Главная Вход в систему Регистрация
Задать вопрос Консультации Пользователи Форум
О системе Помощь
Задать вопрос экспертам
Консультация № 144422
19.09.2008, 20:28
0.00 руб.
0 6 0
Компьютеры Программное обеспечение
Добрый день уважаемые эксперты.
У меня возник следующий вопрос к вам:
на рабочем компьютере появился вирус, который создаёт пустые папки с не приличным названием и видимо блокирует передачу данных на остальные компютеры сети. Так вышло что мой компьютер - сервер, и доступ в интернет с других машин в офисе после появления стал не возможен. Вот собственно почему меня этот вирус и тревожит. NOD его видит но удалить не может. Зараженные Файлы в папке System32 востонавливаются после удаления. ЧТО ДЕЛАТЬ?
Очень наднюсь на ваши ответы!!!

Обсуждение

давно
Зенченко Константин Николаевич
Старший Модератор
31795
6196
19.09.2008, 20:38
общий
Как NOD его называет?
Об авторе:
Мне безразлично, что Вы думаете о обо мне, но я рад за Вас - Вы начали думать.

Неизвестный
19.09.2008, 20:44
общий
Trojan ...точное название не помню но создаёт папку "ПОРНО ВИДЕО"
И В System32 заражает 3 файла. Все после удаления сразу востанавливаются
давно
Зенченко Константин Николаевич
Старший Модератор
31795
6196
19.09.2008, 21:56
общий
Ну раз Вы точно не помните название, начнем постаринке.
Process Monitor v1.37. Вы можете скачать и записать на CD(на здоровой машине, а потом запустить на своей), либо запустить с сайта:
Download Process Monitor (1.1 MB)
Run Process Monitor now from Live.Sysinternals.com

Выдаваемая информация разнообразная: все процессы в системе, работа с файлами и реестром. см. рисунок
Запускаете программу, удаляете эти 3-и файла и смотрите какая сволочь их востанавливает. Также вы сможете проследить и реестр какая ветка запускает востанавливающую заразу.
Так же можно проследить кто создает эту папку.
Об авторе:
Мне безразлично, что Вы думаете о обо мне, но я рад за Вас - Вы начали думать.

Неизвестный
19.09.2008, 22:54
общий
Спасибо. у меня появилась идея ипользовать Process Explorer и я даже нашел эту заразу. но удалятся в ручную она не захотелась . unlocker тоже не помог.
Одустим я удал 3 файла. где в Process Monitor я смогу увидеть кто их востонавливает? И тем более как увидеть эту ветку которая запускает востонал. заразу?
Если не трудно. опишите последовательность выполнения этих двух действий.
давно
Зенченко Константин Николаевич
Старший Модератор
31795
6196
20.09.2008, 01:11
общий
Смотрите на рисунке дерево процесов(procces tree) там видно кто кого запускал(у меня smss.exe(580) ->csrss.ехе(652) и .тд.)
Как только Вы удали файлы, какой-то процесс ххх.ехе(после Вашей записи"delete file", на рисунке запись №18467 = кто : close file) нужно искать кто : copy file)по path вы найтете кто, это будет та сволочь которая их востонавливает.Это будет монитор вируса- в топку его. теперь нужно понять как он попадает в память.
Нужно проверить реестр на наличие этого имени в записях RUN | RUNONCE | RUNSERVICE | RUNSERVICEONCE (это только основные пути попадания вируса в память, есть ещё и другие(всего 29 штук(осталые очень трудоёмкие для вируса))) и если он там есть, то нужно понять кто его туда записывает:
- WinLogon = проверяется просто, нужно заменить(переименовать) на CMD.exe(сразу оговорюсь все изменения должны копироватся) Вы попадаете в командную строку
- WinLogoff = привыходе из системы записывает себя в любую ветку с ONCE , можно и это отследить, но проще выдернуть шнур питания(не рекомедуется, т.к. может HDD сломатся, хотя один раз можно), но тогда при стандартном выходе он не сможет себя происать в реестр на загрузку. Можно прописать и командную стоку.
- ещё могут быть плагины для IE, но это слишком сложно, хотя и возможно
Ну это пока всё. попробуйте узнать имя зверя(по NOD"у), тогда Вам можно будет подсказать более детально.
Удачи!
Об авторе:
Мне безразлично, что Вы думаете о обо мне, но я рад за Вас - Вы начали думать.

Неизвестный
20.09.2008, 13:48
общий
Большое вам спасибо
Форма ответа