Перейти к содержанию
Kokunov Aleksey

Столкнутся с вирусом Worm.Win32.Viking.iy, есть проблемы...

Recommended Posts

A.
Посмотрите на эту картинку:

cureit_445.jpg

Там есть файлы которые идут под грифом "неизлечимо - перемещено"

Я не акцентировал вопрос на мусоре!

Я еще раз повторяю, может мне досталась вря которая портит файлы при заражении, никто не может что ли посмотреть и сказать можно ли восстановить зареженные файлы?

Показываете картинку от Веба, а спрашиваете про KIS ...

никто не может что ли посмотреть и сказать можно ли восстановить зареженные файлы?

куда смотреть-то ???????

Второй день на картинки смотрим. Про desktop.ini читаем.

Хотелось бы конечно, если вас не затруднит, прислать, пожалуйста, файлы, хоть куда-нибудь, а ?

P.S. Все самплы _зараженные_ Viking.iy, имеющиеся в _нашей_ коллекции - ЛЕЧАТСЯ. Вчера же еще написал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Так выложи на файлообменнике виря. а тут в личку пароль к архиву кинь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kokunov Aleksey

Кстати - большой минус куреит - из карантина хрен что восстановишь, куда какой файл восстанавливать - фиг его знает....

install.exe

install0.exe

install1.exe

setu0999.exe

Setu1999.exe

setu2999.exe

SETU3999.EXE

SETU4999.EXE

Setu5999.exe

setup.exe

Setup__0.exe

setup__1.exe

setup__2.exe

Setup__3.exe

setup__4.exe

Setup__5.exe

setup__6.exe

setup__7.exe

setup__8.exe

Setup__9.exe

Setup_09.exe

setup_19.exe

Setup_29.exe

setup_39.exe

Setup_49.exe

Setup_59.exe

Setup_69.exe

Setup_79.exe

Setup_89.exe

Setup_99.exe

setup099.exe

setup199.exe

setup299.exe

setup399.exe

setup499.exe

setup599.exe

Setup699.exe

setup799.exe

Setup899.exe

setup999.exe

WinRAR.exe

WINRAR_0.EXE

WinRAR_1.exe

WINWORD.EXE

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

Ясно.

У вас _новый_ Викинг, который взялся _старой_ сигнатурой. Почти эвристик бл.

Его надо под отдельной буквой детектить и отдельное лечение делать, а не старое применять.

Сделаем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kokunov Aleksey

плять... ну а мне что теперь делать? (см мой пост выше) :)

теперь я стал похож на моего осминога из подписи... :(

Добавлено спустя 28 секунд:

но все равно - СПАСИБО!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
Ясно.

У вас _новый_ Викинг, который взялся _старой_ сигнатурой. Почти эвристик бл.

Его надо под отдельной буквой детектить и отдельное лечение делать, а не старое применять.

Сделаем.

вот вишь как оно оказалось-то :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kokunov Aleksey

кста - мораль из ситуации:

"как бы ни была дырява винда, даже если у тебя стоит супер-пупер антивирус - запладки ставить ты обязан"

Добавлено спустя 28 секунд:

у меня на момент заражения стоял только СП2...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
плять... ну а мне что теперь делать? (см мой пост выше) :)

теперь я стал похож на моего осминога из подписи... :(

setup.exe C:ATISUPPORT7-10_xp32_hdmiaudio_53250setup.exe

Setup__0.exe C:ATISUPPORT7-11-igp_xp32_dd_ccc_wdm_sb_gart_enu_54435DriverSetup.exe

setup__1.exe C:ATISUPPORT7-11-igp_xp32_dd_ccc_wdm_sb_gart_enu_54435DriverCatalystRegistrationsetup.exe

setup__2.exe C:ATISUPPORT7-11-igp_xp32_dd_ccc_wdm_sb_gart_enu_54435DriverCCCsetup.exe

Setup__3.exe C:ATISUPPORT7-11-igp_xp32_dd_ccc_wdm_sb_gart_enu_54435DriverDriverSetup.exe

setup__4.exe C:ATISUPPORT7-11-igp_xp32_dd_ccc_wdm_sb_gart_enu_54435DriverGARTntsetup.exe

