![](http://img.youtube.com/vi/aWP1gHoDoOw/default.jpg)
![](http://img.youtube.com/vi/j5RBYrkvxPo/default.jpg)
![](http://img.youtube.com/vi/LJ5PnzsM_eI/default.jpg)
![](http://img.youtube.com/vi/_9lzkDV9S9A/default.jpg)
![](datas/avatars/2981-avatar.gif)
На компьютере имеется расшаренная папка для обмена файлами с виртуальными машинами. С дней десять назад установленный Microsoft Forefront стал периодически обнаруживать в ней различные вирусы.
Worm:Win32/Emerleox.gen!A в файле Cool_GameSetup.exe
Virus:Win32/Viking.JB в файле gbabcs.exe
Worm:AutoIt/Renocide.gen!C в файле bgqrbe.exe
Worm:AutoIt/Renocide.gen!C в файле prciyd.exe
Virus:Win32/Fujacks.M в файле Cool_GameSetup.exe
Файлы толи скачиваются с интернета, толи создаются еще чем-то.
Virus:Win32/Gael.D в exe файлах распакованного образа Microsoft TMG MBE.
Virus:Win32/Fujacks.M в этих же файлах.
После обнаружения удалил папку с распакованным образом. В самом образе вирусов нет.
Полное сканирование компьютера результатов не дало. (Вирусов не обнаружено)
Попытка установить последнюю версию Касперского тоже, т.е. оба антивируса одновременно обнаруживают вирусы в этой папке и удаляют их. Точнее их удаляет Forefront - он просто не дает Касперскому доступа к зараженным файлам. Полное сканирование Касперским всего содержимого компьютера не возможно, т.к. машина через некоторое время виснет из-за нехватки оперативной памяти. Но это так и было ранее на Висте.
Заражение вирусом из виртуальных машин не возможно, т.к. они не запускались уже около месяца.
Появление вирусов не связано также с перезагрузкой компьютера, т.к. за два предыдущих дня вирусов не обнаруживалось, а машина несколько раз перезагружалась.
Пробовал уже вроде все, ну разве кроме переустановки. Но думаю не поможет - т.к. зараженные файлы появляются только в расшаренных папках. Для проверки создал еще пару расшаренных папок на двух винтах кроме системного. Вирусы стали появляться и там. Оставлял включенным только системный винт. Проверял его на вирусы - ничего нет....
Может у кого есть еще идеи... Буду рад если поделитесь...
Да вот еще - если разрешить отображение скрытых и системных файлов - в расшаренных папках имеются еще два файла khs и kht без расширения, которые носят атрибуты скрытый и системный. Удаляю их, но через некоторое время вместе с вновь обнаруженным вирусом они восстанавливаются.
![](datas/avatars/80072-avatar.gif)
1. Как быстро появляются эти файлы после удаления?
2. Попытайтесь отследить происхождение файлов (запустите поиск в реестре по таким названиям, откройте файлы в любом hex-редакторе (например WinHex), изучите содержимое файлов, возможно это исолняемые файлы, просто без расширения)
3. С помощью монитора файлов от Марка Руссиновича (Sysinternals Filemon) проследите, какой процесс создает эти файлы.
4. Заархивируйте эти файлы и залейте на файлообменник =) хочется взглянуть на это чудо
А нельзя сделать так :
1) стереть систему форматированием
2) поставить послднего каспера
3) поставить в нем эквристику на макс и просканить флэкши и прочее
![](datas/avatars/2981-avatar.gif)
Johny-electric,
Зараженные иногда появляются почти сразу, иногда через сутки и более... При этом машина за это время перезагружается и шары проверяются антивирусами (за посленднее время с 10 раз в день и ничего не обнаруживается) Файлы khs и kht ни одним антивирусом не определяются как вирусы и не удаляются. Машина подключена к интернету постоянно. Какие именно файлы залить?
Shift,
Смысл сносить систему? Зараженные файлы находятся не на системном винте и оба антивируса говорят, что он чист. Флешками за последнее время не пользовался. Сайты сомнительного содержания не посещаю.
Полное сканирование машины Касперским провести невозможно, машина виснет. У меня всегда были проблемы с Касперским и с 6 и с 7 и с последней версией Касперского и на Висте и на Windows 7. При полном сканировании он в какой-то момент начинает забирать под себя всю оперативку.
![](datas/avatars/11349-avatar.gif)
Andrey100,
![](datas/avatars/2981-avatar.gif)
Lico,
да точно - ситуация один в один.... Только вот файла который надо удалить у меня нет и записи такой в реестре тоже... Вообще в этой ветке реестра нет ничего подозрительного...
