Перейти к содержанию
ANTISIMIT

QLowZones-15 помгите не могу понять как убить этого гада

Recommended Posts

ANTISIMIT

очень похож на вирус воронеж, какие будут сооброжения,

антиврь находит егов папке , удалить безполезно где то сидит камулитив для запуска., в процесах не виден так как стартует через эхплоер и мозилу, оперу не трогает..

C:Documents and Settings1Local SettingsTemporary Internet FilesContent.IE5UJ67IJCFbgates[5].exe

bgates.rar

bgates.rar

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets

KIS 6 не пробовал? Он этого зловреда попытается убить как активное заражение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

VirusTotal.com:

AntiVir 6.35.0.20 07.04.2006 TR/Dialer.PZ.3

Authentium 4.93.8 07.03.2006 no virus found

Avast 4.7.844.0 07.03.2006 no virus found

AVG 386 07.04.2006 Dialer.BZB

BitDefender 7.2 07.04.2006 Trojan.Dialer.QL

CAT-QuickHeal 8.00 07.04.2006 no virus found

ClamAV devel-20060426 07.04.2006 no virus found

DrWeb 4.33 07.04.2006 Dialer.Silent

eTrust-InoculateIT 23.72.59 07.04.2006 no virus found

eTrust-Vet 12.6.2285 07.04.2006 Win32/DlStwoyle!generic

Ewido 3.5 07.04.2006 Trojan.Dialer.pz

Fortinet 2.77.0.0 07.03.2006 no virus found

F-Prot 3.16f 07.03.2006 no virus found

F-Prot4 4.2.1.29 07.03.2006 no virus found

Ikarus 0.2.65.0 07.04.2006 no virus found

Kaspersky 4.0.2.24 07.04.2006 Trojan.Win32.Dialer.pz

McAfee 4799 07.04.2006 QLowZones-15

Microsoft 1.1481 07.01.2006 no virus found

NOD32v2 1.1643 07.04.2006 no virus found

Norman 5.90.23 07.04.2006 W32/Dialer.AABT

Panda 9.0.0.4 07.04.2006 Dialer.HIX

Sophos 4.07.0 07.04.2006 no virus found

Symantec 8.0 07.04.2006 no virus found

TheHacker 5.9.8.168 07.03.2006 no virus found

UNA 1.83 07.03.2006 Trojan.Win32.Dialer

VBA32 3.11.0 07.04.2006 Trojan.Win32.Dialer.pz

VirusBuster 4.3.7:9 07.03.2006 no virus found

Видно, что большинство антивирей его не видит.

антиврь находит егов папке

Какой из антивирусов?

KIS 6 не пробовал? Он этого зловреда попытается убить как активное заражение.

Что есть попытается. Есть сигнатуры в базе - чего б обычным путём не пойти?

Если пробовать KIS, то, если не поможет, можно попробовать и CureIt! (всегда бесплатно):

http://download.drweb.com/drweb+cureit/

Удачи.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
Видно, что большинство антивирей его не видит.

Этот Trojan.Win32.Dialer сейчас разбушевался с версиями =) В субботу я видел ещё одну его версию (другую), её ещё меньше антивирусов на тот момент знало. Точнее знал только DrWeb и ещё двое или трое подозревали эвристиками. И КАВ не знал, пока не послали им в субботу.

Что есть попытается. Есть сигнатуры в базе - чего б обычным путём не пойти?

Насколько мне известно, это "активная угроза". В смысле, его так просто не удалишь. Он назад возвращается тут же. Насколько я понял, именно поэтому антивирус у чела его и не убил. Либо он просто лочится, что тоже бывает. Соответственно, "лечение активного заражения" КИС как раз для таких и предназначено. Ещё Unlocker может помочь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANTISIMIT

макккафе интепрайз, видит мочит, причем вирь стартует тока при запуске мозилы и эксплоера, оперу не трогает,

Добавлено спустя 3 минуты 9 секунд:

макккафе интепрайз, видит мочит, причем вирь стартует тока при запуске мозилы и эксплоера, оперу не трогает,

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
макккафе интепрайз, видит мочит, причем вирь стартует тока при запуске мозилы и эксплоера, оперу не трогает,

Попробуйте скачать свежий CureIt!, запустить его в безопасном режиме Windows и просканировать весь винчестер.

О результатах (количестве и качестве найденного) сообщите сюда.

Просто интересно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANTISIMIT

макккафе интепрайз, видит мочит, причем вирь стартует тока при запуске мозилы и эксплоера, оперу не трогает,

Добавлено спустя 2 минуты 47 секунд:

http://www.lavasoftsupport.com/index.php?showtopic=1398

знал бы английский, то обизетельно что не будь тут нашел.

__________.JPG

post-12-1152078637.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANTISIMIT

вроде вылечил, патом скажу как,

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

Рез

вроде как утилита от веба помогла

Можно ли узнать, сколько экземпляров и каких гадов поймалось - для информации?

Спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANTISIMIT

[Проверяемый путь] C:WINDOWS.0system32winqtd32.dll

C:WINDOWS.0system32winqtd32.dll инфицирован BackDoor.Vocc - будет исцелен после рестарта

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×