На компьютере имеется расшаренная папка для обмена файлами с виртуальными машинами. С дней десять назад установленный Microsoft Forefront стал периодически обнаруживать в ней различные вирусы.
Worm:Win32/Emerleox.gen!A в файле Cool_GameSetup.exe
Virus:Win32/Viking.JB в файле gbabcs.exe
Worm:AutoIt/Renocide.gen!C в файле bgqrbe.exe
Worm:AutoIt/Renocide.gen!C в файле prciyd.exe
Virus:Win32/Fujacks.M в файле Cool_GameSetup.exe
Файлы толи скачиваются с интернета, толи создаются еще чем-то.
Virus:Win32/Gael.D в exe файлах распакованного образа Microsoft TMG MBE.
Virus:Win32/Fujacks.M в этих же файлах.
После обнаружения удалил папку с распакованным образом. В самом образе вирусов нет.
Полное сканирование компьютера результатов не дало. (Вирусов не обнаружено)
Попытка установить последнюю версию Касперского тоже, т.е. оба антивируса одновременно обнаруживают вирусы в этой папке и удаляют их. Точнее их удаляет Forefront - он просто не дает Касперскому доступа к зараженным файлам. Полное сканирование Касперским всего содержимого компьютера не возможно, т.к. машина через некоторое время виснет из-за нехватки оперативной памяти. Но это так и было ранее на Висте.
Заражение вирусом из виртуальных машин не возможно, т.к. они не запускались уже около месяца.
Появление вирусов не связано также с перезагрузкой компьютера, т.к. за два предыдущих дня вирусов не обнаруживалось, а машина несколько раз перезагружалась.
Пробовал уже вроде все, ну разве кроме переустановки. Но думаю не поможет - т.к. зараженные файлы появляются только в расшаренных папках. Для проверки создал еще пару расшаренных папок на двух винтах кроме системного. Вирусы стали появляться и там. Оставлял включенным только системный винт. Проверял его на вирусы - ничего нет....
Может у кого есть еще идеи... Буду рад если поделитесь...
Да вот еще - если разрешить отображение скрытых и системных файлов - в расшаренных папках имеются еще два файла khs и kht без расширения, которые носят атрибуты скрытый и системный. Удаляю их, но через некоторое время вместе с вновь обнаруженным вирусом они восстанавливаются.
1. Как быстро появляются эти файлы после удаления?
2. Попытайтесь отследить происхождение файлов (запустите поиск в реестре по таким названиям, откройте файлы в любом hex-редакторе (например WinHex), изучите содержимое файлов, возможно это исолняемые файлы, просто без расширения)
3. С помощью монитора файлов от Марка Руссиновича (Sysinternals Filemon) проследите, какой процесс создает эти файлы.
4. Заархивируйте эти файлы и залейте на файлообменник =) хочется взглянуть на это чудо
А нельзя сделать так :
1) стереть систему форматированием
2) поставить послднего каспера
3) поставить в нем эквристику на макс и просканить флэкши и прочее
Johny-electric,
Зараженные иногда появляются почти сразу, иногда через сутки и более... При этом машина за это время перезагружается и шары проверяются антивирусами (за посленднее время с 10 раз в день и ничего не обнаруживается) Файлы khs и kht ни одним антивирусом не определяются как вирусы и не удаляются. Машина подключена к интернету постоянно. Какие именно файлы залить?
Shift,
Смысл сносить систему? Зараженные файлы находятся не на системном винте и оба антивируса говорят, что он чист. Флешками за последнее время не пользовался. Сайты сомнительного содержания не посещаю.
Полное сканирование машины Касперским провести невозможно, машина виснет. У меня всегда были проблемы с Касперским и с 6 и с 7 и с последней версией Касперского и на Висте и на Windows 7. При полном сканировании он в какой-то момент начинает забирать под себя всю оперативку.
Andrey100,
Lico,
да точно - ситуация один в один.... Только вот файла который надо удалить у меня нет и записи такой в реестре тоже... Вообще в этой ветке реестра нет ничего подозрительного...
