Авторизация
Ник
Пароль:
      
Вирусы
Список конференций  Список ТемСоздать новую тему  Добавить свой ответ
SilverAIM (Ученик)
 
Спасибо. Сам я его не вскрывал - не совсем умею, мягко говоря. Сам вирус-то не слишком сложно вылечить, а вот последствия я пока так и не исправил. Что он поменял, то так и осталось повреждено. Буду рад получить "патч", да и пару уроков разборки вирусов тоже... :-)
 16.10.2008 14:07 
VirusHunter (Администратор)
 
У меня для Вас приятная новость: Касперского восстановить довольно просто, причем никаких утилит для этого писать не нужно. Делаете следующее: если Вы уже удалили вирус (правда, мог остаться руткит-компонент, но это уже неважно, т.к. без основного файла вируса - ckvo%X.dll - он все равно ничего криминального сделать не может), то зайдите: Пуск -> Панель управления -> Установка и удаление программ - > Kaspersky Internet Security (или Anti-Virus) -> жмете "Заменить/Удалить" -> жмете "Восстановление" и далее по указанным шагам. Перезагружаете компьютер - и всё работает. А функционал этой диструкции с трудом, но всё же удалось разобрать, он оказался весьма запутанный: во-первых, вирус каким-то хитроумным методом обходит самозащиту Касперского. Если она была изначально отключена, то просто блокируется тот же ключ, что и в варианте "xa", и тогда Касперский просто не может обновляться. А вот в случае активности самозащиты, происходит весьма печальная вещь: вирус обходит самозащиту, связанную с ветками ключей антивируса, в которых описаны серверные функции компонента AVP.exe (кстати, из кода вируса я так и не понял какие именно), и удаляет все записи. Интересно, что Касперец периодически жалуется на свою "поврежденность" во время старта системы, но повреждения не исправляет. В результате деструкции процедуры отката баз и, собственно, само обновление антивируса, оказываются невозможными. Восстановить показ скрытых/системных файлов можно при помощи утилиты №1 из моего антивирусного набора (VirusHunter_utilities). На всякий случай: имя руткита - %windir%\System32\drivers\cdaudio.sys Но файл может быть и чистым (вирус перезаписывает своим руткитом оригинальный системный файл, но по причине ошибки зачастую забывает это сделать). Если же в машине установлен Касперский с отключенной самозащитой модулей, то руткитом перезаписывается (опять же не всегда - зачастую просто-напросто удаляется) компонент антивируса - %windir%\System32\drivers\klif.sys
 16.10.2008 14:53 
SilverAIM (Ученик)
 
А как Вы проводили процедуру удаления непосредственно тела вируса? Просто у Вас это наверняка вышло быстрее чем у меня, а мне лечить еще два десятка компов... И я бы хотел немного поучиться...
 17.10.2008 04:39 
VirusHunter (Администратор)
 
Естественно вручную (пока не написал утилиту-лечилку :) А способ удаления вариантов GameSpy Вы можете прочитать в любом из уже существующих описаний на нашем сайте - там я описывал ошибки вируса, благодаря которым удалить основной код вируса из компьютера довольно таки просто: Win32.Worm.GameSpy (семейство), Win32.Worm.GameSpy.xa
 17.10.2008 05:34 
SilverAIM (Ученик)
 
C cdaudio.sys он похоже поступил как обычно - вписал свое тело, а остальное забил 0... Во всяком случае я сомневаюсь, что в конце удаленного мной файла изначально валялась куча нолей... А Каперский восстановился. Спасибо за помощь. Буду ждать новой версии вируса :-)...
 17.10.2008 16:52 
VirusHunter (Администратор)
 
OK. Как только будет разработано описание и утилита для лечения - отпишу Вам на емэил. Удачи.
 17.10.2008 17:04 
iii (Ученик)
 
Тоже столкнулся с ckvo.exe, который записал на диск С autorun.inf и 9.cmd. Воспользовался утилитой №13 и далее по инструкции. По завершению выдало сообщение о благополучном удалении вируса и руткит драйвера. Спустя некоторое время после перезагрузки в system32  снова объявился ckvo.exe и файлы autorun.inf и некий 2ji*.exe или .com, к сожалению уже нету возможности уточнить. Снова воспользовался утилитой №13, выполнил несколько перезагрузок - всё чисто. Надеюсь больше не повторится.
Утилита №13 после удачного удаления вируса не закрывается никак, кроме ctrl+break, или надо что-то другое нажатЬ?
 18.10.2008 05:15 
VirusHunter (Администратор)
 
Если утилита №13 обнаружила и уничтожила вирус, то ее рабочее окно (равно, как и для утилиты №11) можно закрыть просто нажав крестик в правом верхнем его углу. Если вирус найден и идентифицирован, то будет пролечена система и все подключенные к компьютеру диски. Однако, судя по всему, это не вариант вируса "xa", а какой-то еще. Поэтому "движок" утилиты, очевиднее всего, вылечит компьютер от вируса и восстановит повреждения антивируса Касперского, но руткит останется в неизменном виде в системе, поскольку его кодбудет отличаться от варианта, встроенного в вирус модификации "xa".
 18.10.2008 07:02 
iii (Ученик)
 
После удаление утилитой №13 вируса ckvo.exe примерно через сутки вновь появляются файлы autorun.inf в корнях логических дисков и файлы 2fiji.com. Снвоа запускаю утилиту №13 и снова через сутки всё повторяется. Утилита №6 работает при каждом запуске компьютера. Прошу помощи, что предпринять?
 19.10.2008 08:21 
VirusHunter (Администратор)
 
Здравствуйте. Очевидно у Вас в компьютере новый вариант вируса Game.Spy. Файл 2ifji.com перешлите, пожалуйста, мне на емэил (см. в разделе "Компьютерные вирусы") в виде архива с паролем 1 и темой письма Файлы для изучения
 19.10.2008 11:27 
Страницы: 1  2  3  

Пришло время электрокаров!
Новости, обзоры, видео, все об электромобилях Tesla на форуме TeslaTime.com.ua.


Добро пожаловать на наш Компьютерный Форум. Здесь Вы можете задавать свои вопросы касательно работы компьютера и его комплектующих, программного обеспечения и софта.
Всегда рады Вам помочь!!!
Rambler's Top100

0.00631213188171