Перейти к содержанию
ANTISIMIT

достал вирус,msupdate.exe W32/Stration.gen

Recommended Posts

ANTISIMIT

у кого есть опыт его удаления?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Это Wazerov по классификации Symantec, McAfee и некоторых других вендоров.

Вот тут эта тема уже обсуждалась http://www.anti-malware.ru/phpbb/viewtopic.php?t=1305

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat
у кого есть опыт его удаления?

А какой тут опыт удаления нужен? :shock: Уровень опасности: очень низкий (Symantec, McAfee). Для лечения необходимо обновить базы антивируса и запустить полный скан. И все.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANTISIMIT

хватит умничать, работает по принципу,вируса воронеж, тоесть где сидит камулитив, постояное окно об удаление,

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat
хватит умничать, работает по принципу,вируса воронеж, тоесть где сидит камулитив, постояное окно об удаление,

Не хочется вам грубить, но может вы воспользуетесь советом от VirusInfo: Правила! Читать перед запросом о помощи! Иначе вам никто не поможет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alx19

ANTISIMIT

У меня была такая же проблема.

Сегодня отправил этот(msupdate.exe) файл в McAfee.

Сказали что завтра, как обновлю базы - будет его обрабатывать.

После моей прозьбы неделю назад Symantec его обрабатывает со вчерашнего дня.

Кстати можешь его послать на

www.virustotal.com (есть окно) чтобы убедиться что его уже многие видят.

McAfee мне прислал extra.dat но после его внедрения он только сообщает что там вирус, но все равно при запуске файла происходит заражение системы. С завтрашего дня (в обновлении от 251006) будет рулить и McAfee.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker
Не хочется вам грубить, но может вы воспользуетесь советом от VirusInfo: Правила! Читать перед запросом о помощи! Иначе вам никто не поможет.

Коллега, для начала давайте воспользуемся правилами этого форума.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Денис Лебедев

Мой знакомый отписался как он смог удалить его.

Зацитирую:

Долго мы его удаляли.Вот по нашим исследованиям как он вёл себя:Червь модифицирует себя до такой степени что его не видят многие антивирусы.Удаляется вручную.При запуске создает файлы с одинаковым именем и с разным расширением в корне WINDOWS - и за счет них живет. (serv, tserv и.т.д.).А в system32 уже рожает своих детей, причем так, что их не тронешь, потому что в AppInit_DLLs прописывает их имена.Антивирус если вовремя не поймал его, то сразу Station/Limar/Warezov его убивает - а конкретнее бьёт намертво службу. (включая службы фаирволов.) Чтобы поставить и заставить работать антивирус потребовалось в SAFE MODE удалить всё вредоносное из WINDOWS и SYSTEM32, и из AppInit_DLLs. .DLL файлы червя удалить не получится. Их просто переменовываем.Грузимся в нормальном режиме.Вируса нет. ставим Антивирус, сканируем его нету. Но не тут то было.Вновь несколько dll и один .exe ломятся в system32. (Но кстати этого может и не быть, смотря сколько жил до обнаружения) Их мочит антивирус, но это происходит вновь и вновь каждые минут пять.При этом сразу падают на подозрения что он качает себя из интернета или локально по шарам шарахается - но нет. Мы такого не наблюдали, хотя очень усердно мониторили.Он записывает себя в System Volume Information причем настолько модифицированным, что никто при сканировании ничего не найдет там.Убиваем там всё, и остатки в реестре бьём в:HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifyа так же убираем из автозапускаHKLMSoftwareMicrosoftWindowsCurrentVersionRunи в конце проверить что чисто в AppInit_DLLs.Впринципи так мы его и побороли.

Отписался он об этом вот здесь (на момент создания поста - самый низ комментов)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANTISIMIT

я его убил,из вс что мне нужно было это время которого не было и procexp.exe + редактор реестра,просто времиини не было личть в ручную, обычно в таких случаях помогает утилита удаления от доктора веба, но она тока видила вирус,пыталась удалять он снова плодил 2 файла,вопщем тема закрыта, всем спасибо,

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×