Перейти к содержанию
ANTISIMIT

достал вирус,msupdate.exe W32/Stration.gen

Recommended Posts

Сергей Ильин

Это Wazerov по классификации Symantec, McAfee и некоторых других вендоров.

Вот тут эта тема уже обсуждалась http://www.anti-malware.ru/phpbb/viewtopic.php?t=1305

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat
у кого есть опыт его удаления?

А какой тут опыт удаления нужен? :shock: Уровень опасности: очень низкий (Symantec, McAfee). Для лечения необходимо обновить базы антивируса и запустить полный скан. И все.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANTISIMIT

хватит умничать, работает по принципу,вируса воронеж, тоесть где сидит камулитив, постояное окно об удаление,

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat
хватит умничать, работает по принципу,вируса воронеж, тоесть где сидит камулитив, постояное окно об удаление,

Не хочется вам грубить, но может вы воспользуетесь советом от VirusInfo: Правила! Читать перед запросом о помощи! Иначе вам никто не поможет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alx19

ANTISIMIT

У меня была такая же проблема.

Сегодня отправил этот(msupdate.exe) файл в McAfee.

Сказали что завтра, как обновлю базы - будет его обрабатывать.

После моей прозьбы неделю назад Symantec его обрабатывает со вчерашнего дня.

Кстати можешь его послать на

www.virustotal.com (есть окно) чтобы убедиться что его уже многие видят.

McAfee мне прислал extra.dat но после его внедрения он только сообщает что там вирус, но все равно при запуске файла происходит заражение системы. С завтрашего дня (в обновлении от 251006) будет рулить и McAfee.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker
Не хочется вам грубить, но может вы воспользуетесь советом от VirusInfo: Правила! Читать перед запросом о помощи! Иначе вам никто не поможет.

Коллега, для начала давайте воспользуемся правилами этого форума.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Денис Лебедев

Мой знакомый отписался как он смог удалить его.

Зацитирую:

Долго мы его удаляли.Вот по нашим исследованиям как он вёл себя:Червь модифицирует себя до такой степени что его не видят многие антивирусы.Удаляется вручную.При запуске создает файлы с одинаковым именем и с разным расширением в корне WINDOWS - и за счет них живет. (serv, tserv и.т.д.).А в system32 уже рожает своих детей, причем так, что их не тронешь, потому что в AppInit_DLLs прописывает их имена.Антивирус если вовремя не поймал его, то сразу Station/Limar/Warezov его убивает - а конкретнее бьёт намертво службу. (включая службы фаирволов.) Чтобы поставить и заставить работать антивирус потребовалось в SAFE MODE удалить всё вредоносное из WINDOWS и SYSTEM32, и из AppInit_DLLs. .DLL файлы червя удалить не получится. Их просто переменовываем.Грузимся в нормальном режиме.Вируса нет. ставим Антивирус, сканируем его нету. Но не тут то было.Вновь несколько dll и один .exe ломятся в system32. (Но кстати этого может и не быть, смотря сколько жил до обнаружения) Их мочит антивирус, но это происходит вновь и вновь каждые минут пять.При этом сразу падают на подозрения что он качает себя из интернета или локально по шарам шарахается - но нет. Мы такого не наблюдали, хотя очень усердно мониторили.Он записывает себя в System Volume Information причем настолько модифицированным, что никто при сканировании ничего не найдет там.Убиваем там всё, и остатки в реестре бьём в:HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifyа так же убираем из автозапускаHKLMSoftwareMicrosoftWindowsCurrentVersionRunи в конце проверить что чисто в AppInit_DLLs.Впринципи так мы его и побороли.

Отписался он об этом вот здесь (на момент создания поста - самый низ комментов)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANTISIMIT

я его убил,из вс что мне нужно было это время которого не было и procexp.exe + редактор реестра,просто времиини не было личть в ручную, обычно в таких случаях помогает утилита удаления от доктора веба, но она тока видила вирус,пыталась удалять он снова плодил 2 файла,вопщем тема закрыта, всем спасибо,

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.

  • Сообщения

    • PR55.RP55
      Зачем эти крайности - хватит и половины команд. Вначале проверяется группа файлов на VT. и только после этого оператор переходит в меню Инфо. и работает. В плане удобства оптимален ? переход от Инфо. к Инфо.  т.е. Есть список файлов. Вошли в инфо... и  последовательно идём:  Инфо > Инфо > Инфо > Инфо > Инфо * * ( с учётом фильтра ) по ходу дела принимая решение считать ли файл проверенным, или удалить. Без всех этих метаний.
    • santy
      согласен, не пользуюсь этим, (удалить только файл, из контекста на полном имени файла) потому наверное и забыл уже. использую только удаление файлов или объектов в контексте Инфо. те, что никак не вписываются в автоскрипт. тогда придется все контекстное меню переносить. например, кто-то захочет проверку на VT/VScan выполнить из Инфо, запретить запуск файла, добавить сигнатуру... и т.д. потому что если удалить сразу файл, то потом уже никак это не сделать.  
    • alamor
      Наугад потыкал на разных файлах, строка в Инфо удалить только сам файл была на всех начиная от системных файлов и заканчивая рассширением браузеров. Так что ваш вывод похоже ошибочен. А прочитать о чём изначально речь не пробовали? Речь как раз про то что это неудобно. Если ещё на одном файле посмотреть ладно, а если хотя бы пять или больше, то уже начинает надоедать туда сюда скакать и ещё после того как вернёшься из Инфо надо смотреть, чтобы случайно на другой строке не кликнуть. Так что наверно оптимальный вариант был бы: 1) Добавить туда по ПКМ список этих команд для тех, кто привык вставлять команды мышкой (вместо того чтобы вернуться в основной список и там ПКМ отдать команду сразу можно будет отдать её из этого окна). 2) Добавить в этом окне поддержку стандартных горячих клавиш удаления и карантина, для тех кто привык вставлять команды горячими клавишами.
    • santy
    • santy
      можно, но только через контекстное меню.  а это все то же дополнительное нажатие ПКМ + еще и стрелку вниз/вверх для выбора элемента меню+ click, так что не факт что это будет проще и быстрее. вообщем рационализация спорная, имхо. можно после просмотра Инфо вернуться в список и использовать уже настроенное меню всевозможных удалений.  
×