасибо!!! Вы просто гений!!! [вопрос № 186681, ответ № 271575]

РАЗДЕЛ • Антивирусная защита

Установка, настройка и выбор антивирусов, советы по лечению компьютеров.

[администратор рассылки: Сергей Фрост (Управляющий)]

Лучшие эксперты в этом разделе

Коцюрбенко Алексей Владимирович
Статус: Модератор
Рейтинг: 1378
Зенченко Константин Николаевич
Статус: Старший модератор
Рейтинг: 681
CradleA
Статус: Профессор
Рейтинг: 21

Перейти к консультации №:
 

Консультация онлайн # 144422
Автор вопроса: Макс Коваленко Юрьевич
Отправлена: 19.09.2008, 20:28
Поступило ответов: 0

Добрый день уважаемые эксперты.
У меня возник следующий вопрос к вам:
на рабочем компьютере появился вирус, который создаёт пустые папки с не приличным названием и видимо блокирует передачу данных на остальные компютеры сети. Так вышло что мой компьютер - сервер, и доступ в интернет с других машин в офисе после появления стал не возможен. Вот собственно почему меня этот вирус и тревожит. NOD его видит но удалить не может. Зараженные Файлы в папке System32 востонавливаются после удаления. ЧТО ДЕЛАТЬ?
Очень наднюсь на ваши ответы!!!

Состояние: Консультация закрыта

Oтветов пока не поступило.

Мини-форум консультации № 144422

Зенченко Константин Николаевич
Старший модератор

ID: 31795

# 1

= общий = | 19.09.2008, 20:38 | цитировать цитировать  | профиль профиль  |  отправить письмо в личную почту пейджер

Как NOD его называет?

=====
Мне безразлично, что Вы думаете о обо мне, но я рад за Вас - Вы начали думать.
smile

Макс Коваленко Юрьевич

# 2

= общий = | 19.09.2008, 20:44

Trojan ...точное название не помню но создаёт папку "ПОРНО ВИДЕО"
И В System32 заражает 3 файла. Все после удаления сразу востанавливаются

=====
Мне безразлично, что Вы думаете о обо мне, но я рад за Вас - Вы начали думать.
smile

Зенченко Константин Николаевич
Старший модератор

ID: 31795

# 3

= общий = | 19.09.2008, 21:56 | цитировать цитировать  | профиль профиль  |  отправить письмо в личную почту пейджер

Ну раз Вы точно не помните название, начнем постаринке.
Process Monitor v1.37. Вы можете скачать и записать на CD(на здоровой машине, а потом запустить на своей), либо запустить с сайта:

© Цитата:
Download Process Monitor (1.1 MB)
Run Process Monitor now from Live.Sysinternals.com

Выдаваемая информация разнообразная: все процессы в системе, работа с файлами и реестром. см. рисунок
Запускаете программу, удаляете эти 3-и файла и смотрите какая сволочь их востанавливает. Также вы сможете проследить и реестр какая ветка запускает востанавливающую заразу.
Так же можно проследить кто создает эту папку.

=====
Мне безразлично, что Вы думаете о обо мне, но я рад за Вас - Вы начали думать.
smile

Макс Коваленко Юрьевич

# 4

= общий = | 19.09.2008, 22:54

Спасибо. у меня появилась идея ипользовать Process Explorer и я даже нашел эту заразу. но удалятся в ручную она не захотелась . unlocker тоже не помог.
Одустим я удал 3 файла. где в Process Monitor я смогу увидеть кто их востонавливает? И тем более как увидеть эту ветку которая запускает востонал. заразу?
Если не трудно. опишите последовательность выполнения этих двух действий.

=====
Мне безразлично, что Вы думаете о обо мне, но я рад за Вас - Вы начали думать.
smile

Зенченко Константин Николаевич
Старший модератор

ID: 31795

# 5

= общий = | 20.09.2008, 01:11 | цитировать цитировать  | профиль профиль  |  отправить письмо в личную почту пейджер

Смотрите на рисунке дерево процесов(procces tree) там видно кто кого запускал(у меня smss.exe(580) ->csrss.ехе(652) и .тд.)
Как только Вы удали файлы, какой-то процесс ххх.ехе(после Вашей записи"delete file", на рисунке запись №18467 = кто : close file) нужно искать кто : copy file)по path вы найтете кто, это будет та сволочь которая их востонавливает.Это будет монитор вируса- в топку его. теперь нужно понять как он попадает в память.
Нужно проверить реестр на наличие этого имени в записях RUN | RUNONCE | RUNSERVICE | RUNSERVICEONCE (это только основные пути попадания вируса в память, есть ещё и другие(всего 29 штук(осталые очень трудоёмкие для вируса))) и если он там есть, то нужно понять кто его туда записывает:
- WinLogon = проверяется просто, нужно заменить(переименовать) на CMD.exe(сразу оговорюсь все изменения должны копироватся) Вы попадаете в командную строку
- WinLogoff = привыходе из системы записывает себя в любую ветку с ONCE , можно и это отследить, но проще выдернуть шнур питания(не рекомедуется, т.к. может HDD сломатся, хотя один раз можно), но тогда при стандартном выходе он не сможет себя происать в реестр на загрузку. Можно прописать и командную стоку.
- ещё могут быть плагины для IE, но это слишком сложно, хотя и возможно
Ну это пока всё. попробуйте узнать имя зверя(по NOD"у), тогда Вам можно будет подсказать более детально.
Удачи!

=====
Мне безразлично, что Вы думаете о обо мне, но я рад за Вас - Вы начали думать.
smile

Макс Коваленко Юрьевич

# 6

= общий = | 20.09.2008, 13:48

Большое вам спасибо

=====
Мне безразлично, что Вы думаете о обо мне, но я рад за Вас - Вы начали думать.
smile

 

Возможность оставлять сообщения в мини-форумах консультаций доступна только после входа в систему.
Воспользуйтесь кнопкой входа вверху страницы, если Вы зарегистрированы или пройдите простую процедуру регистрации на Портале.

Яндекс Rambler's Top100

главная страница | поддержка | задать вопрос

Время генерирования страницы: 0.18878 сек.

© 2001-2019, Портал RFPRO.RU, Россия
Калашников О.А.  |  Гладенюк А.Г.
Версия системы: 7.78 от 18.11.2019
Версия JS: 1.34 | Версия CSS: 3.35