Перейти к содержанию
Kokunov Aleksey

Столкнутся с вирусом Worm.Win32.Viking.iy, есть проблемы...

Recommended Posts

A.
Посмотрите на эту картинку:

cureit_445.jpg

Там есть файлы которые идут под грифом "неизлечимо - перемещено"

Я не акцентировал вопрос на мусоре!

Я еще раз повторяю, может мне досталась вря которая портит файлы при заражении, никто не может что ли посмотреть и сказать можно ли восстановить зареженные файлы?

Показываете картинку от Веба, а спрашиваете про KIS ...

никто не может что ли посмотреть и сказать можно ли восстановить зареженные файлы?

куда смотреть-то ???????

Второй день на картинки смотрим. Про desktop.ini читаем.

Хотелось бы конечно, если вас не затруднит, прислать, пожалуйста, файлы, хоть куда-нибудь, а ?

P.S. Все самплы _зараженные_ Viking.iy, имеющиеся в _нашей_ коллекции - ЛЕЧАТСЯ. Вчера же еще написал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Так выложи на файлообменнике виря. а тут в личку пароль к архиву кинь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kokunov Aleksey

Кстати - большой минус куреит - из карантина хрен что восстановишь, куда какой файл восстанавливать - фиг его знает....

install.exe

install0.exe

install1.exe

setu0999.exe

Setu1999.exe

setu2999.exe

SETU3999.EXE

SETU4999.EXE

Setu5999.exe

setup.exe

Setup__0.exe

setup__1.exe

setup__2.exe

Setup__3.exe

setup__4.exe

Setup__5.exe

setup__6.exe

setup__7.exe

setup__8.exe

Setup__9.exe

Setup_09.exe

setup_19.exe

Setup_29.exe

setup_39.exe

Setup_49.exe

Setup_59.exe

Setup_69.exe

Setup_79.exe

Setup_89.exe

Setup_99.exe

setup099.exe

setup199.exe

setup299.exe

setup399.exe

setup499.exe

setup599.exe

Setup699.exe

setup799.exe

Setup899.exe

setup999.exe

WinRAR.exe

WINRAR_0.EXE

WinRAR_1.exe

WINWORD.EXE

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

Ясно.

У вас _новый_ Викинг, который взялся _старой_ сигнатурой. Почти эвристик бл.

Его надо под отдельной буквой детектить и отдельное лечение делать, а не старое применять.

Сделаем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kokunov Aleksey

плять... ну а мне что теперь делать? (см мой пост выше) :)

теперь я стал похож на моего осминога из подписи... :(

Добавлено спустя 28 секунд:

но все равно - СПАСИБО!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
Ясно.

У вас _новый_ Викинг, который взялся _старой_ сигнатурой. Почти эвристик бл.

Его надо под отдельной буквой детектить и отдельное лечение делать, а не старое применять.

Сделаем.

вот вишь как оно оказалось-то :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kokunov Aleksey

кста - мораль из ситуации:

"как бы ни была дырява винда, даже если у тебя стоит супер-пупер антивирус - запладки ставить ты обязан"

Добавлено спустя 28 секунд:

у меня на момент заражения стоял только СП2...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
плять... ну а мне что теперь делать? (см мой пост выше) :)

теперь я стал похож на моего осминога из подписи... :(

setup.exe C:ATISUPPORT7-10_xp32_hdmiaudio_53250setup.exe

Setup__0.exe C:ATISUPPORT7-11-igp_xp32_dd_ccc_wdm_sb_gart_enu_54435DriverSetup.exe

setup__1.exe C:ATISUPPORT7-11-igp_xp32_dd_ccc_wdm_sb_gart_enu_54435DriverCatalystRegistrationsetup.exe

setup__2.exe C:ATISUPPORT7-11-igp_xp32_dd_ccc_wdm_sb_gart_enu_54435DriverCCCsetup.exe

Setup__3.exe C:ATISUPPORT7-11-igp_xp32_dd_ccc_wdm_sb_gart_enu_54435DriverDriverSetup.exe

setup__4.exe C:ATISUPPORT7-11-igp_xp32_dd_ccc_wdm_sb_gart_enu_54435DriverGARTntsetup.exe

Setup__5.exe C:ATISUPPORT7-11-igp_xp32_dd_ccc_wdm_sb_gart_enu_54435DriverSBDrvSetup.exe

setup__6.exe C:ATISUPPORT7-11-igp_xp32_dd_ccc_wdm_sb_gart_enu_54435Driversteamsetup.exe

setup__7.exe C:ATISUPPORT7-11-igp_xp32_dd_ccc_wdm_sb_gart_enu_54435DriverSteamShortcutsetup.exe

setup__8.exe C:ATISUPPORT7-11-igp_xp32_dd_ccc_wdm_sb_gart_enu_54435Drivervc8setup.exe

