Перейти к содержанию
ANTISIMIT

достал вирус,msupdate.exe W32/Stration.gen

Recommended Posts

ANTISIMIT

у кого есть опыт его удаления?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Это Wazerov по классификации Symantec, McAfee и некоторых других вендоров.

Вот тут эта тема уже обсуждалась http://www.anti-malware.ru/phpbb/viewtopic.php?t=1305

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat
у кого есть опыт его удаления?

А какой тут опыт удаления нужен? :shock: Уровень опасности: очень низкий (Symantec, McAfee). Для лечения необходимо обновить базы антивируса и запустить полный скан. И все.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANTISIMIT

хватит умничать, работает по принципу,вируса воронеж, тоесть где сидит камулитив, постояное окно об удаление,

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat
хватит умничать, работает по принципу,вируса воронеж, тоесть где сидит камулитив, постояное окно об удаление,

Не хочется вам грубить, но может вы воспользуетесь советом от VirusInfo: Правила! Читать перед запросом о помощи! Иначе вам никто не поможет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alx19

ANTISIMIT

У меня была такая же проблема.

Сегодня отправил этот(msupdate.exe) файл в McAfee.

Сказали что завтра, как обновлю базы - будет его обрабатывать.

После моей прозьбы неделю назад Symantec его обрабатывает со вчерашнего дня.

Кстати можешь его послать на

www.virustotal.com (есть окно) чтобы убедиться что его уже многие видят.

McAfee мне прислал extra.dat но после его внедрения он только сообщает что там вирус, но все равно при запуске файла происходит заражение системы. С завтрашего дня (в обновлении от 251006) будет рулить и McAfee.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker
Не хочется вам грубить, но может вы воспользуетесь советом от VirusInfo: Правила! Читать перед запросом о помощи! Иначе вам никто не поможет.

Коллега, для начала давайте воспользуемся правилами этого форума.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Денис Лебедев

Мой знакомый отписался как он смог удалить его.

Зацитирую:

Долго мы его удаляли.Вот по нашим исследованиям как он вёл себя:Червь модифицирует себя до такой степени что его не видят многие антивирусы.Удаляется вручную.При запуске создает файлы с одинаковым именем и с разным расширением в корне WINDOWS - и за счет них живет. (serv, tserv и.т.д.).А в system32 уже рожает своих детей, причем так, что их не тронешь, потому что в AppInit_DLLs прописывает их имена.Антивирус если вовремя не поймал его, то сразу Station/Limar/Warezov его убивает - а конкретнее бьёт намертво службу. (включая службы фаирволов.) Чтобы поставить и заставить работать антивирус потребовалось в SAFE MODE удалить всё вредоносное из WINDOWS и SYSTEM32, и из AppInit_DLLs. .DLL файлы червя удалить не получится. Их просто переменовываем.Грузимся в нормальном режиме.Вируса нет. ставим Антивирус, сканируем его нету. Но не тут то было.Вновь несколько dll и один .exe ломятся в system32. (Но кстати этого может и не быть, смотря сколько жил до обнаружения) Их мочит антивирус, но это происходит вновь и вновь каждые минут пять.При этом сразу падают на подозрения что он качает себя из интернета или локально по шарам шарахается - но нет. Мы такого не наблюдали, хотя очень усердно мониторили.Он записывает себя в System Volume Information причем настолько модифицированным, что никто при сканировании ничего не найдет там.Убиваем там всё, и остатки в реестре бьём в:HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifyа так же убираем из автозапускаHKLMSoftwareMicrosoftWindowsCurrentVersionRunи в конце проверить что чисто в AppInit_DLLs.Впринципи так мы его и побороли.

Отписался он об этом вот здесь (на момент создания поста - самый низ комментов)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANTISIMIT

я его убил,из вс что мне нужно было это время которого не было и procexp.exe + редактор реестра,просто времиини не было личть в ручную, обычно в таких случаях помогает утилита удаления от доктора веба, но она тока видила вирус,пыталась удалять он снова плодил 2 файла,вопщем тема закрыта, всем спасибо,

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.

  • Сообщения

    • santy
      Приветствую, SQx Скажи, в данной системе новые задачи (создаваемые из под Wn11), тоже попадали в папку C:\Windows\System32\Tasks_Migrated или в стандартную C:\Windows\System32\Tasks?
    • SQx
      Здравствуйте,

      Нам недавно попалась интересная тема на cyberforum, в которой дефендер находил вредоносную активность, но при этом утилитам нам не удалось найти.

      Как оказалось майнер восстанавливался из планировщика задач, но не стандартного, а мигрированого: C:\Windows\System32\Tasks_Migrated\Microsoft\Windows\Wininet Хотел бы уточнить у Вас,  если можете добавить его в uVS.

      P.S. Есть идея, что при апгрейде системы в случае если задачи корректно не перенеслись,  появиляется папка Tasks_Migrated. 

      Спасибо.
    • Ego Dekker
      Домашние антивирусы ESET были обновлены до версии 15.2.11.
    • PR55.RP55
    • PR55.RP55
      Microsoft  в Win11 ( на канале Dev.) - добавила новую функцию, позволяющую получить полный список приложений, которые в последнее время запрашивали доступ к конфиденциальной информации, включая камеру, микрофон и контакты. Новая функция также отслеживает программы, получившие за последнюю неделю доступ к данным местоположения, телефонным звонкам, переписке и скриншотам. https://www.comss.ru/page.php?id=10641 Возможно функция (  или её дальнейшее развитие ) будут полезны.      
×