Вирус?

Oct. 9th, 2015 12:52 pm
[identity profile] zmee-love.livejournal.com posting in [community profile] useful_faq
Уважаемые знатоки, у меня тут вопрос: вроде вирусяка какая-то завелась, что стандартными способами не лечится. Забивает папки файлами вида 635114526343867544.exe по 45 Кб. Числа в имени файла разные, размер и разрядность одинаковая. Кое-что вытирается AnVir Task Manager, но полностью не убивает. Обычные антивири не видят. Может кто сталкивался?
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Date: 2015-10-09 10:07 am (UTC)
From: [identity profile] irq-a.livejournal.com
Обычные - это какие? Мне частенько AVZ помогал.

Date: 2015-10-09 10:41 am (UTC)
From: [identity profile] zmee-love.livejournal.com
AVZ прогнал, даже не хрюкнул.

Date: 2015-10-09 10:30 am (UTC)
From: [identity profile] rus-from-tallin.livejournal.com

Попробуйте вот эту сканирующую диск бесплатную программу:

https://www.freedrweb.ru/download+cureit+free/?lng=ru

, она не требует установки, скачиваете, запускаете, сканируете. Имя файла скачивания этой программы CureIt сгенерировано генератором случайных чисел.

Edited Date: 2015-10-09 10:34 am (UTC)

Date: 2015-10-09 10:41 am (UTC)
From: [identity profile] zmee-love.livejournal.com
Увы, это было моим вторым действием.

Date: 2015-10-09 12:07 pm (UTC)
From: [identity profile] djdance.livejournal.com
китайский 360 пробовал?

Date: 2015-10-09 12:26 pm (UTC)
From: [identity profile] zmee-love.livejournal.com
Даже не слышал. Что за зверь?

Date: 2015-10-09 12:40 pm (UTC)
From: [identity profile] djdance.livejournal.com
да он прям так и гуглится , типа 360 Total Security (не реклама)
я на него вынужденно перевел все тачки, когда авось задолбал ежедневным спамом.

Date: 2015-10-09 01:23 pm (UTC)
From: [identity profile] zmee-love.livejournal.com
У меня рабочие на Comodo антивире сидят (не security, именно антивире). А дома вот что-то на винт намотал некрасивое. Попробую, спасибо.

Date: 2015-10-09 12:18 pm (UTC)
From: [identity profile] radolini.livejournal.com
Комбофикс.

Date: 2015-10-09 12:27 pm (UTC)
From: [identity profile] zmee-love.livejournal.com
Можно подробнее?

Date: 2015-10-09 01:06 pm (UTC)
From: [identity profile] radolini.livejournal.com
Утилита. Удаляет дрянь. Гугл прекрасно выдает и информацию, и ссылки на скачивание.

Date: 2015-10-09 01:26 pm (UTC)
From: [identity profile] zmee-love.livejournal.com
Спасибо, попробую.

Date: 2015-10-09 04:41 pm (UTC)
From: [identity profile] zmee-love.livejournal.com
Попробовал. Та же история: что-то нашел и удалил, о основная масса осталась. Ну, мне все равно винду давно пора переустановить, но неприятно таки. И как бы повторно не намотать.

Date: 2015-10-09 02:12 pm (UTC)
From: [identity profile] rambalac.livejournal.com
Get-ChildItem c:\ -Recurse | Where-Object {$_.Name -match "\d{18}.exe"} | Remove-Item -force

Date: 2015-10-09 08:56 pm (UTC)
From: [identity profile] zmee-love.livejournal.com
Вот этого вот не понял совсем.

Date: 2015-10-12 03:14 am (UTC)
From: [identity profile] rambalac.livejournal.com
Это скрипт PowerShell для удаление всех файлов с диска С, где имена из 18 цифр.

Date: 2015-10-24 11:25 pm (UTC)
From: [identity profile] svarttestare.livejournal.com
+100500 за повершел!