Setup__9.exe C:ATISUPPORT7-11-igp_xp32_dd_ccc_wdm_sb_gart_enu_54435DriverWDM_ALLSetup.exe

Setup_09.exe C:ATISUPPORT7-11_xp32_hdmiaudio_54435Setup.exe

setup_19.exe C:ATISUPPORT7-11_xp32_hdmiaudio_54435HDAudioDrvsetup.exe

Setup_29.exe C:ATISUPPORT7-3_xp_dd_ccc_wdm_enu_43737Setup.exe

setup_39.exe C:ATISUPPORT7-3_xp_dd_ccc_wdm_enu_43737CCCsetup.exe

Setup_49.exe C:ATISUPPORT7-3_xp_dd_ccc_wdm_enu_43737DriverSetup.exe

Setup_59.exe C:ATISUPPORT7-3_xp_dd_ccc_wdm_enu_43737SBDrvSetup.exe

Setup_69.exe C:ATISUPPORT7-3_xp_dd_ccc_wdm_enu_43737WDM_ALLSetup.exe

Setup_79.exe C:ATISUPPORT7-6_xp_dd_48640DriverSetup.exe

Setup_89.exe C:DistrSetup.exe

Setup_99.exe C:DistrCorel Draw! X3 Rus╤рьр яЁюурSetup.exe

setup099.exe C:DistrNoutBookBluetooth_XP32_Vista32_070906setup.exe

setup199.exe C:DistrNoutBookBTooth_XP32_Vista32_070827BTooth_XP32_Vista32_070827setup.exe

setup299.exe C:DistrNoutBookDriversAudio_ADI_XPAudio_ADI_XPsetup.exe

setup399.exe C:DistrNoutBookDriversCIRsetup.exe

setup499.exe C:DistrNoutBookDriversCIRCIRsetup.exe

install.exe C:DistrNoutBookDriversCIRCIRwinXPinstall.exe

install0.exe C:DistrNoutBookDriversCIRwinXPinstall.exe

setup599.exe C:DistrNoutBookDriversFIR_XP32_070816setup.exe

install1.exe C:DistrNoutBookDriversFIR_XP32_070816winXPinstall.exe

Setup699.exe C:DistrNoutBookDriversWDM_R183WDM_R183Setup.exe

setup799.exe C:DistrNoutBookPCIE_Install_5680(installshield 12_1.13)PCIE_Install_5680(installshield 12_1.13)setup.exe

Setup899.exe C:DistrNoutBookWDM_R182WDM_R182Setup.exe

setup999.exe C:MSOCacheAll Users{90120000-0030-0000-0000-0000000FF1CE}-Csetup.exe

setu0999.exe C:MSOCacheAll Users{90120000-0051-0000-0000-0000000FF1CE}-Csetup.exe

Setu1999.exe C:Program FilesSoliddocumentsinstallerSolid Converter PDFSetup.exe

setu2999.exe C:Program FilesSoliddocumentsinstallerSolid Converter PDFsolidconverterpdfsetup.exe

WinRAR.exe C:Program FilesWinRARWinRAR.exe

WINRAR_0.EXE D:GamesMini└ЁїштрЄюЁWINRAR.EXE

SETU3999.EXE D:TempVista_OSVista_OSMSOCacheAll Users{91120000-0031-0000-0000-0000000FF1CE}-CSETUP.EXE

SETU4999.EXE D:TempVista_OSVista_OSProgram FilesAdobeReader 8.0Setup Files{AC76BA86-7AD7-1033-7B44-A80000000002}SETUP.EXE

Setu5999.exe D:TempVista_OSVista_OSProgram FilesATICIMBinSetup.exe

WINWORD.EXE D:TempVista_OSVista_OSProgram FilesMicrosoft OfficeOffice12WINWORD.EXE

WinRAR_1.exe D:TempVista_OSVista_OSProgram FilesWinRARWinRAR.exe

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kokunov Aleksey

угу...

...посыпая голову пеплом....

сорри :)

Добавлено спустя 1 минуту 2 секунды:

жду обновления сигнатур и метода лечения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter
Кстати - большой минус куреит - из карантина хрен что восстановишь, куда какой файл восстанавливать - фиг его знает....

В папке infected.!!! есть файлик descript.ion, он помогает.

Открывается блокнотом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kokunov Aleksey
есть файлик descript.ion, он помогает.

Открывается блокнотом.

угу...

...посыпая голову пеплом....

около 12 дня:

Вроде сделали лечение.

Определяться будет той же записью - Win32.HLLW.Gavir.20, но будет лечить.

Соответствующая запись пока тестируется. Через часик можно пробовать лечить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
около 12 дня:

Это хорошо. Но прошу впредь личные сообщения не публиковать на форуме. Они личные.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kokunov Aleksey

сорри, мне показалось, что это уместно будет.

впредь буду спрашивать!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×