[Oaxa]

Вирус, как вирус.

Здесь полное описание и методы борьбы.

[Greyman]

Murder7
Для подобных случаев, я таки повесил объявление в ИБ по on-line проверке файлов на вирусы.

[Murder7]

Сегодня он вообще блокировал траффик. Вобщем грохнул я этот файл в безопасном режиме. И немного из реестра выкинул, но меня насторожила строк NT Loggin sevice.

[Murder7]

А ссылка дохлая, но по ней я понял, что вирус этот - w32.donk.s

[Oaxa]

Murder7

Цитата:

А ссылка дохлая

Сcылка живая.
Кратко процитирую:
W32.Donk.S is a network-aware worm that propagates through open network shares and allows a remote attacker to have unauthorized access to the infected computer through a backdoor. The worm also attempts to spread by exploiting several system vulnerabilities
...
Once W32.Donk.S is executed, it performs the following actions:
...
Prevents access to several security related Web sites by modifying the hosts file in %System%\drivers\etc and adding the following lines:
...
127.0.0.1 customer.symantec.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 updates.symantec.com
127.0.0.1 update.symantec.com
127.0.0.1 www.nai.com
127.0.0.1 nai.com
127.0.0.1 secure.nai.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 www.my-etrust.com
127.0.0.1 my-etrust.com
127.0.0.1 mast.mcafee.com
127.0.0.1 ca.com
127.0.0.1 www.ca.com
127.0.0.1 networkassociates.com
127.0.0.1 www.networkassociates.com
127.0.0.1 avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.avp.com
127.0.0.1 kaspersky.com
127.0.0.1 www.f-secure.com
127.0.0.1 f-secure.com
127.0.0.1 viruslist.com
127.0.0.1 www.viruslist.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 mcafee.com
127.0.0.1 www.mcafee.com
127.0.0.1 sophos.com
127.0.0.1 www.sophos.com
127.0.0.1 symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 www.symantec.com

[Greyman]

Murder7

Цитата:

но меня насторожила строк NT Loggin sevice

Гы... На заборе тоже написано. Если в информации о версии такого подозрительного файла буде написано "Windows NT BASE API Client DLL by Microsoft Corporation" (АКА kernel32.dll) ты тоже просто так поверишь? Для этого и существует проверка на вредоносное ПО (в том числе вирусы и шпионы).

Цитата Oaxa:

Сcылка живая.

Подтверждаю. Ну а причину того, что она у тебя не работала Oaxa тебе уже указал (про "hosts")...

[Murder7]

Цитата:

На заборе тоже написано

Не я в курсе про то что вирусы так маскируются, сам лог кейлоггера у другана за драйвер клавиатуры выдавал, но рисковать не хотелось.
Я только имя файла не нашёл, который убрать нужно. На ссылку до сих пор не заходит. Сейчас реестр от остатков вычищу, попробую. На касперского пускает. В инет пока левый никто не ломится.

[Murder7]

Вроде бы всё: были Trojan.Dyfuca/ Trojan-Spy.Win32.Qukart/ Trojan-Downloader.Win32.ISTBar/ Net-Worm.Win32.Padobot/ Trojan.Win32.Qhost
Откуда подцепил - с кряк сайтов и от знакомого (с винчем приходил).
По первому линку получил доп. сведения по очистке от вирька. Буду искать описания других.

[Murder7]

Цитата:

Trojan-Spy.Win32.Qukart

Осталась часть этого виря. АВП сканер ничего не находит, а монитор находит заражённый файл Hfcogmqi.exe в System32, но на самом деле его не существует. Базы для АВП сотят вчерашние (16-фев-2005), но это не помогает. Монитор пишет об ошибке лечения. Что делать?