Date: 2015-10-09 02:16 pm (UTC)
From: [identity profile] ironlamer.livejournal.com
1. попробуйте http://www.emsisoft.ru/ru/software/eek/ Скачайте на флешку, обновите (желательно на заведомо чистом ПК) и просканируйте.
2. если ничего не помогло, то го на http://virusinfo.info/content.php?s=3ce6df6a58644ab1bd1c9173c954d14f

Date: 2015-10-09 04:47 pm (UTC)
ext_1775189: Bezenchuk (Bezenchuk)
From: [identity profile] spelller.livejournal.com
А содержимое файлов совпадает? А они действительно ехе-шники, или притворяются только?

Date: 2015-10-09 06:09 pm (UTC)
From: [identity profile] zmee-love.livejournal.com
Эм... Я не настолько продвинут, чтобы это выяснять.

Date: 2015-10-09 06:42 pm (UTC)
ext_1775189: Bezenchuk (Bezenchuk)
From: [identity profile] spelller.livejournal.com
Ну, совпадение файлов можно выяснить, например, командой:

fc /b [filename1] [filename2]

А исполняемый ли это модуль (exe, в частности), или только притворяется им, в первом приближении можно понять, открыв его, напримаер, блокнотом. Если в начале файла стоит "MZЋ" - это уже говорит о его природе ;)
Edited Date: 2015-10-09 06:43 pm (UTC)

Date: 2015-10-09 07:13 pm (UTC)
From: [identity profile] zmee-love.livejournal.com
Что ж я раньше их не открывал блокнотом, а? В общем, все файлы одинаковые, ну как -- все, те, что сравнил. В них одно и то же: [Visit anti ddos page (index.html)]. Впрочем, что мне это дало?

Date: 2015-10-11 11:34 am (UTC)
From: [identity profile] dariotestino.livejournal.com
https://forum.overclockers.ua/viewtopic.php?f=14&t=91727

Date: 2015-10-11 12:57 pm (UTC)
From: [identity profile] zmee-love.livejournal.com
Ой, вот спасибо вот огромное! Что бы я без вас делал? Помогли.

Date: 2015-10-10 07:34 pm (UTC)
From: [identity profile] dariotestino.livejournal.com
hitman pro alert?

Date: 2015-10-10 08:02 pm (UTC)
From: [identity profile] zmee-love.livejournal.com
Не криво ломаная есть?

Date: 2015-10-11 11:30 am (UTC)
From: [identity profile] dariotestino.livejournal.com
Подойдет?
http://rghost.ru/7JNVQw6gV

Date: 2015-10-11 12:55 pm (UTC)
From: [identity profile] zmee-love.livejournal.com
Спасибо! Попробую.

Date: 2015-10-12 12:10 pm (UTC)
From: [identity profile] ya-nsky.livejournal.com
вирус прячется в зараженной системе, возможно часть себя клонирует в оперативу и по этому антивирусы удаляют только его часть а при перезагрузке все по новой. можно попробовать програть еще раз прогами, которые что-то там в системе палили и затем после проверки и удаления нашедшей грязи не перезагрузить комп штатным способом, а нагло нажать на кнопку ресет.
но самый лучший способ, это снять винчестер, подцепить его к незераженной винде и той же, скажем, утилитой drweb полностью пройтись по системному разделу твоего диска. неактивированный вирус беззащитен и очаг выявится быстро. будь уверен, вирусня будет найдена там, где раньше чудесным образом не находилась.

Date: 2015-10-12 01:38 pm (UTC)
From: [identity profile] zmee-love.livejournal.com
То есть загружаясь в флешки-реаниматора и прогоняя винты свежими утилями я что-то не так делаю?

Date: 2015-10-12 02:03 pm (UTC)
From: [identity profile] ya-nsky.livejournal.com
ну если с флешки, то все так вроде бы делаешь.
но можно тогда попробовать более тяжелую артиллерию.
установить на здоровую систему обновленного касперского, цепануть к нему этот винт и проверить полностью еще разок. больше вариантов я не знаю.
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only