Setup__5.exe C:ATISUPPORT7-11-igp_xp32_dd_ccc_wdm_sb_gart_enu_54435DriverSBDrvSetup.exe

setup__6.exe C:ATISUPPORT7-11-igp_xp32_dd_ccc_wdm_sb_gart_enu_54435Driversteamsetup.exe

setup__7.exe C:ATISUPPORT7-11-igp_xp32_dd_ccc_wdm_sb_gart_enu_54435DriverSteamShortcutsetup.exe

setup__8.exe C:ATISUPPORT7-11-igp_xp32_dd_ccc_wdm_sb_gart_enu_54435Drivervc8setup.exe

Setup__9.exe C:ATISUPPORT7-11-igp_xp32_dd_ccc_wdm_sb_gart_enu_54435DriverWDM_ALLSetup.exe

Setup_09.exe C:ATISUPPORT7-11_xp32_hdmiaudio_54435Setup.exe

setup_19.exe C:ATISUPPORT7-11_xp32_hdmiaudio_54435HDAudioDrvsetup.exe

Setup_29.exe C:ATISUPPORT7-3_xp_dd_ccc_wdm_enu_43737Setup.exe

setup_39.exe C:ATISUPPORT7-3_xp_dd_ccc_wdm_enu_43737CCCsetup.exe

Setup_49.exe C:ATISUPPORT7-3_xp_dd_ccc_wdm_enu_43737DriverSetup.exe

Setup_59.exe C:ATISUPPORT7-3_xp_dd_ccc_wdm_enu_43737SBDrvSetup.exe

Setup_69.exe C:ATISUPPORT7-3_xp_dd_ccc_wdm_enu_43737WDM_ALLSetup.exe

Setup_79.exe C:ATISUPPORT7-6_xp_dd_48640DriverSetup.exe

Setup_89.exe C:DistrSetup.exe

Setup_99.exe C:DistrCorel Draw! X3 Rus╤рьр яЁюурSetup.exe

setup099.exe C:DistrNoutBookBluetooth_XP32_Vista32_070906setup.exe

setup199.exe C:DistrNoutBookBTooth_XP32_Vista32_070827BTooth_XP32_Vista32_070827setup.exe

setup299.exe C:DistrNoutBookDriversAudio_ADI_XPAudio_ADI_XPsetup.exe

setup399.exe C:DistrNoutBookDriversCIRsetup.exe

setup499.exe C:DistrNoutBookDriversCIRCIRsetup.exe

install.exe C:DistrNoutBookDriversCIRCIRwinXPinstall.exe

install0.exe C:DistrNoutBookDriversCIRwinXPinstall.exe

setup599.exe C:DistrNoutBookDriversFIR_XP32_070816setup.exe

install1.exe C:DistrNoutBookDriversFIR_XP32_070816winXPinstall.exe

Setup699.exe C:DistrNoutBookDriversWDM_R183WDM_R183Setup.exe

setup799.exe C:DistrNoutBookPCIE_Install_5680(installshield 12_1.13)PCIE_Install_5680(installshield 12_1.13)setup.exe

Setup899.exe C:DistrNoutBookWDM_R182WDM_R182Setup.exe

setup999.exe C:MSOCacheAll Users{90120000-0030-0000-0000-0000000FF1CE}-Csetup.exe

setu0999.exe C:MSOCacheAll Users{90120000-0051-0000-0000-0000000FF1CE}-Csetup.exe

Setu1999.exe C:Program FilesSoliddocumentsinstallerSolid Converter PDFSetup.exe

setu2999.exe C:Program FilesSoliddocumentsinstallerSolid Converter PDFsolidconverterpdfsetup.exe

WinRAR.exe C:Program FilesWinRARWinRAR.exe

WINRAR_0.EXE D:GamesMini└ЁїштрЄюЁWINRAR.EXE

SETU3999.EXE D:TempVista_OSVista_OSMSOCacheAll Users{91120000-0031-0000-0000-0000000FF1CE}-CSETUP.EXE