Andrey100, залейте файлы khs и kht
Файл khs только что появился снова и вместе с ним вирус:
Worm:AutoIt/Renocide.gen!C в файле prciyd.exe
Forefront сам вирус удалил... А вот Каспер не нашел вообще ничего. Хотя... Я его только вчера установил... Он обнаруживал зараженные файлы только в распакованном образе. Другие вирусы обнаруживались до его установки.
Johny-electric,
Вот оба файла:
Скрин:
В описании к зараженному файлу Forefront выдает Encoded_AutoIt_Script...
Andrey100 :
А вот Каспер не нашел вообще ничего.
Не нашёл, потому что не настроен на серьёзное лечение системы.
Название файла с расширением .ехе может быть любое. Вирус имитирует системные файлы в случайном порядке.
Лечение подобных червей нужно проводить с полностью выключенной (физически) сетью.
И ещё, этот вирус не один в системе, есть основной который подтягивает другие.
ps.
Попытка установить последнюю версию Касперского тоже, т.е. оба антивируса одновременно обнаруживают вирусы в этой папке и удаляют их. Точнее их удаляет Forefront - он просто не дает Касперскому доступа к зараженным файлам. Полное сканирование Касперским всего содержимого компьютера не возможно, т.к. машина через некоторое время виснет из-за нехватки оперативной памяти. Но это так и было ранее на Висте.
Два антивируса в работе одновременно это нонсенс.
Johny-electric, вам благодарность...
Виновник наконец-то обнаружен...
Им являлась Miranda IM Pilot Pack... Ее аффтор - ***** и т.д. и т.п.
Было обнаружено с помощью Sysinternals Process Monitor.
В ней был установлен фильтр на path - contains - Exchange Folder.
После запуска программы в вышеуказанную папку (во все шары) были скопированы файлы:
mvstoh.exe.cmd, mvstoh.exe.bat, mvstoh.exe.exe, mvstoh.exe.pif, mvstoh.exe.com, mvstoh.exe.lnk ну и собственно mvstoh.exe, которые затем самоликвидировались.
Затем скачались файлы khs, kht и два *******.exe файла, которые попытались автоматически запуститься, но их запуск был залочен и они были удалены Forefront. А khs и kht видимо являются чем-то типа маячков...
Что касается Касперского - он вообще ничего не обнаружил..., хотя в это время происходило удаление вируса. Причем то, что он проверял скачанные файлы было видно из того же Process Monitor...
кривые руки - беда , я некогда не встречал что бы каспер не находил того что видят другие ... дело в настройке
Shift, Неправда. По рейтингу ловли каспер обычно на 6 - 7 месте находится, nod32 всегда около третьего живет. Если учесть что бывает и первое место, то ваши слова не соответствуют действительности.
Shift,
Настройка Касперского была сперва по умолчанию, затем поднята до высокого уровня безопасности по всем пунктам, кое-где даже выше (настроено вручную)...
P.S. давайте про руки не будем, ладно?
Andrey100 :
Что касается Касперского - он вообще ничего не обнаружил..., хотя в это время происходило удаление вируса. Причем то, что он проверял скачанные файлы было видно из того же Process Monitor...
читайте внимательно:
Два антивируса в работе одновременно это нонсенс.
Georgij62,
Не нашёл, потому что не настроен на серьёзное лечение системы.
Настройка Касперского была сперва по умолчанию, затем поднята до высокого уровня безопасности по всем пунктам, кое-где даже выше (настроено вручную)...
Лечение подобных червей нужно проводить с полностью выключенной (физически) сетью
Как таковой сети нет. Есть несколько виртуальных машин, которыми более месяца не пользовались. Это было указано в первом посте...
И ещё, этот вирус не один в системе, есть основной который подтягивает другие
Это и так понятно...
Два антивируса в работе одновременно это нонсенс.
Это тоже понятно. Но сперва перед установкой Касперского Forefront был отключен. Точнее в настройках запуска службы Microsoft Forefront было установлено Startup type - Disabled, после чего началось заражение других файлов (экзешники в распакованном образе). Однако сам вирус Касперским не был обнаружен... После чего служба была включена, Forefront запущен и удален сам вирус, что видно на скрине.
P.S. Уважаемый Георгий, если вы хотите спровоцировать меня на грубость, то не пытайтесь. Я не буду нарушать правила этого форума.