Авторизация
Ник
Пароль:
      
Вирусы
Список конференций  Список ТемСоздать новую тему  Добавить свой ответ
Guest (Новичок)
Вирус ckvo.exe  
Доброго времени суток. Два дня назад словил троян авторун похоже модифицированный... Симптомы на лицо - открытие дисков во втором окне, невозможность отобразить скрытые файлы и папки, в корнях дисков появились можность отобразить скрытые файлы и папки, в корнях дисков появились файлы: b3b9u.com и autorun.inf которые при удалении появляются снова. Работа связана с постоянным контактом с носителями. Уже больше полугода пользуюсь Вашей утилитой VirusHunter_utilities (за что огромное спасибо). Но в данном случае этот троян не обнаруживает ни Ваша утилита №11 ни Др.Веб(. Хотя STSS сообщает о наличии. Прежние тела трояна обнаруживал в sistem32 как "amvo", теперь их нет... Можете подсказать что-нибуть?
 13.08.2008 11:30 
VirusHunter (Администратор)
 
Здравствуйте. Чтобы помочь Вам в решении данной вирусной проблемы, мне необходим образец того самого файла, который пишет себя в корни дисков вместе с файлом autorun.inf. Для инструктажа как переслать мне на исследование вирус, свяжитесь со мной по емэйлу, указанному в разделе "Компьютерные вирусы" нашего сайта.
 13.08.2008 12:18 
zooor (Ученик)
 
 Хм.. обнаружил в system32 вот такие файлы:
ckvo.exe - (87,4кб) 12.08.2008 - день заражения и время примерно тоже
ckvo0.dll - (83кб) 13.08.2008
ckvo1.dll - (83кб) 13.08.08
 уж больно они мне amvo напоминают..

П.С. письмо на е-мейл отправил
 13.08.2008 13:05 
zooor (Ученик)
 
Все, решил проблему, действительно ети файлы в систем32 были вирусами метод лечения такой же как и amvo: просто добавить в скрипт по лечению amvo вышеперечисленные файлы.
П.С. VirusHunter (Администратор) - спасибо за участие.

 13.08.2008 14:37 
VirusHunter (Администратор)
 
Вирус изучен, описание сделано и доступно здесь: Win32.Worm.GameSpy.crypt.xa. Также в нем найдете ссылку на обновленный архив с утилитами для пролечивания и восстановления повреждений системы.
 14.08.2008 07:30 
SilverAIM (Ученик)
 
У меня к этоми вирусу вопросы возникли.
Он малость больше размерами (%windir%\System32\ckvo.exe - 105 111 байт; %windir%\System32\ckvo№.dll - 85 504 байта), и работает чище - никаких сбоев системы, только Антивирусу Касперского обновление отрубил, только из-за этого я его и заметил. Последние обновления которые у меня есть (16.10.2008) его не детектируют как вирус. И список файлов несколько иной... Хотя может я и ошибаюсь. Все началось с 9.cmd.
P.S. решил пока не удалять, поизучать...
 16.10.2008 06:22 
VirusHunter (Администратор)
 
Здравствуйте. А моей утилитой пробовали лечить компьютер и повреждения настроек реестра? Размер отличается, очевидно, потому, что это новый вариант Game.Spy. Файл 9.cmd перешлите, пожалуйста, мне на емэил (см. в разделе "Компьютерные вирусы") в виде архива с паролем 1 и темой письма Файлы для изучения
 16.10.2008 06:46 
SilverAIM (Ученик)
 
Как ни странно, утилита его не взяла. Зато удаление его из списка автозагрузки без прав администратора при помощи программы AutoRuns странно на него подействовало - он забыл обновлять себя в разделах. Касперский как лежал, так и лежит.
Архив выслал
 16.10.2008 07:07 
NoFtp (Академик)
 
Если это модификация вируса, описанного VirusHunter, то она "заточена" на противодействие антивирусу Касперского. Можно попробовать полечиться другим антивирусным продуктом, например, провести полное сканирование свежим CureIt.
И чтоб нанести урон создателям заразы, желательно направлять файлы на vendors@spywarefix.org. Тогда присланный образец рассылается сразу 58-ми антивирусным компаниям. Отправлять желательно в .zip архиве с паролем infected.

Когда победите вредоноса, проверьте, последняя ли у вас версия антивируса Касперского. Обновление до современной версии (8-й) доступно бесплатно для имеющих 6 или 7 версию продукта с тем же  ключом. В результате и самозащита и эффективность антивируса значительно увеличится. Если антивирус замучает вопросами, установите в настройках "автоматический выбор действия", "не удалять подозрительные файлы".
 16.10.2008 07:31 
SilverAIM (Ученик)
 
Сам то вирус я вытравил вручную, он как-то странно себя повел после удаления записи из реестра. Теперь пытаюсь восстановить сам реестр. Файлов вируса уже нет, а "симптомы" остались... Та-же проблема невидимости скрытых файлов в проводнике (хотя я им пользуюсь только для копирования TotalCMD на компьютер) и Касперский
 
Спасибо за совет по поводу точки куда отправлять и Касперского
 16.10.2008 07:37 
VirusHunter (Администратор)
 
Письмо получил, вирус распаковал и исследовал. Это новый вариант GameSpy и он более деструктивен, чем описанный у нас на сайте вариант "xa". Утилита №13 не может его определять, т.к. злоумышленник изменил структуру вируса и внутренние "движки". Бэта-утилиту для лечения я уже практически сделал, но пока что остается неясным проблема с блокировкой обновления Касперского - над ней я просидел дольше всего (специально активировал именно эту процедуру, не запуская весь функционал вируса). У меня обновление тоже не хочет работать, но пока не понятно что именно мешает Касперскому корректно его проводить - никакие функции не заблокированы и никаких редиректов также в коде вируса не содержится. Как только разберусь с этим любопытным феноменом, вышлю Вам бэта-модуль для пролечивания компа, восстановления системного реестра и настроек Касперского.
 16.10.2008 12:00 
Страницы: 1  2  3  

Пришло время электрокаров!
Новости, обзоры, видео, все об электромобилях Tesla на форуме TeslaTime.com.ua.


Добро пожаловать на наш Компьютерный Форум. Здесь Вы можете задавать свои вопросы касательно работы компьютера и его комплектующих, программного обеспечения и софта.
Всегда рады Вам помочь!!!
Rambler's Top100

0.0105121135712