SETU4999.EXE D:TempVista_OSVista_OSProgram FilesAdobeReader 8.0Setup Files{AC76BA86-7AD7-1033-7B44-A80000000002}SETUP.EXE

Setu5999.exe D:TempVista_OSVista_OSProgram FilesATICIMBinSetup.exe

WINWORD.EXE D:TempVista_OSVista_OSProgram FilesMicrosoft OfficeOffice12WINWORD.EXE

WinRAR_1.exe D:TempVista_OSVista_OSProgram FilesWinRARWinRAR.exe

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kokunov Aleksey

угу...

...посыпая голову пеплом....

сорри :)

Добавлено спустя 1 минуту 2 секунды:

жду обновления сигнатур и метода лечения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter
Кстати - большой минус куреит - из карантина хрен что восстановишь, куда какой файл восстанавливать - фиг его знает....

В папке infected.!!! есть файлик descript.ion, он помогает.

Открывается блокнотом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kokunov Aleksey
есть файлик descript.ion, он помогает.

Открывается блокнотом.

угу...

...посыпая голову пеплом....

около 12 дня:

Вроде сделали лечение.

Определяться будет той же записью - Win32.HLLW.Gavir.20, но будет лечить.

Соответствующая запись пока тестируется. Через часик можно пробовать лечить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
около 12 дня:

Это хорошо. Но прошу впредь личные сообщения не публиковать на форуме. Они личные.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kokunov Aleksey

сорри, мне показалось, что это уместно будет.

впредь буду спрашивать!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • Ego Dekker
      Антивирусы были обновлены до версии 13.1.16. В числе прочего добавлены совместимость с Windows 10 20H1 и поддержка Windows 10 20H2.
    • Ego Dekker
      Программа для удаления продуктов ESET обновилась до версии 9.0.1.0. Для просмотра всех команд запустите утилиту с параметром /help. 
    • santy
      1. на самом деле можно и не удалять, а редактировать единственный критерий для создания запросов. Было бы только удобно формировать такой запрос.... например, "все объекты с цифровой, которая не входит в белый список". здесь ты одним значением не найдешь их фильтруя все объекты сквозным образом по ИНФО, как минимум необходимо два условия, а значит и два значения вводить для запроса. 2. подсветки нет, но это наверное не самое главное. для скорости анализа важно, (хотя бы строку из инфо, которая соответствует критерию).... когда ИНФО содержит много информации. для формирования скрипта- не критично. 3. старых и новых критериев нет. все действующие. ненужные удалить. хотя может и полезно было бы ставить check "отключить" или "включить" данное правило в базе.
        вся эта работа выполняется на стадии формирования списка объектов автозапуска. все исполняемые файлы, которые встречаются по ссылкам в реестре, в cmdLine, и проч. Если ты набрал в поиске по наименованию "cmd.exe", ты уже нашел данный объект в списке со всей его историей (ИНФО), собранной на стадии формирования образа автозапуска.... в какие параметры, ссылки входит в реестре или в cmdLine. цитата "выше Разве?" взята из предложения по деструктивным действиям чистых файлов, когда эти деструктивные действия находятся с помощью критериев, но чистый хэш снимает статус, подтверждающий дейструктивность действия данного файла в анализируемой системе.
    • PR55.RP55
      Недостатки uVS:
      1) Невозможно задать временный критерий. После поиска созданный критерий нужно удалять... Решение: При создании критерия добавить чек бокс:  НЕ вносить изменений в snms [ V ] 2) В Инфо. нет подсветки по типу поиска в браузере ( подсветить всё найденное ) 3) Поиск идёт по всем критериям -  по старым и по новым. Когда критериев много ( а их много ) такой поиск теряет смысл. Разве ? Нет смысла искать в других полях по: каталог; имя производителя; цифровой подписи; хэш. Напомню:  " Пока что вижу эти: wmic.exe, vssadmin.exe, cmd.exe, svchost.exe + powershell.exe+ netsh.exe конечно, остальные можно по мере поступления добавить.  "      
×