Перейти к содержанию

Recommended Posts

kamerton

Доброе время суток.

В последние несколько дней появилась проблема.

Семантек постоянно находит в папке c:\temp файлы с именем "DWH3C40.tmp"и подобными по штук 12 за раз, делает назначенно действие, типа удаляет. Затем примерно через час или два снова находит в той же папке штук 12 таких вирусов и снова удаляет их. и так ежедневно происходит такая котовасия.

Посмотрел по ссылке предлагаемой о лечении сего чуда. Написано поставить последние базы, отключить востановление системы и сделать полный скан.

Сделал, он ничего не нашёл.

Черех время снова вылазит эта хрень..

как с ней бороться?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Семантек постоянно находит в папке c:\temp файлы

Какой продукт от Symantec и какого года используете?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kamerton

Есть предложения по лечению этой шушары?

А то ежедневно по 30-40 штук находит за раз.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DaTa

скорее всего что у вас руткит пересоздает тельце известного Симантеку вредоноса. Поначалу нужно убить скрытые службы и только потом удалять файлы

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kamerton

Чем порекомендуете найти эту сволочь?

Я прогнал АВЗ, он ничего не нашёл, посмотрел службы через него же, ничего подозрительного не вижу.

Но сволочь эта подолжает лезть....

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kamerton

Он меня уже достал!!

Помогите от этой сволочи избавиться, он с каждым днём их всё больше и больше ловит.. уже до 200 дошло буквально каждый час..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Помогите от этой сволочи избавиться, он с каждым днём их всё больше и больше ловит.. уже до 200 дошло буквально каждый час..

Попробуйте на одном из инфицированных ПК прогнать в агрессивном режиме Norton Power Eraser, только не спешите удалять то что он предложит - он может фолсить, так как это эвристический компонент

  • Upvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.

О, у меня тоже самое.

Только система чистая. Смотрел через лог АВЗ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kamerton

Прогнал этоой утилитой. В агресиввном режиме. Она мне нашла одну софтину и один файлик иконо, ну я удалил их на всякий случай. ну и на кучу длл файлов к клиенту МИРАНДА обругалась..

В результате ничего не изменилось..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kamerton

AVZ на Win7 при сканировании вообще вываливается постоянно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DaTa
AVZ на Win7 при сканировании вообще вываливается постоянно.

Отключите проверку кейлогеров.

Доброе время суток.

В последние несколько дней появилась проблема.

Семантек постоянно находит в папке c:\temp файлы с именем "DWH3C40.tmp"и подобными по штук 12 за раз, делает назначенно действие, типа удаляет. Затем примерно через час или два снова находит в той же папке штук 12 таких вирусов и снова удаляет их. и так ежедневно происходит такая котовасия.

Посмотрел по ссылке предлагаемой о лечении сего чуда. Написано поставить последние базы, отключить востановление системы и сделать полный скан.

Сделал, он ничего не нашёл.

Черех время снова вылазит эта хрень..

как с ней бороться?

Вполне возможно что у вас руткит или хорошо прятающийся троян за легитимными файлами. Для начала зделайте лог GMER'a.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kamerton

Вот лог прикрепил. может чего интересного там увидите, за ранее благодарю..

Gmer.txt

Gmer.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DaTa
Вот лог прикрепил. может чего интересного там увидите, за ранее благодарю..

Не совсем уверен, но множественные копии MBR выглядят как то странновато. Возможно Вы используете утилиту которая "страхует" MBR или у Вас появился Backdoor.Win32.Sinowal, или очередная модификация TDSS(Backdoor.Tidserv - Symantec;Win32/Alureon - Microsoft;Win32/Olmarik - Eset;Rootkit.Win32.Tdss - Kaspersky) - она тоже может и умеет работать с MBR.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

kamerton

http://avptool.ru/forum/ рекомендую для начала воспользоваться этим сервисом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kamerton

Честно сказать я голову слома что бы вылечиться, каким то волшебным образом он как то исчез в неизвестном направлении. При это сканировал разными утилитам и от касперского в том числе. ни одна ничего не нашла. После касперского мой профиль вообще заблокировался. Благо был друой пользователь и тоже админ, как оказалось в реестре нужно было сменить одно значение и профиль ожил. после этого и сообщения больше не выскакивало об обнаружении сей заразы.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

kamerton

И тем не менее я повторно рекомендую воспользоваться сервисом KL 911. Хотя бы для успокоения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Dima2_90
      Об особенностях сканирования исполняемых файлов антивирусами и доверии результатам VirusTotal - https://habr.com/post/346480/ Цитаты из статьи "Забавно, детект уменьшился с 60 для неупакованного файла и 41 для архива до 17 — при этом ни один из антивирусных движков не обнаружил Eicar, детекты явно имеют эвристический характер, а в ряде случаев напоминают ложное срабатывание (DrWeb, Baidu и др.)" "6 детектов из 67. Шесть, Карл! Все — эвристические. И скорее всего ничего не подозревающий пользователь посчитает файл безопасным." "современные антивирусные сканеры так и остались барахлом, которым были десяток-два лет назад, абсолютно пасующим перед простейшими видами упаковки кода. Решения в виде тестовых сред — «песочниц», эвристических анализаторов и т.д. только добавили неразберихи, ложных срабатываний, но по сути не защищают от реальной угрозы. Со старым, открытым и разжёванным до потрохов UPX как был бардак — так он и остался. А ведь я вполне мог упаковать не файл, вызывающий вредоносную активность, а непосредственно код, работать не с файлами на диске в %temp%, а в памяти, использовать не свободно доступные утилиты, а собственные или закрытые разработки — и таким образом обойти срабатывание резидентной защиты. Я вполне мог добавить интересные элементы интерфейса или скопировать таковой из распространённой программы — и обойти проактивку у неискушённого пользователя, который просто будет соглашаться с любыми запросами, доверяя тому, что запустил.

      То, что мы сделали выше — примитивный способ обмануть антивирус, который может понять и реализовать практически любой. И он сработал. Что говорить про искушённых специалистов!"
    • Dima2_90
      Ad-Aware --------- https://www.adaware.com/support/securitycenter/report_false_positives.php  Antiy-AVL --------- [email protected] Avast --------------- https://www.avast.ru/false-positive-file-form.php AVG ---------------- https://www.avg.com/ru-ru/false-positive-file-form Avira --------------- https://analysis.avira.com/en/submit BitDefender -------- https://www.bitdefender.com/submit/ ClamAV ------------ http://www.clamav.net/reports/fp DrWeb ------------- https://vms.drweb.ua/sendvirus ESET-NOD32 ------- https://www.esetnod32.ru/support/knowledge_base/new_virus/ Kaspersky --------- https://virusdesk.kaspersky.ru/ Microsoft ---------- https://www.microsoft.com/en-us/wdsi/filesubmission NANO-Antivirus ---- http://nanoav.ru/index.php?option=com_content&view=article&id=15&Itemid=83&lang=ru Symantec ---------- https://submit.symantec.com/false_positive/
    • Липковский Борис
      Вдруг понадобится, спасибо за информацию.
    • Липковский Борис
      Я собираю с разных стран магнитики. Это очень круто.
    • Липковский Борис
      Каждый находит свое увлечение.Заработок зависит от работы которую ты умеешь делать на отлично. Самое главное если есть время.
×