CHAIKA

Главная | Регистрация | Вход
Вторник, 20.10.2020, 06:30
Приветствую Вас Гость | RSS
Меню сайта
Категории каталога
Мои статьи [50]
Справка по системе [59]
Запись [11]
Flash-накопители [21]
Закачка [35]
Игры [29]
Защита [76]
Локальная сеть [35]
WEB-master [44]
Восстановление [40]
Portable Soft [18]
Оптимизация [34]
Анонимайзер [4]
Ноутбуки [44]
Нетбуки [8]
Система - установка [21]
Деньги в интернете [19]
WINDOWS 7 [35]
Новые статьи [13]
Цифровое видео [25]
Мини-чат
200





Главная » Статьи » Защита

zolander polanda
zolander polanda

С неделю назад в бухгалтерии поселился некий вирус. Касперский 6.0 для Windows Workstations при проверке системы вируса не обнаруживает, так же не видит этот вирус на флешках и других съемных носителях. Вручную я этот вирус удалял, но через некоторое время он опять просачивается на компьютер бухгалтера и не дает нормально работать в сети Интернет. Антивирусные базы обновляются каждый день. Восстановление системы отключено. Автозапуск на все устройства отключен. Никак не могу понять, как он просачивается в систему в обход антивируса?

Вирус постоянно создает соединение z-connect.
В директории C:\Documents and Settings\%username% создаются файлы на которые, перед вылетом интернет соединения, ругается Каспер на попытку дозвона на номер 8,,1037091022347.
В корне локального диска С: появляется скрытая папка с файлом C:\Zolander\Polanda\box.exe.
В логах каспер пишет
14.12.2009 13:29:38 Процесс C:\Zolander\Polanda\box.exe (PID: 2732): попытка внедрения в другой процесс разрешена.
14.12.2009 13:29:51 Процесс C:\Documents and Settings\user\p3a2v18r7.exe (PID: 2716): попытка внедрения в другой процесс разрешена.

Хотя в доверенной зоне этих файлов нет и в интерактивном режиме мне не предлагалось заблокировать или разрешить доступ этого файла. Вновь созданные вирусом файлы после проверки каспером, опять же, не дают никакого результата.
Проверка CureIt!-ом показывает на вирус - Trojan.MulDrop.51336
Но CureIt! не ловит вирусы "на лету" и лицензия куплена на касперского, потому хочу найти решение для предотвращения попадания данного вируса на компьютеры в нашу организацию.

===================
Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{23MAD6M8-1MAD-77AD-JIM1-73OP5G7769085}');
DelCLSID('{23MAD6M8-1MAD-77AD-JIM1-73OP5G3369085}');
QuarantineFile('c:\DEEP\FREEZ\xob.exe','');
QuarantineFile('c:\Zolander\Polanda\box.exe','');
DeleteFile('c:\Zolander\Polanda\box.exe');
DeleteFile('c:\DEEP\FREEZ\xob.exe');
DeleteFileMask('c:\Zolander', '*.*', true);
DeleteDirectory('c:\Zolander');
DeleteFileMask('c:\DEEP', '*.*', true);
DeleteDirectory('c:\DEEP');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполните скрипт в AVZ

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

Сделайте новые логи

=================
z-connect остался, скрытые папки Zolander тоже, инет пока работает, но 15мин не показатель еще думаю...
=================
Выполните скрипт в AVZ

begin
DeleteFileMask('F:\Zolander', '*.*', true);
DeleteDirectory('F:\Zolander');
DeleteFileMask('C:\Zolander', '*.*', true);
DeleteDirectory('C:\Zolander');
RebootWindows(true);
end.

Компьютер перезагрузится.

Подключение z-connect удалите в списке подключений. Проверьте, появилось ли это подключение после перезагрузки
=================
Итог лечения

--------------------------------------------------------------------------------

Статистика проведенного лечения:
Получено карантинов: 2
Обработано файлов: 4
В ходе лечения обнаружены вредоносные программы:
f:\autorun.inf - Trojan.Win32.AutoRun.op ( BitDefender: Trojan.Script.245901, NOD32: Win32/AutoRun.KS worm )
f:\zolander\polanda\box.exe - Worm.Win32.VBKrypt.v ( DrWEB: BackDoor.Bifrost.8, BitDefender: Worm.Generic.103833, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Malware-gen )

==============
==============
Поймал вирус.Загружается Windows до рабочего стола и нельзя нажать не на что. Как будто фотография на раб.столе.
=============
сделай востановление системы, 100 % помогает

Источник: личный опыт
=================
Загрузись в безопасном режиме (во время загрузки кликайте кнопку F8) и проверьте антивирусом отсюда(http://www.freedrweb.com/cureit/) свой компьютер. Если не поможет, в безопасном режиме проверь автозагрузку (Пуск - Выполнить - ввести команду msconfig и затем Ок. Вкладка Автозагрузка). Как почистите, перезагрузитесь в обычный режим. Все должно прийти в норму.
================
Уважаемый,могу посоветовать попробовать программу "акронис диск директор"заходим в С: и ищешь то чего не было)),например zolander polanda или deep, (при таких же симптомах именно в этих папках была причина,там распологался файл:DeSKtOP.ini)после долгой и нудной проверки компьютера в ручную)))))и удаления этих файлов и папок все заработало.папки дип и поландер распологались на с:в аппликешн дата,в документах и сеттингах)))но это частный случай!!!у вас может быть по-другому,но акронис рекомендую,это поможет хотя б добраться до файлов)))удачи!!!!

Категория: Защита | Добавил: Chaika (15.01.2010)
Просмотров: 1383 | Рейтинг: 0.0/0 |
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
Форма входа
Поиск
Друзья сайта
  • Все для веб-мастера
  • Программы для всех
  • Мир развлечений
  • Деревенька
  • Районная сеть Чайка.Net










  • Помогло? Скажи спасибо!

    Статистика

    Онлайн всего: 1
    Гостей: 1
    Пользователей: 0

    Copyright MyCorp © 2020 |