![](datas/avatars/80072-avatar.gif)
Andrey100, залейте файлы khs и kht
![](datas/avatars/2981-avatar.gif)
Файл khs только что появился снова и вместе с ним вирус:
Worm:AutoIt/Renocide.gen!C в файле prciyd.exe
Forefront сам вирус удалил... А вот Каспер не нашел вообще ничего. Хотя... Я его только вчера установил... Он обнаруживал зараженные файлы только в распакованном образе. Другие вирусы обнаруживались до его установки.
Johny-electric,
Вот оба файла:
Скрин:
В описании к зараженному файлу Forefront выдает Encoded_AutoIt_Script...
Andrey100 :
А вот Каспер не нашел вообще ничего.
Не нашёл, потому что не настроен на серьёзное лечение системы.
Название файла с расширением .ехе может быть любое. Вирус имитирует системные файлы в случайном порядке.
Лечение подобных червей нужно проводить с полностью выключенной (физически) сетью.
И ещё, этот вирус не один в системе, есть основной который подтягивает другие.
ps.
Попытка установить последнюю версию Касперского тоже, т.е. оба антивируса одновременно обнаруживают вирусы в этой папке и удаляют их. Точнее их удаляет Forefront - он просто не дает Касперскому доступа к зараженным файлам. Полное сканирование Касперским всего содержимого компьютера не возможно, т.к. машина через некоторое время виснет из-за нехватки оперативной памяти. Но это так и было ранее на Висте.
Два антивируса в работе одновременно это нонсенс.
![](datas/avatars/2981-avatar.gif)
Johny-electric, вам благодарность...
Виновник наконец-то обнаружен...
Им являлась Miranda IM Pilot Pack... Ее аффтор - ***** и т.д. и т.п.
Было обнаружено с помощью Sysinternals Process Monitor.
В ней был установлен фильтр на path - contains - Exchange Folder.
После запуска программы в вышеуказанную папку (во все шары) были скопированы файлы:
mvstoh.exe.cmd, mvstoh.exe.bat, mvstoh.exe.exe, mvstoh.exe.pif, mvstoh.exe.com, mvstoh.exe.lnk ну и собственно mvstoh.exe, которые затем самоликвидировались.
Затем скачались файлы khs, kht и два *******.exe файла, которые попытались автоматически запуститься, но их запуск был залочен и они были удалены Forefront. А khs и kht видимо являются чем-то типа маячков...
Что касается Касперского - он вообще ничего не обнаружил..., хотя в это время происходило удаление вируса. Причем то, что он проверял скачанные файлы было видно из того же Process Monitor...
кривые руки - беда , я некогда не встречал что бы каспер не находил того что видят другие ... дело в настройке
![](datas/avatars/20583-avatar.gif)
Shift, Неправда. По рейтингу ловли каспер обычно на 6 - 7 месте находится, nod32 всегда около третьего живет. Если учесть что бывает и первое место, то ваши слова не соответствуют действительности.
![](datas/avatars/2981-avatar.gif)
Shift,
Настройка Касперского была сперва по умолчанию, затем поднята до высокого уровня безопасности по всем пунктам, кое-где даже выше (настроено вручную)...
P.S. давайте про руки не будем, ладно?
Andrey100 :
Что касается Касперского - он вообще ничего не обнаружил..., хотя в это время происходило удаление вируса. Причем то, что он проверял скачанные файлы было видно из того же Process Monitor...
читайте внимательно:
Два антивируса в работе одновременно это нонсенс.
![](datas/avatars/2981-avatar.gif)
Georgij62,
Не нашёл, потому что не настроен на серьёзное лечение системы.
Настройка Касперского была сперва по умолчанию, затем поднята до высокого уровня безопасности по всем пунктам, кое-где даже выше (настроено вручную)...
Лечение подобных червей нужно проводить с полностью выключенной (физически) сетью
Как таковой сети нет. Есть несколько виртуальных машин, которыми более месяца не пользовались. Это было указано в первом посте...
И ещё, этот вирус не один в системе, есть основной который подтягивает другие
Это и так понятно...
Два антивируса в работе одновременно это нонсенс.
Это тоже понятно. Но сперва перед установкой Касперского Forefront был отключен. Точнее в настройках запуска службы Microsoft Forefront было установлено Startup type - Disabled, после чего началось заражение других файлов (экзешники в распакованном образе). Однако сам вирус Касперским не был обнаружен... После чего служба была включена, Forefront запущен и удален сам вирус, что видно на скрине.
P.S. Уважаемый Георгий, если вы хотите спровоцировать меня на грубость, то не пытайтесь. Я не буду нарушать правила этого форума.