На работе WinXP SP2 + NOD32v3 завелась зараза которая: 1. Как я понял распростроняется на съемных носителях информации (autorun.inf), или через сеть ms08_67. 2. Скидывает дату на 1 января 2070 год что бы антивирь "поседел". 3. Что-то творит, что приводит к сообщению "system.exe приложение будет закрыто" 4. прописывается в автозагрузку как "mwau" в реестре HKCU\Softwear\Microsoft\Windows\CurrentVersion\Run После удаления из автозагрузки + удаления mwau.ехе из папки RECYCLER и Locals~1\Temp при загрузки с лайф сиди, возобновляется и там и там. При всем при этом NOD регистрирует и скидывает в карантин вирус Win32\Agent.NVL - постоянно... Если кто сталкивался подскажите как с этим бороться?
выложи тут тело - под виртуалкой погонять людям. как вариант - берешь чистый комп, дампишь его винт, потом заражаешь винт, еще раз дампишь, и сравниваешь с бекапом до заражения
не-не-не. не формать. как правило мелкая зараза лечится и без этого. иногда достаточно деактивировать механизм запуска при старте (если на заражает исполняемые файлы)
Завтро выложу... А так бы хотелось вылечиться именно вручную, на вирус инфо есть инфа связанная с данным вирем... Но как говорится вручную надежнее!
До того как создовать тему, я начитался уже на вирус инфо.... Я повторюсь что мне надо удалить все вручную без утилит avz и тп.
для начала скачай http://esetnod32.ru/download/sysinspector.php и http://www.ccleaner.com/download первым проанализируеш систему, ибо мне кажется что вирь зарегистрировал dll из которой востанавливается в системе. вторым посмотриш афтозагрузку и почистиш реестр. я уже сталкивался с этой заразой, удалял вот так вручную, так же поидее есть Антивирус Касперского 6.0 SOS - может быть установлен на одном компьютере с полнофункциональным антивирусным ПО другого производителя - отсутствие компонентов постоянной защиты/проверки в Антивирусе Касперского 6.0 SOS позволяет избежать конфликтов в их совместной работе. подробно на http://www.kaspersky.ru/support/sos6?level=2
Зараза регистрирует себя по следующим адресам: HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache "C:\RECYCLER\S-1-5-21-5151050744-6534145795-177386695-3900\mwau.exe"="mwau" "C:\RECYCLER\S-1-5-21-6044136473-1187478682-175657104-4689\mwau.exe"="mwau" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MsConfig\startupreg\Microsoft Windows Automatic Update "command"="C:\RECYCLER\S-1-5-21-0114444470-0002098367-228570597-8955\mwau.exe" "hkey"="HKCU" "inimapping"="0" "item"="mwau" "key"="SOFTWARE\Microsoft\Windows\CurrentVersion\Run" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "Microsoft Windows Automatic Update"="C:\RECYCLER\S-1-5-21-8575858697-4780426435-050333250-1480\mwau.exe" Распростроняется на съемных носителях в виде двух файлов: autorun.inf explorer.exe И по видимому через сетевые ресурсы или уязвимости в рпс Что примечательно авторан нод блокирует, а на експлорера молчит... В системе сидит в папках: C:\RECYCLER\........\mwau.exe C:\Documents and settings\%Username%\Local settings\Temp\<randomname>.sys так же внедряется с процесс system.exe и скидывает дату на 1 января 2070 года 4:00 Боролся с вирем загружаясь с Live CD И после чего вручную почистил папки RECYCLER и Temp и все стало на свои места! Но возникла еще одна проблемма! Неизвесто из-за чего после смены времени в прежнее состояние на некоторых компьютерах не выполняется вход локального пользователя... Читал по этому поводу и узнал что нужно отредактировать userinit.exe в реестре... но так и ненашел где (
А кто-нибудь знает что это за зверь такой??? Мне б название хотяб узнать и есть-ли заплатка от мелкомягких...??? А так, че могу сказать... Сталкивался! Говрят что антивирусники определяют как агент.какой-то... Сам видел его в систем32 (system.exe) и в RECYCLER (mwau.exe) Когда попадает на машину- она виснет сразу, с неопределенной переодичностью меняет сис. дату на январь 2070 (=> каспер загинается говоря что базам много лет и досвиданься!). Мне кажется назначение его - спам/ддос - т.к. на симке денег сожрал немерено!!! лежало 900р. примерно за день вогнал до -300р. итого 1200р. хотя раньше на месяц хватала 50-60руб...
На сколько я знаю, эта прога не удоляет его! Она удоляет все автораны, со всех носителей! То есть для того чтоб не заразится, а здесь уже поздно! Да и через сеть еще лезет! После LiveCD dr Web тоже вылазит!?
